Рейтинг:2

Статистический параметр безопасности -> информация теоретически защищена

флаг ua

Если криптографический протокол имеет параметр вычислительной безопасности и параметр статистической безопасности, означает ли это, что он безопасен только с точки зрения вычислений, а не с точки зрения теории информации?

Мне интересно, потому что в этом ответе говорится, что статистическая неразличимость - это когда противник вычислительно неограничен: https://crypto.stackexchange.com/a/11790 . Это означало бы, что наличие статистического параметра безопасности означает, что протокол является информационно-теоретически безопасным. Это правда?

Спасибо!

Кроме того, как мне узнать, является ли протокол информационно-теоретически безопасным, если это явно не указано?

Рейтинг:6
флаг ru

Протокол (и вообще криптографическая конструкция) удовлетворяет теоретико-информационная безопасность если ни один противник не может сломать систему, каким бы могущественным он ни был. Термин «теоретико-информационный» коренится в идее, что утечку из взаимодействия можно изучать с точки зрения теория информации, и можно сделать вывод, используя эти инструменты, которые обычно включают в себя простое сочетание статистики и теории вероятностей, что взаимодействие с системой действительно протекает почти ничего. Итак, совершенная и статистическая безопасность — это две формы теоретико-информационной безопасности: в первой существует нуль утечки, но в последнем есть незначительный утечка, которую можно сделать все меньше и меньше, соответствующим образом выбирая статистический параметр безопасности.

Теперь протокол, или опять-таки вообще криптографическая конструкция, может удовлетворять вычислительная безопасность, что означает, что он безопасен только до тех пор, пока противник имеет ограниченные вычислительные ресурсы. Обычно это происходит, когда используются такие инструменты, как шифрование (обычно с некоторым гомоморфизмом), которые имеют связанную вычислительную проблему, которую злоумышленник не должен быть в состоянии решить, чтобы гарантировать безопасность системы. Формализована безопасность этих инструментов с помощью параметр вычислительной безопасности, что по мере роста усложняет решение базовой вычислительной задачи, что обеспечивает гораздо большую уверенность (но также, как правило, ухудшает параметры).

Хотя исследователи могут быть немного небрежны с формулировками, наиболее типичная ситуация заключается в том, что вы обнаружите, что тип безопасности явно указан, например. ...протокол X реализует функциональность Y с идеальной безопасностью/статистической безопасностью/вычислительной безопасностью... Однако иногда предполагается, что это известно из контекста, или акцент с точки зрения ясности лежит на других аспектах конструкции, поэтому авторы не будут заявлять об этом совершенно явно. Как правило, если есть какая-либо конструкция, предполагающая наличие ограниченного противника, которая обычно включает в себя шифрование, подписи, обязательства и т. д., то безопасность, безусловно, зависит от вычислений. Следует также отметить, что обычно параметр вычислительной безопасности явно не указывается.

Кроме того, и это напрямую связано с вашим первоначальным вопросом, важно учитывать, что протокол может быть вычислительно безопасным, но также иметь параметр статистической безопасности. Это может произойти, например, если протокол использует криптографические инструменты, такие как шифрование и т. д., но в некоторых частях он опирается, например, на статистическую проверку, которую злоумышленник может обмануть с незначительной вероятностью. Поскольку по-прежнему верно, что протокол нарушается, если у противника есть неограниченные ресурсы, то ваш вывод верен: тип безопасности будет только вычислительный.

HelloWorld123 avatar
флаг ua
Спасибо, этот ответ был очень полезным! Тогда я бы предположил, что следующий протокол является информационно-теоретически безопасным, потому что в Приложении A указано, что «следующая величина пренебрежимо мала (в )», верно? http://web.eecs.umich.edu/~mosharaf/Readings/SecureML.pdf
Daniel avatar
флаг ru
@ HelloWorld123 Да, SecureML безопасен с точки зрения вычислений, поскольку использует Oblivious Transfer.
Рейтинг:3
флаг us

В интерактивных протоколах (таких как MPC) вы часто будете видеть комбинацию вычислительных и статистических параметров безопасности, используемых вместе.

  • Параметр вычислительной безопасности: настраивает сложность некоторой атаки, которая зависит от времени работы злоумышленника. Например, в протоколе используется псевдослучайная функция, и нарушение этой псевдослучайной функции приведет к нарушению протокола. Размер ключа псевдослучайной функции определяется параметром вычислительной безопасности протокола. Когда вы внимательно смотрите на формальное преимущество противника и видите термин в форме $T/2^\каппа$ или же $q^2/2^\каппа$ куда $Т$ или же $q$ связано с вычислительными усилиями противника, то $\каппа$ является параметром вычислительной безопасности.

  • Статистический параметр безопасности: настраивает сложность некоторой атаки, где время работы противника не имеет значения. Обычно это происходит потому, что в протоколе есть какое-то событие, которое происходит только один раз, и у противника есть только один шанс преуспеть в атаке. Например, одна сторона создает обязательство для строки, а противник нарушает протокол только в том случае, если он может точно угадать содержимое этой строки до того, как оно будет раскрыто. Длина строки должна регулироваться статистическим параметром безопасности протокола. Когда вы исследуете преимущество противника и видите термин в форме $с/2^\лямбда$ для постоянного $с$ (независимо от вычислительных усилий противника), то $\лямбда$ является статистическим параметром безопасности.

Конкретным примером, содержащим оба типа параметров безопасности, являются протоколы типа «вырезать и выбрать» для искаженных цепей (я очень грубо набросал протокол Линделл здесь).

  • Алиса должна генерировать $\лямбда$ независимые помехи цепи. Искаженная схема может быть сгенерирована правильно или неправильно. Имея «начальное число», создавшее искаженную схему, легко проверить, правильно ли была сгенерирована схема.
  • Боб подбрасывает справедливую монету для каждого из $\лямбда$ схемы. Если монета выпала орлом, он предлагает Алисе доказать, что схема была сгенерирована правильно (раскрыв ее «семя»). Если монета выпадает решкой, схема используется позже для обычных искаженных схем.

Из-за некоторых хитрых механизмов в остальной части протокола Алиса может преуспеть в мошенничестве, только сделав все «проверенные» схемы правильными, а все «непроверенные» — неверными. Другими словами, она может добиться успеха только в том случае, если точно предскажет все $\лямбда$ подбрасываний монеты Боба до того, как они произойдут (с вероятностью $1/2^\лямбда$). Следовательно $\лямбда$ является статистическим параметром безопасности протокола.

Чтобы ответить на ваш вопрос: только потому, что протокол содержит статистический параметр безопасности, это не означает, что весь протокол является информационно-теоретически безопасным. Если он вообще содержит параметр вычислительной безопасности, то весь протокол обеспечивает вычислительную безопасность, если это может быть доказано.

Последствия различия вычислительных и статистических параметров безопасности: В этом и других примерах параметр статистической безопасности может быть намного меньше (что приводит к более эффективному протоколу). На практике обычно параметр статистической безопасности устанавливается равным 40, что связывает все «плохие однократные события» с вероятностью. $1/2^{40}$. В примере «вырезать и выбрать» это означает, что Алиса отправляет только 40 искаженных цепей вместо, скажем, 128. Между тем, протокол по-прежнему использует PRF и другие вещи, для которых требуется параметр вычислительной безопасности 128.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.