Рейтинг:2

Разъяснение споров о доказуемой криптографии

флаг us

Я читал о доказуемой криптографии в Википедия. В статье говорилось о напряженных спорах вокруг 2007 года.

Эти споры все еще существуют?

Чем можно заменить доказуемую безопасность? Разве этого недостаточно? Я думаю, что AES не следует доказуемому стилю криптографии, я прав?

Какая точка зрения является принятой/предпочтительной в сообществе криптографов?

Почему это началось в первую очередь, разве доказательство не желательно?

Каковы достижения доказуемой криптографии?

С чего начать изучение/исследование криптографии, учитывая эти разногласия?

Я прочитал некоторые возражения, я почувствовал, что дело в двух вещах: исходное предположение не является сильным, и какие-то ошибки, которые были в какой-то статье, я прав? Я думаю, что первое необходимо даже для начала (учитывая осознание подобных предположений), а второе - отдельных случаев (учитывая его ошибочность) недостаточно для опровержения целой отрасли науки.

Рейтинг:11
флаг ng

В общем, эта статья, похоже, относится к направлению работы «Другой взгляд на…». Многие документы собраны на этот сайт.

Есть ряд «противоречий», которые вы могли бы попытаться обобщить. Главный аргумент против понятия «доказуемая безопасность» заключается в том, что оно преувеличивает то, что обеспечивает, — доказуемо безопасные схемы могут быть атакованы по целому ряду причин. Кратко о причинах:

  1. Схема безопасна при сведении к некоторой сложной задаче. Эта трудная проблема эзотерична и мало изучена, и на самом деле ее легко решить.
  2. В (заявленном) доказательстве есть ошибка
  3. Доказательство выполнено в нереалистичной модели, и на практике все еще можно атаковать схему.
  4. Сокращение является «нежестким» и не имеет смысла для практических параметров, которые используют люди.

Есть и более эзотерические жалобы (например, роль неоднородности в криптографических доказательствах), но вышеизложенное — это, по крайней мере, «основные жалобы» с доказуемой безопасностью, которые я склонен слышать и считаю принципиально обоснованными жалобами. .

Чем можно заменить доказуемую безопасность? Разве этого недостаточно? Я думаю, что AES не следует доказуемому стилю криптографии, я прав?

Как правило, замена должна быть более точной в заявлениях о безопасности. За исключением 2-го пункта выше, все вышеперечисленные пункты показывают что-нибудь о базовой схеме. При условии, что вы точно описываете то, что показываете, нет проблемы «перепродажи» результата.

Какая точка зрения является принятой/предпочтительной в сообществе криптографов?

Доказуемая безопасность по-прежнему является стандартной настройкой в ​​криптографии, хотя примерно 10 лет назад в этой области, возможно, собралось больше «стандартных» предположений (что хорошо из-за первого пункта в приведенном выше списке).

Почему это началось в первую очередь, разве доказательство не желательно?

Доказательство полезно настолько, насколько полезно доказываемое утверждение, которое, по сути, является источником аргументов против доказуемой безопасности.

Каковы достижения доказуемой криптографии?

Это действительно слишком много, чтобы обсуждать, и сильно зависит от того, что подразумевается под «доказуемой криптографией». Как минимум, доказуемая криптография говорит вам, что то, что вы пытаетесь сделать, не имеет фундаментальных недостатков. Например

  1. Сокращение наихудшего случая к среднему в решетчатой ​​криптографии говорит вам, что проблема LWE в определенном смысле является «правильным» средним распределением для выборки жестких экземпляров. Обратите внимание, что эти сокращения в определенном смысле являются примером «плохой доказуемой криптографии», поскольку практики часто не используют параметры, которые делают сокращения действительными, и сокращения не особенно жесткие.Однако полное обсуждение этого заняло бы больше места.

  2. Точно так же в области решеток подписи на основе решеток изначально было довольно сложно построить (они часто пропускали секретный ключ), пока не была опубликована статья, в которой приводился довольно сложный аргумент выборки отклонения. Кажется, было бы трудно найти этот аргумент отказа от выборки без доказательства — кстати, эти подписи не подвергались осмысленной атаке.

