Definições de Segurança e Modelos de Adversários
Definições de segurança precisas e modelos de adversários especificam exatamente contra o que um esquema criptográfico deve proteger e quais poderes se assume que um atacante possui, transformando noções vagas de 'seguro' em afirmações testáveis.
Definition
Uma definição de segurança estabelece formalmente o objetivo que um esquema deve alcançar e o modelo do adversário contra o qual deve alcançá-lo, tipicamente como um jogo ou uma comparação de funcionalidade ideal em que a probabilidade de sucesso do adversário deve ser desprezível.
Scope
Este tópico aborda como os objetivos e ameaças de segurança são formalizados: as definições de objetivo (segurança semântica, indistinguibilidade, infalsificabilidade) e os modelos de ataque que concedem aos adversários poder crescente (texto-claro escolhido, texto-cifrado escolhido, ataques adaptativos), os frameworks ideal/real e baseados em jogos, e a lacuna entre adversários modelados e do mundo real (canais laterais). Exclui as reduções e suposições de dificuldade usadas para satisfazer essas definições, tratadas em tópicos irmãos.
Core questions
- Por que os objetivos de segurança devem ser definidos precisamente em vez de intuitivamente?
- O que distingue os objetivos de confidencialidade (segurança semântica) dos objetivos de integridade (infalsificabilidade)?
- Como os modelos de ataque (CPA, CCA, adaptativo) capturam as capacidades de um adversário?
- Como as definições baseadas em jogos e ideal/real expressam a segurança?
- Por que um esquema comprovadamente seguro em seu modelo ainda pode falhar em ataques do mundo real, como canais laterais?
Key concepts
- segurança semântica
- indistinguibilidade de texto-cifrado (IND)
- ataque de texto-claro escolhido (CPA)
- ataque de texto-cifrado escolhido (CCA)
- infalsificabilidade existencial
- adversários adaptativos
- definições baseadas em jogos
- paradigma ideal/real
- lacuna de canal lateral
Key theories
- Segurança semântica e indistinguibilidade
- A confidencialidade é definida de modo que os textos-cifrados não vazem nada útil: um adversário não pode distinguir as criptografias de duas mensagens escolhidas, uma definição introduzida por Goldwasser e Micali que ancora toda a segurança moderna de criptografia.
- Modelos de ataque e poder do adversário
- A segurança é declarada em relação ao que o adversário pode fazer — observar passivamente, montar ataques de texto-claro escolhido ou ataques adaptativos de texto-cifrado escolhido — com modelos mais fortes (segurança CCA) sendo exigidos para esquemas usados em configurações interativas e adversárias.
Mechanisms
Uma definição baseada em jogo coloca um desafiante contra um adversário: para segurança IND-CPA, o adversário submete duas mensagens, o desafiante criptografa uma aleatoriamente, e a segurança exige que o adversário não consiga adivinhar qual além do acaso. Definições CCA mais fortes também dão ao adversário um oráculo de descriptografia. O paradigma ideal/real, em vez disso, considera um esquema seguro se interagir com ele for indistinguível de interagir com uma funcionalidade confiável idealizada. Adversários reais podem explorar vazamentos de tempo ou energia fora desses modelos, motivando definições cientes de canais laterais.
Clinical relevance
Escolher a definição certa é consequente: a criptografia usada em protocolos interativos precisa de segurança CCA, não apenas CPA, e ataques de oráculo de preenchimento em sistemas reais (como o TLS inicial) resultaram diretamente da implantação de esquemas que atendiam a uma definição muito fraca. Os modelos de adversários também esclarecem contra o que uma implantação não protege — por exemplo, modelos que ignoram canais laterais explicam por que ataques de tempo e energia são bem-sucedidos contra implementações de outra forma 'seguras'.
Evidence & guidelines
Os padrões modernos exigem que os esquemas atendam a definições fortes: a criptografia autenticada (IND-CCA mais integridade) é o padrão para confidencialidade, e as assinaturas devem ser existencialmente infalsificáveis sob ataque adaptativo de mensagem escolhida. O framework de Componibilidade Universal fornece definições que permanecem seguras sob composição arbitrária. As implementações exigem adicionalmente codificação resistente a canais laterais (tempo constante) além do modelo formal.
History
Antes da década de 1980, a segurança era julgada informalmente. A segurança semântica de Goldwasser e Micali (1982-1984) introduziu definições rigorosas baseadas em indistinguibilidade, logo estendidas a modelos de texto-cifrado escolhido e a infalsificabilidade para assinaturas e MACs. O paradigma de simulação ideal/real e o framework de Componibilidade Universal de Canetti (2001) abordaram a segurança sob composição, completando uma base definicional que agora governa toda análise criptográfica séria.
Key figures
- Shafi Goldwasser
- Silvio Micali
- Oded Goldreich
- Ran Canetti
- Mihir Bellare
Related topics
Seminal works
- goldwasser1984
- katz2020
- goldreich2004
Frequently asked questions
- Qual é a diferença entre segurança CPA e CCA?
- A segurança de ataque de texto-claro escolhido (CPA) assume que o adversário pode obter criptografias de mensagens que ele escolhe. A segurança de ataque de texto-cifrado escolhido (CCA) adicionalmente permite que ele obtenha descriptografias de textos-cifrados que ele escolhe, um modelo mais forte necessário sempre que um atacante pode submeter textos-cifrados e observar como o sistema reage.
- Se um esquema é comprovadamente seguro, por que os ataques de canal lateral funcionam?
- As definições de segurança modelam um adversário que vê entradas e saídas, não vazamentos físicos como tempo, consumo de energia ou emissões eletromagnéticas. Uma implementação real pode vazar segredos através desses canais, embora o esquema abstrato atenda à sua definição, razão pela qual implementações de tempo constante e resistentes a vazamentos também são necessárias.