Puncte:2

Limitările FPE și domeniul de aplicare al FPE

drapel br

Credeți că schemele de criptare care păstrează formatul (FPE) au vreo limitare în raport cu alte cifruri bloc convenționale? Are FPE o gamă largă de aplicații pentru a fi un viitor domeniu de cercetare?

Puncte:2
drapel my

Credeți că schemele de criptare care păstrează formatul (FPE) au vreo limitare în raport cu alte cifruri bloc convenționale?

De fapt, se poate vedea o schemă FPE ca o generalizare a unui cifru bloc convențional. La urma urmei, un cifr de bloc convențional este fixat la o dimensiune specifică a blocului; cu FPE, putem folosi orice dimensiune de bloc pe care o considerăm convenabilă (de exemplu, întregul mesaj).

Are FPE o gamă largă de aplicații pentru a fi un viitor domeniu de cercetare?

Cred că da. Un lucru bun despre FPE (cu o modificare; majoritatea schemelor FPE permit una) este că este ușor să construiți o schemă AEAD care este destul de tolerantă la utilizare greșită:

  • Pentru a cripta, ai prelua mesajul $M$, și anexați $k$ zerouri și $\ell$ biți aleatori (sau nonce; decriptorul va recupera acești biți și astfel pot fi utilizați ca număr de secvență dacă este necesar). Criptați asta cu schema FPE, folosind AAD ca modificare.

  • Pentru a decripta, decriptați cu schema FPE folosind AAD ca reglaj; analizați rezultatul și verificați dacă $k$ zerouri apar la sfârșit.

Ar trebui să fie evident că aceasta este o schemă AAD sigură (presupunând că schema FPE este sigură). În plus:

  • Dacă expeditorul folosește o aleatorie proastă pentru el $\ell$ biți aleatori, devine o schemă deterministă în care adversarul poate determina dacă același mesaj a fost trimis de două ori, dar nu poate determina nimic dincolo de asta.

  • Dacă receptorul uită să verifice $k$ zerouri, atunci aceasta devine o schemă complet falsificată, în care adversarul poate schimba mesajul decriptat în ceva aleatoriu, dar nu poate face nimic în afară de asta. Acest lucru este în contrast cu multe scheme AEAD, în care dacă decriptorul uită să verifice eticheta, atunci criptarea devine maleabilă (și AAD-ul este în esență ignorat).

Deci, dacă acest lucru este atât de minunat, care este dezavantajul? Ei bine, una importantă este performanța - schemele actuale de FPE sunt destul de lente și, prin urmare, acest design simplu nu este folosit. O schemă FPE mai performantă (dar totuși sigură) ar face acest lucru mult mai atractiv.

Un alt dezavantaj evident este că FPE nu poate fi implementat într-o manieră „o singură trecere” (unde procesăm mesajul în părți); acest lucru este convenabil atunci când trebuie să gestionăm mesaje mari; cu toate acestea, ar trebui să fie evident că posibilitatea de a face criptare tolerantă la utilizare greșită (unde lipsa de entropie nonce se scurge doar dacă mesajele au fost identice) este incompatibilă cu criptarea cu o singură trecere și că a putea face decriptare tolerantă la utilizare greșită (unde uitați să verificați verificarea integrității permite unui atacator activ doar să randomizeze textul simplu) este incompatibil cu decriptarea cu o singură trecere.

Puncte:1
drapel ng

Limitări (prezent și într-un cifru bloc normal, cum ar fi AES)

  • O limitare a Format Preserving Encryption este că este deterministă: același text simplu duce întotdeauna la același text cifrat.Și printr-un argument de entropie, asta trebuie să fie dacă toate textele clare care se potrivesc formatului sunt posibile. Acest lucru, la rândul său, împiedică îndeplinirea criteriilor de rezistență la Chosen Plaintext Attack.
  • O altă limitare a FPE așa cum este practicat este că este simetric: este necesar un secret (de obicei, același) din partea criptării. Acest lucru este necesar pentru securitatea textului simplu cu entropie scăzută, care este sarcina utilă tipică a FPE.

Perspective, începând de la ușor

  1. Când există restricții la textul simplu w.r.t. formatul, este ușor să remediați oarecum primul punct și chiar să obțineți un FPE oarecum autentificat. De exemplu, atunci când criptați un număr de card de credit plus data de expirare, cel puțin ultima cifră a numărului (o sumă de control) și câmpul de dată și într-o anumită măsură primele 6 cifre (care identifică emitentul) permit stoarcerea unor informații utilizabile pentru IV sau autentificare .
  2. Pentru o sarcină utilă de entropie suficient de mare (să zicem 128 de biți), este posibil să se definească FPE asimetric securizat în limitele primului punct marcant. Este ușor să obțineți acest lucru dintr-o permutare cu trapă, cum ar fi RSA, dar aceasta are un interes practic limitat pentru FPE, deoarece FPE este motivat în primul rând de sarcina utilă mică. Provocarea este permutarea trapei pe un interval mai mic, să zicem câteva sute de biți. Mi-aș dori să știu stadiul acelei arte.
Maarten Bodewes avatar
drapel in
Nu a existat și o problemă cu dimensiunea mesajului pentru anumite forme de FPE unde trebuie să fie mai mare decât un anumit număr de biți?
fgrieu avatar
drapel ng
@MaartenBodewes: Nu văd ce vrei să spui în al doilea comentariu. Știm să obținem un FPE esențial perfect pentru orice interval, pentru rasa simetrică cu chei identice (sau orice cheie deductibilă din cealaltă). Poate îmbogățiți-vă comentariul, din moment ce puteți!
poncho avatar
drapel my
Aceleași două limitări pe care le enumerați s-ar aplica și la AES; cifrul bloc AES este de asemenea determinist și este simetric.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.