В общем, эта статья, похоже, относится к направлению работы «Другой взгляд на…». Многие документы собраны на этот сайт.
Есть ряд «противоречий», которые вы могли бы попытаться обобщить.
Главный аргумент против понятия «доказуемая безопасность» заключается в том, что оно преувеличивает то, что обеспечивает, — доказуемо безопасные схемы могут быть атакованы по целому ряду причин. Кратко о причинах:
- Схема безопасна при сведении к некоторой сложной задаче. Эта трудная проблема эзотерична и мало изучена, и на самом деле ее легко решить.
- В (заявленном) доказательстве есть ошибка
- Доказательство выполнено в нереалистичной модели, и на практике все еще можно атаковать схему.
- Сокращение является «нежестким» и не имеет смысла для практических параметров, которые используют люди.
Есть и более эзотерические жалобы (например, роль неоднородности в криптографических доказательствах), но вышеизложенное — это, по крайней мере, «основные жалобы» с доказуемой безопасностью, которые я склонен слышать и считаю принципиально обоснованными жалобами. .
Чем можно заменить доказуемую безопасность? Разве этого недостаточно? Я думаю, что AES не следует доказуемому стилю криптографии, я прав?
Как правило, замена должна быть более точной в заявлениях о безопасности. За исключением 2-го пункта выше, все вышеперечисленные пункты показывают что-нибудь о базовой схеме. При условии, что вы точно описываете то, что показываете, нет проблемы «перепродажи» результата.
Какая точка зрения является принятой/предпочтительной в сообществе криптографов?
Доказуемая безопасность по-прежнему является стандартной настройкой в криптографии, хотя примерно 10 лет назад в этой области, возможно, собралось больше «стандартных» предположений (что хорошо из-за первого пункта в приведенном выше списке).
Почему это началось в первую очередь, разве доказательство не желательно?
Доказательство полезно настолько, насколько полезно доказываемое утверждение, которое, по сути, является источником аргументов против доказуемой безопасности.
Каковы достижения доказуемой криптографии?
Это действительно слишком много, чтобы обсуждать, и сильно зависит от того, что подразумевается под «доказуемой криптографией».
Как минимум, доказуемая криптография говорит вам, что то, что вы пытаетесь сделать, не имеет фундаментальных недостатков.
Например
Сокращение наихудшего случая к среднему в решетчатой криптографии говорит вам, что проблема LWE в определенном смысле является «правильным» средним распределением для выборки жестких экземпляров. Обратите внимание, что эти сокращения в определенном смысле являются примером «плохой доказуемой криптографии», поскольку практики часто не используют параметры, которые делают сокращения действительными, и сокращения не особенно жесткие.Однако полное обсуждение этого заняло бы больше места.
Точно так же в области решеток подписи на основе решеток изначально было довольно сложно построить (они часто пропускали секретный ключ), пока не была опубликована статья, в которой приводился довольно сложный аргумент выборки отклонения. Кажется, было бы трудно найти этот аргумент отказа от выборки без доказательства — кстати, эти подписи не подвергались осмысленной атаке.
Конечно, авторы часто говорят об определенных вещах как об «артефактах доказательства», что обычно означает модификации, сделанные для прохождения доказательства, но, кроме того, они явно не кажутся необходимыми для безопасности. Это часто может сделать схемы менее эффективными, поэтому «запутанные изменения для прохождения доказательств» также могут быть отрицательными.
С чего начать изучение/исследование криптографии, учитывая эти разногласия?
По большей части вы можете игнорировать споры. Несмотря на то, что есть некоторые полезные выводы (в частности, касающиеся конкретной безопасности схем, которые будут конкретно развернуты), они носят технический характер, и я бы не советовал их новичкам в криптографических исследованиях.