-
Намера ми је да вам у следећих неколико одељака покажем да ако користимо безбедни PRG,
-
добијамо безбедну шифру тока. Пре свега морамо да дефинишемо
-
шта подразумевамо под безбедношћу шифре тока? Кад год дефинишемо безбедност,
-
увек је дефинишемо у смислу тога шта нападач може да уради, и шта
-
покушава да уради. У вези са шифрама тока, сетите се да се оне користе искључиво
-
са једнократним кључем, и услед тога највише што нападач икад може да види
-
јесте један шифрат шифрован коришћењем кључем који користимо. Дакле
-
ограничавамо нападачеву могућност на прибављање само једног шифрата.
-
У ствари, касније ћемо да дозволимо нападачу да уради много, много више,
-
али за сада ћемо да му дамо само један шифрат. И желимо да видимо
-
шта подразумевамо под безбедношћу шифре? Прва дефиниција
-
која нам пада на памет, јесте да можда желимо да захтевамо да нападач
-
не може да прибави тајни кључ. Дакле на основу шифрата
-
не треба да будете у стању да прибавите тајни кључ. Али то је лоша дефиниција
-
зато што, погледајте следећу сјајну шифру, где шифрујемо
-
поруку коришћењем кључа k тако што једноставно избацимо поруку.
-
Наравно ово је сјајна шифра, не ради ништа са поруком
-
осим што шифрат избаци као саму поруку. Ово није нарочито добро шифровање;
-
међутим, на основу шифрата, тј. поруке, сироти нападач
-
не може да прибави кључ, зато што му кључ није познат. Услед тога ова шифра,
-
која очигледно није безбедна, била би сматрана безбедном под овим
-
захтевима безбедности. Дакле оваква дефиниција не би ваљала.
-
Дакле прибављање тајног кључа је погрешан начин да се дефинише безбедност. Следеће што
-
можемо да покушамо је да кажемо да можда нападача није брига
-
за тајни кључ, већ га заправо занима отворени текст. Можда би требало
-
да нападачу буде тешко да дође до целокупног отвореног текста. Али чак и то
-
није довољно зато што, посматрајмо следећи начин шифровања. Рецимо
-
да код овог шифровања узимамо две поруке, ја ћу да користим
-
ове две линије да означим спајање двеју порука, m0 || m1 значи
-
спајање m0 и m1. Рецимо да ова шифра даје
-
m0 као отворену, и спаја то са шифром од m1. Можда чак и
-
коришћењем једнократне бележнице. Дакле овде се нападачу даје један
-
шифрат, а његов циљ је да дође до целокупног отвореног текста. Али
-
сироти нападач то не може да учини зато што, можда смо шифровали m1 коришћењем
-
једнократне бележнице, тако да нападач не може да дође до m1 зато што, знамо да је
-
једнократна бележница безбедна када се користи код само једног шифрата. Дакле ова конструкција
-
би задовољила дефиницију, али нажалост ово очигледно није безбедно
-
шифровање, зато што је процурило пола отвореног текста.
-
m0 је потпуно доступно нападачу, тако да, мада не може да дође до
-
целокупног отвореног текста, могао би да поврати већину отвореног текста, а то очигледно
-
није безбедно. Наравно већ знамо решење за ово, говорили смо
-
о Шеноновој дефиницији савршене безбедности, где је Шенонова идеја била
-
да када нападач пресретне шифрат, не треба да сазна никакву
-
информацију о отвореном тексту. Не треба чак ни да сазна ни један бит
-
отвореног текста, нити сме да му буде могуће да предвиди
-
мали део отвореног текста; никакву информацију о отвореном тексту.
