Рейтинг:2

Crypto

Существенные различия между IND-CCA1 и IND-CCA2?

Max1z

25.07.2023, 09:26

Для некоторой схемы шифрования $(\mathcal{E}, \mathcal{D})$:

В определении IND-CCA противник $\mathcal{А}$ может получить доступ к оракулу расшифровки $\mathcal{D}$. Глубокая причина этой настройки заключается в том, чтобы убедиться, что наша схема способна "защитить зашифрованные тексты(например, целостность и подлинность).

Таким образом, «защита зашифрованных текстов» — это то, чего не может предложить безопасная схема IND-CPA. Вот почему IND-CCA сильнее, чем IND-CPA. Кроме того, IND-CCA2 позволяет $\mathcal{А}$ делать запросы к $\mathcal{D}$ после $\mathcal{А}$ получает зашифрованный текст вызова $с^{*}$, так называемый «адаптивный» запрос.

Тогда мой вопрос:

Как мы должны описывать эта отличительная способность сопротивляться адаптивным запросам в IND-CCA2, в прозрачный путь ?

Другими словами, «случайные битоподобные зашифрованные тексты» ведут к безопасности IND-CPA, «защита зашифрованных текстов» ведет к безопасности IND-CCA1. Тогда что приводит к безопасности IND-CCA2?

Заранее спасибо!

109

0 + 0

доказуемая безопасность

атака с выбранным открытым текстом

атака с выбранным зашифрованным текстом

kelalaka

25.07.2023, 10:27

Отвечает ли это на ваш вопрос? [Простое объяснение понятий безопасности «IND-»?] (https://crypto.stackexchange.com/questions/26689/easy-explanation-of-ind-security-notions)

Ответить

meshcollider

25.07.2023, 12:09

«защищать зашифрованные тексты» очень неточно, я не думаю, что такое определение вообще поучительно.

Ответить

Max1z

25.07.2023, 12:52

Привет, kelalaka и meshcollider! Мне известны определения и доказательства безопасности этих моделей. Так что содержание этого поста не очень полезно для меня. То, что я ищу, это **несколько слов**, чтобы вкратце суммировать основные различия между CCA1 и CCA2, как это делает «защищать зашифрованные тексты» (хотя это может быть не так точно :-). Таким образом, этот вопрос на самом деле не является академической проблемой и не имеет стандартного ответа.

Ответить

Maeher

25.07.2023, 16:16

Проблема в том, что вы понимаете, что безопасность CCA1 уже ошибочна. «защита зашифрованных текстов», как вы говорите, не является ни достаточной, ни необходимой для безопасности CCA1.

Ответить

Mikero

25.07.2023, 17:42

CCA1 = Выполнение запросов на расшифровку до того, как вы увидите $c^*$, не поможет вам узнать, что находится внутри $c^*$; CCA2 = Выполнение запросов на расшифровку до/после просмотра $c^*$ не поможет вам узнать, что находится внутри $c^*$

Ответить

AYun

15.08.2023, 14:46

В случае симметричного шифрования существуют схемы шифрования IND-CCA, в которых все строки являются действительными зашифрованными текстами: нет ошибок дешифрования. Я думаю, что интуиция «защитить зашифрованный текст» может быть трудно применима к этому случаю. https://www.iacr.org/archive/crypto2000/18800395/18800395.pdf

Ответить

Рейтинг:0

Crypto

fgrieu

14.08.2023, 11:43

IND-CCA1 — это НЕразличимость при атаке с выбранным шифротекстом.

IND-CCA2 — это НЕразличимость при адаптивной атаке с выбранным шифротекстом.

В обоих случаях противник пытается расшифровать зашифрованный текст. $С$ делая запросы к оракулу дешифрования, который расшифрует что угодно. Разница в том, что в IND-CCA1 запросы выполняются без знания $С$ (передается противнику после запросов), когда в IND-CCA2 запросы могут быть сделаны со знанием $С$ (даны противнику заранее, с запретом давать $С$ к оракулу расшифровки).

IND-CCA1 моделирует устройство дешифрования временно стали доступными для противников. IND-CCA2 делает это постоянным.

Вот ситуации, когда желательно шифрование IND-CCA2:

Есть сервер, который расшифровывает, а затем анализирует расшифрованный открытый текст как (сообщение, подпись) и сверяет его с открытым ключом (не связанным с ключом шифрования/шифрования). Если все в порядке, сервер действует в соответствии с сообщение; иначе выводит "Я не буду" сообщение.
Посольство A знает, что его сообщения для B перехватываются E и передаются (с префиксом INTERCEPT) в зашифрованном виде F; F расшифровывает, а затем передает G то, что начинается с INTERCEPT, что A проник. Это ставит A в ситуацию IND-CCA2 для атаки на шифр от E до F (с учетом ограничения, что A может отправлять только сообщения, начинающиеся с INTERCEPT).
Есть сервер, который расшифровывает, а затем удаляет отступы, а атака по времени позволяет узнать, сколько отступов было удалено.

0 + 0

Max1z

18.08.2023, 13:05

Очень вдохновляюще! Слова "временно" и "навсегда" - это именно то, что я хочу. Спасибо!

Ответить

Admin

Этот вопрос на других языках:

EN: The essential differences between IND-CCA1 and IND-CCA2?

TH: ความแตกต่างที่สำคัญระหว่าง IND-CCA1 และ IND-CCA2?

RO: Diferențele esențiale dintre IND-CCA1 și IND-CCA2?

RU: Существенные различия между IND-CCA1 и IND-CCA2?

VI: Sự khác biệt cơ bản giữa IND-CCA1 và IND-CCA2?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.