Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 204

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 198 199 200 201 202 203 < 204 > 205 206 207 208 209 210 .. 311 >> Следующая

Глава 14
Определения формальной и сильной стойкости криптосистем с открытым ключом
14.1 Введение
Секретность — основа криптографии. В главе заново рассматриваются понятия стойкости алгоритмов шифрования с открытым ключом. Позднее мы убедимся, что понятия стойкости, ориентированные на обеспечение секретности, носят более общий характер, чем другие определения.
До сих пор мы убеждали себя в стойкости криптосистем с открытым ключом, используя слабое понятие стойкости, сформулированное в разделе 8.2 (свойство 8.2): атакующий считается пассивным и может взламывать криптосистему только по принципу "все или ничего". Это — типично учебное понятие. Оно непригодно для практического применения.
На практике гораздо вероятнее, что злоумышленник является активным: он может модифицировать зашифрованный текст или каким-то образом вычислить открытый текст и послать результат ничего не подозревающему пользователю для получения услуг оракула (oracle service), описанных в разделах 7.8.2.1 и 8.9. Следовательно, понятие стойкости, связанное с пассивным злоумышленником, является недостаточно сильным. Необходимо быть готовым к атаке, организованной активным и коварным Злоумышленником (мощь Злоумышленника описана в разделе 2.3).
Более того, во многих приложениях исходный текст может содержать априорную информацию, которую легко угадать. Например, такой априорной информацией может быть диапазон зарплат, имя одного из нескольких кандидатов в протоколе голосования, одна из нескольких возможных инструкций и даже однобитовая информация об открытом тексте (например, инструкция ПОКУПАТЬ/ПРОДАВАТЬ, адресованная биржевому брокеру или ОРЕЛ/РЕШКА в про-
514
Часть V. Методы формального доказательства стойкости
токоле "Подбрасывание монеты по телефону" (протокол 1.1). Для того чтобы угадать априорную информацию об исходном тексте, зашифрованном с помощью однонаправленной функции с секретом и алгоритма шифрования с открытым ключом, Злоумышленник может просто заново зашифровать угаданный исходный текст и проверить, соответствует ли полученный результат анализируемому зашифрованному тексту. Следовательно, с точки зрения безопасности принцип "все или ничего" является недостаточно сильным.
Для того чтобы предотвратить атаки, имеющие несколько уровней угрозы, необходимо более строгое понятие стойкости. Во-первых, необходимо правильно формализовать задачу. В теории криптографических систем с формально доказуемой стойкостью для моделирования различных атак и сценариев были предложены разнообразные атакующие игры. В этих играх участвуют Злоумышленник и оракул. Правила игры позволяют Злоумышленнику получать от оракула криптографическую помощь по первому требованию. Такую помощь можно рассматривать как "курс обучения" Злоумышленника. Криптосистема считается стойкой по отношению к формальной игровой атаке, если даже после соответствующего "курса обучения" Злоумышленник не может ее взломать.
Второй аспект формального понятия стойкости заключается в строгом измерении успехов Злоумышленника. В теории доказательства формальной стойкости безопасность криптографической системы имеет количественную оценку, связывающую безопасность криптосистемы с определенной неразрешимой задачей из теории вычислительной сложности. Стандартный способ доказательства высокой стойкости системы предусматривает выражение уровня успехов Злоумышленника при попытке взлома криптосистемы в виде определенных величин, измеряющих, как быстро и как часто Злоумышленнику удается решить одну из трудноразрешимых задач. Это достигается с помощью эффективного математического преобразования или серии преобразований, позволяющих свести предполагаемую успешную атаку к решению одной из трудноразрешимых задач. Поскольку мы убеждены, что решение таких задач выполняется очень медленно и очень редко приводит к успеху, это позволяет утверждать, что Злоумышленник терпит неудачу, пытаясь взломать атакуемую криптосистему.
Вследствие разнообразия сценариев атак и широкого выбора трудноразрешимых задач в теории криптографических систем с формально доказуемой стойкостью используется много жаргонных выражений. С их помощью мы опишем разные свойства стойкости и требования, предъявляемые к системам. Вот несколько примеров.
• Криптосистема X является семантически стойкой (semantically secure) по отношению к пассивному соглядатаю, обладающему неограниченными вычислительными ресурсами, однако уязвима (malleable) к атаке на основе подобранного зашифрованного текста (chosen-ciphertext attack), которую
Глава 14. Определения формальной и сильной стойкости криптосистем... 515
атакующий может выполнить во время ленча (at lunchtime) с помощью калькулятора.
• Схема цифровой подписи Y является стойкой по отношению к фальсификациям с помощью атаки на основе адаптивно подобранного сообщения (adaptive chosen-message attack). Формальное доказательство ее стойкости сводит задачу успешной фальсификации к задаче дискретного логарифмирования. Эта редукция выполняется в рамках модели случайного оракула (random oracle model), в которой фальсификатор может разветвиться (be forked) со значимой вероятностью.
Предыдущая << 1 .. 198 199 200 201 202 203 < 204 > 205 206 207 208 209 210 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed