WikiProject Криптография / Информатика | (Номинальный начальный класс, средняя важность) | |||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
«В отличие от специальных схем, таких как заполнение, используемое в PKCS # 1 v1, OAEP доказуемо безопасен в рамках модели случайного оракула».
У меня сложилось впечатление, что первоначальное доказательство было доказано ошибочным в статьях из Crypto 2001 - кто-нибудь знает об этом больше? - 80.171.158.198 22:02, 27 февраля 2006 г. (UTC)
Вот эвристический пример: если вы зашифруете сообщение m с помощью RSA PKCS # 1 v1.5, тогда система не распознает открытый текст. Если вы объедините шифрование с безопасным хешем сообщения, тогда шифрование станет учитывающим открытый текст, но больше не будет семантически безопасным, потому что злоумышленник может просто попытаться угадать сообщение, хэшировать его и сравнить результат с хешем. Таким образом, для защиты от атак с выбранным зашифрованным текстом вам нужно немного больше, чем просто осведомленность об открытом тексте. 85.2.38.165 17:59, 7 февраля 2007 г. (UTC)
Насколько я понимаю, Bleichenbacher использует строго ограниченный выбранный оракул зашифрованного текста, который не возвращает полный открытый текст, а скорее единственный бит, указывающий, правильно ли отформатирован исходный текст RSA PKCS # 1 v1.5. Таким образом, его атака не требует полного оракула CCA2: она может быть успешной с меньшим количеством информации, что делает ее более сильной атакой.
Критика определения безопасности CCA2 заключается в том, что ограничение оракула для дешифрования шифрованного текста не дешифровкой шифрованного текста является искусственным. Критика предполагает, что безопасность CCA2 на самом деле не нужна, чтобы избежать практической атаки .
Bleichenbacher в практической атака может быть описана без ограничения зашифрованного выше: один может подать вызов cipherext к оракулу, который возвращает немного о провокационном открытом тексте. Реалистично предположить, что шифрованный текст запроса уже был правильно отформатирован PKCS # 1 v1.5, поэтому этот бит всегда будет возвращать 1, поэтому оракул не обнаруживает ничего нового.
Итак, атака Блейхенбахера не преодолевает вышеупомянутую критику в отношении CCA2. Статья в том виде, в каком она написана, может быть истолкована как поддержка необходимости CCA2 для преодоления практической атаки . Предлагаю немного изменить статью, чтобы не создавать такого впечатления. DRLB ( разговор ) 18:39, 2 марта 2011 (UTC)