Puncte:2

Diferențele esențiale dintre IND-CCA1 și IND-CCA2?

drapel kr

Pentru o schemă de criptare $(\mathcal{E}, \mathcal{D})$:

În definiția IND-CCA, adversarul $\mathcal{A}$ poate accesa oracolul de decriptare $\mathcal{D}$. Motivul profund al acestei setări este să ne asigurăm că schema noastră este capabilă să „proteja textele cifrate" (de exemplu, integritatea și autenticitatea).

Deci, „protejarea textelor cifrate” este ceea ce o schemă securizată IND-CPA nu poate oferi. Și de aceea IND-CCA este mai puternic decât IND-CPA. Mai mult, IND-CCA2 permite $\mathcal{A}$ pentru a face interogări către $\mathcal{D}$ după $\mathcal{A}$ primește textul cifrat de provocare $c^{*}$, care este așa-numita interogare „adaptativă”.

Atunci intrebarea mea este:

  • Cum ar trebui descrie această capacitate distinctivă de a rezista interogărilor adaptive în IND-CCA2, în un mod pelucid ?

Cu alte cuvinte, „texte cifrate aleatoare asemănătoare biților” duce la securitatea IND-CPA, „protecția textelor cifrate” duce la securitatea IND-CCA1. Atunci ce duce la securitatea IND-CCA2?

Mulțumesc anticipat!

kelalaka avatar
drapel in
Răspunde asta la întrebarea ta? [Explicație ușoară a noțiunilor de securitate „IND-”?](https://crypto.stackexchange.com/questions/26689/easy-explanation-of-ind-security-notions)
meshcollider avatar
drapel gb
„protejați textele cifrate” este foarte imprecis, o astfel de definiție nu cred deloc lămuritoare.
Max1z avatar
drapel kr
Bună, kelalaka și meshcollider! Sunt la curent cu definițiile și dovezile de securitate ale acestor modele. Deci conținutul acelui post nu îmi este de mare ajutor. Ceea ce caut sunt **câteva cuvinte** pentru a rezuma diferențele de bază dintre CCA1 și CCA2 într-un mod scurt, așa cum face „protejați textele cifrate” (deși s-ar putea să nu fie atât de precis :-). Astfel, această întrebare nu este de fapt o problemă academică și nu are răspunsul standard.
drapel cn
Problema este că înțelegeți că securitatea CCA1 este deja defectuoasă. „protejarea textelor cifrate”, așa cum exprimați, nu este nici suficient, nici necesar pentru securitatea CCA1.
drapel us
CCA1 = Efectuarea de interogări de decriptare înainte de a vedea $c^*$ nu vă ajută să aflați ce se află în interiorul $c^*$; CCA2 = Efectuarea de interogări de decriptare înainte/după ce vedeți $c^*$ nu vă ajută să aflați ce se află în interiorul $c^*$
AYun avatar
drapel es
În cazul criptografiei simetrice, există scheme de criptare IND-CCA în care toate șirurile sunt texte cifrate valide: nicio eroare de decriptare. Cred că intuiția „protejați textul cifrat” ar putea fi greu de aplicat în acest caz. https://www.iacr.org/archive/crypto2000/18800395/18800395.pdf
Puncte:0
drapel ng

IND-CCA1 este INDistinguishability sub Chosen Ciphertext Attack.

IND-CCA2 este INDistinguishability sub adaptive Chosen Ciphertext Attack.

În ambele, un adversar încearcă să descifreze un text cifrat $C$ făcând interogări către un oracol de decriptare care va decripta orice. Diferența este că, în IND-CCA1, interogările sunt făcute fără cunoștință $C$ (dată adversarului după interogări), când în IND-CCA2 interogările pot fi făcute cu cunoștință de $C$ (dată adversarului devreme, cu interdicția de a da $C$ la oracolul de decriptare).

IND-CCA1 modelează un dispozitiv de decriptare temporar puse la dispoziţia adversarilor. IND-CCA2 face asta permanent.

Iată situații în care criptarea IND-CCA2 este de dorit:

  • Există un server care decriptează, apoi analizează textul simplu descifrat ca (mesaj, semnătură) pereche și îl verifică cu o cheie publică (fără legătură cu cheia de criptare/criptare). Dacă este OK, serverul acționează conform mesaj; altfel iese „Nu voi face” mesaj.
  • Ambasada A știe că mesajele lui B sunt interceptate de E și transmise (cu prefixul INTERCEPT) criptate către F; F descifrează apoi transmite ceea ce începe cu INTERCEPT la G, că A a pătruns. Acest lucru îl pune pe A într-o situație IND-CCA2 pentru a ataca cifrul de la E la F (în limita restricției că A poate trimite doar mesaje care încep cu INTERCEPT).
  • Există un server care decriptează, apoi elimină umplutura, iar un atac de sincronizare permite să știi cât de mult umplutură a fost eliminată.
Max1z avatar
drapel kr
Foarte inspirational! Cuvintele „temporar” și „permanent” sunt exact ceea ce îmi doresc. Mulțumiri!

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.