Рейтинг:5

Может ли аутентифицированная схема шифрования определить, используется ли неверный ключ?

флаг sy

Может ли аутентифицированная схема шифрования (например, AES-GCM) определить, используется ли для расшифровки неверный ключ? Если нет, то каков стандартный способ проверить правильность введенного ключа. Я предполагаю, что для этого можно использовать KCV, но не приводит ли это к утечке какой-либо информации о ключе?

kelalaka avatar
флаг in
Добро пожаловать в Криптографию. Ответ и да и нет! AES-GCM и ChaCha20-Poly1305 ни к чему не обязывают! [Понимание влияния атак оракула с разделением на потоковые шифры] (https://crypto.stackexchange.com/q/88716/18298). Схема **завершающего шифрования** — это схема, которая не поддается вычислению, чтобы найти пару ключей и зашифрованный текст, который расшифровывается с использованием обоих ключей. Нужно использовать HMAC и KMAC.
Ordinary avatar
флаг sy
Спасибо за ответ! Мне было интересно, в чем разница между схемой фиксации фиксации, такой как [здесь] (https://eprint.iacr.org/2003/254.pdf), и схемой фиксации ключа?
kelalaka avatar
флаг in
АФАИК, они одинаковые.
Рейтинг:5
флаг us

Это интересный вопрос, и он зависит от ситуации, когда вы можете расшифровать «неправильным» ключом.

Если два ключа $k_1$ и $k_2$ генерируются независимо и $с$ представляет собой честно сгенерированный зашифрованный текст под $k_1$, затем расшифровка $с$ под $k_2$ приведет к ошибке, за исключением случаев с незначительной вероятностью. Если бы это было не так, это привело бы к атаке на безопасность AEAD (злоумышленник просто отправляет зашифрованный текст с независимо выбранным ключом). Этот анализ охватывает случай «случайного» или «случайного» дешифрования неправильным ключом.

Однако это не распространяется на случай, когда $к_1, к_2, с$ все генерируются враждебно. (Возможно, злоумышленник показывает вам $с$ и $k_1$, и с тех пор $с$ успешно расшифровывает под $k_1$ вы ошибочно заключаете, что кто-то с другим ключом не мог принять $с$.) Обычные определения AEAD не мешают этому.Существуют естественные схемы AEAD (включая AES-GCM), где можно генерировать такие $к_1, к_2, с$ такой, что $с$ расшифровывает без ошибок под обоими $k_1$ и $k_2$. Это свойство действительно может вызвать проблемы для некоторых приложений AEAD, например соглашение о ключе с аутентификацией паролем и сообщения о злоупотреблениях в зашифрованных сообщениях.

Если трудно придумать что-либо $к_1, к_2, с$ куда $с$ расшифровывает без ошибок под обоими $k_1$ и $k_2$, то говорят, что схема передача ключей. Иногда свойство фиксации ключа требует предоставления некоторого дополнительного значения (помимо обычного зашифрованного текста и ключа), чтобы помочь связать ключ с зашифрованным текстом. Шифрование с фиксацией ключа изучается здесь и здесь.

Ordinary avatar
флаг sy
Спасибо за ответ! Мне было интересно, в чем разница между схемой **фиксации шифрования**, такой как [здесь](https://eprint.iacr.org/2003/254.pdf), и схемой **фиксации ключа**?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.