Забывчивая псевдослучайная функция

Забывчивая псевдослучайная функция ( OPRF ) — это криптографическая функция, похожая на хеш-функцию с ключом , но с той разницей, что в OPRF две стороны взаимодействуют для безопасного вычисления ( псевдослучайной функции PRF). ^{[ 1 ]}

Определение

В частности, OPRF — это псевдослучайная функция со следующими свойствами:

Стороны вычисляют: O = OPRF( I , S )
Первая сторона ( клиент ) знает входные данные ( I ) и изучает выходные данные ( O ), но не узнает секрет ( S )
Вторая сторона ( сервер ) знает секрет ( S ), но не узнает ни входные данные ( I ), ни выходные данные ( O ).
Функция имеет те же свойства безопасности, что и любая криптографически безопасная псевдослучайная функция:
- Трудно найти два входа с одинаковым выходом (т.е. они устойчивы к коллизиям ).
- Его трудно инвертировать (т.е. он устойчив к атакам на прообразы ).
- Трудно отличить результат от истинной случайности.

Функция называется забывчивой псевдослучайной функцией, поскольку вторая сторона не обращает внимания на выходные данные функции. Эта сторона не узнает никакой новой информации от участия в подсчете результата.

Однако, поскольку только вторая сторона владеет секретом, первая сторона должна привлечь вторую сторону для расчета выходных данных псевдослучайной функции (PRF). Это требование позволяет второй стороне реализовать контроль доступа , регулирование , ведение журнала аудита и другие меры безопасности.

История

Хотя обычные псевдослучайные функции, вычисляемые одной стороной, были впервые формализованы в 1986 году, ^{[ 2 ]} только в 1997 году первая двухсторонняя забывчивая псевдослучайная функция : в литературе была описана ^{[ 3 ]} но термин «Забывчивая псевдослучайная функция» не был придуман некоторыми из тех же авторов до 2005 года. ^{[ 4 ]}

Приложения

OPRF имеют множество полезных применений в криптографии и информационной безопасности .

К ним относятся генерация ключей на основе пароля на основе пароля , соглашение о ключах , усиление пароля, неотслеживаемые CAPTCHA , управление паролями , управление гомоморфными ключами и пересечение частных наборов . ^{[ 1 ]}^{[ 5 ]}

OPRF можно рассматривать как особый случай гомоморфного шифрования , поскольку он позволяет другой стороне вычислить функцию на основе зашифрованных входных данных и получить результат (который остается зашифрованным), и, следовательно, он ничего не узнает о том, что он вычислил.

Получение ключа на основе пароля

Большинство форм получения ключей на основе паролей страдают от того, что пароли обычно содержат небольшое количество случайности (или энтропии) по сравнению с полноразмерными 128- или 256-битными ключами шифрования. Это делает ключи, полученные из паролей, уязвимыми для атак методом перебора .

Однако эту угрозу можно смягчить, используя выходные данные OPRF, который принимает пароль в качестве входных данных.

Если секретный ключ, используемый в OPRF, имеет высокую энтропию, то выходные данные OPRF также будут высокоэнтропийными. Таким образом, это решает проблему низкой энтропии пароля и, следовательно, уязвимости для взлома с помощью грубой силы .

Этот метод называется усилением пароля . ^{[ 6 ]} Он выполняет ту же задачу, что и растяжение ключей , но усиление защиты паролей добавляет значительно больше энтропии.

Кроме того, поскольку каждая попытка подбора пароля, защищенного таким способом, требует взаимодействия с сервером, это предотвращает автономную атаку и, таким образом, позволяет пользователю или системному администратору получать оповещения о любой попытке взлома пароля.

Восстановленный ключ затем можно использовать для аутентификации (например, при выполнении аутентификации на основе PKI с использованием цифрового сертификата и закрытого ключа ) или для расшифровки конфиденциального контента, такого как зашифрованный файл или криптокошелек .

Обмен ключами с аутентификацией паролем

Пароль для может использоваться в качестве основы протокола соглашения о ключах установления временных ключей сеанса и взаимной аутентификации клиента и сервера. Это известно как обмен ключами с аутентификацией по паролю или PAKE .

При базовой аутентификации сервер узнает пароль пользователя в ходе аутентификации. Если сервер взломан, это раскрывает пароль пользователя, что ставит под угрозу безопасность пользователя.

