Неподатливый код

Понятие неподатливых кодов было введено в 2009 году Дзембовским, Петржаком и Вихсом. ^[1] за смягчение понятий исправления и обнаружения ошибок . Неформально код является неподатливым, если сообщение, содержащееся в измененном кодовом слове, является либо исходным сообщением, либо совершенно несвязанным значением. Негибкие коды обеспечивают полезную и значимую гарантию безопасности в ситуациях, когда традиционное исправление и обнаружение ошибок невозможно; например, когда злоумышленник может полностью перезаписать закодированное сообщение. Хотя такие коды не существуют, если семейство « функций вмешательства » F совершенно неограничено, известно, что они существуют для многих широких семейств F вмешательства.

Чтобы знать схему работы неподатливого кода, нам необходимо знать базовый эксперимент, на котором он основан. Ниже приводится трехэтапный метод эксперимента по фальсификации .

1. Исходное сообщение ${\displaystyle s}$ кодируется с помощью (возможно , рандомизированной) процедуры ${\displaystyle Enc}$, давая кодовое слово ${\displaystyle c}$ = ${\displaystyle Enc(s)}$.
2. Кодовое слово модифицируется под действием какой-либо функции вмешательства. ${\displaystyle f\in F}$ к ошибочному кодовому слову ${\displaystyle c^{*}}$= ${\displaystyle f(c)}$.
3. Ошибочное кодовое слово ${\displaystyle c^{*}}$ декодируется с помощью процедуры ${\displaystyle Dec}$, в результате чего получается декодированное сообщение ${\displaystyle s^{*}}$= ${\displaystyle Dec(c^{*})}$.

Эксперимент по фальсификации можно использовать для моделирования нескольких интересных реальных условий, таких как передача данных по зашумленному каналу или состязательное вмешательство в данные, хранящиеся в памяти физического устройства. Имея эту экспериментальную базу, мы хотели бы построить специальные процедуры кодирования/декодирования. ${\displaystyle (Enc,Dec)}$, которые дают нам некоторые значимые гарантии относительно результатов вышеупомянутого эксперимента по вмешательству для больших и интересных семей. ${\displaystyle F}$ функций вмешательства. Ниже приведены несколько возможных типов гарантий, на которые мы можем надеяться. ^[2]

Одна очень естественная гарантия, называемая коррекцией ошибок , заключается в том, чтобы потребовать, чтобы для любой функции вмешательства и любого исходного сообщения эксперимент по изменению всегда производил правильное декодированное сообщение. ${\displaystyle s^{*}=s}$. ^[3]

Более слабая гарантия, называемая обнаружением ошибок , требует, чтобы эксперимент по изменению всегда приводил либо к правильному значению, либо к правильному значению. ${\displaystyle s^{*}=s}$ или специальный символ ${\displaystyle s^{*}=\perp }$ указывает на то, что было обнаружено вмешательство. Это понятие обнаружения ошибок является более слабой гарантией, чем исправление ошибок, и достижимо для большего F функций вмешательства.

Неподатливый код гарантирует, что любой эксперимент по вмешательству приведет к правильному декодированию сообщения. ${\displaystyle s^{*}=s}$, или декодированное сообщение ${\displaystyle s^{*}}$ полностью независим и не связан с исходным сообщением ${\displaystyle s}$. Другими словами, понятие неподатливости кодов по духу схоже с понятиями неподатливости криптографических примитивов (таких как шифрование2, обязательства и доказательства с нулевым разглашением), введенных в плодотворной работе Долева, Дворка и Наор. ^[4]

По сравнению с исправлением или обнаружением ошибок «правильную» формализацию неподатливых кодов определить несколько сложнее. Позволять ${\displaystyle Tamper_{s}^{f}}$ быть случайной величиной для значения декодированного сообщения, которое получается, когда мы запускаем эксперимент по вмешательству в исходное сообщение. ${\displaystyle s}$ и функция взлома ${\displaystyle f}$, над случайностью процедуры кодирования. Интуитивно мы хотим сказать, что распределение ${\displaystyle Tamper_{s}^{f}}$ не зависит от закодированного сообщения ${\displaystyle s}$. Конечно, мы также хотим учесть случай, когда эксперимент по вмешательству приводит к ${\displaystyle s^{*}=s}$ (например, если функцией взлома является идентичность), что, очевидно, зависит от ${\displaystyle s}$.

