Các Định nghĩa Bảo mật và Mô hình Đối thủ
Các định nghĩa bảo mật chính xác và mô hình đối thủ chỉ rõ chính xác những gì một lược đồ mật mã phải bảo vệ và những quyền hạn mà một kẻ tấn công được giả định có, biến những khái niệm mơ hồ về 'an toàn' thành các tuyên bố có thể kiểm chứng được.
Definition
Một định nghĩa bảo mật chính thức nêu rõ mục tiêu mà một lược đồ phải đạt được và mô hình đối thủ mà nó phải chống lại, thường là dưới dạng một trò chơi hoặc một so sánh chức năng lý tưởng trong đó xác suất thành công của đối thủ phải không đáng kể.
Scope
Chủ đề này bao gồm cách các mục tiêu và mối đe dọa bảo mật được hình thức hóa: các định nghĩa mục tiêu (bảo mật ngữ nghĩa, không thể phân biệt, không thể giả mạo) và các mô hình tấn công cấp cho đối thủ sức mạnh ngày càng tăng (tấn công bản rõ được chọn, tấn công bản mã được chọn, tấn công thích ứng), các khung lý tưởng/thực tế và dựa trên trò chơi, và khoảng cách giữa các đối thủ được mô hình hóa và đối thủ trong thế giới thực (kênh phụ). Nó không bao gồm các phép rút gọn và giả định độ khó được sử dụng để thỏa mãn các định nghĩa này, được xử lý trong các chủ đề liên quan.
Core questions
- Tại sao các mục tiêu bảo mật phải được định nghĩa chính xác thay vì theo trực giác?
- Điều gì phân biệt các mục tiêu bảo mật (bảo mật ngữ nghĩa) với các mục tiêu toàn vẹn (không thể giả mạo)?
- Các mô hình tấn công (CPA, CCA, thích ứng) nắm bắt khả năng của đối thủ như thế nào?
- Các định nghĩa dựa trên trò chơi và lý tưởng/thực tế thể hiện bảo mật như thế nào?
- Tại sao một lược đồ được chứng minh là an toàn trong mô hình của nó vẫn có thể thất bại trước các cuộc tấn công trong thế giới thực như kênh phụ?
Key concepts
- bảo mật ngữ nghĩa
- tính không thể phân biệt bản mã (IND)
- tấn công bản rõ được chọn (CPA)
- tấn công bản mã được chọn (CCA)
- tính không thể giả mạo tồn tại
- đối thủ thích ứng
- các định nghĩa dựa trên trò chơi
- mô hình lý tưởng/thực tế
- khoảng cách kênh phụ
Key theories
- Bảo mật ngữ nghĩa và tính không thể phân biệt
- Tính bảo mật được định nghĩa sao cho các bản mã không làm rò rỉ bất kỳ thông tin hữu ích nào: một đối thủ không thể phân biệt các bản mã của hai thông điệp được chọn, một định nghĩa được Goldwasser và Micali giới thiệu làm nền tảng cho tất cả các bảo mật mã hóa hiện đại.
- Các mô hình tấn công và sức mạnh của đối thủ
- Bảo mật được nêu liên quan đến những gì đối thủ có thể làm — quan sát thụ động, thực hiện các cuộc tấn công bản rõ được chọn hoặc bản mã được chọn thích ứng — với các mô hình mạnh hơn (bảo mật CCA) được yêu cầu cho các lược đồ được sử dụng trong các cài đặt tương tác, đối kháng.
Mechanisms
Một định nghĩa dựa trên trò chơi đặt một người thách thức chống lại một đối thủ: đối với bảo mật IND-CPA, đối thủ gửi hai thông điệp, người thách thức mã hóa một cách ngẫu nhiên, và bảo mật yêu cầu đối thủ không thể đoán được thông điệp nào ngoài cơ hội. Các định nghĩa CCA mạnh hơn cũng cung cấp cho đối thủ một oracle giải mã. Mô hình lý tưởng/thực tế thay vào đó coi một lược đồ là an toàn nếu việc tương tác với nó không thể phân biệt được với việc tương tác với một chức năng đáng tin cậy được lý tưởng hóa. Các đối thủ thực tế có thể khai thác thời gian hoặc rò rỉ điện năng bên ngoài các mô hình này, thúc đẩy các định nghĩa nhận biết kênh phụ.
