146
Лучше всего всегда
обеспечивать стойкость и целостность по умолчанию
в условиях закрытого ключа. Действительно,во многих приложениях, где не-
обходима стойкость, оказывается, что целостность также важна. Более того, не-
достаток целостности может иногда привести к нарушению стойкости.
4.5.1 Определения
Мы начинаем, как обычно, с точного определения того, чего же мы желаем до-
биться. На абстрактном уровне нашей целью является реализация «безупречно
защищенного» канала связи, которые обеспечивает как безопасность, так и целост-
ность. Прес ледование определения такого рода находится за пределами данной
книги. Вместо этого, мы предусматриваем более простой набор определений, ко-
торые обеспечивают стойкость и целостность по отдельности.
Этих определений и
нашего последующего анализа достаточно для понимания неизбежных ключевых
проблем. (Мы предостерегаем читателя, однако, что, в отличие от шифрования и
кодов аутентификации сообщений, область не установила еще стандартной терми-
нологии и определений для аутентифицированного шифрования.)
Пусть Π = (Gen, Enc, Dec) будет схемой шифрования с закрытым ключом.
Как уже было сказано, мы определяем безопасность отдельными определени-
ями стойкости и целостности. Понятие стойкости, которое мы рассматриваем,
идентичное тому, что мы видели и ранее: нам нужно было, чтобы Π был защи-
щенным прости атак на основе подобранного шифротекста, то есть, чтобы он
был CCA-защищенным. (Отправляйтесь в Раздел 3.7 для описания и определе-
ния защиты от атак на основе подобранного шифротекста.) Нас беспокоят ата-
ки на основе подобранного шифротекста, потому что мы явно рассматриваем
активного злоумышленника, который изменяет данные, направляемые от одной
доверенной стороны другой доверенной стороне. Наше понятие целостности
будет принципиально из конкретной невозможности подделки в условиях ата-
ки на основании адаптивного подобранного открытого текста. Поскольку Π не
удовлетворяет синтаксис кода аутентификации сообщений, однако, мы вводим
определение специально для этого случая. Рассмотрим следующий экспери-
мент, определенный для схемы шифрования с закрытым ключом Π = (Gen, Enc,
Dec), злоумышленника A и значения n параметра защиты:
Эксперимент устойчивого к подделке шифрования Enc-ForgeAП(n) :
4.5.1.1 Запустим Gen(1n)
, чтобы получить ключ k.
4.5.1.2 Злоумышленник A получил входной элемент 1n и получил доступ к ора-
кулу шифрования Enck(•). Злоумышленник выводит шифротекст c.
4.5.1.3 Пусть m := Deck (c), и пусть Q обозначает набор все запросов, кото-
рые A делал своему оракулу шифрования. Результат эксперимента - 1, если и
только если (1) m ƒ=≠
и (2) m ƒ∈
Q.