Универсальная компоновка

Структура универсальной компонуемости (UC) ^[1] — это универсальная модель для анализа криптографических протоколов. Это гарантирует очень сильные свойства безопасности. Протоколы остаются безопасными, даже если они произвольно составлены из других экземпляров того же или других протоколов . Безопасность определяется как эмуляция протокола. Интуитивно считается, что протокол эмулирует другой протокол, если никакая среда (наблюдатель) не может различить выполнения. Буквально протокол может имитировать другой протокол (без доступа к коду). Понятие безопасности выводится косвенно. Предположим, протокол $P_{1}$ является безопасным по определению. Если другой протокол $P_{2}$ эмулирует протокол $P_{1}$ так, что никакая среда не отличает эмуляцию от выполнения протокола, тогда эмулируемый протокол $P_{2}$ так же безопасно, как протокол $P_{1}$ .

Идеальная функциональность

Идеальная функциональность — это протокол, в котором доверенная сторона, которая может общаться по совершенно безопасным каналам со всеми участниками протокола, вычисляет желаемый результат протокола. Мы говорим, что криптографический протокол, который не может использовать такую доверенную сторону, выполняет идеальную функциональность, если протокол может имитировать поведение доверенной стороны для честных пользователей и если представление о том, что злоумышленник учится, атакуя протокол, неотличимо от что может быть вычислено симулятором , который взаимодействует только с идеальной функциональностью.

Модель расчета

Вычислительная модель универсальной компоновки — это модель интерактивных машин Тьюринга , которые могут активировать друг друга, записывая на коммуникационные ленты друг друга. Интерактивная машина Тьюринга представляет собой разновидность многоленточной машины Тьюринга и обычно используется для моделирования вычислительных аспектов сетей связи в криптографии .

Модель коммуникации

Модель связи в базовой структуре UC очень проста. Сообщения отправляющей стороны передаются противнику, который может заменить эти сообщения сообщениями по своему выбору, которые доставляются получающей стороне. Это также модель угроз Долева-Яо . (На основе вычислительной модели все стороны моделируются как интерактивные машины Тьюринга)

Все модели связи, которые добавляют дополнительные свойства, такие как конфиденциальность , подлинность , синхронизация или анонимность , моделируются с использованием собственных идеальных функций. Идеальная коммуникативная функция принимает сообщение в качестве входных данных и выдает сообщение в качестве выходных данных. (более ограниченные) полномочия противника ${\mathcal {A}}$ моделируются через (ограниченную) способность противника взаимодействовать с этой идеальной функциональностью.

Идеальный аутентифицированный канал

Для оптимального идеального аутентифицированного канала идеальная функциональность ${\mathcal {F}}_{\mathsf {Auth}}$ принимает сообщение $m$ от вечеринки с личностью $P$ в качестве входных данных и выводит то же сообщение вместе с идентификатором $P$ получателю и противнику. Чтобы смоделировать возможности противника по задержке асинхронной связи, функциональность ${\mathcal {F}}_{\mathsf {Auth}}$ может сначала отправить сообщение противнику ${\mathcal {A}}$ и будет только доставлять сообщение $m,P$ как только он получит команду сделать это в качестве ответа.

Идеальный безопасный канал

В идеальном безопасном канале идеальная функциональность ${\mathcal {F}}_{\mathsf {Sec}}$ выводит личность отправителя только получателю и противнику, в то время как сообщение раскрывается только получателю. Это моделирует требование, чтобы безопасный канал был одновременно аутентифицированным и конфиденциальным. Чтобы смоделировать некоторую утечку передаваемой информации, ${\mathcal {F}}_{\mathsf {Sec}}$ может раскрыть злоумышленнику информацию о сообщении, например длину сообщения. Асинхронная связь моделируется с помощью того же механизма задержки, что и для ${\mathcal {F}}_{\mathsf {Auth}}$ .

Более продвинутые каналы

Хотя технические средства и физические предпосылки анонимного и псевдонимного общения сильно различаются, ^[2] моделирование таких каналов с использованием идеальных функций аналогично. См. также луковую маршрутизацию и анонимный P2P . Аналогичные функциональные возможности могут быть определены для широковещательной связи или синхронной связи .

Идеальный анонимный канал

В идеальном анонимном канале идеальный функционал, ${\mathcal {F}}_{\mathsf {Anon}}$ принимает сообщение $m$ от вечеринки с личностью $P$ в качестве входных данных и выводит то же сообщение, но без раскрытия личности $P$ получателю и противнику.