Clinical relevance
Việc chọn đúng định nghĩa là rất quan trọng: mã hóa được sử dụng trong các giao thức tương tác cần bảo mật CCA, không chỉ CPA, và các cuộc tấn công oracle đệm trên các hệ thống thực (chẳng hạn như TLS ban đầu) trực tiếp là kết quả của việc triển khai các lược đồ đáp ứng một định nghĩa quá yếu. Các mô hình đối thủ cũng làm rõ những gì một triển khai không bảo vệ chống lại — ví dụ, các mô hình bỏ qua các kênh phụ giải thích tại sao các cuộc tấn công thời gian và điện năng thành công chống lại các triển khai 'an toàn' khác.
Evidence & guidelines
Các tiêu chuẩn hiện đại yêu cầu các lược đồ phải đáp ứng các định nghĩa mạnh mẽ: mã hóa xác thực (IND-CCA cộng với tính toàn vẹn) là mặc định cho tính bảo mật, và chữ ký phải không thể giả mạo tồn tại dưới tấn công thông điệp được chọn thích ứng. Khung Khả năng Kết hợp Phổ quát cung cấp các định nghĩa vẫn an toàn dưới sự kết hợp tùy ý. Các triển khai còn yêu cầu mã hóa chống kênh phụ (thời gian không đổi) ngoài mô hình chính thức.
History
Trước những năm 1980, bảo mật được đánh giá một cách không chính thức. Bảo mật ngữ nghĩa của Goldwasser và Micali (1982-1984) đã giới thiệu các định nghĩa nghiêm ngặt, dựa trên tính không thể phân biệt, sau đó được mở rộng sang các mô hình bản mã được chọn và tính không thể giả mạo cho chữ ký và MAC. Mô hình mô phỏng lý tưởng/thực tế và khung Khả năng Kết hợp Phổ quát của Canetti (2001) đã giải quyết vấn đề bảo mật dưới sự kết hợp, hoàn thành một nền tảng định nghĩa hiện đang chi phối tất cả các phân tích mật mã nghiêm túc.
Key figures
- Shafi Goldwasser
- Silvio Micali
- Oded Goldreich
- Ran Canetti
- Mihir Bellare
Related topics
Seminal works
- goldwasser1984
- katz2020
- goldreich2004
Frequently asked questions
- Sự khác biệt giữa bảo mật CPA và CCA là gì?
- Bảo mật tấn công bản rõ được chọn (CPA) giả định đối thủ có thể lấy được các bản mã của các thông điệp mà nó chọn. Bảo mật tấn công bản mã được chọn (CCA) bổ sung cho phép nó lấy được các bản giải mã của các bản mã mà nó chọn, một mô hình mạnh hơn cần thiết bất cứ khi nào kẻ tấn công có thể gửi các bản mã và quan sát cách hệ thống phản ứng.
- Nếu một lược đồ được chứng minh là an toàn, tại sao các cuộc tấn công kênh phụ vẫn hoạt động?
- Các định nghĩa bảo mật mô hình hóa một đối thủ nhìn thấy đầu vào và đầu ra, chứ không phải rò rỉ vật lý như thời gian, tiêu thụ điện năng hoặc phát xạ điện từ. Một triển khai thực tế có thể làm rò rỉ bí mật thông qua các kênh này mặc dù lược đồ trừu tượng đáp ứng định nghĩa của nó, đó là lý do tại sao các triển khai chống rò rỉ, thời gian không đổi cũng được yêu cầu.