Однако при использовании PAKE пароль пользователя не отправляется на сервер, что предотвращает его попадание в руки перехватчика. Это можно рассматривать как аутентификацию с помощью доказательства пароля с нулевым разглашением .

Различные « расширенные формы » PAKE включают в себя функцию «забывчивой псевдослучайной» функции, благодаря которой сервер никогда не видит пароль пользователя во время аутентификации, но, тем не менее, он может подтвердить, что клиент владеет правильным паролем. Это делается при условии, что только клиент, знающий правильный пароль, может использовать OPRF для получения правильного ключа.

Примером расширенного PAKE, который использует OPRF таким образом, является OPAQUE . ^{[ 7 ]}^{[ 8 ]}^{[ 9 ]}^{[ 10 ]}

Недавно OPRF были применены к обмену ключами на основе пароля для резервного копирования зашифрованных историй чатов в WhatsApp. ^{[ 11 ]} и Facebook Мессенджер . ^{[ 12 ]} Похожий вариант использования планируется добавить в Signal Messenger . ^{[ 13 ]}

Неотслеживаемые CAPTCHA

CAPTCHA или «Полностью автоматизированный публичный тест Тьюринга, позволяющий отличить компьютеры от людей». ^{[ 14 ]} — это механизм, предотвращающий доступ автоматических роботов или ( ботов ) к веб-сайтам. В последнее время механизмы запуска тестов CAPTCHA были централизованы в таких сервисах, как Google и CloudFlare , но это может происходить за счет конфиденциальности пользователей.

Недавно CloudFlare разработала технологию сохранения конфиденциальности под названием «Privacy Pass». ^{[ 15 ]} Эта технология основана на OPRF и позволяет браузеру клиента получать пропуска от CloudFlare, а затем предоставлять их для обхода тестов CAPTCHA. Поскольку служба CloudFlare не обращает внимания на то, какие пропуска каким пользователям были предоставлены, она не может сопоставить пользователей с веб-сайтами, которые они посещают. Это предотвращает отслеживание пользователя и тем самым сохраняет его конфиденциальность.

Улучшенный менеджер паролей

Менеджер паролей — это программное обеспечение или служба, которая потенциально хранит множество различных учетных данных от имени пользователя. Таким образом, доступ к менеджеру паролей очень чувствителен: атака может раскрыть злоумышленнику множество учетных данных.

Первым предложением менеджера паролей на основе OPRF был SPHINX. ^{[ 16 ]} Он использует два устройства (например, ноутбук и телефон пользователя), которые совместно вычисляют пароль для определенной учетной записи (определяемой именем пользователя и доменным именем веб-сайта). Поскольку два устройства пользователя обмениваются значениями в соответствии с протоколом OPRF, перехват соединения между ними не раскрывает ничего о пароле или внутренних значениях, которые каждое устройство использовало для его вычисления. Требование двух устройств для вычисления любого пароля также гарантирует, что компрометация любого устройства не позволит злоумышленнику вычислить любой из паролей. Недостатком этого подхода является то, что пользователю всегда необходим доступ к обоим устройствам, когда он хочет войти в любую из своих учетных записей.

OPRF используется монитором паролей в Microsoft Edge, чтобы разрешить запрос серверу о том, скомпрометированы ли учетные данные (которые пользователь сохранил в браузере), без необходимости раскрывать эти учетные данные серверу. ^{[ 17 ]}

Гомоморфная система управления ключами

Подобно защите паролей, управляемых менеджером паролей, OPRF можно использовать для повышения безопасности системы управления ключами .

Например, OPRF позволяет системе управления ключами выдавать криптографические ключи аутентифицированным и авторизованным пользователям, даже не видя, не изучая и не имея возможности узнать какие-либо ключи, которые она предоставляет пользователям. ^{[ 18 ]}

Частный перекрёсток

Пересечение частных наборов — это криптографический метод, который позволяет двум или более сторонам сравнивать свои частные наборы, чтобы определить, какие записи у них общие, но без раскрытия каких-либо целых, которые у них не являются общими.

Например, пересечение частных наборов может использоваться двумя пользователями социальной сети, чтобы определить, какие у них общие друзья, не раскрывая при этом личности друзей, которых у них нет общих. Для этого они могли бы поделиться результатами OPRF, примененными к личности друга (например, номер телефона или адрес электронной почты друга).

