Điểm:2

Làm rõ các tranh cãi về mật mã có thể chứng minh được

lá cờ us

Tôi đã đọc về mật mã có thể chứng minh được trong Wikipedia. Bài viết đề cập đến những tranh cãi căng thẳng vào khoảng năm 2007.

Những tranh cãi này vẫn còn tồn tại?

Sự thay thế cho bảo mật có thể chứng minh được là gì? Không phải là nó đủ? Tôi nghĩ AES không tuân theo phong cách mật mã có thể chứng minh được, phải không?

Chế độ xem nào được chấp nhận/ưa thích trong cộng đồng Mật mã học?

Tại sao nó lại bắt đầu ngay từ đầu, Bằng chứng không phải là điều đáng mong đợi sao?

Những thành tựu của mật mã có thể chứng minh là gì?

Bắt đầu nghiên cứu/nghiên cứu mật mã từ đâu trước những tranh cãi này?

Tôi đã đọc qua một số phản đối, tôi cảm thấy rằng đó là vấn đề của hai điều: giả định ban đầu không mạnh và một số lỗi tồn tại trong một số bài báo, tôi có đúng không? Tôi nghĩ điều đầu tiên là cần thiết để bắt đầu (với nhận thức về những giả định như vậy), và điều thứ hai là các trường hợp riêng lẻ (cho rằng nó sai) không đủ để bác bỏ toàn bộ ngành khoa học.

Điểm:11
lá cờ ng

Nói chung, bài viết đó dường như đang đề cập đến dòng công việc "Một cái nhìn khác...". Nhiều bài báo được đối chiếu trên Trang web này.

Có một số "tranh cãi" mà bạn có thể cố gắng tóm tắt. Lực đẩy chính chống lại khái niệm "bảo mật có thể chứng minh được" là nó bán quá mức những gì nó mang lại --- các kế hoạch bảo mật có thể chứng minh được có thể bị tấn công vì nhiều lý do. Một bản tóm tắt ngắn gọn về các lý do là:

  1. Đề án được an toàn dưới giảm cho một số vấn đề khó khăn. Vấn đề khó khăn này là bí truyền và không được nghiên cứu nhiều, và thực tế là dễ dàng
  2. Có một lỗi trong bằng chứng (đã xác nhận quyền sở hữu)
  3. Bằng chứng được thực hiện trong một mô hình phi thực tế và người ta vẫn có thể tấn công sơ đồ này trong thực tế
  4. Việc giảm là "không chặt chẽ" và không áp dụng có ý nghĩa cho các tham số thực tế mà mọi người sử dụng.

Ngoài ra còn có một số khiếu nại bí truyền hơn (ví dụ: vai trò của tính không đồng nhất trong bằng chứng mật mã), nhưng những điều trên ít nhất là "những khiếu nại chính" với tính bảo mật có thể chứng minh được mà tôi có xu hướng nghe và tôi coi đó là những khiếu nại hợp lệ về cơ bản .

Sự thay thế cho bảo mật có thể chứng minh được là gì? Không phải là nó đủ? Tôi nghĩ AES không tuân theo phong cách mật mã có thể chứng minh được, phải không?

Nói chung, sự thay thế sẽ chính xác hơn trong các tuyên bố về bảo mật được đưa ra. Ngoại trừ điểm thứ 2 ở trên, tất cả các điểm trên cho thấy thứ gì đó về một kế hoạch cơ bản. Miễn là một mô tả chính xác những gì đang được hiển thị, sẽ không có vấn đề "bán quá nhiều" một kết quả.

Chế độ xem nào được chấp nhận/ưa thích trong cộng đồng Mật mã học?

Bảo mật có thể chứng minh vẫn là cài đặt tiêu chuẩn trong mật mã học, mặc dù kể từ ~ 1 thập kỷ trước, lĩnh vực này đã thu thập xung quanh các giả định "tiêu chuẩn" hơn (điều này tốt do điểm đầu tiên trong danh sách trên).

