Гибкость (криптография)

Гибкость — свойство некоторых криптографических алгоритмов . ^[1] Алгоритм шифрования является «податливым», если можно преобразовать зашифрованный текст в другой зашифрованный текст, который расшифровывается в связанный открытый текст . То есть, учитывая шифрование открытого текста ${\displaystyle m}$, можно сгенерировать другой зашифрованный текст, который расшифровывается в ${\displaystyle f(m)}$, для известной функции ${\displaystyle f}$, не обязательно зная или изучая ${\displaystyle m}$.

Гибкость часто является нежелательным свойством криптосистемы общего назначения, поскольку она позволяет злоумышленнику изменять содержимое сообщения. Например, предположим, что банк использует поточный шифр, чтобы скрыть свою финансовую информацию, а пользователь отправляет зашифрованное сообщение, содержащее, скажем, « ПЕРЕВОДИТЕ $0000100,00 НА СЧЕТ №199 . Если злоумышленник может изменить сообщение в сети и угадать формат незашифрованного сообщения, злоумышленник может изменить сумму транзакции или получателя средств, например « ПЕРЕВОДИТЕ $0100000,00 НА СЧЕТ №227 . Под гибкостью не подразумевается способность злоумышленника прочитать зашифрованное сообщение. Как до, так и после взлома злоумышленник не может прочитать зашифрованное сообщение.

С другой стороны, некоторые криптосистемы являются гибкими по своей конструкции. Другими словами, при некоторых обстоятельствах это можно рассматривать как возможность, с помощью которой каждый может преобразовать шифрование ${\displaystyle m}$ в действительное шифрование ${\displaystyle f(m)}$ (для некоторого ограниченного класса функций ${\displaystyle f}$) без обязательного обучения ${\displaystyle m}$. Такие схемы известны как схемы гомоморфного шифрования .

Криптосистема может быть семантически защищена от атак с выбранным открытым текстом или даже от неадаптивных атак с выбранным зашифрованным текстом (CCA1), оставаясь при этом податливой. Однако защита от атак с использованием адаптивного выбранного зашифрованного текста (CCA2) эквивалентна неподатливости. ^[2]

В поточном шифре зашифрованный текст создается путем взятия исключительного или открытого текста и псевдослучайного потока на основе секретного ключа. ${\displaystyle k}$, как ${\displaystyle E(m)=m\oplus S(k)}$. Злоумышленник может зашифровать ${\displaystyle m\oplus t}$ для любого ${\displaystyle t}$, как ${\displaystyle E(m)\oplus t=m\oplus t\oplus S(k)=E(m\oplus t)}$.

В криптосистеме RSA открытый текст ${\displaystyle m}$ зашифрован как ${\displaystyle E(m)=m^{e}{\bmod {n}}}$, где ${\displaystyle (e,n)}$ является открытым ключом. Имея такой зашифрованный текст, злоумышленник может зашифровать ${\displaystyle mt}$ для любого ${\displaystyle t}$, как ${\textstyle E(m)\cdot t^{e}{\bmod {n}}=(mt)^{e}{\bmod {n}}=E(mt)}$. По этой причине RSA обычно используется вместе с такими методами заполнения , как OAEP или PKCS1.

В криптосистеме Эль-Гамаля открытый текст ${\displaystyle m}$ зашифрован как ${\displaystyle E(m)=(g^{b},mA^{b})}$, где ${\displaystyle (g,A)}$ является открытым ключом. Учитывая такой зашифрованный текст ${\displaystyle (c_{1},c_{2})}$, противник может вычислить ${\displaystyle (c_{1},t\cdot c_{2})}$, что является действительным шифрованием ${\displaystyle tm}$, для любого ${\displaystyle t}$.Напротив, система Крамера-Шоупа (основанная на Эль-Гамале) не является податливой.

В криптосистемах Paillier , ElGamal и RSA также возможно объединить несколько зашифрованных текстов полезным способом для создания связанного зашифрованного текста. В Пайе, учитывая только открытый ключ и шифрование ${\displaystyle m_{1}}$ и ${\displaystyle m_{2}}$, можно вычислить правильное шифрование их суммы ${\displaystyle m_{1}+m_{2}}$. В Эль-Гамале и в RSA можно комбинировать шифрование ${\displaystyle m_{1}}$ и ${\displaystyle m_{2}}$ чтобы получить действительное шифрование своего продукта ${\displaystyle m_{1}m_{2}}$.

блочные шифры в режиме цепочки блоков шифра Например, частично податливы: переворот бита в блоке зашифрованного текста полностью искажает открытый текст, который он расшифровывает, но приведет к тому, что тот же бит будет перевернут в открытом тексте следующего блока. . Это позволяет злоумышленнику «пожертвовать» одним блоком открытого текста, чтобы изменить некоторые данные в следующем, возможно, сумев злонамеренно изменить сообщение. По сути, это основная идея атаки оракула заполнения на CBC , которая позволяет злоумышленнику расшифровать почти весь зашифрованный текст, не зная ключа. По этой и многим другим причинам код аутентификации сообщения необходим для защиты от любого метода подделки.

Фишлин в 2005 году определил понятие полной неподатливости как способность системы оставаться неподатливой , одновременно предоставляя злоумышленнику дополнительные полномочия по выбору нового открытого ключа, который может быть функцией исходного открытого ключа. ^[3] Другими словами, злоумышленник не должен иметь возможности придумать зашифрованный текст, основной открытый текст которого связан с исходным сообщением посредством отношения, которое также учитывает открытые ключи.

• Гомоморфное шифрование