Рейтинг:1

Шифрование отдельных сообщений

флаг re

В системе с открытым ключом Алиса отправляет Бобу отдельные сообщения, сообщающие ему информацию о времени T и месте P, в котором они встретятся, зашифрованные с помощью открытого ключа Боба. Какой самый защищенный протокол:

А --> Б : {Т}, {Р}

или же

А --> Б : {Т, Р}

?

Другими словами, что наиболее безопасно: отправка отдельных сообщений с разными шифрами или объединение двух сообщений в одно и отправка с одним шифрованием? В каком сценарии Ева, перехватчик, могла бы с большей вероятностью перехватить или подделать отправленные сообщения?

Мой ответ до сих пор: объединение в одно сообщение и его шифрование. Я думаю, что таким образом я увеличиваю несвязываемость между рассматриваемыми элементами/событиями/сообщениями. Но у меня нет четкого представления о том, что сделала бы Ева в таких ситуациях.

Любая другая идея будет оценена.

Maarten Bodewes avatar
флаг in
Да, несвязываемость играет роль. В первом случае вы можете комбинировать ранее прослушанные зашифрованные сообщения с помощью рекомбинации. Помните, однако, что любой может зашифровать, поэтому, если злоумышленник может угадать содержимое сообщения, что тогда произойдет? Помните: асимметричное шифрование выполняется с использованием **открытого** ключа. Что вам нужно для обеспечения целостности и аутентификации сообщений?
Ali_Habeeb avatar
флаг re
@MaartenBodewes Для целостности мне нужен дайджест сообщения (рассчитанный с помощью хеш-функции), а для аутентификации мне нужна цифровая подпись. Но даже без них Ева не может расшифровать (у него нет закрытого ключа Боба). Так что у него очень мало места для игр. Кроме того, он вряд ли угадает содержание сообщения.
Maarten Bodewes avatar
флаг in
Конфиденциальность можно считать да, если только не могут быть обнаружены такие вещи, как открытый текст, оракулы заполнения или атаки по времени. Но «есть очень мало места для игры» и «маловероятно, чтобы угадать содержание сообщения», что ж, это «нужна ссылка», это действительно зависит от контекста и содержания. Без каких-либо дополнительных мер и деталей реализации я бы предположил только конфиденциальность, как указано в данном ответе. Обратите внимание, что злоумышленнику нужно только угадать *допустимые* T и/или P.
Рейтинг:1
флаг ng

В соответствии со стандартными определениями CPA-безопасного шифрования с открытым ключом, существуют точно такие же гарантии безопасности для протокола. А --> Б : {Т}, {Р} и А --> Б : {Т, Р}. Конфиденциальность и ничего больше.


Доказательство: из любого CPA-защищенного шифрования с открытым ключом мы строим другое следующим образом:

  • Мы определяем новое шифрование однобитового сообщения $м$ быть оригинальным шифрованием случайного бита $b$, объединенный с $c:=m\oплюс b$. Расшифровка расшифровывает $b$, затем находит $m=c\oплюс b$.
  • Мы определяем, что новое шифрование многобитового сообщения является конкатенацией нового шифрования каждого бита сообщения. Дешифрование расшифровывает отдельные биты и восстанавливает исходное сообщение.

Легко доказать, что новая схема шифрования правильно расшифровывает и является CPA-безопасной. Для этой схемы шифрования и любых сообщений Т и п он держит {Т,П} = {Т},{П} таким образом, два рассматриваемых метода неразличимы, а значит, одинаково безопасны.

В обоих случаях данные не аутентифицируются. Злоумышленники могут зашифровать любое сообщение и заменить его исходным кодом. И следует предположить, что они могут манипулировать криптограммой, чтобы изменить любую часть открытого текста после расшифровки, включая вставку, переупорядочение, дублирование, изменение бита, добавление константы.


Примечание: существуют схемы шифрования, делающие А --> Б : {Т}, {Р} восприимчивы к атакам, которые терпят неудачу для А --> Б : {Т, Р} (например, изменить то, что Б добирается до {Т'},{П} с Т' близкое время, что позволяет найти {П} до запланированной встречи, следуя Б пытается пойти на место встречи слишком рано).Я хочу сказать, что постановка задачи не позволяет заключить, что используемая система шифрования является одной из таких негибких криптосистем.


¹ измените бит на байт, если криптосистема разрешает только сообщения с размером, кратным 8 битам.

Ali_Habeeb avatar
флаг re
Спасибо за подробности, хотя я не все понял. Последний абзац отвечает на мой вопрос.
fgrieu avatar
флаг ng
@Ali_Habeeb: по-другому можно сказать, что `A --> B : {T},{P}` _является_ уязвимым для описанной мной атаки, которая позволяет Еве найти место встречи `P`, когда `A --> B : {T,P}` _может быть_.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.