Puncte:1

Există vreo diferență fundamentală între criptarea și decriptarea operațiunilor de criptare bloc?

drapel mk

Există vreun motiv fundamental pentru a desemna o direcție a unui cifru bloc drept „criptare” și cealaltă „decriptare”? Sau sunt alegeri arbitrare? Sau poate decizii practice pentru modele specifice de cifrare?

Altfel spus, dacă designerii DES sau AES ar fi ales să eticheteze ceea ce sunt cunoscuti sub numele de „criptare” drept „decriptare” și invers, lumea ar fi diferită?

Este oare că există o dovadă/argument de nediferențiere pentru $E_k(m0)$ vs. $E_k(m1)$ in timp ce nu exista asa pt $D_k(m0)$ vs. $D_k(m1)$?

Sau poate $E$ are caracteristici de performanță diferite decât $D$, și s-au făcut anumite presupuneri cu privire la frecvența relativă a unei operații față de cealaltă?

de exemplu. pentru criptarea AES este aparent mai eficientă decât decriptarea și s-a făcut o presupunere că este mai important să poți cripta rapid decât să decriptezi (nu sunt sigur de ce ar trebui să fie așa...)

kelalaka avatar
drapel in
Nu, le vrem doar pe amândouă eficiente. Mica diferență există din cauza designului.
eddydee123 avatar
drapel mk
@kelalaka poți clarifica ce vrei să spui prin „datorită designului” - este aceasta o alegere deliberată de design? Sau un rezultat accidental al modului în care este proiectat cifrul AES?
kelalaka avatar
drapel in
Cu o mică căutare în afara site-ului; [Decriptarea AES durează mai mult timp decât criptarea](https://crypto.stackexchange.com/q/14978/18298)
eddydee123 avatar
drapel mk
@kelalaka Ați dori să postați un răspuns care să includă citatul din discuția la care ați referit „MAC-urile au nevoie doar de primitiva de criptare și chiar și unii algoritmi de criptare/decriptare (CTR, EAX) folosesc doar primitiva de criptare a cifrului bloc de bază. Deci, Algoritmul Rijndael a fost optimizat pentru viteza de criptare peste viteza de decriptare”. Cu excepția faptului că acea afirmație este făcută fără nicio referire, deci nu este clar dacă este un fapt sau o opinie
Maarten Bodewes avatar
drapel in
Ar fi foarte ciudat ca o permutare pseudo-aleatorie (PRP) să fie sigură într-o direcție și nu în cealaltă.
eddydee123 avatar
drapel mk
@MaartenBodewes - foarte ciudat da, dar ar încălca proprietatea de securitate a PRP? Dacă atacatorul nu poate face interogări de decriptare (CPA, dar nu CCA), atunci se pare că acest PRP ciudat ar fi sigur
Puncte:4
drapel ru

Din punct de vedere criptoanalitic, există doar o diferență în etichetarea ipotezelor de atac. Toate cifrurile bloc moderne sunt proiectate pentru a fi sigure atât împotriva CPA (atacuri alese cu text simplu) cât și împotriva CCA (atacuri cu text cifrat ales). Un atac CPA asupra funcției de criptare este un atac CCA asupra funcției de decriptare și invers.

Există un argument pentru ca funcția de criptare să fie mai rapidă dintre cele două, deoarece anumite moduri (Cipher Block Chaining) sunt paralelizabile pentru decriptor, dar nu și pentru criptator.Criptarea mai rapidă echilibrează acum mai bine timpul de ceas pentru operațiuni. Alte moduri nu necesită deloc decriptare (modurile contor, modul Feedback de ieșire). Proiectanților de criptare bloc le place să producă modele care funcționează bine pentru toate modurile și astfel criptarea mai rapidă decât decriptarea este o decizie de proiectare legitimă, dar nu obligatorie.

poncho avatar
drapel my
Fapt distractiv: este posibil să se implementeze criptarea în modul CBC folosind cifrul bloc în direcția decriptare (procesați mesajul în ordine inversă, lucrând mai întâi cu ultimul bloc, făcând o operație în stil CFB - încă nu este paralelizabilă); prin urmare, pentru modul CBC, ar putea avea sens să faceți operația de „decriptare” mai eficientă :-)
Daniel S avatar
drapel ru
@poncho Nu sunt sigur dacă urmez pe deplin ceea ce descrii. Este scris undeva?
poncho avatar
drapel my
Cineva a sugerat-o acum câțiva ani aici pe crypto.stackexchange. Ideea este destul de simplă; presupunând că aveți blocuri de text simplu $P_0, P_1, ..., P_n$, selectați un bloc de text cifrat final aleatoriu $C_n$ și calculați iterativ $C_{i-1} = P_i \oplus D_k( C_i )$; valoarea finală $C_{-1}$ este IV-ul de trimis împreună cu mesajul. Este ușor de observat că, dacă $C_n$ a fost selectat uniform la întâmplare, generează texte cifrate/IV-uri cu aceeași distribuție de probabilitate ca implementarea normală a modului CBC cu un IV selectat uniform (și, prin urmare, este la fel de sigur)
Puncte:0
drapel in

Nu este fundamental diferență. Putem chiar schimba funcțiile de criptare și decriptare și nu se va întâmpla nimic:

$c = D_k(m), m = E_k(c).$

Desigur, în funcție de cifră și implementare, o direcție poate fi mai rapidă decât cealaltă.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.