Рейтинг:2

Что плохого в идее гибридной криптосистемы с открытым ключом и одноразовым блокнотом?

флаг cz

Насколько мне известно, в настоящее время гибридные протоколы используются более широко, чем симметричные или криптосистемы с открытым ключом по отдельности. Я читал, что система с открытым ключом используется для обмена и обмена секретами по незащищенному каналу, так что ключ затем используется в симметричном шифре.

Также есть otp, невзламываемая как его информационно-теоретико-защитная система. Это такое сильное понятие безопасности. Однако все мы знаем, что у него есть свои недостатки.

Недавно в моей голове случайным образом возникла идея — можно ли использовать один блокнот вместо, скажем, AES, раз ключ передается через публичный ключ? Я уверен, что это непрактично. Однако единственная проблема, которую я вижу, это требование ключа одинаковой длины. Но можем ли мы его растянуть?

Если мы учтем, что каким-то образом растяжку ключей можно сделать правильно, будет ли еще какая-то причина не использовать otp и придерживаться стандартного симметричного алгоритма?

  1. является ли требование длины проблемой только в этой своеобразной системе?
  2. не могли бы мы немного пожертвовать скоростью (во время растяжки), чтобы взамен получить такое сильное понятие безопасности, делающее вычисления неактуальными?
  3. не могли бы мы даже не убрать часть AES, а вместо этого поместить otp между ними в качестве еще одного слоя? (обратите внимание, что, поскольку было бы более сильное понятие, оно могло бы, в свою очередь, уменьшить нижнюю границу размера ключа AES)
  4. может ли otp рассматриваться как безопасность по неизвестности - следовательно, это очень хорошая причина не использовать его?
kelalaka avatar
флаг in
Поточный шифр уже растягивает ключи...
nimrodel avatar
флаг cz
@kelalaka, так что растяжение ключа otp с помощью потокового шифра действительно может быть реализовано?
kelalaka avatar
флаг in
Обмен ключами с DHKE, а затем использование ChaCha20-Poly1305? https://crypto.stackexchange.com/a/67526/18298
DannyNiu avatar
флаг vu
См. наш [список для чтения] (https://crypto.meta.stackexchange.com/a/1535/36960)
fgrieu avatar
флаг ng
Как только вы растягиваете ключ одноразового пароля, криптосистема перестает быть одноразовым паролем: она становится потоковым шифром. Использование потоковых шифров в [гибридном шифровании](https://en.wikipedia.org/wiki/Hybrid_cryptosystem) является стандартной практикой.
nimrodel avatar
флаг cz
@fgrieu да, теперь я искал потоковые шифры и читал похожие вещи.wiki говорит, что потоковые шифры очень похожи на ptp. однако он добавляет, что у него нет такого строгого представления о безопасности, потому что он больше не случайный, а псевдослучайный. это меня смущает. это означает, что простой переход от случайного ключа к псевдослучайному лишает потоковые шифры информационно-теоретического свойства? означает ли это, что если бы вы использовали псевдослучайный ключ в otp, он также стал бы таким же, как потоковый шифр, а также больше не теоретико-информационным?
флаг us
Гораздо проще использовать случайное начальное число для генерации OTP с помощью генератора случайных битов. Но использование одноразовых паролей не обеспечивает той безопасности, о которой думают люди. это ТОЛЬКО обеспечивает конфиденциальность. Это только одна часть безопасности данных.Вам также нужны целостность и аутентификация (а также должен быть аудит). OTP терпит неудачу во всех остальных случаях.
Рейтинг:2
флаг ph

Теоретико-информационная безопасность одноразового блокнота исходит из нескольких фактов о ключе.

  1. Ключ такой же большой, как сообщение
  2. Ключ действительно случайный
  3. Злоумышленник не имеет информации о ключе.

Как только вы нарушите любое из этих предположений, у вас больше не будет теоретической защиты информации.

Поэтому, если вы разобьете свой одноразовый блокнот на куски и зашифруете их с помощью RSA, то ваша общая криптосистема останется такой же безопасной, как RSA.

