Энтропическая безопасность - это определение безопасности, используемое в области криптографии . Современные схемы шифрования обычно требуются для защиты связи, даже если злоумышленник имеет существенную информацию о зашифрованных сообщениях. Например, даже если злоумышленник знает, что перехваченный шифротекст шифрует либо сообщение «Атака», либо сообщение «Отступление», семантически безопасная схема шифрования не позволит злоумышленнику узнать, какое из двух сообщений зашифровано. Однако такие определения, как семантическая безопасностьслишком сильны, чтобы их можно было достичь с помощью определенных специализированных схем шифрования. Энтропийная безопасность - это более слабое определение, которое можно использовать в особом случае, когда злоумышленник имеет очень мало информации о зашифрованных сообщениях.
Хорошо известно, что определенные типы алгоритмов шифрования не могут удовлетворять таким определениям, как семантическая безопасность : например, детерминированные алгоритмы шифрования никогда не могут быть семантически безопасными. Энтропийные определения безопасности расслабить эти определения в тех случаях , когда сообщение пространство имеет существенную энтропию (от противника точки зрения). Под этим определением можно доказать безопасность детерминированного шифрования.
Обратите внимание, что на практике энтропийно-безопасные алгоритмы шифрования являются «безопасными» только при условии, что распространение сообщений обладает высокой энтропией с точки зрения любого разумного противника. Это нереалистичное предположение для общей схемы шифрования, поскольку нельзя предполагать, что все вероятные пользователи будут шифровать сообщения с высокой энтропией. Для этих схем подходят более строгие определения (такие как семантическая безопасность или неразличимость при адаптивной атаке с выбранным зашифрованным текстом ). Однако есть особые случаи, когда разумно требовать сообщений с высокой энтропией. Например, схемы шифрования, которые шифруют только материал секретного ключа (например, инкапсуляция ключа или схемы переноса ключей ), могут рассматриваться в рамках определения энтропийной безопасности. Практическое применение этого результата - использование детерминированных алгоритмов шифрования для безопасного шифрования материала секретного ключа.
Рассел и Ван формализовали определение энтропийной безопасности для шифрования. Их определение напоминает определение семантической безопасности, когда пространства сообщений имеют высокоэнтропийное распределение. В одной формализации определение подразумевает, что злоумышленник с данным зашифрованным текстом не сможет вычислить какой-либо предикат зашифрованного текста с (существенно) большей вероятностью, чем злоумышленник, который не владеет зашифрованным текстом. Позже Додис и Смит предложили альтернативные определения и показали эквивалентность.
Рекомендации
- А. Рассел и Ю. Ван. Как обмануть безграничного противника коротким ключом. Появился на конференции «Успехи в криптологии - Eurocrypt 2002» .
- Ю. Додис и А. Смит. Энтропийная безопасность и шифрование высокоэнтропийных сообщений. Выступил на конференции по теории криптографии (TCC) 2005 .