Податливость (криптография) - Malleability (cryptography)

Пластичность является собственностью некоторых криптографический алгоритмы.^[1] Алгоритм шифрования является «гибким», если можно преобразовать зашифрованный текст в другой зашифрованный текст, который расшифровывает связанный простой текст. То есть, при шифровании открытого текста ${ displaystyle m}$ , можно сгенерировать другой зашифрованный текст, который расшифровывается до ${ displaystyle f (m)}$ , для известной функции ${ displaystyle f}$ , без обязательного знания или изучения ${ displaystyle m}$ .

Гибкость часто является нежелательным свойством в криптосистеме общего назначения, поскольку она позволяет злоумышленнику изменять содержимое сообщения. Например, предположим, что банк использует потоковый шифр, чтобы скрыть свою финансовую информацию, и пользователь отправляет зашифрованное сообщение, содержащее, скажем, "ПЕРЕВОДИТЬ $ 0000100.00 НА СЧЕТ №199. "Если злоумышленник может изменить сообщение на проводе и угадать формат незашифрованного сообщения, злоумышленник может изменить сумму транзакции или получателя средств, например"ПЕРЕВОДИТЬ $ 0100000.00 НА СЧЕТ № 227". Гибкость не относится к способности злоумышленника прочитать зашифрованное сообщение. Как до, так и после взлома злоумышленник не может прочитать зашифрованное сообщение.

С другой стороны, некоторые криптосистемы пластичны по своей конструкции. Другими словами, в некоторых случаях это можно рассматривать как функцию, с помощью которой любой может преобразовать шифрование ${ displaystyle m}$ в действительное шифрование ${ displaystyle f (m)}$ (для некоторого ограниченного класса функций ${ displaystyle f}$ ) без обязательного обучения ${ displaystyle m}$ . Такие схемы известны как гомоморфное шифрование схемы.

Криптосистема может быть семантически безопасный против выбранные атаки открытого текста или даже неадаптивный атаки по выбранному зашифрованному тексту (CCA1), оставаясь пластичным. Однако безопасность от адаптивные атаки по выбранному зашифрованному тексту (CCA2) эквивалентно не податливости.^[2]

Примеры гибких криптосистем

В потоковый шифр, зашифрованный текст получается путем взятия Эксклюзивный или открытого текста и псевдослучайный поток на основе секретного ключа ${ displaystyle k}$ , так как ${ Displaystyle Е (м) = м oplus S (к)}$ . Противник может построить шифрование ${ displaystyle m oplus t}$ для любого ${ displaystyle t}$ , так как ${ Displaystyle E (m) oplus t = m oplus t oplus S (k) = E (m oplus t)}$ .

в ЮАР криптосистема, открытый текст ${ displaystyle m}$ зашифрован как ${ Displaystyle Е (м) = м ^ {е} { bmod {п}}}$ , где ${ Displaystyle (е, п)}$ это открытый ключ. Имея такой зашифрованный текст, злоумышленник может построить шифрование ${ displaystyle mt}$ для любого ${ displaystyle t}$ , так как ${ textstyle E (m) cdot t ^ {e} { bmod {n}} = (mt) ^ {e} { bmod {n}} = E (mt)}$ . По этой причине RSA обычно используется вместе с набивка такие методы как OAEP или PKCS1.

в Эль-Гамаль криптосистема, открытый текст ${ displaystyle m}$ зашифрован как ${ displaystyle E (m) = (g ^ {b}, mA ^ {b})}$ , где ${ Displaystyle (г, А)}$ это открытый ключ. Учитывая такой зашифрованный текст ${ displaystyle (c_ {1}, c_ {2})}$ , противник может вычислить ${ displaystyle (c_ {1}, t cdot c_ {2})}$ , что является действительным шифрованием ${ displaystyle tm}$ , для любого ${ displaystyle t}$ . Напротив, Система Крамера-Шупа (который основан на Эль-Гамале) не податлив.