Выходные данные OPRF не могут быть инвертированы для определения личности пользователя, и поскольку OPRF может быть ограничен по скорости , это предотвратит атаку методом перебора (например, перебор всех возможных телефонных номеров). ^{[ 19 ]}

Реализации

Существуют различные математические функции, которые могут служить основой для реализации OPRF.

Например, методы асимметричной криптографии , включая эллиптической кривой умножение точек , модульное возведение в степень Диффи-Хеллмана по простому числу или вычисление подписи RSA .

EC и обычный метод Диффи – Хеллмана

Эллиптические кривые и поля простого порядка можно использовать для реализации OPRF. Основная идея заключается в том, что первая сторона (клиент) должна криптографически скрыть входные данные перед отправкой их второй стороне.

Это сокрытие можно рассматривать как форму шифрования , которая выдерживает вычисления, выполненные второй стороной. Следовательно, первая сторона может расшифровать то, что она получает от второй стороны, чтобы «скрыть» ее и тем самым получить тот же результат, который она получила бы, если бы входные данные не были «слепыми».

Когда вторая сторона получает замаскированные входные данные, она выполняет над ними вычисления, используя секрет . Результат этого вычисления не должен раскрывать тайну.

Например, вторая сторона может выполнить точечное умножение точки на эллиптической кривой. Или он может выполнить модульное возведение в степень по модулю большого простого числа .

Первая сторона, после получения результата и зная фактор ослепления, вычисляет функцию, которая устраняет влияние фактора ослепления на результат, возвращаемый второй стороной. Это «открывает» результат, раскрывая выходные данные OPRF (или промежуточный результат, который затем используется клиентом для вычисления выходных данных OPRF, например, путем хеширования этого промежуточного результата).

Пример протокола OPRF

Ниже приведен псевдокод для вычислений, выполняемых клиентом и сервером с использованием OPRF на основе эллиптической кривой.

Расчет на стороне клиента

Следующий код представляет расчеты, выполняемые клиентом или сторонней организацией.

byte[] computeOPRF(byte[] input) {
    // Apply point-hashing algorithm
    // For example, as described in RFC 9380
    ECPoint hashedPoint = hashToPoint(input);

    // Generate a random blinding factor
    Scalar b = randomScalar();

    // Blind the input via a curve multiply
    ECPoint blindedInput = ECMultiply(hashedPoint, b);

    // Send request to server to obtain response
    ECPoint serverResponse = sendRequest(blindedInput);

    // Compute multiplicative inverse of b
    Scalar inverse = modInverse(b);

    // Unblind the response to produce the result
    ECPoint result = ECMultiply(serverResponse, inverse);

    // Hash the unblinded result to complete OPRF calculation
    return hash(result);
}

Примечания:

Клиент вычисляет мультипликативную величину, обратную коэффициенту ослепления. Это позволяет ему обратить вспять влияние фактора скрытия на результат и получить результат, который бы вернул сервер, если бы клиент не скрыл входные данные.

В качестве последнего шага для завершения OPRF клиент выполняет одностороннее хэширование результата, чтобы гарантировать, что выходные данные OPRF являются однородными , полностью псевдослучайными и необратимыми.

Расчет на стороне сервера

Следующий код представляет вычисления, выполняемые сервером или сторонней организацией.

Сервер получает скрытое входное значение от клиента и может выполнить аутентификацию, контроль доступа, регулирование запросов или другие меры безопасности перед обработкой запроса. Затем он использует свой собственный секрет для вычисления:

ECPoint processRequest(ECPoint blindedInput, Scalar secret) {
    // Apply secret to compute the response
    ECPoint response = ECMultiply(blindedInput, secret);
    return response;
}

Затем он возвращает клиенту ответ, который является скрытым выводом.

Примечания:

Поскольку умножение точек эллиптической кривой вычислительно сложно инвертировать (как и задача дискретного логарифма , клиент не может реально узнать секрет сервера из полученного им ответа.

Однако учтите, что эта функция уязвима для атак квантовых компьютеров . Клиент или третья сторона, владеющая квантовым компьютером, может разгадать секрет сервера, зная результат, который он выдал для данного ввода.

Слепые подписи RSA

Если выходные данные схемы слепой подписи являются детерминированными, их можно использовать в качестве основы для построения OPRF, например, просто путем хеширования полученной подписи.

Это связано с тем, что из-за ослепления сторона, вычисляющая слепую подпись, не узнает ни входных данных (то, что подписывается), ни выходных данных (полученная цифровая подпись ).