Точно так же, если вы зашифруете небольшой ключ и каким-то образом «растянете» его, то ваша общая криптосистема будет настолько же безопасна, как RSA и любая система, которую вы используете для растяжения ключа.

nimrodel avatar
флаг cz
я понимаю, что вы имеете в виду. однако я в замешательстве. что вы имеете в виду, если вы создаете ключ otp (не создавая его случайным образом в полной форме, а скорее) растягивая какой-то уже существующий более короткий ключ, чем ключ otp обладает информацией о том, что это keystretchalgorithm (k), который может быть обращен обратно к k (общий ключ через открытый ключ в этом случае). это означает, что мы можем использовать тот факт, что растянутый ключ не может быть ничем, потому что алгоритм растяжения имеет только фиксированное число энтропии. однако это действительно эксплуатировать? не слишком ли велика энтропия алгоритма растяжения ключа, поэтому он по-прежнему обеспечивает множество правдоподобных открытых текстов?
флаг ph
Опасно предполагать, что диапазон правдоподобных открытых текстов превышает малую долю диапазона неправдоподобных открытых текстов. Например, английский текст, по-видимому, имеет энтропию менее 2 бит на символ, но формат хранения обычно имеет 8 бит на символ. Таким образом, если у вас есть килобайт английского текста, у вас есть менее 2 ₽ правдоподобных открытых текстов, но почти 2 ₽ ₽ неправдоподобных.
флаг ph
Таким образом, с килобайтом английского текста, если бы вы могли перечислить все значения, скажем, 256-битного ключа, тогда шансы найти правдоподобный открытый текст, отличный от того, который был фактически зашифрован, были бы меньше, чем один из 2-х. ¸ â ¸ â ¸
флаг ph
Это не означает, что схема небезопасна на практике, просто сказать, что она не является «теоретически» безопасной и поэтому не считается «одноразовым блокнотом».
флаг us
Привлекательность OTP заключается в гарантированной конфиденциальности, несмотря на множество проблем с реализацией. Например: с помощью OTP, если злоумышленнику нужно будет изменить несколько битов зашифрованного текста, он может изменить «Да» на «Нет» или количество заказа от 1 до 1000, а с помощью OTP получатель никогда не узнает. Блочные шифры, такие как AES, могут обеспечить некоторую защиту от подделки (если вы случайно измените пару бит зашифрованного текста, после этого дешифрование AES, скорее всего, вернет мусор). Но это не гарантируется. Однако существуют блочные шифры, которые могут обеспечить целостность. OTP просто *звучат* красиво.
Рейтинг:1
флаг in

Потоковые шифры создают поток ключей, который объединяется (обычно XOR) с открытым текстом — точно так же, как поток ключей для OTP. AES-CTR (и производные режимы, такие как AES-GCM) могут генерировать вычислительно безопасный ключевой поток, который вы ищете.

  1. является ли требование длины проблемой только в этой своеобразной системе?

Для абсолютно безопасного OTP это, возможно, единственная проблема (если вы не включаете целостность / подлинность, размер и частоту сообщений и т. д. и т. д.). Однако это также проблема, которую теоретически невозможно решить, так как для увеличения размера ключа потребуется столько же битов — другими словами, невозможно увеличить размер ключа с обеих сторон без нарушения безопасности OTP.

  1. не могли бы мы немного пожертвовать скоростью (во время растяжки), чтобы взамен получить такое сильное понятие безопасности, делающее вычисления неактуальными?

Вычисление является не имеет значения для AES-128 (или AES-256, если вам требуется квантово-безопасная криптография), при условии, что он не используется для конкретной атаки, отличной от грубой силы.

  1. не могли бы мы даже не убрать часть AES, а вместо этого поместить otp между ними в качестве еще одного слоя? (обратите внимание, что, поскольку было бы более сильное понятие, оно могло бы, в свою очередь, уменьшить нижнюю границу размера ключа AES)

Нет, я полагаю, хотя вы никогда не показывали, где/как используется AES в вашем вопросе.

  1. может ли otp рассматриваться как безопасность по неизвестности - следовательно, это очень хорошая причина не использовать его?

Нет, теоретическое понятие OTP прямо противоположно. Для обеспечения идеальной безопасности требуется много ключевого материала вместо (почти) отсутствия ключевого материала, чтобы просто скрыть сообщение.


Обратите внимание, что простое применение любого из этих режимов не означает, что ваш протокол обязательно безопасен; например, такая атака, как EFAIL, основана на измененном открытом тексте для извлечения любого сообщения из почтовых клиентов; в общем, вы хотите использовать аутентифицированный режим шифрования.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.