CPA ve CCA güvenliği arasındaki fark nedir?

Seçilen düz metin saldırısı (CPA) güvenliği, saldırganın seçtiği mesajların şifrelemelerini elde edebileceğini varsaymaktadır. Seçilen şifreli metin saldırısı (CCA) güvenliği ise ek olarak, saldırganın seçtiği şifreli metinlerin şifre çözümlerini elde etmesine olanak tanımaktadır; bu, bir saldırganın şifreli metinler gönderip sistemin nasıl tepki verdiğini gözlemleyebildiği her durumda ihtiyaç duyulan daha güçlü bir modeldir.

Bir şema kanıtlanabilir şekilde güvenliyse, yan kanal saldırıları neden işe yaramaktadır?

Güvenlik tanımları, zamanlama, güç tüketimi veya elektromanyetik emisyonlar gibi fiziksel sızıntıları değil, girdileri ve çıktıları gören bir saldırganı modellemektedir. Soyut şema tanımını karşılasa bile, gerçek bir uygulama bu kanallar aracılığıyla sırları sızdırabilmektedir; bu nedenle sabit zamanlı, sızıntıya dayanıklı uygulamalar da gereklidir.

Güvenlik Tanımları ve Saldırgan Modelleri

Hassas güvenlik tanımları ve saldırgan modelleri, bir kriptografik şemanın tam olarak neye karşı korunması gerektiğini ve bir saldırganın hangi yetkilere sahip olduğunun varsayıldığını belirterek, 'güvenli' gibi belirsiz kavramları test edilebilir iddialara dönüştürmektedir.

PaperMind ile konu bulYakındaMakale ve konu bul

Tools & resources

Slaytları indir

Learn & explore

VideoYakında

Tanım

Bir güvenlik tanımı, bir şemanın ulaşması gereken hedefi ve bu hedefe karşı başarılı olması gereken saldırgan modelini resmi olarak belirtmektedir; bu genellikle, saldırganın başarı olasılığının ihmal edilebilir olması gereken bir oyun veya ideal-işlevsellik karşılaştırması şeklinde olmaktadır.

Kapsam

Bu konu, güvenlik hedeflerinin ve tehditlerinin nasıl resmileştirildiğini ele almaktadır: hedef tanımları (anlamsal güvenlik, ayırt edilemezlik, taklit edilemezlik) ve saldırganlara artan güç veren saldırı modelleri (seçilen düz metin, seçilen şifreli metin, adaptif saldırılar), ideal/gerçek ve oyun tabanlı çerçeveler ile modellenen ve gerçek dünyadaki saldırganlar arasındaki boşluk (yan kanallar). Bu tanımları karşılamak için kullanılan indirgemeler ve zorluk varsayımları, ilgili diğer konularda ele alındığından, bu kapsamın dışındadır.

Temel sorular

Güvenlik hedefleri neden sezgisel olarak değil de hassas bir şekilde tanımlanmalıdır?
Gizlilik hedefleri (anlamsal güvenlik) ile bütünlük hedeflerini (taklit edilemezlik) birbirinden ayıran nedir?
Saldırı modelleri (CPA, CCA, adaptif) bir saldırganın yeteneklerini nasıl yakalamaktadır?
Oyun tabanlı ve ideal/gerçek tanımlar güvenliği nasıl ifade etmektedir?
Modelinde kanıtlanabilir şekilde güvenli olan bir şema, yan kanallar gibi gerçek dünya saldırılarına karşı neden başarısız olabilmektedir?

Anahtar kavramlar

anlamsal güvenlik
şifreli metin ayırt edilemezliği (IND)
seçilen düz metin saldırısı (CPA)
seçilen şifreli metin saldırısı (CCA)
varoluşsal taklit edilemezlik
adaptif saldırganlar
oyun tabanlı tanımlar
ideal/gerçek paradigma
yan kanal boşluğu

Temel kuramlar

Anlamsal güvenlik ve ayırt edilemezlik: Gizlilik, şifreli metinlerin hiçbir faydalı bilgi sızdırmayacağı şekilde tanımlanmaktadır: bir saldırgan, seçilen iki mesajın şifrelemelerini ayırt edemez; bu, Goldwasser ve Micali tarafından tanıtılan ve tüm modern şifreleme güvenliğini temel alan bir tanımdır.
Saldırı modelleri ve saldırgan gücü: Güvenlik, saldırganın yapabileceklerine göre belirtilmektedir — pasif olarak gözlemlemek, seçilen düz metin veya adaptif seçilen şifreli metin saldırıları düzenlemek gibi — düşmanca, etkileşimli ortamlarda kullanılan şemalar için daha güçlü modeller (CCA güvenliği) gerekmektedir.

