Рейтинг:2

Идеальный шифр против идеальной схемы шифрования

флаг vn

Идеальный шифр — это случайная перестановка каждого ключа в его ключевом пространстве.

И идеальной схемой шифрования является та, которая обладает идеальной секретностью/неразличимостью. Для схемы шифрования случайная перестановка из пространства простого текста в пространство зашифрованного текста кажется более сильным свойством и не всегда необходима.

Я не понимаю обоснования:

  1. Почему для схем шифрования достаточно идеальной секретности/неразличимости (а не случайности), но не для блочных шифров?
  2. С другой стороны, почему свойство полной секретности/неразличимости не может быть достаточным для блочного шифра? Почему это должна быть случайная перестановка?
Рейтинг:3
флаг in

1.Почему для схем шифрования достаточно идеальной секретности/неразличимости (а не случайности), но не для блочных шифров? 2. С другой стороны, почему свойство полной секретности/неразличимости не может быть достаточным для блочного шифра? Почему это должна быть случайная перестановка?

Неразличимость предназначена для нескольких сообщений, что означает несколько блоков. Блочный шифр сам по себе не является неразличимым: если вы дважды зашифруете один и тот же блок сообщения, вы получите один и тот же зашифрованный текст. И, очевидно, это свойство, которое вы хотели бы сохранить для блочного шифра, поскольку в противном случае это не было бы перестановкой.

driewguy avatar
флаг vn
Хорошо, это то, что я понимаю. На самом деле нам нужно свойство совершенной секретности/неразличимости как для идеального шифра, так и для идеальной схемы шифрования (это имеет смысл для практических нужд). Идеальная неразличимость для меня такова: учитывая зашифрованный текст C и два простых текстовых сообщения M1 и M2, P(обычный текст = M1 | зашифрованный текст = C) = P(обычный текст = M2 | зашифрованный текст = C), где M1 != M2. Поскольку блочный шифр является биекционным, блочный шифр с идеальной неразличимостью должен быть случайной перестановкой, то есть для идеального блочного шифра случайная перестановка с идеальной неразличимостью
Рейтинг:1
флаг in

Почему для схем шифрования достаточно идеальной секретности/неразличимости (а не случайности), но не для блочных шифров?

Блочные шифры являются примитивными. Мы хотим, чтобы они представляли собой псевдослучайную перестановку (PRP) и защищали от таких атак, как грубая сила, линейные и дифференциальные атаки.

Когда мы хотим зашифровать/расшифровать, нам нужно Схемы шифрования которые состоят из алгоритмов генерации ключей, шифрования и дешифрования ( неофициально; он определяет, как использовать блочный шифр для шифрования). Для построения схемы нам понадобится режим работы для блочного шифра, в котором определены несколько блочных сообщений, рандомизация (IV, одноразовый номер, настройка) и т. д. Тогда мы можем говорить о неразличимости схем шифрования в рамках модели противника, такой как Ind-CPA.

Даже режим ECB — это схема шифрования, о которой мы должны забыть.

Почему это должна быть случайная перестановка?

Лучшая формализация Почему это должно быть псевдо случайная перестановка.

Доказательства безопасности (Ind-X) основывались на PRP. * блочного шифра (см. доказательства начинаются с позволять $F$ быть PRP), в противном случае доказательство показать непросто. На самом деле теоремы безопасности не требуют существования PRP. Итак, границы установлены с (идеальным) PRP, и если вы начинаете инициализировать эту схему шифрования (реализация) и если блочный шифр не является PRP, то границы не работают.

Если доказано, что блочный шифр не является PRP, то отличитель для этого можно использовать схему шифрования, в которой используется этот блочный шифр.

Если блочный шифр взломан, то режим шифрования не является безопасным для этого блочного шифра.

С другой стороны, почему свойство полной секретности/неразличимости не может быть достаточным для блочного шифра?

Можно говорить о совершенная секретность ограниченного блочного шифра (это схема шифрования), хотя это невозможно доказать, поскольку это подразумевает, что он сломан. Как видите, для этого нужны ограничения, которых у нас нет.

Идеальный шифр против идеальной схемы шифрования

Помните, что блочный шифр — это семейство перестановок, где каждая из них выбирается/представляется ключом; $$F:\{0,1\}^k\times \{0,1\}^b \to \{0,1\}^b$$

Ан идеальный шифр - это модель что мы предполагаем, что блочный шифр представляет собой случайную перестановку для каждого ключа, и эти перестановки не зависят друг от друга. Это слишком много для идеализации, так как нет никакой конструкции для этого при небольшой конструкции, такой как блочный шифр. Нам нужен гном, как в модели Random Oracle. Это снова используется при доказательстве конструкций. Затем, когда вам нужно реализовать эту конструкцию, вы должны обратиться к реальной модели и перед лицом использования блочного шифра для ее реализации.


* Нужно сказать, что режим работы не ограничивается PRP, есть режим работы (CTR, CFB), который может использовать PRF, тогда границы разные, см. лемму PRF-PRF.

kelalaka avatar
флаг in
идеальная схема шифрования???

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.