Конечно, авторы часто говорят об определенных вещах как об «артефактах доказательства», что обычно означает модификации, сделанные для прохождения доказательства, но, кроме того, они явно не кажутся необходимыми для безопасности. Это часто может сделать схемы менее эффективными, поэтому «запутанные изменения для прохождения доказательств» также могут быть отрицательными.

С чего начать изучение/исследование криптографии, учитывая эти разногласия?

По большей части вы можете игнорировать споры. Несмотря на то, что есть некоторые полезные выводы (в частности, касающиеся конкретной безопасности схем, которые будут конкретно развернуты), они носят технический характер, и я бы не советовал их новичкам в криптографических исследованиях.

user2357 avatar
флаг us
Вы сказали: «Доказуемая безопасность по-прежнему является стандартом в криптографии». Это действительно стандарт? Я думал, что это новое предложение.
fgrieu avatar
флаг ng
@ user2357: доказуемая безопасность стала стандартом где-то в 1990-х годах. Основная причина в том, что мы тогда научились делать доказательства.Другой причиной является то, что люди устали от циклов создания/разрыва/исправления, существовавших до этого, в частности, при заполнении подписи RSA (например, пришлось отозвать первый международный стандарт подписи RSA, ISO/IEC 9796(-1)). И это был полезный способ для рецензентов отсеять предложения статей с протоколами или асимметричными криптосистемами: доказательство в какой-то модели стало необходимым для публикации в серьезном криптографическом журнале.
user2357 avatar
флаг us
@fgrieu А как насчет симметричных шифров, следуют ли они парадигме доказуемой безопасности?
Mark avatar
флаг ng
@fgrieu, вероятно, есть безопасные хэши, например, SWIFFT (я думаю, что это CR-защита в какой-то форме SIS, а не подходящий RO, хотя iirc). Есть еще Блюм Блюм Шуб как вероятно безопасный PRG. Однако оба менее производительны, чем стандартные парадигмы проектирования (я помню, что разрыв для BBS огромен, а для SWIFFT он составляет «всего» что-то вроде 40-кратного разрыва в пропускной способности).
fgrieu avatar
флаг ng
@Mark: я узнал кое-что полезное! Спасибо!! Я предполагаю, что серьезное снижение производительности является причиной того, что на данный момент это не является стандартным требованием.
user2357 avatar
флаг us
@ Марк, ты сказал, что «возможно, поле собралось вокруг более« стандартных »предположений», что это за предположения? Где я могу их узнать?
Mark avatar
флаг ng
@ user2357 довольно сложно указать один источник. В «Minicrypt» известно, что практически все (не хеширующие) примитивы эквивалентны, например, PRG эквивалентны PRF эквивалентны PRP (вы даже можете добавить OWF). Однако большинство «криптографических предположений» не используются для примитивов миникрипта, а вместо этого используются для примитивов криптомании. История с «единым» взглядом на криптоманию несколько сложнее — разные предположения о твердости позволяют создавать разные вещи. См. [эту статью] (https://eprint.iacr.org/2019/108.pdf) для попытки создания единой картины.
Mark avatar
флаг ng
Чтобы увидеть, какие примитивы люди используют «на практике», вы можете взглянуть на такие вещи, как соревнования NIST. В частности, если вы посмотрите на финалистов NIST PQC и добавите некоторые общие классические предположения (RSA, Finite-Field/EC DLog и CDH/DDH, а также предположение на основе пар, я думаю, SXDH?), вы получите довольно хорошее начало «основных предположений», используемых в криптографии.
user2357 avatar
флаг us
@ Отметьте, если вы можете предположить твердость, разве это не делает вас на сайте доказуемой безопасности?
Mark avatar
флаг ng
@user2357 user2357 не совсем, я не знаю о каких-либо серьезных предложениях по криптографии с открытым ключом, которые не предполагают сложности какой-либо базовой вычислительной проблемы. Конечно, эти проблемы могут быть специфическими для криптосистемы (скажем, «предположение RSA», а не общая проблема факторинга), но обычно они изолированы, и криптосистема доказала свою безопасность (при условии, что изолированная проблема сложна).
user2357 avatar
флаг us
@ Отметьте, если вы можете предположить надежность (для симметричных шифров), разве это не делает вас на сайте с доказуемой безопасностью?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.