Tại sao nó lại bắt đầu ngay từ đầu, Bằng chứng không phải là điều đáng mong đợi sao?

Một bằng chứng chỉ hữu ích như tuyên bố được chứng minh, về cơ bản là nguồn gốc của các lập luận chống lại sự an toàn có thể chứng minh được.

Những thành tựu của mật mã có thể chứng minh là gì?

Điều này thực sự quá lớn để thảo luận và phụ thuộc nhiều vào ý nghĩa của "mật mã có thể chứng minh được". Ở mức tối thiểu, mật mã có thể chứng minh được có xu hướng cho bạn biết rằng những gì bạn đang cố gắng thực hiện về cơ bản không có sai sót. Ví dụ

  1. Việc giảm trường hợp xấu nhất đến trường hợp trung bình trong mật mã mạng cho bạn biết rằng vấn đề LWE theo một nghĩa nào đó là phân phối trường hợp trung bình "đúng" để lấy mẫu các trường hợp khó từ đó. Lưu ý rằng các mức giảm này theo một nghĩa nào đó là một ví dụ về "mật mã có thể chứng minh xấu", vì các học viên thường không sử dụng các tham số làm cho các mức giảm hợp lệ và các mức giảm không đặc biệt chặt chẽ.Tuy nhiên, thảo luận đầy đủ về điều này sẽ chiếm nhiều không gian hơn.

  2. Tương tự như vậy trong lĩnh vực mạng, ban đầu chữ ký dựa trên mạng khá khó xây dựng (chúng thường bị rò rỉ khóa bí mật), cho đến khi một bài báo đưa ra lập luận lấy mẫu từ chối khá phức tạp. Có vẻ như rất khó để tìm ra lập luận lấy mẫu từ chối này mà không theo đuổi bằng chứng --- thật tình cờ, những chữ ký này không bị tấn công một cách có ý nghĩa.

Tất nhiên, các tác giả thường nói về một số thứ nhất định là "tạo tác bằng chứng", thường có nghĩa là các sửa đổi được thực hiện để làm cho bằng chứng được thông qua, nhưng bên cạnh đó, điều đó rõ ràng không cần thiết cho bảo mật. Điều này thường có thể làm cho các kế hoạch trở nên kém hiệu quả hơn, do đó, "những thay đổi phức tạp để thực hiện bằng chứng" cũng có thể là tiêu cực.

Bắt đầu nghiên cứu/nghiên cứu mật mã từ đâu trước những tranh cãi này?

Phần lớn, bạn có thể bỏ qua những tranh cãi. Mặc dù có một số bài học hữu ích (đặc biệt là xử lý tính bảo mật cụ thể của các kế hoạch sắp được triển khai cụ thể), nhưng chúng có tính chất kỹ thuật mà tôi sẽ không đề cập đến khi đối mặt với người mới bắt đầu nghiên cứu mật mã.

