Рейтинг:4

Неразличимость симметричного шифрования при CCA

флаг vn

Я изучаю симметричное шифрование и его свойства безопасности. Одним из понятий безопасности является защита от выбранных атак зашифрованного текста (CCA), в частности, понятие IND-CCA.

Согласно этому понятию, злоумышленник имеет доступ как к оракулу шифрования, так и к оракулу дешифрования. Игра/эксперимент IND-CCA накладывает важное ограничение на противника, заключающееся в том, что он не может сделать запрос зашифрованного текста (к оракулу дешифрования), полученного путем шифрования простого текста (полученного от оракула шифрования); иначе противник может тривиально победить

Я понимаю необходимость наложения ограничения на противника для формализации понятия. Но я не понимаю, как эта игра/эксперимент может моделировать сценарий реальной жизни. О каком аспекте реальности говорит это понятие?

Titanlord avatar
флаг tl
В [учебнике Каца и Линделла (2-е издание)] (https://www.cs.umd.edu/~jkatz/imc.html) в главе 3.7.2 об атаках Oracle Padding (стр. 98) вы должны найти объяснение, которое вы ищут.
Рейтинг:7
флаг us

Безопасность CCA всегда кажется чрезвычайной для людей, которые только узнают об этом. Предпосылка кажется смешной, зачем нам давать злоумышленнику столько власти? Зачем нам позволять злоумышленнику расшифровывать почти все, что он хочет, и узнавать весь результат расшифровки? В реальном мире, когда бы мы когда-либо просто выступали в качестве оракула дешифрования для злоумышленника?

Мне нравится мотивировать безопасность CCA двумя разными способами:

(1) Если я запишу секретное сообщение в конверт, и вы никогда не прикоснетесь к этому конверту, вы не сможете сказать, что в моем конверте. Что, если бы я также согласился открыть любой Другие конверт в мире — поможет ли это вам выяснить, что находится внутри этого специального конверта? Конечно нет. Почему расшифровка того, что находится внутри зашифрованного текста № 1, может рассказать вам о том, что находится внутри зашифрованного текста № 2? Я бы не хотел покупать коробку конвертов с таким свойством и не хотел бы использовать схему шифрования с этим свойством.

(2) Вероятно, у вас были подобные сомнения по поводу безопасности CPA: когда в реальном мире мы позволяем злоумышленнику полностью выбрать какие вещи мы шифруем? Это правильный вопрос, но предположим, что у нас есть определение безопасности, которое не позволяет злоумышленнику влиять на выбор открытого текста. вообще. Тогда каждый раз, когда мы шифруем в реальном мире, мы должны быть абсолютно уверены, что открытый текст нулевое влияние от любого злоумышленника — только так мы можем быть уверены, что это гипотетическое определение безопасности применимо к нашей ситуации.

Поскольку это нереалистично, наше определение безопасности должно позволять злоумышленнику иметь по крайней мере некоторый влияние на зашифрованные открытые тексты. Но это просто не приносит пользы определение чтобы позволить злоумышленнику иметь какое-то странное частичное влияние на выбор открытых текстов. Уровень влияния в реальном мире сильно зависит от конкретного приложения, и нам не нужен миллион различных определений безопасности для миллиона различных сценариев приложений. Проще всего сделать то, что делает определение безопасности CPA: мы могли бы также стремиться защитить от злоумышленников, которые полностью выбрать какие открытые тексты зашифрованы! Несмотря на то, что такой полный состязательный контроль над открытыми текстами не отражает не замужем реалистичный сценарий, он достаточно общий, чтобы хорошо применяться ко всем сценариям, в которых злоумышленник некоторый влияние на выбор открытых текстов.

Аналогичная ситуация и с расшифровкой. Можете ли вы представить себе веб-сервер, который принимает зашифрованные тексты из внешнего мира, расшифровывает эти зашифрованные тексты, а затем делает что-то на основе результата расшифровки (то есть, если результат расшифровки таков, то делайте это, иначе делайте то)? Если это звучит естественно, то ваше определение безопасности должно дать злоумышленнику возможность изучить что-нибудь о результате расшифровки, о состязательно созданных шифротекстах. (Определение CPA не отражает эту ситуацию.) Итак, какой объем информации должен получить злоумышленник? В реальном мире ответ на этот вопрос сильно зависит от конкретного приложения. Если нам нужно определение безопасности общего назначения, применимое ко многим реалистичным сценариям, то это определение безопасности должно просто давать злоумышленнику как можно больше возможностей. В этом случае он должен просто позволить злоумышленнику свободно расшифровать все, что он хочет, и узнать весь результат расшифровки (за исключением способов, которые явно упрощают игру в области безопасности).

Безопасность CCA не предназначена для отражения единственного сценария реального мира, когда мы предоставляем злоумышленнику полный оракул дешифрования. Скорее, он должен быть достаточно общим, чтобы Любые сценарий, в котором злоумышленник узнает что-нибудь о результате расшифровки сгенерированных противником шифротекстов.

driewguy avatar
флаг vn
Отличное объяснение! Я понял некоторые причины, лежащие в основе понятий безопасности. Я вижу, насколько важна безопасность IND-CCA1. Но идея IND-CCA2, согласно которой злоумышленник может выбирать шифротексты для отправки оракулу для расшифровки на основе неизвестных шифротекстов, все еще кажется надуманным. Какие сценарии моделирует IND-CCA2? Увидев неизвестный зашифрованный текст, если противнику разрешено выбирать зашифрованные тексты, что мешает ему выбрать неизвестный зашифрованный текст в качестве запроса к оракулу дешифрования и узнать об открытом тексте? Опять же, я понимаю необходимость такого ограничения в формальном определении эксперимента.
флаг us
еще один способ понять CCA: предположим, я принимаю зашифрованный текст $c$ и хочу раскрыть ответ на один крошечный вопрос о $\textsf{Dec}(c)$. CCA гарантирует, что я раскрываю только то, что хочу. Без CCA, если я отвечу на этот вопрос о $c$, $c_1$, $c_2$ и т. д., это может раскрыть больше, чем я хотел, о $c$. Без CCA информация о $c$ может «просочиться» в другие шифротексты $c_i$, так что ответ на этот вопрос о $c_i$ позволит злоумышленнику узнать больше о том, что находится внутри $c$.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.