Расширения

Конструкция OPRF может быть расширена различными способами. К ним относятся: проверяемые, частично забывчивые, пороговые и постквантовые безопасные версии.

Поддающаяся проверке ОПРФ

Многие приложения требуют, чтобы первая сторона могла проверить правильность расчета выходных данных OPRF. Например, при использовании вывода в качестве ключа для шифрования данных. Если вычислено неправильное значение, зашифрованные данные могут быть потеряны навсегда.

К счастью, большинство OPRF поддерживают возможность проверки. Например, при использовании слепых подписей RSA в качестве базовой конструкции клиент может с помощью открытого ключа проверить правильность полученной цифровой подписи .

При использовании эллиптической кривой или OPRF на основе Диффи-Хеллмана , зная открытый ключ y = g ^х, можно использовать второй запрос к серверу OPRF для создания с нулевым разглашением . доказательства правильности предыдущего результата ^{[ 20 ]}^{[ 21 ]}

Частично забывчивый PRF

Одна модификация OPRF называется PRF с частичным забвением или P-OPRF.

В частности, P-OPRF — это любая функция со следующими свойствами:

Стороны вычисляют: O = POPRF( H , E , S )
Первая сторона ( клиент ) знает скрытый ввод ( H ) и открытый ввод ( E ) и изучает вывод ( O ), но не узнает секрет ( S ).
Вторая сторона ( сервер ) знает секрет ( S ) и изучает открытые входные данные ( E ), но не изучает ни скрытые входные данные ( H ), ни выходные данные ( O ).

Вариант использования для этого — когда серверу необходимо реализовать определенное регулирование или контроль доступа к открытым входным данным ( E ), например, ( E ) может быть путем к файлу или именем пользователя, для которого сервер применяет элементы управления доступом , и запросы на обслуживание только тогда, когда запрашивающий пользователь авторизован.

P-OPRF на основе билинейных пар использовался «Службой Pythia PRF». ^{[ 22 ]}

Недавно появились версии P-OPRF, не основанные на спаривании, например версия, стандартизированная в IETF RFC 9497. ^{[ 21 ]} а также в более недавнем усовершенствовании. ^{[ 23 ]}

Пороговые реализации

Для еще большей безопасности можно установить пороговое значение сервера , чтобы секрет ( S ) не хранился ни на одном отдельном сервере, и поэтому компрометация любого отдельного сервера или набора серверов ниже определенного порога не будет раскрывать секрет.

Это можно сделать, если каждый сервер станет акционером схемы совместного использования секретов . Вместо использования своего секрета для вычисления результата каждый сервер использует свою долю секрета для выполнения вычислений.

Затем клиент берет некоторое подмножество результатов вычислений сервера и объединяет их, например, вычисляя протокол, известный как интерполяция в экспоненте . Это возвращает тот же результат, как если бы клиент взаимодействовал с одним сервером, имеющим полный секрет.

Этот алгоритм используется в различных распределенных криптографических протоколах. ^{[ 24 ]}

Постквантовая безопасная реализация

Поиск эффективных постквантовых безопасных реализаций OPRF является областью активных исследований. ^{[ 25 ]}

«За исключением OPRF, основанных на симметричных примитивах, все известные эффективные OPRF конструкции основаны на предположениях о жесткости дискретного логарифмического или факторингового типа. Известно, что эти предположения рушатся с появлением квантовых компьютеров». ^{[ 1 ]}

Двумя возможными исключениями являются на основе решетки . OPRF ^{[ 26 ]} и на основе изогении , OPRF ^{[ 27 ]} но необходимы дополнительные исследования для повышения их эффективности и обеспечения безопасности. Недавние атаки на изогении вызывают сомнения в безопасности алгоритма. ^{[ 28 ]}

Более безопасный, но менее эффективный подход к реализации постквантовой безопасной OPRF заключается в использовании безопасного протокола двухсторонних вычислений для вычисления PRF с использованием конструкции симметричного ключа , такой как AES или HMAC .

