Детерминированное шифрование схема (в отличие от вероятностного шифрования схемы) является криптосистемой , которая всегда производит тот же зашифрованный текст для данного открытого текста и ключа , даже над отдельными выполнениями алгоритма шифрования. Примеры детерминированных алгоритмов шифрования включают криптосистему RSA (без заполнения шифрования) и множество блочных шифров при использовании в режиме ECB или с постоянным вектором инициализации .
Утечка
Детерминированное шифрование может привести к утечке информации перехватчику, который может распознать известные зашифрованные тексты. Например, когда злоумышленник узнает, что данный зашифрованный текст соответствует некоторому интересному сообщению, он может узнать что-то каждый раз, когда этот зашифрованный текст передается. Чтобы получить информацию о значении различных зашифрованных текстов, злоумышленник может выполнить статистический анализ сообщений, передаваемых по зашифрованному каналу, или попытаться сопоставить зашифрованные тексты с наблюдаемыми действиями (например, отмечая, что данный зашифрованный текст всегда принимается непосредственно перед погружением подводной лодки) . Эта проблема особенно серьезна в случае криптографии с открытым ключом , когда любая сторона может зашифровать выбранные сообщения с помощью открытого ключа шифрования. В этом случае злоумышленник может создать большой «словарь» полезных пар открытый текст / зашифрованный текст, а затем наблюдать за зашифрованным каналом для сопоставления зашифрованных текстов.
Приложения
Хотя детерминированные схемы шифрования никогда не могут быть семантически безопасными , они имеют некоторые преимущества перед вероятностными схемами.
Поиск в базе зашифрованных данных
Одной из основных причин использования детерминированного шифрования является эффективный поиск зашифрованных данных. Предположим, клиент хочет передать базу данных на аутсорсинг, возможно, ненадежному поставщику услуг баз данных. Если каждая запись зашифрована с использованием криптосистемы с открытым ключом, любой может добавить в базу данных, и только выделенный «получатель», у которого есть закрытый ключ, может расшифровать записи базы данных. Однако, если получатель хочет найти конкретную запись в базе данных, это становится очень трудным. Существует несколько схем шифрования с открытым ключом, которые позволяют выполнять поиск по ключевым словам [1] [2] [3], однако все эти схемы требуют времени поиска, линейного по размеру базы данных. Если записи базы данных были зашифрованы с помощью детерминированной схемы и отсортированы, то конкретное поле базы данных могло быть извлечено за логарифмическое время.
Безопасность
Предполагая, что будет использоваться детерминированная схема шифрования, важно понимать, какой максимальный уровень безопасности может быть гарантирован.
Ряд работ посвящен именно этой проблеме. Первая работа по строгому определению безопасности детерминированной схемы была проведена в CRYPTO 2007 . [4] Эта работа предоставила довольно строгие определения безопасности (хотя и более слабые, чем семантическая безопасность) и дала конструкции в модели случайного оракула . В следующем году в CRYPTO 2008 появились две последующие работы, дающие определения эквивалентности и конструкции без случайных оракулов. [5] [6]
Альтернативы детерминированному шифрованию
Чтобы противостоять этой проблеме, криптографы предложили понятие «рандомизированное» или вероятностное шифрование . Согласно этим схемам, данный открытый текст может быть зашифрован до одного из очень большого набора возможных зашифрованных текстов, выбранных случайным образом в процессе шифрования. При достаточно надежных гарантиях безопасности предложенные выше атаки становятся невозможными, поскольку злоумышленник не сможет сопоставить любые два шифрования одного и того же сообщения или сопоставить сообщение с его зашифрованным текстом, даже имея доступ к общедоступному ключу шифрования. Эта гарантия известна как семантическая безопасность или неразличимость зашифрованного текста и имеет несколько определений в зависимости от предполагаемых возможностей злоумышленника (см. Семантическую безопасность ).
Смотрите также
Рекомендации
- ^ Боне, Дэн; Ди Крещенцо, Джованни; Островский, Рафаил; Персиано, Джузеппе (2004). «Шифрование открытого ключа с поиском по ключевым словам» (PDF) . Еврокрипт 2004 : 506–522.
- ^ Гу, Чуньсян; Чжу, Юэфэй; Чжан, Яцзюань (2006). «Эффективное шифрование открытого ключа со схемами поиска по ключевым словам из пар» (PDF) . Проверено 3 марта 2015 года . Цитировать журнал требует
|journal=
( помощь ) - ^ Мишель, Абдалла; и другие. (2005). «Новое в шифровании с возможностью поиска: свойства согласованности, связь с анонимным IBE и расширениями» . Крипто 2005 : 205–222.
- ^ Белларе, Михир; Болдырева Александра; О'Нил, Адам (2007). «Детерминированное шифрование с возможностью эффективного поиска» . Достижения в криптологии - CRYPTO 2007 . 4622 (Конспект лекций по информатике): 535–552. DOI : 10.1007 / 978-3-540-74143-5_30 .
- ^ Болдырева Александра; Фер, Серж; О'Нил, Адам (2008). Вагнер, Дэвид (ред.). «О понятиях безопасности для детерминированного шифрования и эффективных конструкций без случайных оракулов» . Достижения в криптологии - CRYPTO 2008 . Конспект лекций по информатике. Берлин, Гейдельберг: Springer: 335–359. DOI : 10.1007 / 978-3-540-85174-5_19 . ISBN 978-3-540-85174-5.
- ^ Белларе, Михир; Фишлин, Марк; О'Нил, Адам; Ристенпарт, Томас (2008). Вагнер, Дэвид (ред.). «Детерминированное шифрование: определения эквивалентности и конструкции без случайных оракулов» . Достижения в криптологии - CRYPTO 2008 . Конспект лекций по информатике. Берлин, Гейдельберг: Springer: 360–378. DOI : 10.1007 / 978-3-540-85174-5_20 . ISBN 978-3-540-85174-5.
- Михир Белларе, Александра Болдырева и Адам О'Нил, Детерминированное и эффективное шифрование с возможностью поиска, CRYPTO 2007 [1] [2]
- Александра Болдырева, Серж Фер и Адам О'Нил, О понятиях безопасности для детерминированного шифрования и эффективных конструкциях без случайных оракулов, CRYPTO 2008 [3] [4]
- Михир Белларе и Марк Фишлин, Адам О'Нил и Томас Ристенпарт, Детерминированное шифрование: определения эквивалентности и конструкции без случайных оракулов, CRYPTO 2008 [5] [6]