Definisi Keamanan dan Model Adversari
Definisi keamanan dan model adversari yang tepat menentukan secara persis apa yang harus dilindungi oleh skema kriptografi dan kekuatan apa yang diasumsikan dimiliki penyerang, mengubah gagasan 'aman' yang samar menjadi klaim yang dapat diuji.
Definition
Definisi keamanan secara formal menyatakan tujuan yang harus dicapai oleh suatu skema dan model adversari yang harus dilawannya, biasanya sebagai permainan atau perbandingan fungsionalitas-ideal di mana probabilitas keberhasilan adversari harus dapat diabaikan.
Scope
Topik ini mencakup bagaimana tujuan dan ancaman keamanan diformalkan: definisi tujuan (keamanan semantik, ketidakbedaan, ketidakmampuan memalsukan) dan model serangan yang memberikan kekuatan yang meningkat kepada adversari (serangan teks-terpilih, serangan cipherteks-terpilih, serangan adaptif), kerangka kerja ideal/nyata dan berbasis permainan, serta kesenjangan antara adversari yang dimodelkan dan dunia nyata (saluran samping). Ini tidak termasuk reduksi dan asumsi kesulitan yang digunakan untuk memenuhi definisi ini, yang dibahas dalam topik terkait.
Core questions
- Mengapa tujuan keamanan harus didefinisikan secara tepat daripada secara intuitif?
- Apa yang membedakan tujuan kerahasiaan (keamanan semantik) dari tujuan integritas (ketidakmampuan memalsukan)?
- Bagaimana model serangan (CPA, CCA, adaptif) menangkap kemampuan adversari?
- Bagaimana definisi berbasis permainan dan ideal/nyata mengekspresikan keamanan?
- Mengapa skema yang terbukti aman dalam modelnya masih dapat gagal terhadap serangan dunia nyata seperti saluran samping?
Key concepts
- keamanan semantik
- ketidakbedaan cipherteks (IND)
- serangan teks-terpilih (CPA)
- serangan cipherteks-terpilih (CCA)
- ketidakmampuan memalsukan eksistensial
- adversari adaptif
- definisi berbasis permainan
- paradigma ideal/nyata
- kesenjangan saluran samping
Key theories
- Keamanan semantik dan ketidakbedaan
- Kerahasiaan didefinisikan sedemikian rupa sehingga cipherteks tidak membocorkan informasi yang berguna: adversari tidak dapat membedakan enkripsi dari dua pesan yang dipilih, sebuah definisi yang diperkenalkan oleh Goldwasser dan Micali yang menjadi dasar semua keamanan enkripsi modern.
- Model serangan dan kekuatan adversari
- Keamanan dinyatakan relatif terhadap apa yang dapat dilakukan adversari — mengamati secara pasif, melancarkan serangan teks-terpilih atau serangan cipherteks-terpilih adaptif — dengan model yang lebih kuat (keamanan CCA) diperlukan untuk skema yang digunakan dalam pengaturan interaktif yang bermusuhan.
Mechanisms
Definisi berbasis permainan mengadu penantang dengan adversari: untuk keamanan IND-CPA, adversari mengirimkan dua pesan, penantang mengenkripsi salah satunya secara acak, dan keamanan mensyaratkan adversari tidak dapat menebak mana yang dienkripsi melebihi peluang. Definisi CCA yang lebih kuat juga memberikan adversari oracle dekripsi. Paradigma ideal/nyata sebaliknya menganggap skema aman jika berinteraksi dengannya tidak dapat dibedakan dari berinteraksi dengan fungsionalitas tepercaya yang diidealkan. Adversari nyata dapat mengeksploitasi kebocoran waktu atau daya di luar model ini, memotivasi definisi yang sadar saluran samping.
Clinical relevance
Memilih definisi yang tepat memiliki konsekuensi: enkripsi yang digunakan dalam protokol interaktif membutuhkan keamanan CCA, bukan hanya CPA, dan serangan oracle-padding pada sistem nyata (seperti TLS awal) secara langsung diakibatkan oleh penerapan skema yang memenuhi definisi yang terlalu lemah. Model adversari juga mengklarifikasi apa yang tidak dilindungi oleh suatu penerapan — misalnya, model yang mengabaikan saluran samping menjelaskan mengapa serangan waktu dan daya berhasil terhadap implementasi yang 'aman'.
Evidence & guidelines
Standar modern mensyaratkan skema untuk memenuhi definisi yang kuat: enkripsi terautentikasi (IND-CCA ditambah integritas) adalah standar untuk kerahasiaan, dan tanda tangan harus tidak dapat dipalsukan secara eksistensial di bawah serangan pesan-terpilih adaptif. Kerangka kerja Universal Composability menyediakan definisi yang tetap aman di bawah komposisi arbitrer. Implementasi juga memerlukan pengkodean yang tahan saluran samping (waktu konstan) di luar model formal.
History
Sebelum tahun 1980-an, keamanan dinilai secara informal. Keamanan semantik Goldwasser dan Micali (1982-1984) memperkenalkan definisi berbasis ketidakbedaan yang ketat, yang segera diperluas ke model cipherteks-terpilih dan ke ketidakmampuan memalsukan untuk tanda tangan dan MAC. Paradigma simulasi ideal/nyata dan kerangka kerja Universal Composability Canetti (2001) membahas keamanan di bawah komposisi, melengkapi fondasi definisi yang kini mengatur semua analisis kriptografi serius.
Key figures
- Shafi Goldwasser
- Silvio Micali
- Oded Goldreich
- Ran Canetti
- Mihir Bellare
Related topics
Seminal works
- goldwasser1984
- katz2020
- goldreich2004
Frequently asked questions
- Apa perbedaan antara keamanan CPA dan CCA?
- Keamanan serangan teks-terpilih (CPA) mengasumsikan adversari dapat memperoleh enkripsi pesan yang dipilihnya. Keamanan serangan cipherteks-terpilih (CCA) juga memungkinkannya memperoleh dekripsi cipherteks yang dipilihnya, model yang lebih kuat yang diperlukan setiap kali penyerang dapat mengirimkan cipherteks dan mengamati bagaimana sistem bereaksi.
- Jika suatu skema terbukti aman, mengapa serangan saluran samping berhasil?
- Definisi keamanan memodelkan adversari yang melihat input dan output, bukan kebocoran fisik seperti waktu, konsumsi daya, atau emisi elektromagnetik. Implementasi nyata dapat membocorkan rahasia melalui saluran ini meskipun skema abstrak memenuhi definisinya, itulah sebabnya implementasi yang tahan kebocoran (waktu konstan) juga diperlukan.