в Paillier, Эль-Гамаль, и ЮАР криптосистемы, также возможно объединение несколько зашифрованные тексты вместе полезным способом для создания связанного зашифрованного текста. В Paillier, учитывая только открытый ключ и шифрование ${ displaystyle m_ {1}}$ и ${ displaystyle m_ {2}}$ , можно вычислить действительное шифрование их суммы ${ displaystyle m_ {1} + m_ {2}}$ . В Эль-Гамале и в RSA можно комбинировать шифрование ${ displaystyle m_ {1}}$ и ${ displaystyle m_ {2}}$ получить действительное шифрование своего продукта ${ displaystyle m_ {1} m_ {2}}$ .

Блочные шифры в цепочка блоков шифра режим работы, например, частично податлив: изменение бита в блоке зашифрованного текста приведет к полному искажению открытого текста, который он расшифровывает, но приведет к тому, что тот же бит будет изменен в открытом тексте следующего блока. Это позволяет злоумышленнику «пожертвовать» одним блоком открытого текста, чтобы изменить некоторые данные в следующем, возможно, злонамеренно изменив сообщение. По сути, это основная идея атака оракула на CBC, что позволяет злоумышленнику расшифровать почти весь зашифрованный текст, не зная ключа. По этой и многим другим причинам код аутентификации сообщения требуется для защиты от любых методов взлома.

Полная неподатливость

Фишлин в 2005 году определил понятие полной неподатливости как способность системы оставаться не податливый давая злоумышленнику дополнительные полномочия по выбору нового открытого ключа, который может быть функцией исходного открытого ключа.^[3] Другими словами, злоумышленник не должен иметь возможность придумать зашифрованный текст, лежащий в основе открытый текст которого связан с исходным сообщением через отношение, которое также принимает во внимание открытые ключи.

Смотрите также

Гомоморфное шифрование

использованная литература

^ Долев, Дэнни; Дворк, Синтия; Наор, Мони (2000). «Неподвижная криптография». SIAM Журнал по вычислениям. 30 (2): 391–437. CiteSeerX 10.1.1.49.4643. Дои:10.1137 / S0097539795291562.
^ Белларе, Михир; Десаи, Ананд; Поинтшеваль, Дэвид; Рогавей, Филипп (23 августа 1998). Krawczyk, Хьюго (ред.). Связь между понятиями безопасности для схем шифрования с открытым ключом. Достижения в криптологии - CRYPTO '98. Конспект лекций по информатике. Springer Berlin Heidelberg. С. 26–45. Дои:10.1007 / bfb0055718. ISBN 978-3540648925.
^ Фишлин, Марк (11 июля 2005 г.). «Совершенно неподатливые схемы». Автоматы, языки и программирование. Конспект лекций по информатике. 3580. Шпрингер, Берлин, Гейдельберг. стр.779–790. CiteSeerX 10.1.1.501.6445. Дои:10.1007/11523468_63. ISBN 9783540275800. Отсутствует или пусто | название = (Помогите)

[1] Долев, Дэнни; Дворк, Синтия; Наор, Мони (2000). «Неподвижная криптография». SIAM Журнал по вычислениям. 30 (2): 391–437. CiteSeerX 10.1.1.49.4643. Дои:10.1137 / S0097539795291562.

[:0-2] Белларе, Михир; Десаи, Ананд; Поинтшеваль, Дэвид; Рогавей, Филипп (23 августа 1998). Krawczyk, Хьюго (ред.). Связь между понятиями безопасности для схем шифрования с открытым ключом. Достижения в криптологии - CRYPTO '98. Конспект лекций по информатике. Springer Berlin Heidelberg. С. 26–45. Дои:10.1007 / bfb0055718. ISBN 978-3540648925.

[3] Фишлин, Марк (11 июля 2005 г.). «Совершенно неподатливые схемы». Автоматы, языки и программирование. Конспект лекций по информатике. 3580. Шпрингер, Берлин, Гейдельберг. стр.779–790. CiteSeerX 10.1.1.501.6445. Дои:10.1007/11523468_63. ISBN 9783540275800. Отсутствует или пусто | название = (Помогите)

[1]

[2]

[3]