Универсальность компоновки

Структура универсальной компоновки (UC) ^[1] является универсальной моделью для анализа криптографических протоколов. Это гарантирует очень сильные защитные свойства. Протоколы остаются безопасными, даже если они произвольно скомпонованы с другими экземплярами того же или других протоколов . Безопасность определяется в смысле эмуляции протокола. Интуитивно говорят, что протокол эмулирует другой, если никакая среда (наблюдатель) не может различать выполнение. Буквально протокол может имитировать другой протокол (без доступа к коду). Понятие безопасности выводится косвенно. Предположим, что протокол безопасен по определению. Если другой протокол эмулирует протокол ${\ Displaystyle P_ {1}}$ ${\ displaystyle P_ {2}}$ ${\ Displaystyle P_ {1}}$ так что никакая среда не отличает эмуляцию от выполнения протокола, тогда эмулируемый протокол так же безопасен, как и протокол . ${\ displaystyle P_ {2}}$ ${\ Displaystyle P_ {1}}$

Идеальная функциональность [ править ]

Идеальная функциональность - это протокол, в котором доверенная сторона, которая может общаться по совершенно безопасным каналам со всеми участниками протокола, вычисляет желаемый результат протокола. Мы говорим, что криптографический протокол, который не может использовать такую доверенную сторону, выполняет идеальную функциональность, если протокол может имитировать поведение доверенной стороны для честных пользователей, и если точка зрения, которую злоумышленник узнает путем атаки на протокол, неотличима от что может быть вычислено симулятором, который взаимодействует только с идеальной функциональностью.

Модель вычислений [ править ]

Вычислительная модель универсальной компоновки - это модель интерактивных машин Тьюринга, которые могут активировать друг друга, записывая данные на ленты связи друг друга. Интерактивная машина Тьюринга представляет собой разновидность многоленточной машины Тьюринга и обычно используется для моделирования вычислительных аспектов сетей связи в криптографии .

Коммуникационная модель [ править ]

Коммуникационная модель в простой среде UC очень проста. Сообщения отправляющей стороны передаются противнику, который может заменить эти сообщения сообщениями по своему выбору, которые доставляются принимающей стороне. Это тоже модель угроз Долева-Яо . (На основе вычислительной модели все стороны моделируются как интерактивные машины Тьюринга)

Все модели связи, которые добавляют дополнительные свойства, такие как конфиденциальность , аутентичность , синхронизация или анонимность , моделируются с использованием их собственных идеальных функций. Идеальная коммуникационная функция принимает сообщение на входе и производит сообщение на выходе. (Более ограниченные) полномочия противника моделируются через (ограниченную) способность противника взаимодействовать с этой идеальной функциональностью. ${\ displaystyle {\ mathcal {A}}}$

Идеальный канал с аутентификацией : для оптимального идеального канала с аутентификацией идеальная функциональность принимает сообщение от стороны с идентификатором в качестве входных данных и выводит то же сообщение вместе с идентификатором получателю и противнику. Чтобы смоделировать способность противника задерживать асинхронную связь, функциональные возможности могут сначала отправить сообщение противнику и доставить сообщение только после того, как он получит команду сделать это в качестве ответа. ${\mathcal {F}}_{\mathsf {Auth}}$ $m$ $P$ $P$ ${\mathcal {F}}_{\mathsf {Auth}}$ ${\mathcal {A}}$ $m,P$

Идеальный безопасный канал : в идеальном безопасном канале идеальная функциональность выводит только личность отправителя как получателю, так и противнику, в то время как сообщение раскрывается только получателю. Это моделирует требование, чтобы безопасный канал был как аутентифицированным, так и частным. Чтобы смоделировать некоторую утечку информации, которая передается, может раскрыть информацию о сообщении злоумышленнику, например, длину сообщения. Асинхронная связь моделируется с помощью того же механизма задержки, что и для . ${\mathcal {F}}_{\mathsf {Sec}}$ ${\mathcal {F}}_{\mathsf {Sec}}$ ${\mathcal {F}}_{\mathsf {Auth}}$

Более продвинутые каналы [ править ]

Хотя технические средства и физические допущения, лежащие в основе анонимной и псевдонимной коммуникации, сильно различаются ^[2], моделирование таких каналов с использованием идеальных функций аналогично. См. Также луковую маршрутизацию и анонимный P2P . Аналогичные функции могут быть определены для широковещательной или синхронной связи .

