Обсуждение: Адаптивная атака по выбранному зашифрованному тексту

WikiProject Криптография / Информатика

(Номинальный начальный класс, средняя важность)

Эта статья находится в рамках WikiProject Cryptography , совместной работы по расширению охвата криптографии в Википедии. Если вы хотите принять участие, посетите страницу проекта, где вы можете присоединиться к обсуждению и увидеть список открытых задач.Криптография Википедия: Криптография WikiProject Шаблон: Криптография WikiProject Статьи о криптографии  Начинать  Эта статья получила оценку Start-Class по шкале качества .  Середина  Эта статья была оценена как средняя по шкале важности . Эта статья поддерживается WikiProject Computer science (помечена как Средняя ).

OAEP

«В отличие от специальных схем, таких как заполнение, используемое в PKCS # 1 v1, OAEP доказуемо безопасен в рамках модели случайного оракула».

У меня сложилось впечатление, что первоначальное доказательство было доказано ошибочным в статьях из Crypto 2001 - кто-нибудь знает об этом больше? - 80.171.158.198 22:02, 27 февраля 2006 г. (UTC) [ ]

Первоначальное определение и доказательство были недостаточно сильными. Но опубликовано лучшее доказательство. Подробнее см. Оптимальное заполнение асимметричным шифрованием . 67.84.116.166 13:35, 7 октября 2006 г. (UTC) [ ]

Знания открытого текста недостаточно для защиты от атак с выбранным зашифрованным текстом

Вот эвристический пример: если вы зашифруете сообщение m с помощью RSA PKCS # 1 v1.5, тогда система не распознает открытый текст. Если вы объедините шифрование с безопасным хешем сообщения, тогда шифрование станет учитывающим открытый текст, но больше не будет семантически безопасным, потому что злоумышленник может просто попытаться угадать сообщение, хэшировать его и сравнить результат с хешем. Таким образом, для защиты от атак с выбранным зашифрованным текстом вам нужно немного больше, чем просто осведомленность об открытом тексте. 85.2.38.165 17:59, 7 февраля 2007 г. (UTC) [ ]

На самом деле, я больше в этом не уверен. Статья М. Беллара, А. Десаи, Д. Пойнтшваля и П. Рогавея [1] «Взаимосвязь между понятиями безопасности для схем шифрования с открытым ключом» действительно доказывает, что осведомленность об открытом тексте подразумевает защиту от атак с выбранным зашифрованным текстом. Однако определение понимания открытого текста в этой статье, по-видимому, подразумевает семантическую безопасность, а неофициальное определение википедии - нет. 85.2.38.165 18:41, 7 февраля 2007 г. (UTC) [ ]

Атака Блейхенбахера сильнее, чем адаптивная атака по выбранному зашифрованному тексту

Насколько я понимаю, Bleichenbacher использует строго ограниченный выбранный оракул зашифрованного текста, который не возвращает полный открытый текст, а скорее единственный бит, указывающий, правильно ли отформатирован исходный текст RSA PKCS # 1 v1.5. Таким образом, его атака не требует полного оракула CCA2: она может быть успешной с меньшим количеством информации, что делает ее более сильной атакой.

Критика определения безопасности CCA2 заключается в том, что ограничение оракула для дешифрования шифрованного текста не дешифровкой шифрованного текста является искусственным. Критика предполагает, что безопасность CCA2 на самом деле не нужна, чтобы избежать практической атаки .

Bleichenbacher в практической атака может быть описана без ограничения зашифрованного выше: один может подать вызов cipherext к оракулу, который возвращает немного о провокационном открытом тексте. Реалистично предположить, что шифрованный текст запроса уже был правильно отформатирован PKCS # 1 v1.5, поэтому этот бит всегда будет возвращать 1, поэтому оракул не обнаруживает ничего нового.

Итак, атака Блейхенбахера не преодолевает вышеупомянутую критику в отношении CCA2. Статья в том виде, в каком она написана, может быть истолкована как поддержка необходимости CCA2 для преодоления практической атаки . Предлагаю немного изменить статью, чтобы не создавать такого впечатления. DRLB ( разговор ) 18:39, 2 марта 2011 (UTC) [ ]