Таким образом, мы требуем, чтобы для каждой тамперной функции ${\displaystyle f\in F}$, существует распределение ${\displaystyle D_{f}}$ который выводит либо конкретные значения ${\displaystyle s^{*}}$ или особенный же ${\displaystyle *}$ символ и точно моделирует распределение ${\displaystyle Tamper_{s}^{f}}$ для всех ${\displaystyle s}$ в следующем смысле: для каждого исходного сообщения ${\displaystyle s}$, распределения ${\displaystyle Tamper_{s}^{f}}$ и ${\displaystyle D_{f}}$ статистически близки, когда ${\displaystyle *}$ символ интерпретируется как ${\displaystyle s}$. То есть, ${\displaystyle D_{f}}$ правильно моделирует «результат» эксперимента по изменению функции ${\displaystyle f\in F}$ не зная исходных сообщений ${\displaystyle s}$, но допускается некоторая двусмысленность, выводя одно и то же ${\displaystyle *}$ символ, указывающий, что декодированное сообщение должно быть таким же, как исходное сообщение, без указания точного значения. Тот факт, что ${\displaystyle D_{f}}$ зависит только от ${\displaystyle f}$ и не на ${\displaystyle s}$, показывает, что результат ${\displaystyle Tamper_{s}^{f}}$ не зависит от ${\displaystyle s}$, исключая равенство.

Обратите внимание, что неподатливость является более слабой гарантией, чем исправление/обнаружение ошибок; последние гарантируют, что любое изменение кодового слова может быть исправлено или, по крайней мере, обнаружено процедурой декодирования, тогда как первый позволяет изменять сообщение, но только до несвязанного значения. Однако при изучении исправления/обнаружения ошибок мы обычно ограничиваемся ограниченными формами вмешательства, которые сохраняют некоторое представление о расстоянии (например, обычно расстоянии Хэмминга ) между исходным и подделанным кодовым словом. Например, для простого семейства функций уже невозможно добиться исправления/обнаружения ошибок. ${\displaystyle F_{const}}$ что для каждой константы ${\displaystyle c^{*}}$, включает в себя « константную » функцию ${\displaystyle f_{c^{*}}}$ который отображает все входы в ${\displaystyle c^{*}}$. Всегда есть какая-то функция ${\displaystyle F_{const}}$ который сопоставляет все с действительным кодовым словом ${\displaystyle c^{*}}$. Напротив, легко построить коды, которые не податливы относительно ${\displaystyle F_{const}}$, поскольку выход постоянной функции явно не зависит от ее входа. Предыдущие работы над неподатливыми кодами показывают, что можно создавать неподатливые коды для очень сложных семейств функций вмешательства. ${\displaystyle F}$ для которых исправление/обнаружение ошибок невозможно. ^[1]

В качестве одного очень конкретного примера мы изучаем неподатливость по отношению к семейству функций ${\displaystyle f}$ которые определяют для каждого бита кодового слова ${\displaystyle c}$, следует ли оставить его как есть, перевернуть его, установить на 0, установить на 1. То есть каждый бит кодового слова изменяется произвольно, но независимо от значения других битов кодового слова. Мы называем это семейством «побитового независимого вмешательства». ${\displaystyle F_{BIT}}$. Обратите внимание, что это семейство содержит постоянные функции ${\displaystyle F_{const}}$ и функции постоянной ошибки ${\displaystyle F_{err}}$ как подмножества. Поэтому, как мы уже упоминали, исправление и обнаружение ошибок не могут быть достигнуты в отношении этого семейства. Тем не менее, нижеследующее может показать эффективный негибкий код для этого мощного семейства.

С ${\displaystyle F_{BIT}}$ мы обозначаем семейство, которое содержит все функции вмешательства, которые изменяют каждый бит независимо. Формально это семейство содержит все функции ${\displaystyle f_{i}:\left\{{0},{1}\right\}^{n}\to \left\{{0},{1}\right\}^{n}}$ которые определяются n функциями ${\displaystyle f_{i}:\left\{{0},{1}\right\}\to \left\{{0},{1}\right\}}$ (для i=1...n) как ${\displaystyle f(c_{1}..c_{n})=f_{1}(c_{1})..f_{n}(c_{n})}$. Обратите внимание, что для каждого варианта существует только 4 возможных варианта. ${\displaystyle f_{i}}$ (т.е. как изменить конкретный бит), и мы называем их «установить в 0», «установить в 1», «перевернуть», «сохранить», где значения должны быть интуитивно понятны. Мы называем указанное выше семейство побитовым независимым семейством несанкционированного вмешательства.

