Криптографический глоссарий
Не сделать ли на каком-нибудь общедоступном вики-сайте англо-русский глоссарий криптотерминов?
Например, как переводится:
ephemeral
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||
Тривиальные — есть, ага. Не менее одной операции на взлом.
Пруффлинк?
Почему это? Берется наилучший известный метод криптоанализа и считается криптостойкость алгоритма.
Конечно. Поэтому и существует ИКСИ, управления различные.
Ну так поделитесь.
Пруфлинк.
Точно. А послезавтра какой-нибудь находчивый исследователь находит ещё лучший метод криптоанализа и получает, что шифр нестойкий. Доказання теорема не может быть опровергнута, это математический факт, но стойкость шифра нельзя сформулировать и формализовать как математическую теорему.
Борьба щита и меча при условии доказанности невозможности создания идеального щита. Многие считают такой путь развития тупиковым. То, что иначе пока нельзя (нет у нас другой практичной криптографии), ещё не означает, что надо преподносить нужду за благодетель.
комментариев: 9796 документов: 488 редакций: 5664
Есть только набор фактов:
Стойкость блочных шифров нельзя строго доказать или опровергнуть, потому что:
Т.е. строгого доказательства (не)возможности построения стойких алгоритмов в выч. модели не существует, но упорное отсутствие прогресса в появлении положительных живых примеров п.п. 1-2 из предыдущего абзаца вызывает скепсис.
Есть условно третий пункт. С гипотетическим появлением квантовых компьютеров достаточной мощности традиционное асимметричное крипто однозначно рушится, в то время как с симметричным считалось всё хорошо. Но появление квантовых оракулов уже вроде как не научно-фантастический курьёз. С их помощью теоретически можно ломать и симметричное крипто так, как раньше не представлялось возможным. Так, в некоторых последующих работах утверждается, что если блочный шифр удасться реализовать в виде квантовой схемы, то можно его анализировать подав на вход суперпозицию ключа. Это непрактичная атака против шифров, но может выявить у них массу неизученных более простыми способами свойств и поставить крест на хэшах (хотя есть возражения), где в отличие от ключа, вход может подбираться противником. Что в свою очередь может порушить часть квантовостойких (постквантовых) асимметричных алгоритмов.
Т.е., пока можно считать, что угроза появления принципиально новых методов криптоанализа и развитие новых средств вычислений делают трудноустранимыми ошибки в оценке точной стойкости алгоритмов в вычислительной модели.
С другой стороны, IT-стойкая криптография, в отличие от вычислительной, пока настолько непрактична, что исследуется, развивается, а тем более внедряется слабо.
Вы говорили лишь о невозможности создания идеального блочного шифра. Идеальный блочный шифр существует так же, как и совершенный шифр гаммирования, описанный Шенноном. По ссылкам приведен факт невозможности замены случайного оракула на какую-нибудь функцию.
комментариев: 9796 документов: 488 редакций: 5664
Затраты числа операций и памяти на генерацию и поддержание реально случайных таблиц всех перестановок для всех ключей идеального шифра будут выше брутфорса. Он практически нереализуем. Или реализуем, но непрактичен (например, для малых ключей и блоков) в гораздо большей степени, чем одноразовый блокнот.
А для его практической эмуляции нужна псевдослучайная функция, которая упирается в RO.
Принято. Однако, с этими книжками та же фигня, что и с книгами по радиоэлектронной борьбе: суть ужимается в несколько компактных текстов, поэтому основная информация свободно утекает через неформальные разговоры, рассказы и пересказы, исходя из которых можно составить достаточно детальную картину используемых методов. Если бы за военной криптографией крылось что-то действительно глубокое, был бы другой разговор, но судя по ГОСТу всем всё и так ясно. Понятно, что криптографическая школа ФСБ чисто физически не может конкурировать с открытой мировой криптографией, если даже по поводу АНБ есть скепсис на этот счёт.
Вообще, можно выпустить книжку по обычному матанализу для учащихся ИКСИ и засекретить её. Ну, просто так, по приколу, чтоб было. Для поддержания марки и престижа это тоже сделать можно, а какой в этом смысл — другой вопрос.
Если вернуться к /comment19007 и повторно его обдумать, то, наверное, можно сказать, что никакой стандартный блочный шифр не может иметь безопасность в 2256 операций или около того. С одной стороны, заранее понятно, что границу можно очень сильно понизить, с другой — что какая-то нетривиальная нижняя граница на сложность брутфорса тоже должна быть. Получается, открытый вопрос — размер окна неопределённости между нетривиальной верхней и нетривиальной нижней границами, поскольку мы не знаем ни ту, ни другую.
Вычислительная сложность (теория сложности) — очень туманная и сложная область, хотя модная. Вроде как сформировывается понятие разных классов сложности и их связей друг с другом, но убедительного доказательства, что один класс не эквивалентен другому нет.
Two common models of attack are CPA (chosen plaintext attack) and CCA (chosen ciphertext attack).In the first the attacker has access
to an encryption oracle to which it can present plaintexts and receive the
ciphertexts resulting from the encryption of these plaintexts.
Не пойму как переводится слово Oracle, но думаю что это не компания Oracle.
Как его можно перевести?
to an encryption oracle ~ имеет доступ к шифрования типа чёрного ящика. Но как нормально перевести?
комментариев: 9796 документов: 488 редакций: 5664
Шифрующий оракул — так и есть, русского аналога нет и не предвидится. Дешифрующий оракул тоже бывает. Random Oracle — вы в виде какого ящике себе (и читателям перевода) представлять будете? а Left-Right Oracle? А миры, управляемые оракулами? Как игрушечные вселенные, засунутые в ящики/комнаты?
Погуглите по нашему сайту по слову Oracle и оракул.
Воображение: автор спросит «как правильно перевести термины "hosen plaintext attack" и "chosen ciphertext attack"?».
Реальность:
Оракул — blackbox function из теории сложности:
Оттуда он перекочевал в вычислительно-стойкую криптографию. Как-то так.
комментариев: 9796 документов: 488 редакций: 5664
При попытке перевести, подобрав аналог с ящиком, будет проблема, что термины black box crypto(analysys), whyte box crypto и glass box crypto уже заняты.
Оракул это, короче. Вы ему вопрос (текст, строку) — он вам ответ (шифртекст, хэш-отпечаток и др.). А вы по его ответам пытаетесь раскрыть секрет, который лежит в основе различителя (distinguisher) от идеальной модели.
Примерно так: «Существуют две общей модели атаки: атака с подобранным открытым текстом и атака с подобранным шифртекстом. В первом случае атакующий имеет доступ к шифрующему оракулу и может подавать ему на вход открытый текст, получая ему (открытом тексту) соответствующий шифртекст».
Примерно в этом же было в /comment29611.
Если хочется понять смысл, есть подборка постов.
Я бы сказал, что оракул — это идеализированная функция или идеализированный чёрный ящик. Есть свойства этой идеальной функции (реакция на отклик), а есть свойства реальных функций. Отличие в свойствах даёт различитель реальной функции от идеальной, т.е. от соответствующего оракула.