-
Подсетимо се укратко Шеноновог појма савршене безбедности
-
рекли смо да шифра има савршену безбедност
-
ако, када имамо две поруке исте дужине, расподела
-
шифрата - ако одаберемо насумично кључ и посматрамо расподелу
-
шифрата, ако шифрујемо m0, добијамо потпуно исту расподелу као када
-
шифрујемо m1. Наслућујемо овде да ако нападач посматра шифрат,
-
не зна да ли је потекао из расподеле која је последица шифровања
-
са m0 или из расподеле која је последица шифровања са m1.
-
Услед тога, он не може да одреди да ли смо шифровали m0 или m1. И то важи за све
-
поруке истих дужина, и захваљујући томе сироти нападач не зна
-
која порука је била шифрована. Наравно већ смо рекли да је ова дефиниција
-
превише јака, у смислу да захтева врло дугачке кључеве, и ако шифра има кратке кључеве
-
никако не може да задовољи ову дефиницију. Конкретно, шифра тока
-
не може да задовољи ову дефиницију. Покушајмо да мало ослабимо ову дефиницију,
-
сетимо се претходног одељка. Можемо да кажемо да уместо да захтевамо
-
да две расподеле буду потпуно истоветне, ми захтевамо да
-
две расподеле буду рачунски нераспознатљиве. Другим речима, сироти,
-
ефикасни нападач не може да разликује две расподеле иако
-
расподеле могу да буду врло различите. На основу узорка
-
једне и друге расподеле, нападач не може да каже
-
из које расподеле је добио узорак. Испоставља се да је ова дефиниција
-
скоро одговарајућа, али је и даље мало прејака, и даље не може да се задовољи,
-
дакле морамо да додамо још једно ограничење, а то је да, уместо да кажемо да ова
-
дефиниција треба да важи за свако m0 и m1, она треба да важи само за парове m0, m1
-
које нападач може да изложи. То нас у ствари
-
доводи до дефиниције семантичке безбедности. Још једном, ово је семантичка
-
безбедност за једнократне кључеве, другим речима, када нападач добија само један
-
шифрат. Дакле дефинишемо семантичку безбедност тако што дефинишемо два огледа,
-
оглед 0 и оглед 1. У општем случају, посматраћемо
-
их као оглед (b), где b може да буде 0 или 1.
-
Оглед се дефинише на следећи начин, имамо нападача који
-
покушава да разбије систем - нападач А, који је аналоган статистичким тестовима
-
у свету псеудослучајних генератора. Изазивач ради
-
следеће, постоје два изазивача, али они
-
су толико слични, да можемо да их опишемо као истог изазивача који у једном случају
-
узима на улазу битове постављене на 0, а у другом случају
-
постављене на 1. Да вам покажем шта изазивач ради. Најпре
-
он бира случајно кључ, а затим нападач
-
избацује две поруке, m0 и m1. Ово је јавни
-
пар порука, за које нападач жели да буде изазван, и као и обично, не
-
покушавамо да сакријемо дужину порука, захтевамо да буду једнаке дужине.
-
Тада изазивач избаци шифровану m0
-
или шифровану m1, у огледу 0 изазивач избацује
-
шифровану m0, а у огледу 1 шифровану m1.
-
У томе је разлика између огледа.
-
Нападач покушава да погоди да ли је добио шифровану m0
-
или шифровану m1. Ево мало ознака. Дефинишимо
-
догађај Wb као догађај када за оглед b нападач избацује 1.
-
Дакле то је такав догађај, да у огледу 0 W0 значи да
-
је нападач избацио 1, а у огледу 1 W1 значи да је нападач избацио 1.
-
Сада можемо да дефинишемо предност овог нападача, и кажемо да је
-
предност семантичке безбедности нападача А над шемом Е
-
разлика између вероватноћа ова два догађаја. Другим речима
-
посматрамо да ли се нападач понаша различито када добије
-
шифровану m0 у односу на то када добије шифровану m1. Желим да будем
-
сигуран да је ово јасно, па ћу да поновим. Дакле у огледу 0 добио
-
је шифровану m0, а у огледу 1 шифровану m1,
-
и сада нас занима да ли нападач избацује 1 или не,
-
у овим огледима. Ако у оба огледа нападач избацује 1 са
-
истом вероватноћом, то значи да нападач није могао да разликује
-
два огледа. Оглед 0 изгледа нападачу исто
-
као оглед 1, зато што у оба случаја враћа 1 са истом вероватноћом.