См. также

Ссылки

^ Перейти обратно: ^а ^б ^с Касакуберта, Сильвия; Гессен, Юлия; Леманн, Аня (2022). «SoK: Забывчивые псевдослучайные функции» . Архив электронной печати по криптологии . Бумага 2022/302.
^ Гольдрейх, Одед; Гольдвассер, Шафи; Микали, Сильвио (1986). «Как построить случайные функции» (PDF) . Журнал АКМ . 33 (4): 792–807. дои : 10.1145/6490.6503 .
^ Наор, Мони; Рейнгольд, Омер (2004). «Теоретико-числовые конструкции эффективных псевдослучайных функций» . Журнал АКМ . 51 (2): 231–262. дои : 10.1145/972639.972643 .
^ Фридман, Майкл; Ишаи, Юваль; Пинкас, Бенни; Рейнгольд, Омер (2005). «Поиск по ключевым словам и забывчивые псевдослучайные функции» . Конференция по теории криптографии . Конспекты лекций по информатике. ТСС 2005: 303–324. дои : 10.1007/978-3-540-30576-7_17 . ISBN 978-3-540-24573-5 .
^ Кравчик, Хьюго. «Забывчивые псевдослучайные функции и некоторые (магические) приложения» (PDF) . Колумбийский университет . Проверено 31 января 2024 г.
^ Форд, В.; Калиски, Б.С. (2000). «Генерация надежного секрета пароля с помощью сервера» . Труды 9-го международного семинара IEEE по перспективным технологиям: инфраструктура для совместных предприятий (WET ICE 2000) . стр. 176–180. дои : 10.1109/ENABL.2000.883724 . ISBN 0-7695-0798-0 . S2CID 1977743 .
^ Кравчик, Хьюго; Леви, Кевин; Вуд, Кристофер (5 февраля 2021 г.). «Протокол асимметричного PAKE OPAQUE (проект)» . Рабочая группа по интернет-инжинирингу .
^ Татьяна Брэдли (08.12.2020). «OPAQUE: лучшие пароли, никогда не покидайте свое устройство» . Блог Cloudflare .
^ Бурдрез, Даниэль; Кравчик, Хьюго; Леви, Кевин; Вуд, Кристофер А. (6 июля 2022 г.). «Асимметричный протокол PAKE OPAQUE (Интернет-проект)» . IETF.
^ Мэтью Грин. «Давайте поговорим о ПАКЕ» . 2018.
^ Дэвис, Гарет Т.; Фаллер, Себастьян; Геллерт, Кай; Хандирк, Тобиас; Гессен, Юлия; Хорват, Мате; Ягер, Тибор (2023). «Анализ безопасности протокола сквозного зашифрованного резервного копирования WhatsApp» . Достижения криптологии . Конспекты лекций по информатике. Том. Достижения в криптологии - CRYPTO 2023: 43-я ежегодная международная конференция по криптологии, CRYPTO 2023. стр. 330–361. дои : 10.1007/978-3-031-38551-3_11 . ISBN 978-3-031-38550-6 . Проверено 2 февраля 2024 г.
^ Леви, Кевин; Милликан, Джон; Рагунатан, Анант; Рой, Арнаб (2022). «Забывчивые отзывные функции и зашифрованное индексирование» . Архив электронной печати по криптологии . Бумага 2022/1044.
^ «Предварительный обзор технологии для безопасного восстановления стоимости» . Сигнал . Фонд «Сигнал». 19 декабря 2019 г.
^ «Что такое КАПЧА?» . Поддержка Google . Google Inc. Архивировано из оригинала 6 августа 2020 года . Проверено 9 сентября 2022 г. CAPTCHA (полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей) – это [...]
^ Салливан, Ник (9 ноября 2017 г.). «Cloudflare поддерживает Privacy Pass» . CloudFlare . CloudFlare.com . Проверено 30 января 2024 г.
^ Ширванян, Малихе; Ярецкий, Станислав; Кравчик, Хьюго; Саксена, Нитеш (2017). «СФИНКС: хранилище паролей, которое идеально скрывает пароли от самого себя» . 2017 IEEE 37-я Международная конференция по распределенным вычислительным системам (ICDCS) . стр. 1094–1104. дои : 10.1109/ICDCS.2017.64 . ISBN 978-1-5386-1792-2 . S2CID 4781641 .
^ Лаутер, Кристин; Каннепалли, Срикант; Лейн, Ким; Круз Морено, Радамес (1 января 2021 г.). «Монитор паролей: защита паролей в Microsoft Edge» . Блог исследований Microsoft . Проверено 1 января 2021 г.
