מודל אורקל אקראי – הבדלי גרסאות

ב[[קריפטואנליזה]], '''מודל אורקל אקראי''' (Random oracle model) הוא [[פרדיגמה]] לבניית [[פרוטוקול קריפטוגרפי]] עם ביטחון מוכח שהוצעה לראשונה ב-1995 על ידי [[מיהיר בלייר]] מ[[אוניברסיטת קליפורניה בסן דייגו]] ו[[פיליפ רוגווי]] מ[[אוניברסיטת קליפורניה בדייוויס]]{{הערה|[http://cseweb.ucsd.edu/~mihir/papers/ro.pdf Bellare, Mihir and Philip Rogaway (1993). “Random oracles are practical: A paradigm for designing efficient protocols.”]}}. הרעיון הבסיסי מורכב משני שלבים: תחילה מפתחים מערכת 'אידאלית' תאורטית שבה מעניקים לכל המשתתפים (לגיטימיים ויריבים כאחד) גישה ל[[אורקל (מדעי המחשב)|אורקל]] ציבורי תיאורטי, המיוצג על ידי פונקציה אקראית כלשהי <math>h</math> ומנסים להוכיח שהפרוטוקול נכון (בטוח) בהנחה ש-<math>h</math> ראנדומלית אמיתית. בשלב השני מיישמים את הפרוטוקול בפועל ומחליפים את <math>h</math> בפונקציה ספציפית הנגזרת מ[[פונקציית גיבוב קריפטוגרפית]] טובה כמו [[SHA-2]]. כך מצליחים ליישם מערכת אידאלית בטוחה בעולם האמיתי. ברור שכל פונקציית גיבוב פרקטית אינה אקראית אמיתית כיוון שהיא [[אלגוריתם דטרמיניסטי|דטרמיניסטית]] באופיה, הפלט יהיה תמיד זהה בכל פעם שמריצים אותה עם אותו קלט, לכן ההוכחה אינה במובן המקובל אלא [[היוריסטיקה|היוריסטית]] בלבד. לטענת המחברים אם המודל מיושם נכון, הוא עוזר להגיע יעילות וביטחון - אמנם פחות מהמודל הסטנדרטי של 'ביטחון מוכח' (provable security) אך עדיף על פני הביטחון המושג בשיטות [[אד הוק]]. כפי שניסחו זאת המחברים; "מודל אורקל אקראי מהווה גשר בין קריפטוגרפיה תאורטית לבין קריפטוגרפיה מעשית".

 

 

התועלת במודל אורקל אקראי שהוא נותן כלים כדי לבחון פרוטוקול תחת הגדרות פורמליות איתנות של ביטחון, אפילו אם המשמעות היא שמניחים שחלק מהפרימיטיבים שבשימוש חזקים מאוד. זאת בניגוד לפרוטוקול שמפותח בשיטות אד הוק מוחלטות שבהן לא קיימת הגדרה פורמלית כלל. אמנם אי אפשר להצהיר שהפרוטוקול המעשי בטוח באופן מוחלט אם המודל התאורטי שלו בטוח, אך אפשר להניח לפחות שאינו מכיל 'פגמים מבניים' כלשהם כך שכל התקפה כנגד יישום הפרוטוקול חייבת להנות מחולשות בפרימיטיבים הקריפטוגרפיים עצמם כדי שתצליח. לכן ההנחה היא שהפרוטוקול בטוח כל עוד הפרימיטיבים בטוחים.