-
Међутим, ако нападач може да избаци 1 у једном огледу са значајно
-
различитом вероватноћом него у другом огледу, тада је нападач
-
могао да разликује ова два огледа. Да искажемо ово
-
формалније, предност, зато што је то разлика двеју
-
вероватноћа, предност је број између 0 и 1. Ако је предност
-
блиска нули, то значи да нападач није био у стању да разликује
-
оглед 0 од огледа 1. Међутим ако је предност блиска јединици,
-
то значи да је нападач био у стању да разликује оглед 0 од
-
огледа 1, што у ствари значи да је био у стању да разликује шифровање
-
m0 од шифровања m1. Дакле то је наша дефиниција, у ствари,
-
то је само дефиниција предности, а дефиниција је управо
-
оно што бисте и очекивали, кажемо да је шема симетричног шифровања
-
семантички безбедна, ако за све "ефикасне" нападаче,
-
ако је за све ефикасне нападаче предност занемарљива. Другим речима,
-
не постоји ефикасан нападач који може да разликује шифровање m0 од шифровања m1,
-
и, тиме се каже, понављам, да за ове две
-
поруке нападач је био у стању да прикаже да није био у стању да разликује
-
ове две расподеле. Желим да вам покажем, ово је заправо врло
-
елегантна дефиниција, не мора да тако изгледа одмах, али желим да вам покажем неке
-
последице ове дефиниције, а видећете зашто је ова дефиниција таква каква јесте.
-
Погледајмо неке примере. Први пример је - претпоставимо
-
да имамо разбијену шему шифровања, другим речима, претпоставимо да имамо нападача А
-
који некако, добивши шифрат, увек може да открије бит најмање
-
тежине из отвореног текста. Дакле добивши шифру од m0, овај нападач
-
може да добије бит најмање тежине у m0. Ово је јако лоша
-
шема шифровања, зато што одаје бит најмање тежине из
-
отвореног текста самим шифратом. Желим да вам покажем да ова шема није
-
семантички безбедна, чиме се показује да ако систем јесте семантички
-
безбедан, не постоји нападач ове врсте. Погледајмо зашто овај систем
-
није семантички безбедан. Ми ћемо да користимо
-
нашег нападача, који може да открије битове најмање тежине, ми ћемо да
-
га користимо да разбијемо семантичку безбедност, то јест да разликујемо
-
оглед 0 од огледа 1. Ево шта ћемо да урадимо.
-
Ми смо алгоритам В, а овај алгоритам В ће да користи
-
алгоритам А у свом телу. Дакле прво што ће да се деси је,
-
наравно изазивач ће да одабере насумични кључ, и прво што ће да се деси је
-
да ћемо да избацимо две поруке,
-
а које ће да имају различите битове најмање тежине.
-
Једна ће да се завршава са 0, а друга са 1.
-
И шта ће сада изазивач да уради? Он ће да нам да
-
шифровање било од m0 било од m1, у зависности од тога да ли смо у огледу 0
-
или у огледу 1. А тада ћемо само да проследимо овај шифрат нападачу,
-
дакле нападачу А. А које је својство нападача А? Добивши шифрат,
-
нападач А може да нам каже који је бит најмање тежине отвореног текста.
