Điểm:1

Có cách nào được tiêu chuẩn hóa để đánh giá tính bảo mật của thuật toán trao đổi khóa không?

lá cờ de
Zim

Tôi hiện đang cố gắng thiết kế một thuật toán thay đổi khóa an toàn hơn để thay thế DH được sử dụng rộng rãi.

Tuy nhiên, tôi chỉ có thể chứng minh rằng thuật toán của tôi an toàn hơn một cách hợp lý, có nghĩa là tôi chỉ có thể chứng minh nó từ một suy luận còn hơn là toán học Góc nhìn cá nhân.

Vì vậy, tôi tự hỏi nếu có một quy trình chuẩn hóa mà tôi có thể sử dụng để đánh giá công việc của mình.

Nếu không may là không có, tôi chỉ cần thu thập mọi cuộc tấn công hiện có vào DH và cố gắng sử dụng các phương pháp đó để tấn công phương pháp của riêng tôi? Đây có phải là cách hợp lý để chứng minh thuật toán của tôi an toàn không?

Điểm:1
lá cờ my

levgeni đã đưa ra một câu trả lời khá hay; có một vài điểm tôi nghĩ rằng tôi có thể thêm:

Tôi hiện đang cố gắng thiết kế một thuật toán thay đổi khóa an toàn hơn để thay thế DH được sử dụng rộng rãi.

Trước hết, rất có thể "thuật toán trao đổi khóa" mới của bạn yếu. Tôi không nói điều đó chỉ có nghĩa [1], mà còn dựa trên lịch sử của các thuật toán mật mã được đề xuất (bao gồm cả trao đổi khóa) - hầu hết chúng đều tỏ ra yếu kém và điều này đặc biệt đúng với các thiết kế được tạo bởi mật mã người mới tập sự. Và, ngay cả khi một nhà mật mã có kinh nghiệm đề xuất một hệ thống mới, họ sẽ không bao giờ tuyên bố rằng nó an toàn [2] - chúng tôi luôn nói rằng hệ thống đó cần được kiểm tra.

Vấn đề khác là dù sao chúng ta cũng sắp thay thế (hoặc bổ sung) DH (và ECDH). Lý do cho điều này là do mối đe dọa sắp tới của Máy tính lượng tử có liên quan đến mật mã - nếu ai đó có thể chế tạo một chiếc, thì họ có thể phá vỡ DH và ECDH. Và, mặc dù chúng tôi không tin rằng hiện tại có ai đó có, nhưng họ có thể sau 10 hoặc 20 năm nữa - và khi ai đó đã có, họ có thể quay lại và bắt đầu phá vỡ các phiên đã ghi (bao gồm cả trao đổi DH/ECDH) - do đó, chúng tôi hiện đang giải quyết vấn đề này.

Vì vậy, trừ khi thuật toán của bạn là Kháng lượng tử, nghĩa là, không thể bị phá vỡ ngay cả với kẻ tấn công bằng Máy tính lượng tử, thì không có khả năng ai sẽ chú ý đến nó, ngay cả khi bạn có thể chứng minh rằng nó an toàn trước kẻ thù chỉ với thông thường máy vi tính. Và, một cách để thấy rằng một thuật toán không phải là Kháng lượng tử" là xem xét một đối thủ có Hộp ma thuật có thể phân tích và tính toán các bản ghi rời rạc - nếu một đối thủ như vậy có thể phá vỡ hệ thống của bạn, thì bạn không phải là Kháng lượng tử. , nó không diễn ra theo cách khác - chỉ vì thuật toán của bạn miễn nhiễm với các cuộc tấn công nhật ký rời rạc và tính toán không có nghĩa là nó có khả năng kháng lượng tử - Máy tính lượng tử cũng có thể làm những việc khác.

Tuy nhiên, tôi chỉ có thể chứng minh rằng thuật toán của tôi an toàn hơn một cách hợp lý, có nghĩa là tôi chỉ có thể chứng minh nó từ một suy luận còn hơn là toán học Góc nhìn cá nhân.

Ý của bạn là bạn có lập luận hợp lý rằng thuật toán của bạn an toàn. Một lập luận hợp lý tốt hơn là không có gì; tuy nhiên nó không tốt hơn nhiều.Một bằng chứng toán học là những gì được mong đợi ...

Vì vậy, tôi tự hỏi liệu có một quy trình chuẩn hóa nào mà tôi có thể sử dụng để đánh giá công việc của mình không.

Như levgeni đã nêu, cách tiêu chuẩn là xác định 'bài toán khó' (hoặc có thể là một số bài toán khó), sau đó đưa ra bằng chứng rằng nếu bạn có thể phá vỡ quá trình trao đổi khóa của mình [3], thì anh ta có thể giải được bài toán khó đó [4] . Khi bạn đã hoàn thành việc đó, bạn có thể thử đánh giá mức độ khó của 'bài toán khó' của mình (và liệu nó có khó hơn bài toán khó mà DH dựa vào hay không, đó sẽ là bài toán CDH hay DDH).

Trừ khi bạn đã làm điều đó, còn không thì rất khó để khiến bất kỳ ai coi trọng công việc của bạn.

Tất nhiên, ngay cả khi bạn đã làm điều đó (và vâng, đó là rất nhiều công việc), đó vẫn sẽ là một cuộc đấu tranh khó khăn - bạn vẫn cần nhờ các nhà phân tích mật mã xem xét. Nếu bạn đã viết xong mọi thứ, bạn có thể đưa nó vào bản in điện tử (và vì vậy nó sẽ ở ngoài đó); bạn cũng có thể gửi nó tới một hội nghị (nếu nó mới và hậu lượng tử, PQC https://pqcrypto.org/conferences.html có thể là lựa chọn tốt nhất của bạn) - ngay cả khi bài báo không được chấp nhận, các bài đánh giá bạn nhận được có thể rất sáng suốt.


[1]: Chà, đó không phải là lý do duy nhất...

[2]: Một ngoại lệ sẽ là nếu anh ta có bằng chứng trong tay rằng sức mạnh của hệ thống có thể được giảm xuống thành một bài toán khó được chấp nhận. Tuy nhiên, ngay cả trong những trường hợp đó, anh ta có khả năng khuyên ai đó nên xem xét kỹ bằng chứng ...

[3]: Lý tưởng nhất là phá vỡ nó có nghĩa là "nếu bạn có thể cung cấp cho kẻ tấn công các chia sẻ khóa được trao đổi và 'bí mật được chia sẻ' giả định, thì anh ta có lợi thế trong việc phân biệt liệu 'bí mật được chia sẻ' đó là giá trị thực hay giá trị ngẫu nhiên được rút ra từ một phân phối ngẫu nhiên thích hợp"

[4]: Lưu ý thứ tự - phá vỡ hệ thống của bạn có nghĩa là phá vỡ vấn đề khó khăn. Tôi đã thấy các bài báo cố gắng đi theo hướng khác - "nếu bạn có thể giải quyết vấn đề khó khăn này, bạn có thể phá vỡ hệ thống của tôi" - điều đó không thực sự cho thấy bất cứ điều gì.

Điểm:1
lá cờ cn

Không, nếu hệ thống của bạn thực sự khác biệt về trao đổi khóa DH, thì sẽ không thực sự liên quan khi nhận thấy rằng cuộc tấn công được thiết kế đặc biệt chống lại giao thức Diffie-Hellman không hiệu quả đối với hệ thống của bạn.

Có ba cách để so sánh giao thức của bạn với giao thức khác:

  • Đầu tiên, sẽ tốt hơn nếu chứng minh bằng cách viết một bằng chứng an ninh rằng giao thức của bạn ít nhất là an toàn đối với một số vấn đề về thuật toán đã biết. Và nếu bài toán được biết là khó hơn bài toán Diffie-Hellman, thì nó có thể rất thú vị. NHƯNG bạn phải chú ý vấn đề Diffie-Hellman (quyết định hoặc tính toán) là một vấn đề tham số hóa. Và độ khó của những vấn đề này phụ thuộc rất nhiều vào việc lựa chọn tham số (được gọi là tham số bảo mật và có tên $\lambda$ trong các tài liệu nghiên cứu).Vì vậy, nếu bạn muốn trung thực, bạn phải chọn tham số phù hợp để so sánh cả hai vấn đề (ví dụ: bạn có thể so sánh với các tham số sao cho hiệu quả của cả hai giao thức là như nhau).

  • Khả năng khác, bạn cho rằng giao thức của bạn xác minh một số thuộc tính mạnh hơn so với trao đổi khóa DH. Sau đó, sẽ rất tốt nếu tranh luận về yêu cầu của bạn với bằng chứng bảo mật và cũng cho thấy DH-KE không xác minh thuộc tính này (ví dụ bằng cách thể hiện một cuộc tấn công).

  • Nếu không có bằng chứng an ninh (đối với tài sản tiêu chuẩn và tài sản mạnh hơn). Bạn có khả năng trình bày công khai giao thức của mình trong một hội nghị khoa học và cho phép nhà nghiên cứu tìm ra các cuộc tấn công trong giao thức của bạn. Và sau đó, có thể, nếu với nhiều khả năng hiển thị trong nhiều năm, yêu cầu bảo mật của bạn không bị phá vỡ, mọi người sẽ coi giao thức của bạn là an toàn và sẽ so sánh cuộc tấn công tốt nhất được biết giữa hai giao thức để chọn giao thức nào an toàn nhất.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.