Необходимость вероятностного шифрования. Вышесказанное может вы-
ступать в качестве того, что невозможно достигнуть соответствия определению
3.19 с использованием любой системы шифрования. На самом же деле это вер-
но, если система шифрования детерминирована, тогда многократное шифро-
вание одного и того же сообщения (с использованием одного и того же ключа)
всегда будет приводить к одному и тому же результату. Это достаточно важно,
чтобы сформулировать в качестве теоремы.
ТЕОРЕМА 3.21 Если Π - это (без сохранения состояния4) система шифро-
вания, в которой Enc является детерминированной функцией от ключа и со-
общения, тогда Π не может обладать неразличимым многократным шифро-
ванием при наличии подслушивающей стороны.
Это не должно означать, что определение 3.19 слишком сильное.
Действительно,утечка информации о том, что два зашифрованных сообщения
являются одним и тем же сообщением, - существенное нарушение требований
безопасности. (Рассмотрим, например, сценарий, в котором студент зашифро-
вывает ряд ответов верно/неверно!)
Чтобы создать надежную систему шифрования нескольких сообщений, мы должны
спроектировать систему со случайным шифрованием, таким что одно и то же сообще-
ние, зашифрованное несколько раз, будет соответствовать разным шифртекстам. Это
может казаться невозможным, поскольку расшифрование всегда должно быть способ-
но восстановить сообщение. Тем не менее, мы скоро узнаем, как этого добиться.
3.4.2 Атака на основе подобранного открытого текста и защита от атак на
основе подобранного открытого текста (CPA-защита)
Атака на основе подобранного открытого текста передает способность пе-
рехватчика осуществлять (частичный) контроль за тем, что шифруется честными
участниками. Представим ситуацию, в которой два честных участника обменива-
ются ключом k, а перехватчик может повлиять на то, что эти стороны зашифруют
сообщения m1, m2, . . . (с использованием k) и отправят получившиеся шифртек-
сты по каналу, за которым следит перехватчик. Через какое-то время перехватчик
рассматривает шифртекст, соответствующий некоторому неизвестному сообще-
нию m, зашифрованного с использованием того же ключа k. Давайте даже пред-
положим, что перехватчик знает, что m - это один из возможных вариантов m0,
m1. Защита от атак на основе подобранного открытого текста означает, что даже
в этом случае перехватчик не сможет определить, какое из двух сообщений было
зашифровано, с вероятностью, значительно превышающей случайную догадку.
(Пока что мы вернемся к случаю, когда подслушивающая сторона получила толь-
ко одно шифрование неизвестного сообщения. В скором времени мы вернемся к
рассмотрению случая с несколькими сообщениями.)
|