Mekanizmalar

Oyun tabanlı bir tanım, bir meydan okuyucuyu bir saldırganla karşı karşıya getirmektedir: IND-CPA güvenliği için, saldırgan iki mesaj sunar, meydan okuyucu bunlardan birini rastgele şifreler ve güvenlik, saldırganın şansın ötesinde hangisi olduğunu tahmin edememesini gerektirmektedir. Daha güçlü CCA tanımları ayrıca saldırgana bir şifre çözme kahini (decryption oracle) sağlamaktadır. İdeal/gerçek paradigma ise, bir şemayla etkileşimin idealize edilmiş güvenilir bir işlevsellikle etkileşimden ayırt edilemez olması durumunda şemayı güvenli kabul etmektedir. Gerçek saldırganlar, bu modellerin dışında zamanlama veya güç sızıntılarını istismar edebilmekte, bu da yan kanal farkındalıklı tanımları motive etmektedir.

Klinik önem

Doğru tanımı seçmek önemlidir: etkileşimli protokollerde kullanılan şifreleme, yalnızca CPA değil, CCA güvenliğine ihtiyaç duymaktadır ve gerçek sistemlerdeki (erken TLS gibi) dolgu-kahini (padding-oracle) saldırıları, çok zayıf bir tanımı karşılayan şemaların konuşlandırılmasından doğrudan kaynaklanmıştır. Saldırgan modelleri ayrıca bir uygulamanın neye karşı koruma sağlamadığını da açıklığa kavuşturmaktadır — örneğin, yan kanalları göz ardı eden modeller, zamanlama ve güç saldırılarının aksi takdirde 'güvenli' olan uygulamalara karşı neden başarılı olduğunu açıklamaktadır.

Kanıt ve kılavuzlar

Modern standartlar, şemaların güçlü tanımları karşılamasını gerektirmektedir: kimliği doğrulanmış şifreleme (IND-CCA artı bütünlük), gizlilik için varsayılan olup, imzaların adaptif seçilen mesaj saldırısı altında varoluşsal olarak taklit edilemez olması gerekmektedir. Evrensel Birleştirilebilirlik (Universal Composability) çerçevesi, keyfi birleştirme altında güvenli kalan tanımlar sağlamaktadır. Uygulamalar ayrıca, resmi modelin ötesinde yan kanal dirençli (sabit zamanlı) kodlama gerektirmektedir.

Tarihçe

1980'lerden önce güvenlik gayri resmi olarak değerlendirilmekteydi. Goldwasser ve Micali'nin anlamsal güvenliği (1982-1984), titiz, ayırt edilemezlik tabanlı tanımları tanıtmış, bunlar kısa sürede seçilen şifreli metin modellerine ve imzalar ile MAC'ler için taklit edilemezliğe genişletilmiştir. İdeal/gerçek simülasyon paradigması ve Canetti'nin Evrensel Birleştirilebilirlik (Universal Composability) çerçevesi (2001), birleştirme altındaki güvenliği ele alarak, günümüzde tüm ciddi kriptografik analizleri yöneten bir tanımlayıcı temeli tamamlamıştır.

Öne çıkan isimler

Shafi Goldwasser
Silvio Micali
Oded Goldreich
Ran Canetti
Mihir Bellare

İlgili konular

Temel eserler

goldwasser1984
katz2020
goldreich2004

Sıkça sorulan sorular

CPA ve CCA güvenliği arasındaki fark nedir?: Seçilen düz metin saldırısı (CPA) güvenliği, saldırganın seçtiği mesajların şifrelemelerini elde edebileceğini varsaymaktadır. Seçilen şifreli metin saldırısı (CCA) güvenliği ise ek olarak, saldırganın seçtiği şifreli metinlerin şifre çözümlerini elde etmesine olanak tanımaktadır; bu, bir saldırganın şifreli metinler gönderip sistemin nasıl tepki verdiğini gözlemleyebildiği her durumda ihtiyaç duyulan daha güçlü bir modeldir.
Bir şema kanıtlanabilir şekilde güvenliyse, yan kanal saldırıları neden işe yaramaktadır?: Güvenlik tanımları, zamanlama, güç tüketimi veya elektromanyetik emisyonlar gibi fiziksel sızıntıları değil, girdileri ve çıktıları gören bir saldırganı modellemektedir. Soyut şema tanımını karşılasa bile, gerçek bir uygulama bu kanallar aracılığıyla sırları sızdırabilmektedir; bu nedenle sabit zamanlı, sızıntıya dayanıklı uygulamalar da gereklidir.