Рейтинг:2

Ограничения FPE и область применения FPE

флаг br

Считаете ли вы, что схемы шифрования с сохранением формата (FPE) имеют какие-либо ограничения по сравнению с другими традиционными блочными шифрами? Есть ли у FPE широкий спектр приложений, чтобы стать будущей областью исследований?

Рейтинг:2
флаг my

Считаете ли вы, что схемы шифрования с сохранением формата (FPE) имеют какие-либо ограничения по сравнению с другими традиционными блочными шифрами?

На самом деле схему FPE можно рассматривать как обобщение обычного блочного шифра. В конце концов, обычный блочный шифр привязан к определенному размеру блока; с FPE мы можем использовать любой размер блока, который сочтем удобным (например, все сообщение).

Есть ли у FPE широкий спектр приложений, чтобы стать будущей областью исследований?

Я так считаю. Одна приятная особенность FPE (с некоторыми изменениями; большинство схем FPE допускают такую ​​возможность) заключается в том, что легко построить схему AEAD, которая вполне устойчива к неправильному использованию:

  • Чтобы зашифровать, вы бы взяли сообщение $ млн $, и добавить $к$ нули и $\ell$ случайные биты (или nonce; дешифратор восстановит эти биты, и при необходимости их можно будет использовать в качестве порядкового номера). Зашифруйте это с помощью схемы FPE, используя AAD в качестве настройки.

  • Чтобы расшифровать, вы расшифровываете схему FPE, используя AAD в качестве настройки; разобрать результат и проверить, $к$ в конце появляются нули.

Должно быть очевидно, что это безопасная схема AAD (при условии, что схема FPE безопасна). Кроме того:

  • Если отправитель использует плохую случайность для своих $\ell$ случайных битов, это становится детерминированной схемой, в которой злоумышленник может определить, было ли одно и то же сообщение отправлено дважды, но не может определить ничего, кроме этого.

  • Если получатель забывает проверить $к$ нулей, то это становится полностью искажающей схемой, когда противник может изменить расшифрованное сообщение на что-то случайное, но не может сделать ничего, кроме этого. Это отличается от многих схем AEAD, где, если дешифратор забывает проверить тег, шифрование становится податливым (а AAD по существу игнорируется).

Итак, если это так прекрасно, в чем недостаток? Что ж, одним из основных является производительность — текущие схемы FPE довольно медленные, поэтому эта прямолинейная схема не используется. Более производительная (но все же безопасная) схема FPE сделает ее гораздо более привлекательной.

Другим очевидным недостатком является то, что FPE нельзя реализовать «однопроходным» способом (когда мы обрабатываем сообщение по частям); это удобно, когда нам нужно обрабатывать большие сообщения; однако должно быть очевидно, что возможность выполнять устойчивое к неправомерному использованию шифрование (где отсутствие энтропии nonce дает утечку только в том случае, если сообщения идентичны) несовместимо с однопроходным шифрованием, и что возможность выполнять устойчивое к неправомерному использованию дешифрование (когда забывают check проверка целостности позволяет активному злоумышленнику только рандомизировать открытый текст) несовместима с однопроходной расшифровкой.

Рейтинг:1
флаг ng

Ограничения (также присутствует в обычном блочном шифре, таком как AES)

  • Одним из ограничений шифрования с сохранением формата является его детерминированность: один и тот же открытый текст всегда приводит к одному и тому же зашифрованному тексту.И по аргументу энтропии это должно быть, если возможны все открытые тексты, соответствующие формату. Это, в свою очередь, препятствует выполнению критериев устойчивости к атакам с выбранным открытым текстом.
  • Другим ограничением FPE на практике является то, что он симметричен: на стороне шифрования требуется секрет (как правило, тот же самый). Это необходимо для защиты открытого текста с низкой энтропией, который является типичной полезной нагрузкой FPE.

Перспективы, начиная с легкого

  1. Когда есть ограничения на открытый текст w.r.t. формата, легко несколько исправить первый пункт списка и даже получить несколько аутентифицированных FPE. Например, при шифровании номера кредитной карты плюс дата истечения срока действия по крайней мере последняя цифра номера (контрольная сумма) и поле даты, а также в некоторой степени первые 6 цифр (идентифицирующие эмитента) позволяют сжать некоторую информацию, используемую для IV или аутентификации. .
  2. Для полезной нагрузки с достаточно высокой энтропией (скажем, 128-битной) можно определить безопасность асимметричного FPE в рамках первого пункта списка. Это легко получить с помощью перестановки с лазейкой, такой как RSA, но конкретный конкретный вариант представляет ограниченный практический интерес для FPE, поскольку FPE в первую очередь мотивирован небольшой полезной нагрузкой. Задача состоит в перестановке с лазейкой на меньшем интервале, скажем, в несколько сотен битов. Хотел бы я знать состояние этого искусства.
Maarten Bodewes avatar
флаг in
Не было ли также проблемы с размером сообщения для определенных форм FPE, где он должен быть больше, чем определенное количество битов?
fgrieu avatar
флаг ng
@MaartenBodewes: я не понимаю, что вы имеете в виду во втором комментарии. Мы знаем, как добиться практически идеального FPE для любого интервала, для симметричной породы с идентичными ключами (или любым ключом, выводимым из другого). Возможно, обогатите свой комментарий, раз вы можете!
poncho avatar
флаг my
Те же два ограничения, которые вы указали, также применимы к AES; блочный шифр AES также является детерминированным и симметричным.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.