Семантическая безопасность

В криптографии криптосистема семантически безопасная — это лишь незначительную информацию об открытом тексте можно извлечь система, в которой из зашифрованного текста . В частности, любой вероятностный алгоритм с полиномиальным временем (PPTA), которому дан зашифрованный текст определенного сообщения. ${\displaystyle m}$ (взятые из любого распределения сообщений) и длина сообщения не могут определить какую-либо частичную информацию о сообщении с вероятностью, не пренебрежимо высокой, чем все другие PPTA, которые имеют доступ только к длине сообщения (а не к зашифрованному тексту). ^[1] Эта концепция является аналогом вычислительной сложности Шеннона концепции совершенной секретности . Совершенная секретность означает, что зашифрованный текст вообще не раскрывает никакой информации об открытом тексте, тогда как семантическая безопасность подразумевает, что любую раскрытую информацию невозможно извлечь. ^{[2] [3] : 378–381}

Понятие семантической безопасности было впервые выдвинуто Голдвассером и Микали в 1982 году. ^[1] Однако изначально предложенное ими определение не предлагало простых способов доказать безопасность практических криптосистем. Гольдвассер/Микали впоследствии продемонстрировали, что семантическая безопасность эквивалентна другому определению безопасности, называемому неотличимостью зашифрованного текста при атаке с использованием выбранного открытого текста. ^[4] Последнее определение более распространено, чем исходное определение семантической безопасности, поскольку оно лучше облегчает доказательство безопасности практических криптосистем.

В случае криптосистем с алгоритмом симметричного ключа злоумышленник не должен иметь возможности вычислить какую-либо информацию об открытом тексте из его зашифрованного текста. Это можно предположить, что противник, учитывая два открытых текста одинаковой длины и два соответствующих им зашифрованных текста, не может определить, какой зашифрованный текст к какому открытому тексту принадлежит.

Этот раздел нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , ссылки на надежные источники добавив в этот раздел . Неиспользованный материал может быть оспорен и удален. ( сентябрь 2012 г. ) ( Узнайте, как и когда удалить это сообщение )

Чтобы криптосистема с алгоритмом шифрования с асимметричным ключом была семантически безопасной, для вычислительно ограниченного противника должно быть невозможно получить важную информацию о сообщении (открытый текст), когда ему предоставлен только его зашифрованный текст и соответствующий открытый ключ шифрования. Семантическая безопасность рассматривает только случай «пассивного» злоумышленника, т. е. того, кто генерирует и наблюдает за зашифрованными текстами, используя открытый ключ и открытые тексты по своему выбору. В отличие от других определений безопасности, семантическая безопасность не рассматривает случай атаки с выбранным зашифрованным текстом (CCA), когда злоумышленник может запросить расшифровку выбранного зашифрованного текста, а многие семантически безопасные схемы шифрования явно небезопасны против атаки с выбранным зашифрованным текстом. Следовательно, семантическая безопасность теперь считается недостаточным условием для защиты схемы шифрования общего назначения.

Неотличимость при атаке с использованием выбранного открытого текста ( IND-CPA ) обычно определяется с помощью следующего эксперимента: ^[5]

1. Случайная пара ${\displaystyle (pk,sk)}$ генерируется путем запуска ${\displaystyle Gen(1^{n})}$.
2. Вероятностно-полиномиальному противнику, ограниченному по времени, дается открытый ключ. ${\displaystyle pk}$ , который он может использовать для генерации любого количества зашифрованных текстов (в пределах полиномиальных границ).
3. Злоумышленник генерирует два сообщения одинаковой длины. ${\displaystyle m_{0}}$ и ${\displaystyle m_{1}}$и передает их оракулу вызова вместе с открытым ключом.
4. Оракул вызова выбирает одно из сообщений, подбрасывая честную монету (выбирая случайный бит). ${\displaystyle b\in \{0,1\}}$), шифрует сообщение ${\displaystyle m_{b}}$ под открытым ключом и возвращает полученный сложный зашифрованный текст ${\displaystyle c}$ противнику.

Базовой криптосистемой является IND-CPA (и, следовательно, она семантически безопасна при атаке с выбранным открытым текстом), если злоумышленник не может определить, какое из двух сообщений было выбрано оракулом, с вероятностью, значительно большей, чем ${\displaystyle 1/2}$ (успех случайного угадывания). Варианты этого определения определяют неотличимость при атаке с выбранным зашифрованным текстом и атаке с адаптивным выбранным зашифрованным текстом ( IND-CCA , IND-CCA2 ).

Поскольку в приведенной выше игре противник обладает открытым ключом шифрования, семантически безопасная схема шифрования должна по определению быть вероятностной , обладающей компонентом случайности ; если бы это было не так, злоумышленник мог бы просто вычислить детерминированное шифрование ${\displaystyle m_{0}}$ и ${\displaystyle m_{1}}$ и сравнить эти шифрования с возвращенным зашифрованным текстом ${\displaystyle c}$ чтобы успешно угадать выбор оракула.

Семантически безопасные алгоритмы шифрования включают Goldwasser-Micali , ElGamal и Paillier . Эти схемы считаются доказуемо безопасными , поскольку их семантическая безопасность может быть сведена к решению какой-либо сложной математической задачи (например, решающей задачи Диффи-Хеллмана или задачи квадратичной невязки ). Другие, семантически небезопасные алгоритмы, такие как RSA , можно сделать семантически безопасными (при более строгих предположениях) за счет использования схем случайного заполнения шифрования, таких как оптимальное асимметричное заполнение шифрования (OAEP).