^ Ярецкий, Станислав; Кравчик, Хьюго; Реш, Джейсон (2019). «Обновляемое управление ключами Oblivious для систем хранения» . Материалы конференции ACM SIGSAC 2019 года по компьютерной и коммуникационной безопасности . Том. Ноябрь 2019. С. 379–393. дои : 10.1145/3319535.3363196 . ISBN 978-1-4503-6747-9 . Проверено 27 января 2024 г.
^ Чейз, Мелисса; Мяо, Пэйхан (август 2020 г.). «Пересечение частных наборов в сети Интернет из Lightweight Oblivious PRF» . IACR в CRYPTO 2020 . Достижения в криптологии - CRYPTO 2020: 40-я ежегодная международная конференция по криптологии (материалы, часть III): 34–63. дои : 10.1007/978-3-030-56877-1_2 . S2CID 220126483 .
^ Ярецкий, Станислав; Киайас, Аггелос; Кравчик, Хьюго (2014). «Округленно-оптимальный обмен секретами, защищенными паролем, и T-PAKE в модели только с паролем». Достижения криптологии . Конспекты лекций по информатике. Том. ASIACRYPT 2014 - 20-я Международная конференция по теории и применению криптологии и информационной безопасности, Гаошунг, Тайвань, Китайская республика, 7–11 декабря 2014 г., Материалы, Часть II. стр. 233–253. дои : 10.1007/978-3-662-45608-8_13 . ISBN 978-3-662-45607-1 .
^ Перейти обратно: ^а ^б Дэвидсон, Алекс; Фас-Эрнандес, Армандо; Салливан, Ник; Вуд, Кристофер А. (2023). «Забывчивые псевдослучайные функции (OPRF) с использованием групп простого порядка» . Рабочая группа по интернет-инжинирингу . RFC 9497. doi : 10.17487/RFC9497 . S2CID 149835146 .
^ Эверспо, Адам; Чатерджи, Рахул; Скотт, Сэмюэл; Джулс, Ари; Ристенпарт, Томас (2015). «Служба ПФ «Пифия»» . 24-й симпозиум по безопасности USENIX (USENIX Security 15) : 547–562. ISBN 978-1-939133-11-3 .
^ Тьяги, Нирван; Чели, София; Ристенпарт, Томас; Салливан, Ник; Тессаро, Стефано; Вуд, Кристофер А. (2021). «Быстрый и простой PRF с частичным забвением и приложениями» . Архив электронной печати по криптологии . Бумага 2021/864.
^ Кашен, Кристиан; Кравчик, Хьюго; Рабин, Таль; Статакопулу, Хрисула; Реш, Джейсон (14 марта 2019 г.). «Платформа для надежной пороговой криптографии» . Ресурсный центр NIST по компьютерной безопасности . NIST.gov . Проверено 27 января 2024 г.
^ Боне, Дэн; Ишаи, Юваль; Пасселег, Ален; Сахай, Амит; Ву, Дэвид (2018). «Изучение криптотемной материи: новые простые кандидаты PRF и их применение» . Архив электронной печати по криптологии . Бумага 2018/1218.
^ Альбрехт, Мартин; Дэвидсон, Алекс; Део, Амит; Смарт, Найджел (2019). «Округленно-оптимальные проверяемые забывчивые псевдослучайные функции из идеальных решеток» . Архив электронной печати по криптологии . Бумага 2019/1271.
^ Боне, Дэн; Коган, Дмитрий; Ву, Кэтрин (2020). «Забывчивые псевдослучайные функции из изогений». Достижения криптологии . Конспекты лекций по информатике. ASIACRYPT 2020: 26-я Международная конференция по теории и применению криптологии и информационной безопасности: 520–550. дои : 10.1007/978-3-030-64834-3_18 . ISBN 978-3-030-64833-6 . S2CID 228085090 .
^ Кастрик, Воутер; Декрю, Томас (2023). «Эффективная атака с восстановлением ключей на SIDH» . Достижения криптологии . Конспекты лекций по информатике. Том. EUROCRYPT 2023: 42-я ежегодная международная конференция по теории и применению криптографических методов. стр. 423–447. дои : 10.1007/978-3-031-30589-4_15 . ISBN 978-3-031-30588-7 . S2CID 258240788 .