• Вероятностный метод

Для любого «достаточно маленького» семейства функций ${\displaystyle F}$, существует (возможно, неэффективная) схема кодирования, которая не податлива относительно F. Более того, для фиксированного «достаточно малого» семейства функций ${\displaystyle F}$, схема случайного кодирования, вероятно, будет негибкой относительно F с подавляющей вероятностью. К сожалению, схемы случайного кодирования не могут быть эффективно представлены, а функция кодирования/декодирования вряд ли будет эффективной. Следовательно, этот результат следует рассматривать просто как демонстрацию «возможности» и поставленную цель, которой мы затем должны конструктивно стремиться соответствовать. Более того, этот результат также подчеркивает разницу между «исправлением/обнаружением ошибок» и «неподатливостью», поскольку результат этой формы не может быть верным для первых понятий.

• Случайный подход к модели Oracle

Неясно, какова оценка из теоремы ^[4] этого типа на самом деле подразумевает. Например, он говорит нам, что неподатливые коды существуют по отношению ко всем эффективным функциям, но это вводит в заблуждение, поскольку мы знаем, что эффективные неподатливые коды (а в конечном счете нас интересуют только такие) не могут быть неподатливыми относительно этого. сорт. Тем не менее, результат вероятностного метода дает нам коды, которые не поддаются изменению по отношению к очень общим классам функций в модели случайного оракула.

В этой модели мы рассматриваем два способа взаимодействия с системой:

Выполнять( ${\displaystyle x}$): Пользователь может предоставить системе запросы Execute(x), например ${\displaystyle x\in \left\{{0},{1}\right\}^{u}}$, и в этом случае система вычисляет ${\displaystyle (y,s^{'})\gets G(x,s)}$, обновляет состояние системы до ${\displaystyle s:=s^{'}}$ и результаты ${\displaystyle y}$.

Тампер( ${\displaystyle f}$) : Мы также рассматриваем несанкционированные атаки на систему, смоделированные Tamper( ${\displaystyle f}$) команды для функций ${\displaystyle f:\left\{{0},{1}\right\}^{n}\to \left\{{0},{1}\right\}^{n}}$. При получении такой команды состояние системы устанавливается на ${\displaystyle s:=f(s)}$.

Злоумышленник, который также может взаимодействовать с системой через запросы Tamper, потенциально может узнать значительно больше о секретном состоянии и даже полностью его восстановить. Поэтому нам хотелось бы иметь общий метод защиты систем от несанкционированных атак, чтобы иметь возможность выдавать запросы на несанкционированный доступ (по крайней мере, для функций f в каком-то большом семействе). ${\displaystyle F}$) не может предоставить злоумышленнику дополнительную информацию. Используя для этой цели неподатливый код, мы приходим к выводу: пусть ${\displaystyle (Enc,Dec)}$ быть любой схемой кодирования, которая не является гибкой по отношению к ${\displaystyle F}$, затем ${\displaystyle (Enc,Dec)}$ также может быть имитирован несанкционированный доступ к ${\displaystyle F}$.

1. Для каждой семьи ${\displaystyle F}$ с ${\displaystyle |F|\leq 2^{2^{\alpha n}}}$, существуют неподатливые коды против ${\displaystyle F}$ со ставкой, сколь угодно близкой к 1 − ${\displaystyle \alpha }$ (это достигается за счет рандомизированной конструкции). ^[5]
2. Для большой семьи ${\displaystyle exp(n^{O(1)}2^{\alpha n})}$ против которого нет неподатливого кода скорости 1 — ${\displaystyle \alpha }$ (на самом деле это тот случай, когда случайная семья такого размера).
3. 1 − ${\displaystyle \alpha }$ — это наилучшая достижимая скорость для семейства функций, которым разрешено изменять только первые ${\displaystyle \alpha n}$ бит кодового слова, что представляет особый интерес.