Sicherheitsdefinitionen und Angreifermodelle
Präzise Sicherheitsdefinitionen und Angreifermodelle legen genau fest, wovor ein kryptographisches Schema schützen muss und welche Fähigkeiten einem Angreifer zugeschrieben werden, wodurch vage Vorstellungen von „sicher“ zu überprüfbaren Aussagen werden.
Definition
Eine Sicherheitsdefinition formuliert formal das Ziel, das ein Schema erreichen muss, und das Modell des Angreifers, gegen das es dieses Ziel erreichen muss, typischerweise als Spiel oder als Vergleich idealer Funktionalität, bei dem die Erfolgswahrscheinlichkeit des Angreifers vernachlässigbar sein muss.
Scope
Dieses Thema behandelt die Formalisierung von Sicherheitszielen und Bedrohungen: die Zieldefinitionen (semantische Sicherheit, Ununterscheidbarkeit, Unfälschbarkeit) und die Angriffsmodelle, die Angreifern zunehmende Macht verleihen (Chosen-Plaintext, Chosen-Ciphertext, adaptive Angriffe), die Ideal/Real- und spielbasierten Frameworks sowie die Lücke zwischen modellierten und realen Angreifern (Seitenkanäle). Ausgenommen sind die Reduktionen und Härteannahmen, die zur Erfüllung dieser Definitionen verwendet werden und in verwandten Themen behandelt werden.
Core questions
- Warum müssen Sicherheitsziele präzise und nicht intuitiv definiert werden?
- Was unterscheidet Vertraulichkeitsziele (semantische Sicherheit) von Integritätszielen (Unfälschbarkeit)?
- Wie erfassen Angriffsmodelle (CPA, CCA, adaptiv) die Fähigkeiten eines Angreifers?
- Wie drücken spielbasierte und Ideal/Real-Definitionen Sicherheit aus?
- Warum kann ein in seinem Modell nachweislich sicheres Schema dennoch bei realen Angriffen wie Seitenkanälen versagen?
Key concepts
- semantische Sicherheit
- Ununterscheidbarkeit von Chiffretexten (IND)
- Chosen-Plaintext-Angriff (CPA)
- Chosen-Ciphertext-Angriff (CCA)
- existenzielle Unfälschbarkeit
- adaptive Angreifer
- spielbasierte Definitionen
- Ideal/Real-Paradigma
- Seitenkanal-Lücke
Key theories
- Semantische Sicherheit und Ununterscheidbarkeit
- Vertraulichkeit wird so definiert, dass Chiffretexte nichts Nützliches preisgeben: Ein Angreifer kann Verschlüsselungen zweier gewählter Nachrichten nicht unterscheiden, eine Definition, die von Goldwasser und Micali eingeführt wurde und die Grundlage aller modernen Verschlüsselungssicherheit bildet.
- Angriffsmodelle und Angreiferstärke
- Sicherheit wird relativ zu dem angegeben, was der Angreifer tun kann – passiv beobachten, Chosen-Plaintext- oder adaptive Chosen-Ciphertext-Angriffe durchführen – wobei stärkere Modelle (CCA-Sicherheit) für Schemata erforderlich sind, die in adversen, interaktiven Umgebungen verwendet werden.
Mechanisms
Eine spielbasierte Definition stellt einen Herausforderer einem Angreifer gegenüber: Für die IND-CPA-Sicherheit übermittelt der Angreifer zwei Nachrichten, der Herausforderer verschlüsselt eine zufällig, und Sicherheit erfordert, dass der Angreifer nicht über den Zufall hinaus erraten kann, welche. Stärkere CCA-Definitionen geben dem Angreifer auch ein Entschlüsselungsorakel. Das Ideal/Real-Paradigma betrachtet ein Schema stattdessen als sicher, wenn die Interaktion damit von der Interaktion mit einer idealisierten vertrauenswürdigen Funktionalität nicht zu unterscheiden ist. Reale Angreifer können Zeit- oder Stromlecks außerhalb dieser Modelle ausnutzen, was zu seitenkanalbewussten Definitionen motiviert.
Clinical relevance
Die Wahl der richtigen Definition ist von Bedeutung: Verschlüsselung, die in interaktiven Protokollen verwendet wird, benötigt CCA-Sicherheit, nicht nur CPA, und Padding-Oracle-Angriffe auf reale Systeme (wie frühe TLS-Versionen) resultierten direkt aus der Bereitstellung von Schemata, die eine zu schwache Definition erfüllten. Angreifermodelle verdeutlichen auch, wovor eine Bereitstellung nicht schützt – zum Beispiel erklären Modelle, die Seitenkanäle ignorieren, warum Zeit- und Stromangriffe gegen ansonsten „sichere“ Implementierungen erfolgreich sind.
Evidence & guidelines
Moderne Standards erfordern, dass Schemata starke Definitionen erfüllen: Authentifizierte Verschlüsselung (IND-CCA plus Integrität) ist der Standard für Vertraulichkeit, und Signaturen müssen existentiell unfälschbar unter adaptiver Chosen-Message-Attacke sein. Das Universal Composability Framework bietet Definitionen, die unter beliebiger Komposition sicher bleiben. Implementierungen erfordern zusätzlich eine seitenkanalresistente (konstante Zeit) Codierung jenseits des formalen Modells.
History
Vor den 1980er Jahren wurde Sicherheit informell beurteilt. Goldwasser und Micalis semantische Sicherheit (1982-1984) führte rigorose, auf Ununterscheidbarkeit basierende Definitionen ein, die bald auf Chosen-Ciphertext-Modelle und auf Unfälschbarkeit für Signaturen und MACs erweitert wurden. Das Ideal/Real-Simulationsparadigma und Canettis Universal Composability Framework (2001) befassten sich mit Sicherheit unter Komposition und vervollständigten eine Definitionsgrundlage, die heute alle ernsthaften kryptographischen Analysen bestimmt.
Key figures
- Shafi Goldwasser
- Silvio Micali
- Oded Goldreich
- Ran Canetti
- Mihir Bellare
Related topics
Seminal works
- goldwasser1984
- katz2020
- goldreich2004
Frequently asked questions
- Was ist der Unterschied zwischen CPA- und CCA-Sicherheit?
- Die Chosen-Plaintext-Attack (CPA)-Sicherheit geht davon aus, dass der Angreifer Verschlüsselungen von Nachrichten erhalten kann, die er wählt. Die Chosen-Ciphertext-Attack (CCA)-Sicherheit ermöglicht es ihm zusätzlich, Entschlüsselungen von Chiffretexten zu erhalten, die er wählt, ein stärkeres Modell, das immer dann benötigt wird, wenn ein Angreifer Chiffretexte einreichen und beobachten kann, wie das System reagiert.
- Wenn ein Schema nachweislich sicher ist, warum funktionieren Seitenkanalangriffe?
- Sicherheitsdefinitionen modellieren einen Angreifer, der Ein- und Ausgaben sieht, nicht aber physikalische Leckagen wie Zeitverhalten, Stromverbrauch oder elektromagnetische Emissionen. Eine reale Implementierung kann Geheimnisse über diese Kanäle preisgeben, obwohl das abstrakte Schema seine Definition erfüllt, weshalb auch zeitkonstante, leckageresistente Implementierungen erforderlich sind.