[oprf-1] Перейти обратно: ^а ^б ^с Касакуберта, Сильвия; Гессен, Юлия; Леманн, Аня (2022). «SoK: Забывчивые псевдослучайные функции» . Архив электронной печати по криптологии . Бумага 2022/302.

[2] Гольдрейх, Одед; Гольдвассер, Шафи; Микали, Сильвио (1986). «Как построить случайные функции» (PDF) . Журнал АКМ . 33 (4): 792–807. дои : 10.1145/6490.6503 .

[3] Наор, Мони; Рейнгольд, Омер (2004). «Теоретико-числовые конструкции эффективных псевдослучайных функций» . Журнал АКМ . 51 (2): 231–262. дои : 10.1145/972639.972643 .

[4] Фридман, Майкл; Ишаи, Юваль; Пинкас, Бенни; Рейнгольд, Омер (2005). «Поиск по ключевым словам и забывчивые псевдослучайные функции» . Конференция по теории криптографии . Конспекты лекций по информатике. ТСС 2005: 303–324. дои : 10.1007/978-3-540-30576-7_17 . ISBN 978-3-540-24573-5 .

[5] Кравчик, Хьюго. «Забывчивые псевдослучайные функции и некоторые (магические) приложения» (PDF) . Колумбийский университет . Проверено 31 января 2024 г.

[6] Форд, В.; Калиски, Б.С. (2000). «Генерация надежного секрета пароля с помощью сервера» . Труды 9-го международного семинара IEEE по перспективным технологиям: инфраструктура для совместных предприятий (WET ICE 2000) . стр. 176–180. дои : 10.1109/ENABL.2000.883724 . ISBN 0-7695-0798-0 . S2CID 1977743 .

[7] Кравчик, Хьюго; Леви, Кевин; Вуд, Кристофер (5 февраля 2021 г.). «Протокол асимметричного PAKE OPAQUE (проект)» . Рабочая группа по интернет-инжинирингу .

[8] Татьяна Брэдли (08.12.2020). «OPAQUE: лучшие пароли, никогда не покидайте свое устройство» . Блог Cloudflare .

[9] Бурдрез, Даниэль; Кравчик, Хьюго; Леви, Кевин; Вуд, Кристофер А. (6 июля 2022 г.). «Асимметричный протокол PAKE OPAQUE (Интернет-проект)» . IETF.

[mgreen-10] Мэтью Грин. «Давайте поговорим о ПАКЕ» . 2018.

[11] Дэвис, Гарет Т.; Фаллер, Себастьян; Геллерт, Кай; Хандирк, Тобиас; Гессен, Юлия; Хорват, Мате; Ягер, Тибор (2023). «Анализ безопасности протокола сквозного зашифрованного резервного копирования WhatsApp» . Достижения криптологии . Конспекты лекций по информатике. Том. Достижения в криптологии - CRYPTO 2023: 43-я ежегодная международная конференция по криптологии, CRYPTO 2023. стр. 330–361. дои : 10.1007/978-3-031-38551-3_11 . ISBN 978-3-031-38550-6 . Проверено 2 февраля 2024 г.

[12] Леви, Кевин; Милликан, Джон; Рагунатан, Анант; Рой, Арнаб (2022). «Забывчивые отзывные функции и зашифрованное индексирование» . Архив электронной печати по криптологии . Бумага 2022/1044.

[13] «Предварительный обзор технологии для безопасного восстановления стоимости» . Сигнал . Фонд «Сигнал». 19 декабря 2019 г.

[14] «Что такое КАПЧА?» . Поддержка Google . Google Inc. Архивировано из оригинала 6 августа 2020 года . Проверено 9 сентября 2022 г. CAPTCHA (полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей) – это [...]

[15] Салливан, Ник (9 ноября 2017 г.). «Cloudflare поддерживает Privacy Pass» . CloudFlare . CloudFlare.com . Проверено 30 января 2024 г.

[16] Ширванян, Малихе; Ярецкий, Станислав; Кравчик, Хьюго; Саксена, Нитеш (2017). «СФИНКС: хранилище паролей, которое идеально скрывает пароли от самого себя» . 2017 IEEE 37-я Международная конференция по распределенным вычислительным системам (ICDCS) . стр. 1094–1104. дои : 10.1109/ICDCS.2017.64 . ISBN 978-1-5386-1792-2 . S2CID 4781641 .

[17] Лаутер, Кристин; Каннепалли, Срикант; Лейн, Ким; Круз Морено, Радамес (1 января 2021 г.). «Монитор паролей: защита паролей в Microsoft Edge» . Блог исследований Microsoft . Проверено 1 января 2021 г.

