157
ния является также защищенной от атак на основе подобранного шифротекста.
Может ли там быть CCA-защищенная схема шифрования с закрытым ключом,
которую можно подделать? В
действительности, могут; см. Упражнение 4.25.
Можно представить приложения, в которых защита от атак на основе подобран-
ного шифротекста нужна, а аутентифицированное шифрование - нет. Одним из при-
меров должно быть шифрование с закрытым ключом для доставки ключа В качестве
конкретного примера, скажем, что сервер дает взломостойкий аппаратный маркер
пользователю, куда встроен долгосрочный ключ k. Сервер может выгружать свежий
кратковременный ключ kr данному маркеру, предоставляя пользователю Enck(kr); поль-
зователь, предположительно, передает этот шифротекст маркеру, который дешифрует
его и использует kr для следующего временного периода. Атака на основе подобран-
ного шифротекста в этих условиях могла бы позволить пользователю узнать kr, что-то,
что пользователь, предположительно, не может сделать. (Обратите внимание, что тут
атака оракула дополнения, которая опирается на способность пользователя определять,
случилась ли ошибка дешифрования, могла бы потенциально быть осуществлена с от-
носительной легкостью.) С другой стороны, не будет много вреда, если пользователь
может генерировать «верный» шифротекст, который заставляет маркер
использовать
произвольный (независимый) ключ krr для следующего временного периода. (Коенчно
же , это зависит от того, что маркер делает с кратковременным ключом.)
Несмотря на
вышесказанное, для шифрования с закрытым ключом большин-
ство «естественных» конструкций CCA-защищенных схем, которые мы знаем, все
равно удовлетворяют более сильное определение аутентифицированного шифрова-
ния. Иными словами, не существует настоящей причины вообще использовать CCA-
защищенную схему, которая даже не схема аутентифицированного шифрования,просто
потому что у нас нет никаких конструкций, удовлетворяющих первую схему, которые
более
эффективны, чем конструкции, достигающие второй схемы.
С концептуальной точки зрения, однако, важно сохранить понятия об отличие за-
щиты от атак с на основе подобранного шифротекста и
аутентифицированного шиф-
рования. Что касается вопроса защиты от атак на основе подобранного шифротекста,
мы по сути не заинтересованы в целостности сообщений; мы желаем обеспечить при-
ватность даже против активного злоумышленника, который может вмешаться в сеанс
связи, когда сообщение идет от отправителя получателю. Для сравнения, что касается
аутентифицированного шифрования, мы заинтересованы в двойной цели - стойкости
и целостности. Мы акцентируем на этом внимание, потому что в условиях открытого
ключа, который мы будем изучать в книге далее, разница между аутентифицированным
шифрованием и защитой от атак с подобранным шифротекстом более явная.
Достарыңызбен бөлісу: