מודל אורקל אקראי – הבדלי גרסאות
תוכן שנמחק תוכן שנוסף
אין תקציר עריכה |
|||
שורה 1:
{{לשכתב|ויקיזציה}}
ב[[קריפטואנליזה]] ,'''מודל אורקל אקראי''' (Random oracle model) הוא [[פרדיגמה]] לבניית [[פרוטוקול קריפטוגרפי]] עם ביטחון מוכח שהוצעה לראשונה ב-1995 על ידי [[מיהיר בלייר]] מ[[אוניברסיטת קליפורניה בסן דייגו]] ו[[פיליפ רוגווי]] מ[[אוניברסיטת קליפורניה בדייוויס]]{{הערה|[http://cseweb.ucsd.edu/~mihir/papers/ro.pdf Bellare, Mihir and Philip Rogaway (1993). “Random oracles are practical: A paradigm for designing efficient protocols.”]}}. הרעיון הבסיסי מורכב משני שלבים: תחילה מפתחים מערכת 'אידאלית' תיאורטית שבה מעניקים לכל המשתתפים (לגיטימיים ויריבים כאחד) גישה ל[[אורקל (מדעי המחשב)|אורקל]] ציבורי המיוצג על ידי פונקציה אקראית כלשהי <math>h</math> ומנסים להוכיח שהפרוטוקול נכון (בטוח) בהנחה ש-<math>h</math> ראנדומלית אמיתית. בשלב השני מיישמים את הפרוטוקול בפועל ומחליפים את <math>h</math> בפונקציה ספציפית הנגזרת מ[[פונקציית גיבוב קריפטוגרפית]] טובה כמו [[SHA-2]]. כך משיגים יישום מערכת אידאלית בטוחה בעולם האמיתי בקלות. ברור שכל פונקציית גיבוב פרקטית אינה אקראית אמיתית כיוון שהיא [[אלגוריתם דטרמיניסטי|דטרמיניסטית]] באופיה
לטענת מבקרים סקפטיים של הרעיון היות שהפונקציה המחליפה בפועל אינה ראנדומלית אמיתית, ההוכחה אינה משיגה מאומה. נותרת השאלה האם ההוכחה תהיה תקפה כאשר מחליפים את <math>h</math> בפונקציה מעשית. אפשר להביט בזה בדרך אחרת, לעיתים נוח לקריפטאנליסט לצורך התקפה מעשית כנגד פרוטוקול המשלב פונקציה מ[[תורת המספרים]] ופונקציית גיבוב כלשהי <math>h</math> להתייחס אל האחרונה כאל פונקציה אקראית, התקפה כזו נקראת 'גנרית' במובן שאינה מניחה הנחות מוקדמות כלשהן לגבי <math>h</math> וזה בדיוק המצב בו רעיון האורקל האקראי יכול להיות שימושי. כלומר המודל מאפשר לפחות להוכיח שהתקפה גנרית כזו תכשל אלא אם כן הפונקציה מתורת המספרים אינה כפי שהיא מתיימרת. אך יש להיזהר בפועל בבחירת הפונקציה <math>h</math> שחשוב שתהיה 'עצמאית' ביחס לפרוטוקול, או במילים אחרות שהפרוטוקול עצמו אינה מתייחס אליה בדרך כלשהי.
| |||