Введение в современную криптографию
Шифрование против атак на основе подобранного шифротекста
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
| 4.5.4 Шифрование против атак на основе подобранного шифротекста
Из определения видно, что любая схема аутентифицированного шифрова _____________________________________________________ 5На практике, вопрос направленности часто решается простым получением отдельных клю- чей на каждое направление (то есть стороны использую ключ kA для сообщений, отосланный от A к B, и другой ключ kB для сообщений от B к A). 157 ния является также защищенной от атак на основе подобранного шифротекста. Может ли там быть CCA-защищенная схема шифрования с закрытым ключом, которую можно подделать? В действительности, могут; см. Упражнение 4.25. Можно представить приложения, в которых защита от атак на основе подобран- ного шифротекста нужна, а аутентифицированное шифрование - нет. Одним из при- меров должно быть шифрование с закрытым ключом для доставки ключа В качестве конкретного примера, скажем, что сервер дает взломостойкий аппаратный маркер пользователю, куда встроен долгосрочный ключ k. Сервер может выгружать свежий кратковременный ключ kr данному маркеру, предоставляя пользователю Enck(kr); поль- зователь, предположительно, передает этот шифротекст маркеру, который дешифрует его и использует kr для следующего временного периода. Атака на основе подобран- ного шифротекста в этих условиях могла бы позволить пользователю узнать kr, что-то, что пользователь, предположительно, не может сделать. (Обратите внимание, что тут атака оракула дополнения, которая опирается на способность пользователя определять, случилась ли ошибка дешифрования, могла бы потенциально быть осуществлена с от- носительной легкостью.) С другой стороны, не будет много вреда, если пользователь может генерировать «верный» шифротекст, который заставляет маркер использовать произвольный (независимый) ключ krr для следующего временного периода. (Коенчно же , это зависит от того, что маркер делает с кратковременным ключом.) Несмотря на вышесказанное, для шифрования с закрытым ключом большин- ство «естественных» конструкций CCA-защищенных схем, которые мы знаем, все равно удовлетворяют более сильное определение аутентифицированного шифрова- ния. Иными словами, не существует настоящей причины вообще использовать CCA- защищенную схему, которая даже не схема аутентифицированного шифрования,просто потому что у нас нет никаких конструкций, удовлетворяющих первую схему, которые более эффективны, чем конструкции, достигающие второй схемы. С концептуальной точки зрения, однако, важно сохранить понятия об отличие за- щиты от атак с на основе подобранного шифротекста и аутентифицированного шиф- рования. Что касается вопроса защиты от атак на основе подобранного шифротекста, мы по сути не заинтересованы в целостности сообщений; мы желаем обеспечить при- ватность даже против активного злоумышленника, который может вмешаться в сеанс связи, когда сообщение идет от отправителя получателю. Для сравнения, что касается аутентифицированного шифрования, мы заинтересованы в двойной цели - стойкости и целостности. Мы акцентируем на этом внимание, потому что в условиях открытого ключа, который мы будем изучать в книге далее, разница между аутентифицированным шифрованием и защитой от атак с подобранным шифротекстом более явная. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|