Puncte:2

Clarificarea controverselor de criptografie demonstrabile

drapel us

Am citit despre criptografia demonstrabilă în Wikipedia. Articolul face referire la controverse tensionate din jurul anului 2007.

Mai există aceste controverse?

Care este înlocuirea pentru siguranța demonstrabilă? Nu este suficient? Cred că AES nu respectă stilul de criptare demonstrabil, nu-i așa?

Care este vizualizarea acceptată/preferată în comunitatea Criptografie?

De ce a început în primul rând, nu este dovada ceva de dorit?

Care sunt realizările criptografiei demonstrabile?

De unde să începem studiul/cercetarea criptografică având în vedere aceste controverse?

Am citit câteva obiecții, am simțit că este vorba de două lucruri: presupunerea de pornire nu este puternică și niște erori care au existat într-o lucrare, nu-i așa? Cred că prima este esențială chiar și pentru a începe (dată fiind conștientizarea unor astfel de presupuneri), iar a doua este cazurile individuale (având în vedere că este greșit) nu suficient pentru a infirma întreaga ramură a științei.

Puncte:11
drapel ng

În general, acel articol pare să se refere la linia de lucru „O altă privire la...”. Multe dintre hârtii sunt adunate acest site web.

Există o serie de „controverse” pe care ați putea încerca să le rezumați. Principalul impuls împotriva noțiunii de „securitate dovedibilă” este că supravânzează ceea ce oferă --- schemele dovedit sigure pot fi atacate din mai multe motive. Un scurt rezumat al motivelor este:

  1. Schema este sigură sub reducerea la o problemă grea. Această problemă grea este ezoterică și nu prea mult studiată și, de fapt, este ușoară
  2. Există o eroare în dovada (revendicată).
  3. Dovada este făcută într-un model nerealist și încă se poate ataca schema în practică
  4. Reducerea este „non-strânsă” și nu se aplică în mod semnificativ pentru parametrii practici pe care îi folosesc oamenii.

Există și câteva plângeri mai ezoterice (rolul neuniformității în dovezile criptografice, de exemplu), dar cele de mai sus sunt cel puțin „plângerile principale” cu securitate dovedibilă pe care tind să le aud și le văd drept plângeri fundamental valabile. .

Care este înlocuirea pentru siguranța demonstrabilă? Nu este suficient? Cred că AES nu respectă stilul de criptare demonstrabil, nu-i așa?

În general, înlocuirea trebuie să fie mai precisă în pretențiile de garanție formulate. Cu excepția celui de-al 2-lea punct de mai sus, toate punctele de mai sus apar ceva despre o schemă de bază. Cu condiția să descrie cu precizie ceea ce se arată, nu există o problemă de „vânzare excesivă” a unui rezultat.

Care este vizualizarea acceptată/preferată în comunitatea Criptografie?

Securitatea dovedibilă este încă setarea standard în criptografie, deși de la ~ 1 deceniu în urmă, probabil că domeniul a colectat mai multe ipoteze „standard” (ceea ce este bun datorită primului punct din lista de mai sus).

De ce a început în primul rând, nu este dovada ceva de dorit?

O dovadă este la fel de utilă ca afirmația care se dovedește, care este în esență sursa argumentelor împotriva securității demonstrabile.

Care sunt realizările criptografiei demonstrabile?

Acest lucru este într-adevăr prea mare pentru a fi discutat și depinde foarte mult de ceea ce se înțelege prin „criptografie dovedibilă”. Cel puțin, criptografiile dovedibile tinde să vă spună că ceea ce încercați să faceți nu este fundamental defectuos. De exemplu

  1. Reducerile de la cel mai rău caz la mediu în criptografia cu rețea vă spun că problema LWE este, într-un anumit sens, distribuția „corectă” a cazurilor medii din care să eșantioneze instanțe dure. Rețineți că aceste reduceri sunt într-un anumit sens un exemplu de „criptografie proastă demonstrabilă”, deoarece practicienii nu folosesc adesea parametri care fac reducerile valide, iar reducerile nu sunt deosebit de strânse.Totuși, să discutăm pe deplin despre acest lucru ar lua mai mult spațiu.

  2. În mod similar, în domeniul rețelelor, semnăturile bazate pe zăbrele au fost destul de dificil de construit inițial (deseori au scurs cheia secretă), până la o lucrare care a formulat un argument de eșantionare de respingere destul de complicat. Se pare că ar fi fost dificil să găsiți acest argument de eșantionare de respingere fără a urmări o dovadă --- de altfel, aceste semnături nu au fost atacate în mod semnificativ.