Идеальный анонимный канал : в идеальном анонимном канале , идеальная функциональность, принимает сообщение от стороны с идентификатором в качестве ввода и выводит то же сообщение, но без раскрытия личности получателю и противнику. ${\mathcal {F}}_{\mathsf {Anon}}$ $m$ $P$ $P$

Идеальный псевдонимный канал : в идеальном псевдонимном канале участвующие стороны сначала регистрируют уникальные псевдонимы с идеальной функциональностью . Для перевода необходимо ввести сообщение и псевдоним получателя. Идеальная функциональность ищет владельца псевдонима и передает сообщение, не раскрывая личности отправителя. ${\mathcal {F}}_{\mathsf {Pseu}}$ ${\mathcal {F}}_{\mathsf {Pseu}}$ $m$ $nym$ $m,nym$

Эти формализации абстрагируются от деталей реализации конкретных систем, реализующих такие каналы. В чистом виде идеальная функциональность может оказаться неосуществимой. Может потребоваться ослабить функциональность, передав дополнительную информацию злоумышленнику ( степень анонимности ). С другой стороны, каналы связи могут быть физическими, ^[3]^[4] например, мобильное устройство может получить анонимный канал, постоянно меняя свое местоположение перед передачей сообщений, не содержащих идентификаторов .

Невозможность результатов [ править ]

Не существует протокола передачи битов , который можно было бы универсально комбинировать в Стандартной модели . Интуиция заключается в том, что в идеальной модели симулятор должен извлекать значение для фиксации из входных данных среды. Это позволит получателю в реальном протоколе извлечь зафиксированное значение и нарушить безопасность протокола. Этот результат невозможности может быть применен к другим функциям.

Предположения установки и доверия [ править ]

Чтобы обойти вышеуказанный результат невозможности, требуются дополнительные предположения. Дополнительные настройки и допущения о доверии, такие как модель общей эталонной строки и допущение о доверенном центре сертификации , также моделируются с использованием идеальных функций в UC.

Споры и другие модели [ править ]

Reactive Simulatability ^[5] - аналогичная модель, разработанная одновременно с универсальной моделью совместимости.
Аннотация / Конструктивная криптография ^[6]^[7] является более поздней универсальной моделью для составного анализа криптографических протоколов.
Модель GNUC и IITM - это переформулировки универсальной компонуемости, сделанные другим исследователем (в частности, Виктором Шоупом и Ральфом Кестерсом), которые повлияли на новые версии канонической модели Рана Канетти .

См. Также [ править ]

Безопасные многосторонние вычисления
Безопасный канал
Логика Берроуза-Абади-Нидхема
Абстракция
Математическая модель
Общая эталонная строковая модель

Ссылки [ править ]

^ Р. Канетти. Универсально составная безопасность: новая парадигма криптографических протоколов. [1]
^ Дуглас Викстрём: универсально составная Mix-Net. TCC 2004: 317-335
^ Тацуаки Окамото: О взаимосвязи между криптографическими физическими допущениями. ISAAC 1993: 369-378
^ Вака Нагао, Ёсифуми Манабэ, Тацуаки Окамото: взаимосвязь трех криптографических каналов в структуре UC. ProvSec 2008: 268-282
^ Майкл Бэкс и Биргит Пфицманн и Майкл Вайднер. Фреймворк реактивной моделируемости (RSIM) для асинхронных систем. Архив Cryptology ePrint: отчет 2004/082
^ Ули Маурер, Ренато Реннер: Абстрактная криптография. ICS 2011: 1-21
^ Ули Маурер. Конструктивная криптография - новая парадигма определений и доказательств безопасности. TOSCA 2011: 33-56

[1] Р. Канетти. Универсально составная безопасность: новая парадигма криптографических протоколов. [1]

[2] Дуглас Викстрём: универсально составная Mix-Net. TCC 2004: 317-335

[3] Тацуаки Окамото: О взаимосвязи между криптографическими физическими допущениями. ISAAC 1993: 369-378

[4] Вака Нагао, Ёсифуми Манабэ, Тацуаки Окамото: взаимосвязь трех криптографических каналов в структуре UC. ProvSec 2008: 268-282

[5] Майкл Бэкс и Биргит Пфицманн и Майкл Вайднер. Фреймворк реактивной моделируемости (RSIM) для асинхронных систем. Архив Cryptology ePrint: отчет 2004/082

[6] Ули Маурер, Ренато Реннер: Абстрактная криптография. ICS 2011: 1-21

[7] Ули Маурер. Конструктивная криптография - новая парадигма определений и доказательств безопасности. TOSCA 2011: 33-56

[1]