Рейтинг:2

Существенные различия между IND-CCA1 и IND-CCA2?

флаг kr

Для некоторой схемы шифрования $(\mathcal{E}, \mathcal{D})$:

В определении IND-CCA противник $\mathcal{А}$ может получить доступ к оракулу расшифровки $\mathcal{D}$. Глубокая причина этой настройки заключается в том, чтобы убедиться, что наша схема способна "защитить зашифрованные тексты(например, целостность и подлинность).

Таким образом, «защита зашифрованных текстов» — это то, чего не может предложить безопасная схема IND-CPA. Вот почему IND-CCA сильнее, чем IND-CPA. Кроме того, IND-CCA2 позволяет $\mathcal{А}$ делать запросы к $\mathcal{D}$ после $\mathcal{А}$ получает зашифрованный текст вызова $с^{*}$, так называемый «адаптивный» запрос.

Тогда мой вопрос:

  • Как мы должны описывать эта отличительная способность сопротивляться адаптивным запросам в IND-CCA2, в прозрачный путь ?

Другими словами, «случайные битоподобные зашифрованные тексты» ведут к безопасности IND-CPA, «защита зашифрованных текстов» ведет к безопасности IND-CCA1. Тогда что приводит к безопасности IND-CCA2?

Заранее спасибо!

kelalaka avatar
флаг in
Отвечает ли это на ваш вопрос? [Простое объяснение понятий безопасности «IND-»?] (https://crypto.stackexchange.com/questions/26689/easy-explanation-of-ind-security-notions)
meshcollider avatar
флаг gb
«защищать зашифрованные тексты» очень неточно, я не думаю, что такое определение вообще поучительно.
Max1z avatar
флаг kr
Привет, kelalaka и meshcollider! Мне известны определения и доказательства безопасности этих моделей. Так что содержание этого поста не очень полезно для меня. То, что я ищу, это **несколько слов**, чтобы вкратце суммировать основные различия между CCA1 и CCA2, как это делает «защищать зашифрованные тексты» (хотя это может быть не так точно :-). Таким образом, этот вопрос на самом деле не является академической проблемой и не имеет стандартного ответа.
флаг cn
Проблема в том, что вы понимаете, что безопасность CCA1 уже ошибочна. «защита зашифрованных текстов», как вы говорите, не является ни достаточной, ни необходимой для безопасности CCA1.
флаг us
CCA1 = Выполнение запросов на расшифровку до того, как вы увидите $c^*$, не поможет вам узнать, что находится внутри $c^*$; CCA2 = Выполнение запросов на расшифровку до/после просмотра $c^*$ не поможет вам узнать, что находится внутри $c^*$
AYun avatar
флаг es
В случае симметричного шифрования существуют схемы шифрования IND-CCA, в которых все строки являются действительными зашифрованными текстами: нет ошибок дешифрования. Я думаю, что интуиция «защитить зашифрованный текст» может быть трудно применима к этому случаю. https://www.iacr.org/archive/crypto2000/18800395/18800395.pdf
Рейтинг:0
флаг ng

IND-CCA1 — это НЕразличимость при атаке с выбранным шифротекстом.

IND-CCA2 — это НЕразличимость при адаптивной атаке с выбранным шифротекстом.

В обоих случаях противник пытается расшифровать зашифрованный текст. $С$ делая запросы к оракулу дешифрования, который расшифрует что угодно. Разница в том, что в IND-CCA1 запросы выполняются без знания $С$ (передается противнику после запросов), когда в IND-CCA2 запросы могут быть сделаны со знанием $С$ (даны противнику заранее, с запретом давать $С$ к оракулу расшифровки).

IND-CCA1 моделирует устройство дешифрования временно стали доступными для противников. IND-CCA2 делает это постоянным.

Вот ситуации, когда желательно шифрование IND-CCA2:

  • Есть сервер, который расшифровывает, а затем анализирует расшифрованный открытый текст как (сообщение, подпись) и сверяет его с открытым ключом (не связанным с ключом шифрования/шифрования). Если все в порядке, сервер действует в соответствии с сообщение; иначе выводит "Я не буду" сообщение.
  • Посольство A знает, что его сообщения для B перехватываются E и передаются (с префиксом INTERCEPT) в зашифрованном виде F; F расшифровывает, а затем передает G то, что начинается с INTERCEPT, что A проник. Это ставит A в ситуацию IND-CCA2 для атаки на шифр от E до F (с учетом ограничения, что A может отправлять только сообщения, начинающиеся с INTERCEPT).
  • Есть сервер, который расшифровывает, а затем удаляет отступы, а атака по времени позволяет узнать, сколько отступов было удалено.
Max1z avatar
флаг kr
Очень вдохновляюще! Слова "временно" и "навсегда" - это именно то, что я хочу. Спасибо!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.