מודל אורקל אקראי – הבדלי גרסאות
תוכן שנמחק תוכן שנוסף
מ סכימה -> סכמה באמצעות AWB |
|||
שורה 5:
התועלת במודל אורקל אקראי שהוא נותן כלים כדי לבחון פרוטוקול תחת הגדרות פורמליות איתנות של ביטחון, אפילו אם המשמעות היא שמניחים שחלק מהפרימיטיבים שבשימוש חזקים מאוד. זאת בניגוד לפרוטוקול שמפותח בשיטות אד הוק מוחלטות שבהן לא קיימת הגדרה פורמלית כלל. אמנם אי אפשר להצהיר שהפרוטוקול המעשי בטוח באופן מוחלט אם המודל התאורטי שלו בטוח, אך אפשר להניח לפחות שאינו מכיל 'פגמים מבניים' כלשהם כך שכל התקפה כנגד יישום הפרוטוקול חייבת ליהנות מחולשות בפרימיטיבים הקריפטוגרפיים עצמם כדי שתצליח. לכן ההנחה היא שהפרוטוקול בטוח כל עוד הפרימיטיבים בטוחים.
[[רן קנטי]], [[עודד גולדרייך]] ו[[שי הלוי]] (1998){{הערה|[http://eprint.iacr.org/1998/011.pdf Canetti, Ran, Oded Goldreich, and Shai Halevi (1998). “The random oracle methodology, revisited.”]}} ביקרו את רעיון מודל האורקל האקראי והשימוש בפונקציות גיבוב קריפטוגרפיות ליישומו והוכיחו שקיים פרוטוקול שנקרא בטוח תחת מודל אורקל אקראי אך כל ניסיון ליישמו על ידי החלפה מפונקציה תאורטית בפונקציה מעשית, מניב
==תיאור המודל==
שורה 33:
הצעה טובה יותר של בלייר ורוגווי נקראת OAE{{הערה|[https://cseweb.ucsd.edu/~mihir/papers/oae.pdf Optimal Asymmetric Encryption - How to Encrypt with RSA]}} קיצור של Optimal Asymmetric Encryption היא כדלהלן:
:<math>E^{G,H}(x)=f(x\oplus G(r) \ \| \ r\oplus H(x\oplus G(r)))</math>
שיטה זו 'אופטימלית' במובן שהיא יעילה כמו הקודמות והתוצאה נשמרת בגודל כמעט זהה וניתנה הוכחה לביטחונה במסגרת מודל אורקל אקראי כמו כן נוספה הגדרה שנקראת plaintext-aware שאומרת
==ראו גם==
|