[18] Ярецкий, Станислав; Кравчик, Хьюго; Реш, Джейсон (2019). «Обновляемое управление ключами Oblivious для систем хранения» . Материалы конференции ACM SIGSAC 2019 года по компьютерной и коммуникационной безопасности . Том. Ноябрь 2019. С. 379–393. дои : 10.1145/3319535.3363196 . ISBN 978-1-4503-6747-9 . Проверено 27 января 2024 г.

[19] Чейз, Мелисса; Мяо, Пэйхан (август 2020 г.). «Пересечение частных наборов в сети Интернет из Lightweight Oblivious PRF» . IACR в CRYPTO 2020 . Достижения в криптологии - CRYPTO 2020: 40-я ежегодная международная конференция по криптологии (материалы, часть III): 34–63. дои : 10.1007/978-3-030-56877-1_2 . S2CID 220126483 .

[20] Ярецкий, Станислав; Киайас, Аггелос; Кравчик, Хьюго (2014). «Округленно-оптимальный обмен секретами, защищенными паролем, и T-PAKE в модели только с паролем». Достижения криптологии . Конспекты лекций по информатике. Том. ASIACRYPT 2014 - 20-я Международная конференция по теории и применению криптологии и информационной безопасности, Гаошунг, Тайвань, Китайская республика, 7–11 декабря 2014 г., Материалы, Часть II. стр. 233–253. дои : 10.1007/978-3-662-45608-8_13 . ISBN 978-3-662-45607-1 .

[voprf-21] Перейти обратно: ^а ^б Дэвидсон, Алекс; Фас-Эрнандес, Армандо; Салливан, Ник; Вуд, Кристофер А. (2023). «Забывчивые псевдослучайные функции (OPRF) с использованием групп простого порядка» . Рабочая группа по интернет-инжинирингу . RFC 9497. doi : 10.17487/RFC9497 . S2CID 149835146 .

[22] Эверспо, Адам; Чатерджи, Рахул; Скотт, Сэмюэл; Джулс, Ари; Ристенпарт, Томас (2015). «Служба ПФ «Пифия»» . 24-й симпозиум по безопасности USENIX (USENIX Security 15) : 547–562. ISBN 978-1-939133-11-3 .

[23] Тьяги, Нирван; Чели, София; Ристенпарт, Томас; Салливан, Ник; Тессаро, Стефано; Вуд, Кристофер А. (2021). «Быстрый и простой PRF с частичным забвением и приложениями» . Архив электронной печати по криптологии . Бумага 2021/864.

[24] Кашен, Кристиан; Кравчик, Хьюго; Рабин, Таль; Статакопулу, Хрисула; Реш, Джейсон (14 марта 2019 г.). «Платформа для надежной пороговой криптографии» . Ресурсный центр NIST по компьютерной безопасности . NIST.gov . Проверено 27 января 2024 г.

[25] Боне, Дэн; Ишаи, Юваль; Пасселег, Ален; Сахай, Амит; Ву, Дэвид (2018). «Изучение криптотемной материи: новые простые кандидаты PRF и их применение» . Архив электронной печати по криптологии . Бумага 2018/1218.

[26] Альбрехт, Мартин; Дэвидсон, Алекс; Део, Амит; Смарт, Найджел (2019). «Округленно-оптимальные проверяемые забывчивые псевдослучайные функции из идеальных решеток» . Архив электронной печати по криптологии . Бумага 2019/1271.

[27] Боне, Дэн; Коган, Дмитрий; Ву, Кэтрин (2020). «Забывчивые псевдослучайные функции из изогений». Достижения криптологии . Конспекты лекций по информатике. ASIACRYPT 2020: 26-я Международная конференция по теории и применению криптологии и информационной безопасности: 520–550. дои : 10.1007/978-3-030-64834-3_18 . ISBN 978-3-030-64833-6 . S2CID 228085090 .

[28] Кастрик, Воутер; Декрю, Томас (2023). «Эффективная атака с восстановлением ключей на SIDH» . Достижения криптологии . Конспекты лекций по информатике. Том. EUROCRYPT 2023: 42-я ежегодная международная конференция по теории и применению криптографических методов. стр. 423–447. дои : 10.1007/978-3-031-30589-4_15 . ISBN 978-3-031-30588-7 . S2CID 258240788 .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]