-
Другим речима, нападач ће да избаци бит најмање тежине од m0 или m1,
-
а то је практично бит b. И затим ћемо само да
-
избацимо то као наш погодак, назовимо то b'. Дакле овим
-
се описује семантичка безбедност нападача. А ви ми кажите шта се предност
-
над семантичком безбедношћу код овог нападача? Па погледајмо: у огледу 0, која је
-
вероватноћа да нападач В избацује 1? Дакле у огледу 0 се увек
-
добија шифровање од m0, и зато нападач А увек избацује
-
бит најмање тежине од m0, а то је увек 0. У огледу
-
0, В увек избацује 0. Дакле вероватноћа да ће да избаци 1 је нула.
-
Међутим у огледу 1, добијамо шифровану m1. Дакле колико је вероватно да ће
-
нападач В да избаци 1 у огледу 1? Па, увек ће да избаци 1,
-
због својства алгоритма А. И услед тога, предност је практично 1.
-
Дакле то је велика предност, највећа што може да буде. Што значи да је овај
-
нападач потпуно разбио систем. Дакле под семантичком
-
безбедношћу, просто сазнавање бита најмање тежине је довољно да потпуно
-
разбије систем - под дефиницијом семантичке безбедности. Занимљива ствар
-
овде је наравно да се не ради само о биту најмање тежине,
-
у ствари, било који бит поруке, на пример, бит највеће тежине,
-
седми бит, можда XOR свих битова поруке, итд,
-
било каква информација, било који бит отвореног текста који може да
-
се сазна, значио би да систем није семантички безбедан.
-
Дакле све што нападач треба да уради јесте да се појави са две поруке,
-
m0 и m1, које су такве да је код једне од њих, то што сазнаје има вредност 0,
-
а код друге има вредност 1. На пример, А је сазнао XOR
-
битова поруке - тада m0 и m1 само треба да имају
-
различити XOR свих битова у поруци, и нападач А би могао
-
да разбије семантичку безбедност. Практично ако је шифра
-
семантички безбедна, никаква информација се не открива
-
ефикасном нападачу. То је управо и појам савршене тајности, али
-
примењен само на ефикасне нападаче уместо на све нападаче.
-
Следеће што желим да вам покажем је да је једнократна бележница
-
семантички безбедна, и боље би било да јесте, зато што је
-
и више од тога, она је савршено безбедна. Погледајмо зашто ово важи.
-
Још једном посматрамо овакве огледе, дакле претпоставимо да нападач претендује
-
да разбије семантичку безбедност једнократне бележнице. Он ће најпре
-
да избаци две поруке, m0 и m1, исте дужине.
-
Шта добија као изазов? Добија или шифровану
-
m0 или шифровану m1, под једнократном бележницом.
-
И покушава да разликује ове две могуће шифрате које добија.
-
У огледу 0, добија шифровану m0, а у огледу 1, добија
-
шифровану m1. Поставља се питање, која је предност нападача А
-
над једнократном бележницом? Подсећам вас да је својство једнократне бележнице
-
да је k XOR m0 са расподелом истоветном са k XOR m1.
-
Другим речима, ово су потпуно подударне расподеле.
-
То је својство XOR - ако XOR-ујемо случајни
-
кључ k са било чим, m0 или m1, добијамо униформну расподелу.
-
Дакле у оба случаја алгоритам А добија на улазу потпуно исту расподелу. Можда
-
униформну расподелу шифрата. И зато ће да се понаша на потпуно
-
исти начин у оба случаја, зато што добија потпуно исту расподелу на улазу.
-
Следи да је његова предност 0, што значи да једнократна бележница јесте семантички
-
безбедна. Занимљиво је то што, не само што је семантички безбедна,
-
већ је семантички безбедна за све нападаче. Не морамо чак да се ограничимо
-
на ефикасне нападаче. Нема нападача, колико год паметан био, који
-
би могао да разликује k XOR m0 од k XOR m1, зато што су ове две
-
расподеле истоветне. Добро, дакле једнократна бележница је семантички безбедна.
-
Тиме смо завршили са дефиницијом семантичке безбедности, и следеће што ћемо
-
да докажемо је да из безбедности PRG-а следи да је шифра тока
-
семантички безбедна.
