Артықшылығы (криптография) - Advantage (cryptography)

Жылы криптография, қарсыластың артықшылығы бұл оның криптографиялық шабуылға қаншалықты сәтті болатындығын анықтайтын өлшем алгоритм, оны осы түрдегі алгоритмнің идеалдандырылған нұсқасынан ажырата отырып. Бұл тұрғыда «қарсылас «бұл өзі емес, алгоритм адам. Криптографиялық алгоритм қауіпсіз деп саналады, егер бірде-бір қарсыластың есеп айырысу ресурстарында белгіленген шекараларды ескере отырып, елеусіз артықшылығы болмаса (қараңыз) нақты қауіпсіздік ). «Елеусіз» әдетте «ішіндегі» дегенді білдіреді O (2^.P) «мұндағы p - а қауіпсіздік параметрі алгоритммен байланысты. Мысалы, p - блок шифрының бит саны болуы мүмкін кілт.

Тұжырымдаманың сипаттамасы

$ F $ болсын Oracle зерттелетін функция үшін, ал G осы типтегі идеалдандырылған функцияның шешімі болсын. A қарсыласы - бұл F немесе G-ді енгізу ретінде берілген және 1 немесе 0-ді шығаратын ықтималдық алгоритмі, ол берілген оракулға сұраулар жасауға негізделген F-ді G-дан ажырату. Біз айтамыз:${displaystyle Adv (A) = | Pr [A (F) = 1] -Pr [A (G) = 1] |}$

Мысалдар

F -дің кездейсоқ данасы болсын DES блоктық шифр. Бұл шифрда 64 биттік блоктар және 56 биттік кілт бар. Сондықтан кілт 2 адамнан тұратын отбасының бірін таңдайды⁵⁶ ауыстыру 2-де⁶⁴ мүмкін 64 биттік блоктар. «Кездейсоқ DES данасы» дегеніміз, біздің oracle F дегеніміз, кейбір K батырмасын қолдана отырып, DES-ті есептейді (қарсыласқа белгісіз), мұнда K 2 таңдалады⁵⁶ ықтималдығы бірдей мүмкін кілттер.

Біз DES данасын an-мен салыстырғымыз келеді идеалдандырылған 64 биттік блоктық шифр, бұл кездейсоқ таңдалған ауыстыруды білдіреді (2⁶⁴)! 64 биттік блоктардағы мүмкін ауыстырулар. Осы кездейсоқ таңдалған ауыстыру G деп атаңыз. Ескерту Стирлингтің жуықтауы бұл (2⁶⁴)! айналасында ${displaystyle 10 ^ {3.47 imes 10 ^ {20}}}$, сондықтан қандай ауыстырудың таңдалғанын нақтылау үшін кез-келген нақты компьютерде көрсету үшін тым үлкен санды жазу керек. Басқа жолмен қарасақ, G - «кілт ұзындығы» шамамен 10 болатын «шифрдың» данасы²¹ қайтадан компьютерге сыймайтындай үлкен. (Алайда, біз а-ны пайдаланып, сұраныстар санына пропорционалды сақтау кеңістігімен G қолдана аламыз кездейсоқ оракул ).

Бізге берілген оракулдар біз таңдаған қарапайым мәтінді шифрлайтындықтан, а ашық мәтіндік шабуыл немесе CPAжәне біз есептеп отырған артықшылықты берілген қарсыластың CPA-артықшылығы деп атауға болады. Егер бізде де шифрды ашуға болатын кеңестер болса, біз таңдалған-шифрлықмәтін немесе CCA және қарсыластың CCA-артықшылығын табу.