Идеальный псевдонимный канал

В идеальном псевдонимном канале участвующие стороны сначала регистрируют уникальные псевдонимы с идеальной функциональностью. ${\mathcal {F}}_{\mathsf {Pseu}}$ . Чтобы сделать перевод ${\mathcal {F}}_{\mathsf {Pseu}}$ принимает сообщение $m$ и псевдоним $nym$ получателя в качестве входных данных. Идеальная функциональность ищет владельца псевдонима и передает сообщение $m,nym$ без раскрытия личности отправителя.

Эти формализации абстрагируются от деталей реализации конкретных систем, реализующих такие каналы. В чистом виде идеальная функциональность может оказаться нереализуемой. Возможно, потребуется ослабить функциональность, передав злоумышленнику больше информации ( степень анонимности ). С другой стороны, каналы связи могут быть физическими, ^[3]^[4] например, мобильное устройство может получить анонимный канал, постоянно меняя свое местоположение перед передачей сообщений, не содержащих идентификаторов .

Результаты невозможности

Не существует протокола фиксации битов , который можно было бы универсально встроить в Стандартную модель .Интуиция подсказывает, что в идеальной модели симулятор должен извлечь ценность, которую нужно принять.от входа окружающей среды. Это позволило бы получателю в реальном протоколе извлекатьзафиксированное значение и нарушить безопасность протокола. Этот результат невозможности может бытьприменяется к другим функциям.

Предположения о настройке и доверии

Чтобы обойти приведенный выше результат невозможности, необходимы дополнительные предположения. Дополнительные предположения о настройке и доверии, такие как модель общей ссылочной строки и предположение о доверенном центре сертификации, также моделируются с использованием идеальных функций UC.

Споры и другие модели

Реактивная симуляция ^[5] — аналогичная модель, разработанная одновременно с моделью универсальной компонуемости.
Абстрактная/конструктивная криптография ^[6]^[7] — это более новая модель общего назначения для составного анализа криптографических протоколов.
Модель GNUC и IITM представляют собой переформулировку универсальной компонуемости, предложенную другими исследователями (в первую очередь Виктором Шупом и Ральфом Кюстерсом), которые повлияли на новые версии канонической модели Рана Канетти .

См. также

Ссылки

^ Р. Канетти. Универсально-компонуемая безопасность: новая парадигма криптографических протоколов. [1]
^ Дуглас Викстрем: «Универсально составная микс-сеть». ТСС 2004 : 317-335. дои : 10.1007/978-3-540-24638-1_18
^ Тацуаки Окамото: «О взаимосвязи между криптографическими физическими предположениями». ИСААК 1993 : 369–378.
^ Вака Нагао, Ёсифуми Манабе, Тацуаки Окамото: «Взаимосвязь трех криптографических каналов в структуре UC». ProvSec 2008 : 268-282. дои : 10.1007/978-3-540-88733-1_19
^ Майкл Бэкес, Биргит Пфицманн и Майкл Вайднер. Структура реактивного моделирования (RSIM) для асинхронных систем. Архив криптологии ePrint: отчет 2004/082
^ Ули Маурер, Ренато Реннер:Абстрактная криптография. ИКС 2011: 1-21
^ Ули Маурер.Конструктивная криптография — новая парадигма определений и доказательств безопасности. ТОСКА 2011: 33–56.

[1] Р. Канетти. Универсально-компонуемая безопасность: новая парадигма криптографических протоколов. [1]

[2] Дуглас Викстрем: «Универсально составная микс-сеть». ТСС 2004 : 317-335. дои : 10.1007/978-3-540-24638-1_18

[3] Тацуаки Окамото: «О взаимосвязи между криптографическими физическими предположениями». ИСААК 1993 : 369–378.

[4] Вака Нагао, Ёсифуми Манабе, Тацуаки Окамото: «Взаимосвязь трех криптографических каналов в структуре UC». ProvSec 2008 : 268-282. дои : 10.1007/978-3-540-88733-1_19

[5] Майкл Бэкес, Биргит Пфицманн и Майкл Вайднер. Структура реактивного моделирования (RSIM) для асинхронных систем. Архив криптологии ePrint: отчет 2004/082

[6] Ули Маурер, Ренато Реннер:Абстрактная криптография. ИКС 2011: 1-21

[7] Ули Маурер.Конструктивная криптография — новая парадигма определений и доказательств безопасности. ТОСКА 2011: 33–56.

[1]

[2]

[3]

[4]

[5]

[6]

[7]