user2357 avatar
lá cờ us
Bạn đã nói "Bảo mật có thể chứng minh được vẫn là cài đặt tiêu chuẩn trong mật mã" Nó có thực sự là tiêu chuẩn không? Tôi nghĩ đó là một đề xuất mới.
fgrieu avatar
lá cờ ng
@ user2357: bảo mật có thể chứng minh đã trở thành tiêu chuẩn vào khoảng những năm 1990. Lý do chính là sau đó chúng tôi bắt đầu có thể đưa ra bằng chứng.Một điều nữa là mọi người đã cảm thấy mệt mỏi với chu trình tạo/phá vỡ/sửa chữa trước đó, đặc biệt là về phần đệm chữ ký RSA (ví dụ: tiêu chuẩn quốc tế đầu tiên về chữ ký RSA, ISO/IEC 9796(-1) đã phải bị rút lại). Và đó là một cách hữu ích để những người đánh giá loại bỏ các đề xuất của các bài báo có giao thức hoặc hệ thống mật mã bất đối xứng: một bằng chứng trong một số mô hình trở nên cần thiết để được xuất bản trên một tạp chí tiền điện tử nghiêm túc.
user2357 avatar
lá cờ us
@fgrieu Còn các mật mã đối xứng thì sao, chúng có tuân theo mô hình bảo mật có thể chứng minh được không?
Mark avatar
lá cờ ng
@fgrieu có thể có các giá trị băm an toàn, ví dụ như SWIFFT (tôi nghĩ nó là CR an toàn dưới một số dạng SIS, không phải là RO phù hợp mặc dù iirc). Ngoài ra còn có Blum Blum Shub như một PRG có thể an toàn. Tuy nhiên, cả hai đều kém hiệu quả hơn so với các mô hình thiết kế tiêu chuẩn (tôi nhớ khoảng cách đối với BBS là rất lớn, trong khi đối với SWIFFT, nó "chỉ" giống như khoảng cách thông lượng 40 lần).
fgrieu avatar
lá cờ ng
@Mark: Tôi đã học được điều gì đó hữu ích! Cảm ơn!! Tôi đoán hình phạt hiệu suất nặng là lý do tại sao đây không phải là một yêu cầu tiêu chuẩn cho đến bây giờ.
user2357 avatar
lá cờ us
@Mark bạn đã nói "có thể cho rằng lĩnh vực này đã thu thập xung quanh các giả định" tiêu chuẩn "hơn" những giả định này là gì? Tôi có thể tìm hiểu chúng ở đâu?
Mark avatar
lá cờ ng
@ user2357 hơi khó để cung cấp một nguồn duy nhất. Trong "Minicrypt", người ta biết rằng về cơ bản tất cả các nguyên hàm (không băm) đều tương đương nhau, ví dụ: PRG tương đương với PRF tương đương với PRP (thậm chí bạn cũng có thể đưa vào OWF). Mặc dù vậy, hầu hết "các giả định về mật mã" không được sử dụng cho các nguyên mẫu minicrypt mà thay vào đó là các nguyên mẫu tiền điện tử. Câu chuyện về việc có một quan điểm "thống nhất" về cryptomania có phần phức tạp hơn --- các giả định về độ cứng khác nhau cho phép bạn xây dựng những thứ khác nhau. Xem [bài báo này](https://eprint.iacr.org/2019/108.pdf) để biết nỗ lực tạo ra một bức tranh thống nhất.
Mark avatar
lá cờ ng
Để xem những gì người nguyên thủy sử dụng "trong thực tế", bạn có thể xem những thứ như cuộc thi NIST. Đặc biệt, nếu bạn xem xét những người vào chung kết NIST PQC và đưa ra một số giả định cổ điển phổ biến (RSA, Finite-Field/EC DLog và CDH/DDH, và một giả định dựa trên ghép nối, tôi nghĩ là SXDH?), bạn sẽ có một khởi đầu khá tốt của "các giả định cốt lõi" được sử dụng trong mật mã học.
user2357 avatar
lá cờ us
@Đánh dấu nếu bạn có thể giả định độ cứng, điều này không đưa bạn vào trang web bảo mật có thể chứng minh được sao?
Mark avatar
lá cờ ng
@ user2357 không thực sự, tôi không biết về bất kỳ đề xuất nghiêm túc nào đối với mật mã khóa công khai không giả định độ cứng của một số vấn đề tính toán cơ bản. Tất nhiên, những vấn đề này có thể phần nào cụ thể đối với hệ thống mật mã (giả sử "Giả định RSA", chứ không phải vấn đề bao thanh toán chung), nhưng nhìn chung chúng được tách biệt và hệ thống mật mã được chứng minh là an toàn (với điều kiện là vấn đề riêng biệt khó).
user2357 avatar
lá cờ us
@Đánh dấu nếu bạn có thể giả sử độ cứng (đối với mật mã đối xứng), điều này có đưa bạn vào trang web bảo mật có thể chứng minh được không?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.