Введение в современную криптографию


Шифрование против атак на основе подобранного шифротекста



Pdf көрінісі
бет114/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   110   111   112   113   114   115   116   117   ...   249
Криптография Катц

4.5.4 Шифрование против атак на основе подобранного шифротекста
Из определения видно, что любая схема аутентифицированного шифрова
_____________________________________________________
5На практике, вопрос направленности часто решается простым получением отдельных клю-
чей на каждое направление (то есть стороны использую ключ kA для сообщений, отосланный от 
A к B, и другой ключ kB для сообщений от B к A).


157
ния является также защищенной от атак на основе подобранного шифротекста. 
Может ли там быть CCA-защищенная схема шифрования с закрытым ключом, 
которую можно подделать? В действительности, могут; см. Упражнение 4.25.
Можно представить приложения, в которых защита от атак на основе подобран-
ного шифротекста нужна, а аутентифицированное шифрование - нет. Одним из при-
меров должно быть шифрование с закрытым ключом для доставки ключа В качестве 
конкретного примера, скажем, что сервер дает взломостойкий аппаратный маркер 
пользователю, куда встроен долгосрочный ключ k. Сервер может выгружать свежий 
кратковременный ключ kr данному маркеру, предоставляя пользователю Enck(kr); поль-
зователь, предположительно, передает этот шифротекст маркеру, который дешифрует 
его и использует kr для следующего временного периода. Атака на основе подобран-
ного шифротекста в этих условиях могла бы позволить пользователю узнать kr, что-то, 
что пользователь, предположительно, не может сделать. (Обратите внимание, что тут 
атака оракула дополнения, которая опирается на способность пользователя определять, 
случилась ли ошибка дешифрования, могла бы потенциально быть осуществлена с от-
носительной легкостью.) С другой стороны, не будет много вреда, если пользователь 
может генерировать «верный» шифротекст, который заставляет маркер использовать 
произвольный (независимый) ключ krr для следующего временного периода. (Коенчно 
же , это зависит от того, что маркер делает с кратковременным ключом.)
Несмотря на вышесказанное, для шифрования с закрытым ключом большин-
ство «естественных» конструкций CCA-защищенных схем, которые мы знаем, все 
равно удовлетворяют более сильное определение аутентифицированного шифрова-
ния. Иными словами, не существует настоящей причины вообще использовать CCA-
защищенную схему, которая даже не схема аутентифицированного шифрования,просто 
потому что у нас нет никаких конструкций, удовлетворяющих первую схему, которые 
более эффективны, чем конструкции, достигающие второй схемы.
С концептуальной точки зрения, однако, важно сохранить понятия об отличие за-
щиты от атак с на основе подобранного шифротекста и аутентифицированного шиф-
рования. Что касается вопроса защиты от атак на основе подобранного шифротекста, 
мы по сути не заинтересованы в целостности сообщений; мы желаем обеспечить при-
ватность даже против активного злоумышленника, который может вмешаться в сеанс 
связи, когда сообщение идет от отправителя получателю. Для сравнения, что касается 
аутентифицированного шифрования, мы заинтересованы в двойной цели - стойкости 
и целостности. Мы акцентируем на этом внимание, потому что в условиях открытого 
ключа, который мы будем изучать в книге далее, разница между аутентифицированным 
шифрованием и защитой от атак с подобранным шифротекстом более явная.


Достарыңызбен бөлісу:
1   ...   110   111   112   113   114   115   116   117   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет