מודל אורקל אקראי – הבדלי גרסאות
תוכן שנמחק תוכן שנוסף
אין תקציר עריכה |
|||
שורה 2:
==רעיון כללי==
מהיבט תיאורתי עדיף היה לפתח ולנתח פרוטוקול באופן כזה שניתן יהיה להוכיח לפי מודל סיבוכיות סטנדרטי (אסימפטוטי) שהוא אכן בטוח לשימוש בהתבסס על השערה מתמטית חזקה. אולם במציאות המצב הוא שפרוטוקול כזה נוטה להיות לא יעיל ולמרבה הצער מרבית המשתמשים נוטים לוותר על האבטחה כליל מאשר לסבול פרוטוקול
רעיון מודל אורקל אקראי מנסה לגשר על הפער הזה על ידי תוספת אלמנט הנקרא [[אורקל (מדעי המחשב)|אורקל]] שהוא מעין קופסה שחורה. באופן תיאורטי נוספת לפרוטוקול פונקציה אקראית <math>H</math> שניתנת להערכה רק באמצעות שאילתה לאורקל שמקבל <math>x</math> כלשהו ומחזיר את <math>H(x)</math> באופן אקראי. אמנם הפונקציה לא מציאותית אך היא מספקת שיטה לפיתוח ובדיקה של פרוטוקול קריפטוגרפי בשני מהלכים, לפי הגישה הבאה:
שורה 15:
התועלת במודל אורקל אקראי שהוא נותן כלים כדי לבחון פרוטוקול תחת הגדרות פורמליות איתנות של ביטחון, אפילו אם המשמעות היא שמניחים שחלק מהפרימיטיבים שבשימוש חזקים מאוד. זאת בניגוד לפרוטוקול שמפותח בשיטות אד הוק מוחלטות שבהן לא קיימת הגדרה פורמלית כלל. אמנם אי אפשר להצהיר שהפרוטוקול המעשי בטוח באופן מוחלט אם המודל התאורטי שלו בטוח, אך אפשר להניח לפחות שאינו מכיל 'פגמים מבניים' כלשהם כך שכל התקפה כנגד יישום הפרוטוקול חייבת ליהנות מחולשות בפרימיטיבים הקריפטוגרפיים עצמם כדי שתצליח. לכן ההנחה היא שהפרוטוקול בטוח כל עוד הפרימיטיבים בטוחים.
[[רן קנטי]], [[עודד גולדרייך]] ו[[שי הלוי]] (1998){{הערה|[http://eprint.iacr.org/1998/011.pdf Canetti, Ran, Oded Goldreich, and Shai Halevi (1998). “The random oracle methodology, revisited.”]}} ביקרו את רעיון מודל האורקל האקראי והשימוש בפונקציות גיבוב קריפטוגרפיות ליישומו והוכיחו שקיים פרוטוקול שנקרא בטוח תחת מודל אורקל אקראי אך כל ניסיון ליישמו על ידי החלפה מפונקציה תאורטית בפונקציה מעשית, מניב סכמה לא בטוחה. הם מסכמים בהצעות משלהם ליישום בטוח של המודל ומציינים מספר מגבלות. יש הסבורים שהסיטואציה שהעלו קצת מלאכותית ולא סביר שתקרה במנגנונים קריפטוגרפיים אמיתיים.
==תיאור המודל==
| |||