1-мысал: кездейсоқ болжам

Бұл қарсыласты А деп атаңыз₀. Ол жай ғана монетаны айналдырып, 1 немесе 0-ді бірдей ықтималдықпен және ешқандай қоңырау шалмай-ақ қайтарады. Осылайша, Pr [A₀(F) = 1] және Pr [A₀(G) = 1] екеуі де 0,5 құрайды. Бұл ықтималдықтар арасындағы айырмашылық нөлге тең, сондықтан Adv (A₀) нөлге тең. Егер біз әрдайым 0-ге оралсақ немесе әрдайым 1-ге оралсақ, бірдей нәрсе қолданылады: ықтималдық F және G үшін бірдей, сондықтан артықшылығы нөлге тең. Бұл қарсылас F мен G-ді ажырата алмайды. Егер біз шифр жасаушылар болсақ, біздің тілегіміз (мүмкін емес) - оны солай ету есептеу мүмкін емес үшін кез келген қарсылас бұған қарағанда айтарлықтай жақсы. Егер біз қатал күш іздеуден гөрі айырмашылығы жоқ шифр жасай алсақ, жетістікке жетеміз.

2-мысал: Күшті іздеу

Бұл қарсылас (оны A деп атаңыз₁) арқылы кірісті криптоанализдеуге тырысады қатал күш. Оның жеке DES енгізу бар. Ол өзінің нөліне барлық сұраныстардың 64 биттік тізбегін шифрлауды сұрайтын жалғыз сұраныс береді. Алынған шифрланған мәтінді шақырыңыз E₀. Алгоритм келесідей болады:

 E0 = 0,1, ..., 2-дегі k үшін oracle_query (0)56-1: егер DESк(0) == E0: қайтару 1 қайтару 0

Бұл 56-разрядты DES кілт кеңістігін толығымен іздейді және сәйкес келетін кілт тапса, «1» береді. Іс жүзінде кілтті растау үшін бірнеше қарапайым мәтіндер қажет, өйткені екі түрлі кілттер бір немесе бірнеше сәйкес мәтіндік-шифрлық мәтін жұптарын тудыруы мүмкін. Егер кілт табылмаса, ол 0 мәнін береді.

Егер енгізу оракулы DES болса, бұл толық іздеу кілтті табатыны сөзсіз, сондықтан Pr [A₁(F) = 1] = 1. Егер енгізу oracle кездейсоқ ауыстыру болса, онда 2 болады⁶⁴ мүмкін болатын мәндер₀, және ең көп дегенде 2⁵⁶ олардың DES кілттер іздеуінен өтеді. Сонымен, А ықтималдығы₁ 1-ді қайтару - ең көп дегенде 2⁻⁸. Бұл:

${displaystyle Pr [A_ {1} (G) = 1] leq 2 ^ {- 8}}$, сондықтан

${displaystyle Adv (A_ {1}) = | Pr [A_ {1} (F) = 1] -Pr [A_ {1} (G) = 1] | geq 1-2 ^ {- 8}}$

сондықтан артықшылығы кем дегенде 0,996 құрайды. Бұл жақын арада ажыратқыш, бірақ бұл қауіпсіздіктің бұзылуы емес, өйткені бұл қатал күш іздеуден гөрі тез емес, болып табылады қатал күш іздеу.

Сондай-ақ қараңыз

• Псевдоромен-функцияның артықшылығы
• Кілттерді қалпына келтірудің артықшылығы
• PR-CPA артықшылығы

Әдебиеттер тізімі

Бұл мақалада а қолданылған әдебиеттер тізімі, байланысты оқу немесе сыртқы сілтемелер, бірақ оның көздері түсініксіз болып қалады, өйткені ол жетіспейді кірістірілген дәйексөздер. Көмектесіңізші жақсарту осы мақала таныстыру дәлірек дәйексөздер. (Қаңтар 2015) (Бұл шаблон хабарламасын қалай және қашан жою керектігін біліп алыңыз)

Бұл мақалада оның сілтемесі келтірілген ақпарат көздері бірақ қамтамасыз етпейді бет сілтемелері. Сен істе аласың оны жақсартуға көмектеседі дәлірек дәйексөздер енгізу арқылы. (Қаңтар 2015) (Бұл шаблон хабарламасын қалай және қашан жою керектігін біліп алыңыз)

• Филлип Рогауэй және Михир Белларе, Қазіргі заманғы криптографияға кіріспе
• Oded Goldreich, Криптографияның негіздері