Desigur, de multe ori autorii vorbesc despre anumite lucruri ca fiind „artefacte de probă”, ceea ce înseamnă, de obicei, modificări care sunt făcute pentru a face o dovadă să treacă, dar în plus, nu par în mod evident necesare pentru securitate. Acest lucru poate face adesea schemele mai puțin eficiente, astfel încât „modificările complicate pentru a face dovezile să treacă prin” pot fi, de asemenea, negative.

De unde să începem studiul/cercetarea criptografică având în vedere aceste controverse?

În cea mai mare parte, puteți ignora controversele. Deși există câteva concluzii utile (în special în ceea ce privește tratarea securității concrete a schemelor care vor fi implementate în mod concret), acestea sunt de natură tehnică pe care nu le-aș pune în fața unui începător în cercetarea criptografiei.

user2357 avatar
drapel us
Ai spus „Securitatea dovedibilă este încă setarea standard în criptografie” Este într-adevăr standardul? Am crezut că este o propunere nouă.
fgrieu avatar
drapel ng
@user2357: securitatea demonstrabilă a devenit standard cândva în anii 1990. Motivul principal este că apoi am început să putem face dovezi.Un altul este că oamenii s-au săturat de ciclul make/break/fix care exista înainte de asta, în special în ceea ce privește semnătura RSA (de exemplu, prima internațională privind semnătura RSA, ISO/IEC 9796(-1) a trebuit retras). Și a fost o modalitate utilă pentru recenzori de a elimina propunerile de articole cu protocoale sau criptosisteme asimetrice: a devenit necesară o dovadă într-un anumit model pentru a fi publicată într-un jurnal cripto serios.
user2357 avatar
drapel us
@fgrieu Ce zici de cifrurile simetrice, urmează paradigma de securitate demonstrabilă?
Mark avatar
drapel ng
@fgrieu probabil că există hashuri securizate, de exemplu SWIFFT (este CR securizat sub o formă de SIS, cred, nu este un RO potrivit deși iirc). Există și Blum Blum Shub ca PRG probabil sigur. Ambele sunt totuși mai puțin performante decât paradigmele standard de design (îmi amintesc că decalajul pentru BBS este masiv, în timp ce pentru SWIFFT este „doar” ceva de genul unui decalaj de debit de 40x).
fgrieu avatar
drapel ng
@Mark: Am învățat ceva util! Mulțumiri!! Cred că penalizarea grea de performanță este motivul pentru care aceasta nu este o cerință standard pentru moment.
user2357 avatar
drapel us
@Mark ai spus că „probabil că domeniul a adunat în jurul mai multor ipoteze „standard”” care sunt aceste ipoteze? Unde le pot învăța?
Mark avatar
drapel ng
@user2357 este oarecum greu să dai o singură sursă. În „Minicrypt” se știe că în esență toate primitivele (non-hashing) sunt echivalente, de exemplu PRG-urile sunt echivalente cu PRF-urile sunt echivalente cu PRP-urile (puteți chiar introduce și OWF-uri). Cele mai multe „ipoteze criptografice” nu sunt folosite pentru primitivele minicript, ci pentru primitivele criptomania. Povestea de a avea o viziune „unificată” asupra criptomaniei este ceva mai complexă --- ipotezele de duritate diferite vă permit să construiți lucruri diferite. Consultați [acest lucrare](https://eprint.iacr.org/2019/108.pdf) pentru o încercare de a o imagine unificată.
Mark avatar
drapel ng
Pentru a vedea ce primitivi folosesc oamenii „în practică”, vă puteți uita la lucruri precum competițiile NIST. În special, dacă vă uitați la finaliștii PQC NIST și includeți câteva ipoteze clasice comune (RSA, Finite-Field/EC DLog și CDH/DDH și o ipoteză bazată pe perechi, cred că SXDH?), veți avea un început destul de bun al „ipotezelor de bază” folosite în criptografie.
user2357 avatar
drapel us
@Mark dacă poți să-ți asumi duritatea, asta nu te face să fii pe site-ul de securitate demonstrabilă?
Mark avatar
drapel ng
@user2357 nu chiar, nu cunosc propuneri serioase de criptare cu cheie publică care nu presupun duritatea unei probleme de calcul subiacente. Desigur, aceste probleme pot fi oarecum specifice criptosistemului (să spunem „Presumarea RSA”, mai degrabă decât problema generală de factoring), dar în general sunt izolate, iar criptosistemul este dovedit sigur (cu condiția ca problema izolată să fie grea).
user2357 avatar
drapel us
@Mark dacă puteți presupune duritatea (pentru cifrurile simetrice), nu vă face acest lucru pe site-ul de securitate demonstrabilă?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.