ויקיפדיה

מודל אורקל אקראי – הבדלי גרסאות

עיון אינטראקטיבי בהיסטוריה
→ העריכה הקודמתהעריכה הבאה ←
תוכן שנמחק תוכן שנוסף
חזותיקוד ויקי
מ ←‏top: ., replaced: להנות ← ליהנות באמצעות AWB
מ סכימה -> סכמה באמצעות AWB
שורה 5:
התועלת במודל אורקל אקראי שהוא נותן כלים כדי לבחון פרוטוקול תחת הגדרות פורמליות איתנות של ביטחון, אפילו אם המשמעות היא שמניחים שחלק מהפרימיטיבים שבשימוש חזקים מאוד. זאת בניגוד לפרוטוקול שמפותח בשיטות אד הוק מוחלטות שבהן לא קיימת הגדרה פורמלית כלל. אמנם אי אפשר להצהיר שהפרוטוקול המעשי בטוח באופן מוחלט אם המודל התאורטי שלו בטוח, אך אפשר להניח לפחות שאינו מכיל 'פגמים מבניים' כלשהם כך שכל התקפה כנגד יישום הפרוטוקול חייבת ליהנות מחולשות בפרימיטיבים הקריפטוגרפיים עצמם כדי שתצליח. לכן ההנחה היא שהפרוטוקול בטוח כל עוד הפרימיטיבים בטוחים.
 
[[רן קנטי]], [[עודד גולדרייך]] ו[[שי הלוי]] (1998){{הערה|[http://eprint.iacr.org/1998/011.pdf Canetti, Ran, Oded Goldreich, and Shai Halevi (1998). “The random oracle methodology, revisited.”]}} ביקרו את רעיון מודל האורקל האקראי והשימוש בפונקציות גיבוב קריפטוגרפיות ליישומו והוכיחו שקיים פרוטוקול שנקרא בטוח תחת מודל אורקל אקראי אך כל ניסיון ליישמו על ידי החלפה מפונקציה תאורטית בפונקציה מעשית, מניב סכימהסכמה לא בטוחה. הם מסכמים בהצעות משלהם ליישום בטוח של המודל ומציינים מספר מגבלות. יש הסבורים שהסיטואציה שהעלו קצת מלאכותית ולא סביר שתקרה במנגנונים קריפטוגרפיים אמיתיים.
 
==תיאור המודל==
שורה 33:
הצעה טובה יותר של בלייר ורוגווי נקראת OAE{{הערה|[https://cseweb.ucsd.edu/~mihir/papers/oae.pdf Optimal Asymmetric Encryption - How to Encrypt with RSA]}} קיצור של Optimal Asymmetric Encryption היא כדלהלן:
:<math>E^{G,H}(x)=f(x\oplus G(r) \ \| \ r\oplus H(x\oplus G(r)))</math>
שיטה זו 'אופטימלית' במובן שהיא יעילה כמו הקודמות והתוצאה נשמרת בגודל כמעט זהה וניתנה הוכחה לביטחונה במסגרת מודל אורקל אקראי כמו כן נוספה הגדרה שנקראת plaintext-aware שאומרת שהסכימהשהסכמה בטוחה באופן כזה שלא ניתן לייצר טקסט מוצפן תקף שפונקציית הפענוח תקבל מבלי לדעת את הטקסט המקורי. על בסיס הרעיון הזה עודכן תקן PKCS שבו נוספה סכימת ריפוד שנקראת RSA-OAES. ההוכחה שניתנה על ידי המחברים לא הייתה נכונה כפי שהתברר על ידי [[ויקטור שופ|שופ]]{{הערה|[http://www.shoup.net/papers/oaep.pdf Shoup, V. (2001). “OAEP reconsidered.” Advances in Cryptology—CRYPTO 2001, Lecture Notes in Computer Science, vol. 2139, ed. J. Kilian. Springer-Verlag, Berlin, 239–259]}}. למרות זאת מסתבר שהגרסה שמשתמשת ב-RSA למרות זאת בטוחה וזאת בעיקר בגלל תכונת [[הומומורפיזם|ההומומורפיות]] של RSA.
 
==ראו גם==
אוחזר מתוך "https://he.wikipedia.org/wiki/מודל_אורקל_אקראי"