Tham gia Đăng nhập
Điểm:2
Novice_researcher avatar Crypto

Hạn chế của FPE và Phạm vi của FPE

lá cờ br
Novice_researcher

Bạn có nghĩ rằng các sơ đồ mã hóa bảo toàn định dạng (FPE) có bất kỳ hạn chế nào đối với các mật mã khối thông thường khác không? FPE có nhiều ứng dụng để trở thành một lĩnh vực nghiên cứu trong tương lai không?

103
2 + 0
Điểm:2
poncho avatar Crypto
lá cờ my
poncho

Bạn có nghĩ rằng các sơ đồ mã hóa bảo toàn định dạng (FPE) có bất kỳ hạn chế nào đối với các mật mã khối thông thường khác không?

Trên thực tế, người ta có thể xem một lược đồ FPE như là một sự khái quát hóa của một mật mã khối truyền thống. Xét cho cùng, một mật mã khối thông thường được cố định ở một kích thước khối cụ thể; với FPE, chúng tôi có thể sử dụng bất kỳ kích thước khối nào mà chúng tôi thấy thuận tiện (ví dụ: toàn bộ thông báo).

FPE có nhiều ứng dụng để trở thành một lĩnh vực nghiên cứu trong tương lai không?

Tôi cũng tin như thế. Một điều thú vị về FPE (với một tinh chỉnh; hầu hết các sơ đồ FPE đều cho phép một sơ đồ) là dễ dàng xây dựng một sơ đồ AEAD có khả năng chịu được lạm dụng khá cao:

  • Để mã hóa, bạn sẽ lấy tin nhắn $M$, và nối thêm $k$ số không và $\ell$ các bit ngẫu nhiên (hoặc nonce; bộ giải mã sẽ khôi phục các bit này và do đó chúng có thể được sử dụng làm số thứ tự nếu cần). Mã hóa điều đó bằng sơ đồ FPE, sử dụng AAD làm tinh chỉnh.

  • Để giải mã, bạn giải mã bằng sơ đồ FPE bằng cách sử dụng AAD làm tinh chỉnh; phân tích kết quả và kiểm tra xem $k$ số không xuất hiện ở cuối.

Rõ ràng đây là sơ đồ AAD an toàn (giả sử rằng sơ đồ FPE là an toàn). Thêm vao Đoa:

  • Nếu người gửi sử dụng tính ngẫu nhiên xấu cho $\ell$ các bit ngẫu nhiên, nó sẽ trở thành một sơ đồ xác định trong đó đối thủ có thể xác định xem cùng một thông điệp có được gửi hai lần hay không, nhưng không thể xác định bất cứ điều gì ngoài điều đó.

  • Nếu người nhận quên kiểm tra $k$ số 0, thì điều này trở thành một kế hoạch cắt xén hoàn toàn, trong đó kẻ thù có thể thay đổi thông điệp được giải mã thành một thứ gì đó ngẫu nhiên, nhưng không thể làm gì ngoài điều đó. Điều này trái ngược với nhiều sơ đồ AEAD, trong đó nếu bộ giải mã quên kiểm tra thẻ, thì mã hóa sẽ trở nên dễ uốn (và AAD về cơ bản bị bỏ qua).

Vì vậy, nếu điều này là rất tuyệt vời, nhược điểm là gì? Chà, một vấn đề quan trọng là hiệu suất - các chương trình FPE hiện tại khá chậm và do đó, thiết kế đơn giản này không được sử dụng. Một chương trình FPE hoạt động tốt hơn (nhưng vẫn an toàn) sẽ làm cho điều này trở nên hấp dẫn hơn nhiều.

Một nhược điểm rõ ràng khác là FPE không thể được triển khai theo cách "một lượt" (trong đó chúng tôi xử lý thông báo theo từng phần); điều này thuận tiện khi chúng ta cần xử lý các tin nhắn lớn; tuy nhiên, rõ ràng là việc có thể thực hiện mã hóa chống lạm dụng (trong trường hợp thiếu entropy nonce chỉ rò rỉ nếu các thông điệp giống hệt nhau) là không tương thích với mã hóa một lần và khả năng thực hiện giải mã chống lạm dụng (khi quên kiểm tra tính toàn vẹn cho phép kẻ tấn công tích cực chỉ chọn ngẫu nhiên bản rõ) không tương thích với giải mã một lượt.

0 + 0
Điểm:1
fgrieu avatar Crypto
lá cờ ng
fgrieu

Hạn chế (cũng có mặt trong mật mã khối thông thường như AES)

  • Một hạn chế của Mã hóa bảo toàn định dạng là nó mang tính xác định: cùng một bản rõ luôn dẫn đến cùng một bản mã.Và theo một đối số entropy, đó phải là nếu tất cả các bản rõ phù hợp với định dạng đều có thể. Điều này đến lượt nó ngăn cản việc đáp ứng các tiêu chí chống lại Cuộc tấn công bằng văn bản được chọn.
  • Một hạn chế khác của FPE như được thực hiện là nó đối xứng: cần có một bí mật (thường giống nhau) ở phía mã hóa. Điều đó là cần thiết để bảo mật bản rõ có entropy thấp, đây là tải trọng điển hình của FPE.

quan điểm, bắt đầu từ dễ dàng

  1. Khi có hạn chế đối với w.r.t. định dạng, thật dễ dàng để khắc phục phần nào dấu đầu dòng đầu tiên và thậm chí nhận được phần nào FPE được xác thực. Ví dụ: khi mã hóa số thẻ tín dụng cộng với ngày hết hạn, ít nhất là chữ số cuối cùng của số đó (tổng kiểm tra) và trường ngày và ở một mức độ nào đó, 6 chữ số đầu tiên (xác định người phát) cho phép nén một số thông tin có thể sử dụng cho IV hoặc xác thực .
  2. Đối với tải trọng entropy đủ cao (giả sử 128 bit), có thể xác định FPE không đối xứng an toàn trong giới hạn của điểm đầu dòng đầu tiên. Thật dễ dàng để có được điều này từ một hoán vị cửa sập chẳng hạn như RSA, nhưng điều đặc biệt này chỉ được quan tâm thực tế hạn chế đối với FPE, bởi vì FPE chủ yếu được thúc đẩy bởi tải trọng nhỏ. Thách thức là hoán vị cửa bẫy trong một khoảng thời gian nhỏ hơn, chẳng hạn như vài trăm bit. Tôi ước tôi biết trạng thái của nghệ thuật đó.
0 + 3
Maarten Bodewes avatar
lá cờ in
Maarten Bodewes
Không phải cũng có vấn đề với kích thước thông báo đối với các dạng FPE cụ thể khi nó cần lớn hơn một số bit cụ thể sao?
0
Hồi đáp
fgrieu avatar
lá cờ ng
fgrieu
@MaartenBodewes: Tôi không hiểu ý của bạn trong nhận xét thứ hai. Chúng tôi biết cách đạt được FPE hoàn hảo về cơ bản cho bất kỳ khoảng thời gian nào, đối với giống đối xứng có các khóa giống hệt nhau (hoặc bất kỳ khóa nào có thể suy ra được từ khóa kia). Có lẽ làm phong phú thêm nhận xét của bạn, vì bạn có thể!
0
Hồi đáp
poncho avatar
lá cờ my
poncho
Hai hạn chế tương tự mà bạn liệt kê cũng sẽ áp dụng cho AES; mật mã khối AES cũng mang tính xác định và đối xứng.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.