Рейтинг:0

Как понять «Подлинность» и «Конфиденциальность» схемы шифрования в режиме CCM?

флаг cn

Режим CCM относится к режиму шифрования CTR+ CBC-MAC.

На основе Эта бумага, преимущества противника перед подлинностью CCM:

Уравнение (1) А

Подлинность: противник не может подделать действительный зашифрованный текст, не зная секретного ключа.

и преимущество противника против конфиденциальности CCM:

Уравнение (2) Б

Конфиденциальность: противнику должно быть невозможно извлекать любую информацию из зашифрованных текстов не зная секретного ключа.

Меня смущает «получение любой информации из зашифрованных текстов» в приведенном выше определении конфиденциальности. Означает ли это, что если конфиденциальность нарушена, злоумышленник может получить информацию открытого текста из зашифрованного текста? Если да, укажите полную информацию об открытом тексте или только частичную информацию об открытом тексте? Но я также чувствую, что уравнение (2) описывает способность злоумышленника отличать зашифрованный текст CCM от случайной строки битов, поэтому мы не можем узнать открытый текст, даже если конфиденциальность нарушена.

Мой второй вопрос касается подлинности. Приведет ли нарушение подлинности к утечке открытого текста? Другими словами, если мы хотим доказать конфиденциальность открытого текста, нужно ли нам рассматривать случай нарушения подлинности?

Заранее спасибо.

Примечание: Adv_E^prp(B) — это преимущество противника в псевдослучайной перестановке (prp).

Рейтинг:1
флаг ng

Предполагаемый смысл определения конфиденциальности заключается в следующем.

Конфиденциальность: Злоумышленник не может получить из зашифрованных текстов какую-либо информацию о соответствующих открытых текстах, кроме их длины, не зная секретного ключа.

Это не позволяет злоумышленнику найти даже частичную информацию об открытых текстах (например, идентичны ли они для нескольких зашифрованных текстов или если открытый текст содержит повторяющиеся байты), опять же, за исключением их длины.

Если мы хотим доказать конфиденциальность открытого текста, нужно ли нам рассматривать случай нарушения подлинности?

Это зависит от модели, в рамках которой мы хотим доказать конфиденциальность. Под Атака по известному открытому тексту (и атака только зашифрованным текстом), нет. Под Атака по выбранному открытому тексту модели (что весьма желательно для современного режима шифрования и применимо к CCM), да. Это связано с тем, что модель атаки предполагает, что злоумышленник может выбрать любой открытый текст и получить его зашифрованным, включая все, что делает этот зашифрованный текст действительным, и пройти проверку целостности на стороне получателя. CPA-безопасность аутентифицированного шифрования требует сохранения конфиденциальности, даже если условия использования шифра таковы, что подлинность не может быть гарантирована.

Chandler avatar
флаг cn
Привет спасибо. Я просто не понимаю: если злоумышленник может успешно угадать зашифрованный текст, не зная ключа (т. е. взломать подлинность), он ничего не может знать об открытом тексте, поэтому не означает ли это, что конфиденциальность может сохраняться, даже если подлинность сломан? Итак, вернемся к моему вопросу. Кажется, это доказывает конфиденциальность открытого текста, и нам не нужно рассматривать случай нарушения подлинности. Я не уверен, что я прав...
fgrieu avatar
флаг ng
@Чендлер. Да, «конфиденциальность все еще может сохраняться, даже если подлинность нарушена», и есть много примеров потенциально аутентифицированного шифрования, которые терпят неудачу таким образом либо при атаке только зашифрованным текстом, либо при атаке известного открытого текста. О: «Кажется, это доказывает конфиденциальность открытого текста, нам не нужно рассматривать случай нарушения подлинности»: атака с выбранным открытым текстом предполагает, что злоумышленники могут отправить открытый текст по своему выбору для шифрования и получить зашифрованный текст. Это предполагает нарушение подлинности не из-за криптосистемы, а из-за того, как она используется. Я поясню, что я имел в виду.
Chandler avatar
флаг cn
Спасибо. У меня возник этот вопрос, когда я делаю доказательство безопасности на основе игры для протокола обмена ключами, который использует CCM в качестве блочного шифра. Меня очень смущает, следует ли включать преимущество подлинности или преимущество конфиденциальности CCM при расчете преимущества злоумышленника при различении ключа сеанса от случайного числа.Если «конфиденциальность может сохраняться, даже если подлинность нарушена», кажется, нужно только включить преимущество конфиденциальности в это доказательство безопасности. CPA нацелен на поиск информации о ключе, но в моем доказательстве вероятность угадывания ключа уже исключена предыдущими играми.
fgrieu avatar
флаг ng
«В протоколе обмена ключами, который использует CCM в качестве (аутентифицированного, а не _блочного_) шифра (должны ли мы) включать преимущество подлинности или преимущество конфиденциальности CCM при расчете преимущества злоумышленника при отличии сеансового ключа от случайного числа» — это другой вопрос. от того, который в настоящее время спросил. Текущий ответ мало помогает для этого вопроса. Это может зависеть от игры, используемой для тестирования протокола, и я могу представить протоколы, для которых требуется аутентифицированный шифр, а не просто шифр.
Chandler avatar
флаг cn
Да, ты прав. Я использую аутентифицированный шифр как для подлинности, так и для конфиденциальности.Если вы знакомы с доказательством безопасности на основе игр, не могли бы вы предоставить мне некоторые материалы (документы, видео, блоги...) о доказательстве на основе игр? Я уже изучил учебник Виктора Шоупа (https://www.shoup.net/papers/games.pdf) и связанный с ним документ о доказательстве обмена ключами, но все еще путаюсь во многих деталях. Большое вам спасибо.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.