Введение в современную криптографию
Аутентифицированное шифрование
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- 4.5.1 Определения
| 4.5 Аутентифицированное шифрование
В Главе 3 мы изучали, как можно добиться стойкости в условиях шифрования с закрытым ключом. В этой главе мы показали, как обеспечить целостность, ис- пользуя коды аутентификации сообщений. Кто-то естественно может захотеть до- стичь обеих целей одновременно, и это проблема, которой мы сейчас и займемся. 146 Лучше всего всегда обеспечивать стойкость и целостность по умолчанию в условиях закрытого ключа. Действительно,во многих приложениях, где не- обходима стойкость, оказывается, что целостность также важна. Более того, не- достаток целостности может иногда привести к нарушению стойкости. 4.5.1 Определения Мы начинаем, как обычно, с точного определения того, чего же мы желаем до- биться. На абстрактном уровне нашей целью является реализация «безупречно защищенного» канала связи, которые обеспечивает как безопасность, так и целост- ность. Прес ледование определения такого рода находится за пределами данной книги. Вместо этого, мы предусматриваем более простой набор определений, ко- торые обеспечивают стойкость и целостность по отдельности. Этих определений и нашего последующего анализа достаточно для понимания неизбежных ключевых проблем. (Мы предостерегаем читателя, однако, что, в отличие от шифрования и кодов аутентификации сообщений, область не установила еще стандартной терми- нологии и определений для аутентифицированного шифрования.) Пусть Π = (Gen, Enc, Dec) будет схемой шифрования с закрытым ключом. Как уже было сказано, мы определяем безопасность отдельными определени- ями стойкости и целостности. Понятие стойкости, которое мы рассматриваем, идентичное тому, что мы видели и ранее: нам нужно было, чтобы Π был защи- щенным прости атак на основе подобранного шифротекста, то есть, чтобы он был CCA-защищенным. (Отправляйтесь в Раздел 3.7 для описания и определе- ния защиты от атак на основе подобранного шифротекста.) Нас беспокоят ата- ки на основе подобранного шифротекста, потому что мы явно рассматриваем активного злоумышленника, который изменяет данные, направляемые от одной доверенной стороны другой доверенной стороне. Наше понятие целостности будет принципиально из конкретной невозможности подделки в условиях ата- ки на основании адаптивного подобранного открытого текста. Поскольку Π не удовлетворяет синтаксис кода аутентификации сообщений, однако, мы вводим определение специально для этого случая. Рассмотрим следующий экспери- мент, определенный для схемы шифрования с закрытым ключом Π = (Gen, Enc, Dec), злоумышленника A и значения n параметра защиты: Эксперимент устойчивого к подделке шифрования Enc-ForgeAП(n) : 4.5.1.1 Запустим Gen(1n) , чтобы получить ключ k. 4.5.1.2 Злоумышленник A получил входной элемент 1n и получил доступ к ора- кулу шифрования Enck(•). Злоумышленник выводит шифротекст c. 4.5.1.3 Пусть m := Deck (c), и пусть Q обозначает набор все запросов, кото- рые A делал своему оракулу шифрования. Результат эксперимента - 1, если и только если (1) m ƒ=≠ и (2) m ƒ∈ Q. |