セキュリティの定義と攻撃者モデル
正確なセキュリティの定義と攻撃者モデルは、暗号スキームが何を保護しなければならないか、そして攻撃者がどのような能力を持つと仮定されるかを明確に指定し、「安全」という漠然とした概念を検証可能な主張へと変えます。
Definition
セキュリティの定義とは、スキームが達成すべき目標と、その目標を達成すべき攻撃者のモデルを形式的に記述したものです。これは通常、攻撃者の成功確率が無視できる程度でなければならないゲームまたは理想的な機能比較として表現されます。
Scope
このトピックでは、セキュリティ目標と脅威がどのように形式化されるかを扱います。目標の定義(意味的安全性、識別不能性、偽造不可能性)、攻撃者の能力を増大させる攻撃モデル(選択平文攻撃、選択暗号文攻撃、適応的攻撃)、理想/現実モデルとゲームベースのフレームワーク、そしてモデル化された攻撃者と現実世界の攻撃者との間のギャップ(サイドチャネル)についてです。これらの定義を満たすために使用される帰着と困難性仮定については、関連トピックで扱われるため、ここでは除外します。
Core questions
- セキュリティ目標は、直感的にではなく、なぜ正確に定義されなければならないのでしょうか?
- 機密性目標(意味的安全性)と完全性目標(偽造不可能性)は何が違うのでしょうか?
- 攻撃モデル(CPA、CCA、適応的)は、攻撃者の能力をどのように捉えるのでしょうか?
- ゲームベースの定義と理想/現実の定義は、セキュリティをどのように表現するのでしょうか?
- モデル内で証明可能に安全なスキームが、サイドチャネルのような現実世界の攻撃に対して失敗するのはなぜでしょうか?
Key concepts
- 意味的安全性
- 暗号文の識別不能性 (IND)
- 選択平文攻撃 (CPA)
- 選択暗号文攻撃 (CCA)
- 存在論的偽造不可能性
- 適応的攻撃者
- ゲームベースの定義
- 理想/現実パラダイム
- サイドチャネルギャップ
Key theories
- 意味的安全性と識別不能性
- 機密性は、暗号文が有用な情報を漏洩しないように定義されます。攻撃者は、選択された2つのメッセージの暗号化を区別できません。これはGoldwasserとMicaliによって導入された定義であり、すべての現代の暗号化セキュリティの基礎となっています。
- 攻撃モデルと攻撃者の能力
- セキュリティは、攻撃者が何ができるか(受動的に観察する、選択平文攻撃または適応的選択暗号文攻撃を仕掛ける)に対して相対的に述べられます。敵対的な対話型設定で使用されるスキームには、より強力なモデル(CCA安全性)が必要です。
Mechanisms
ゲームベースの定義では、挑戦者と攻撃者が対決します。IND-CPA安全性の場合、攻撃者は2つのメッセージを提出し、挑戦者はそのうちの1つをランダムに暗号化します。セキュリティは、攻撃者が偶然以上の確率でどちらが暗号化されたかを推測できないことを要求します。より強力なCCA定義では、攻撃者に復号オラクルも与えられます。理想/現実パラダイムでは、スキームとの相互作用が理想化された信頼できる機能との相互作用と区別できない場合、そのスキームは安全であると見なされます。現実の攻撃者は、これらのモデルの範囲外でタイミングや電力の漏洩を悪用する可能性があり、サイドチャネルを考慮した定義が必要とされます。
Clinical relevance
適切な定義を選択することは重要です。インタラクティブなプロトコルで使用される暗号化には、CPA安全性だけでなくCCA安全性も必要とされます。また、現実のシステム(初期のTLSなど)に対するパディングオラクル攻撃は、弱すぎる定義を満たすスキームが展開された結果として直接発生しました。攻撃者モデルは、展開が何を保護しないのかも明確にします。例えば、サイドチャネルを無視するモデルは、タイミング攻撃や電力攻撃が、それ以外では「安全」な実装に対して成功する理由を説明します。
Evidence & guidelines
現代の標準では、スキームが強力な定義を満たすことが求められています。認証付き暗号(IND-CCAと完全性)は機密性のデフォルトであり、署名は適応的選択メッセージ攻撃に対する存在論的偽造不可能性を満たす必要があります。ユニバーサルコンポーザビリティフレームワークは、任意の構成の下で安全性を維持する定義を提供します。実装においては、形式的なモデルを超えて、サイドチャネル耐性のある(定数時間実行の)コーディングも必要とされます。
History
1980年代以前は、セキュリティは非公式に判断されていました。GoldwasserとMicaliによる意味的安全性(1982-1984)は、厳密な識別不能性に基づく定義を導入し、すぐに選択暗号文モデルや署名およびMACの偽造不可能性に拡張されました。理想/現実シミュレーションパラダイムとCanettiのユニバーサルコンポーザビリティフレームワーク(2001)は、構成下でのセキュリティに対処し、現在すべての真剣な暗号分析を支配する定義の基礎を完成させました。
Key figures
- Shafi Goldwasser
- Silvio Micali
- Oded Goldreich
- Ran Canetti
- Mihir Bellare
Related topics
Seminal works
- goldwasser1984
- katz2020
- goldreich2004
Frequently asked questions
- CPA安全性とCCA安全性は何が違うのですか?
- 選択平文攻撃(CPA)安全性は、攻撃者が選択したメッセージの暗号文を入手できると仮定します。選択暗号文攻撃(CCA)安全性は、それに加えて、攻撃者が選択した暗号文の復号を入手できると仮定します。これは、攻撃者が暗号文を送信し、システムがどのように反応するかを観察できる場合に必要とされる、より強力なモデルです。
- スキームが証明可能に安全であるのに、なぜサイドチャネル攻撃が機能するのですか?
- セキュリティの定義は、入力と出力を見る攻撃者をモデル化しており、タイミング、消費電力、電磁放射などの物理的な漏洩は考慮していません。抽象的なスキームがその定義を満たしていても、実際のインプリメンテーションはこれらのチャネルを通じて秘密を漏洩する可能性があります。そのため、定数時間実行や漏洩耐性のあるインプリメンテーションも必要とされます。