Введение в современную криптографию

Необходимость вероятностного шифрования

жүктеу/скачать 6.4 Mb. Pdf көрінісі бет 60/249 Дата 14.06.2023 өлшемі 6.4 Mb. #475029

Бұл бет үшін навигация:

• ТЕОРЕМА 3.21
• 3.4.2 Атака на основе подобранного открытого текста и защита от атак на основе подобранного открытого текста (CPA-защита)

Необходимость вероятностного шифрования. Вышесказанное может вы- ступать в качестве того, что невозможно достигнуть соответствия определению  3.19 с использованием любой системы шифрования. На самом же деле это вер- но, если система шифрования детерминирована, тогда многократное шифро- вание одного и того же сообщения (с использованием одного и того же ключа)  всегда будет приводить к одному и тому же результату. Это достаточно важно,  чтобы сформулировать в качестве теоремы. ТЕОРЕМА 3.21 Если Π - это (без сохранения состояния4) система шифро- вания, в которой Enc является детерминированной функцией от ключа и со- общения, тогда Π не может обладать неразличимым многократным шифро- ванием при наличии подслушивающей стороны. Это не должно означать, что определение 3.19 слишком сильное.  Действительно,утечка информации о том, что два зашифрованных сообщения  являются одним и тем же сообщением, - существенное нарушение требований  безопасности. (Рассмотрим, например, сценарий, в котором студент зашифро- вывает ряд ответов верно/неверно!) Чтобы создать надежную систему шифрования нескольких сообщений, мы должны  спроектировать систему со случайным шифрованием, таким что одно и то же сообще- ние, зашифрованное несколько раз, будет соответствовать разным шифртекстам. Это  может казаться невозможным, поскольку расшифрование всегда должно быть способ- но восстановить сообщение. Тем не менее, мы скоро узнаем, как этого добиться. 3.4.2 Атака на основе подобранного открытого текста и защита от атак на  основе подобранного открытого текста (CPA-защита)  Атака на основе подобранного открытого текста передает способность пе- рехватчика осуществлять (частичный) контроль за тем, что шифруется честными  участниками. Представим ситуацию, в которой два честных участника обменива- ются ключом k, а перехватчик может повлиять на то, что эти стороны зашифруют  сообщения m1, m2, . . . (с использованием k) и отправят получившиеся шифртек- сты по каналу, за которым следит перехватчик. Через какое-то время перехватчик  рассматривает шифртекст, соответствующий некоторому неизвестному сообще- нию m, зашифрованного с использованием того же ключа k. Давайте даже пред- положим, что перехватчик знает, что m - это один из возможных вариантов m0,  m1. Защита от атак на основе подобранного открытого текста означает, что даже  в этом случае перехватчик не сможет определить, какое из двух сообщений было  зашифровано, с вероятностью, значительно превышающей случайную догадку.  (Пока что мы вернемся к случаю, когда подслушивающая сторона получила толь- ко одно шифрование неизвестного сообщения. В скором времени мы вернемся к  рассмотрению случая с несколькими сообщениями.) 85 жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу: