Энтропийная безопасность

Эта статья нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты на надежные источники . Неиспользованный материал может быть оспорен и удален. Найдите источники:   «Энтропийная безопасность» — новости   · газеты   · книги   · ученый   · JSTOR ( сентябрь 2022 г. ) ( Узнайте, как и когда удалить это сообщение )

Энтропийная безопасность — это определение безопасности, используемое в области криптографии . Современные схемы шифрования обычно необходимы для защиты связи, даже если злоумышленник располагает существенной информацией о шифруемых сообщениях. Например, даже если злоумышленник знает, что перехваченный зашифрованный текст зашифровывает либо сообщение «Атака», либо сообщение «Отступление», семантически безопасная схема шифрования не позволит злоумышленнику узнать, какое из двух сообщений зашифровано. Однако такие определения, как семантическая безопасность , слишком сильны, чтобы их можно было достичь с помощью некоторых специализированных схем шифрования. Энтропийная безопасность — более слабое определение, которое можно использовать в особом случае, когда злоумышленник имеет очень мало информации о шифруемых сообщениях.

Хорошо известно, что некоторые типы алгоритмов шифрования не могут удовлетворять таким определениям, как семантическая безопасность : например, детерминированные алгоритмы шифрования никогда не могут быть семантически безопасными. Определения энтропийной безопасности ослабляют эти определения до случаев, когда пространство сообщений имеет значительную энтропию (с противника точки зрения ). Согласно этому определению можно доказать безопасность детерминированного шифрования.

Обратите внимание, что на практике энтропийно-безопасные алгоритмы шифрования являются «безопасными» только при условии, что распределение сообщений обладает высокой энтропией с точки зрения любого разумного злоумышленника. Это нереалистичное предположение для общей схемы шифрования, поскольку нельзя предположить, что все вероятные пользователи будут шифровать сообщения с высокой энтропией. более строгие определения (например, семантическая безопасность или неотличимость при атаке с использованием адаптивного выбранного зашифрованного текста Для этих схем подходят ). Однако существуют особые случаи, когда разумно требовать сообщений с высокой энтропией. Например, схемы шифрования, которые шифруют только материал секретного ключа (например, схемы инкапсуляции ключей или схемы переноса ключей ), могут рассматриваться в рамках определения энтропийной безопасности. Практическое применение этого результата — использование детерминированных алгоритмов шифрования для безопасного шифрования материала секретного ключа.

Рассел и Ван формализовали определение энтропийной безопасности шифрования. Их определение напоминает определение семантической безопасности , когда пространства сообщений имеют высокоэнтропийное распределение. В одной формализации определение подразумевает, что противник, получивший зашифрованный текст, не сможет вычислить какой-либо предикат к зашифрованному тексту с (существенно) большей вероятностью, чем противник, не обладающий зашифрованным текстом. Позже Додис и Смит предложили альтернативные определения и показали эквивалентность.

• А. Рассел и Ю. Ван. Как обмануть неограниченного противника коротким ключом. Появился на выставке «Достижения в криптологии – Eurocrypt 2002» .
• Ю. Додис и А. Смит. Энтропийная безопасность и шифрование сообщений с высокой энтропией. Появился на конференции по теории криптографии (TCC) 2005 г.