מודל אורקל אקראי – הבדלי גרסאות
תוכן שנמחק תוכן שנוסף
Matanyabot (שיחה | תרומות) מ בוט החלפות: תאור\1, ביטחו\1 |
הסרה (למרבה הצער), החלפה (תאורטי) |
||
שורה 2:
==אורקל אקראי==
בקריפטוגרפיה מודרנית נוח להשתמש באובייקט
*המבנה הפנימי של האורקל אינו ידוע לאיש. כל מה שידוע הוא שאילתות שהוגשו עד עתה והתשובות שהתקבלו.
*'''פרטיות'''. כל שאילתה שמוגשת לאורקל פרטית במובן שרק האורקל ומגיש השאילתה יודעים מהי. זו הנחה טבעית כי במציאות הגשת שאילתה לאורקל מתאימה להפעלת פונקציית גיבוב באופן מקומי.
שורה 10:
אפשר להתייחס לכל <math>H</math> כאל טבלה ענקית שמכילה עבור כל קלט אפשרי את הפלט המתאים. בכל טבלה <math>2^n\cdot \ell(n)</math> סיביות בסך הכול ובתחום כולו קיימות בסך הכול <math>2^{\ell(n)\cdot 2^n}</math> פונקציות שונות עם קלט ופלט באורך המצוין. דרך אחרת היא להתייחס ל-<math>H</math> כאל פונקציה אקראית בתנאי אחד, עבור כל <math>x</math> הפונקציה בודקת תחילה אם הופיע בעבר, אם לא היא מחזירה <math>y</math> אקראי ושומרת את הזוג <math>x</math> ו-<math>y</math> במסד נתונים כלשהו. אם <math>x</math> כבר מופיע במסד הנתונים של הפונקציה משמע שכבר הוגשה שאילתה עם <math>x</math> זה ולכן היא תחזיר את <math>y</math> המתאים השמור במסד הנתונים.
חשוב להדגיש שיש הבדל בין מודל אורקל אקראי לבין אורקל אקראי בהקשר של [[פונקציה פסבדו-אקראית קריפטוגרפית|פונקציה פסאודו-אקראית]]. שם הגישה לאורקל היא רק קונספט
==רעיון כללי==
מהיבט
רעיון מודל אורקל אקראי מנסה לגשר על הפער הזה על ידי תוספת אורקל אקראי. באופן תאורטי נוספת לפרוטוקול פונקציה אקראית <math>H</math> שניתנת להערכה רק באמצעות שאילתה לאורקל שמקבל <math>x</math> כלשהו ומחזיר את <math>H(x)</math> באופן אקראי. אמנם הפונקציה לא מציאותית אך היא מספקת שיטה לפיתוח ובדיקה של פרוטוקול קריפטוגרפי בשני מהלכים, לפי הגישה הבאה:
שורה 19:
*בשלב השני כאשר מנסים ליישם את הפרוטוקול בפועל כיוון שאורקל אקראי לא קיים במציאות מנסים להחליפו בפונקציית גיבוב מתאימה (למשל וריאציה של [[SHA-2]]). כך שבכל נקודה בפרוטוקול שבה מופיעה שאילתה לאורקל אקראי עם <math>x</math>, היא תוחלף בפונקציית הגיבוב <math>\hat H(x)</math>.
בתהליך זה מקווים שפונקציית הגיבוב טובה במידה מספקת כדי שתוכל לדמות את האורקל האקראי, כך שההוכחה שניתנה במסגרת מודל אורקל אקראי תשליך גם על יישום השיטה בפועל.
===ביקורת===
שורה 29:
==תיאור המודל==
באופן כללי קיים פער בין תאורטיקנים בתחום ההצפנה לבין המיישמים בפועל. מהיבט
א. מנסחים הגדרה פורמלית לבעיה <math>\Pi</math> בסביבה שבה כל המשתתפים כולל יריב אפשרי נגישים לאורקל <math>R</math>.
שורה 48:
#<math>E^G(x)=f(r) \ \| \ G(r)\oplus x</math>
#<math>E^{G,H}(x)=f(r) \ \| \ G(r)\oplus x
כאן <math>x</math> הוא המסר המיועד להצפנה ו-<math>r</math> הוא מספר אקראי חד פעמי שנבחר מתוך התחום של <math>f</math> לצורך הצפנת המסר <math>x</math>. הפונקציה <math>f</math> היא הצפנת [[מפתח ציבורי]] והיא משתמשת במפתח הפומבי של המקבל. הטענה היא שהשיטה הראשונה מספקת [[ביטחון סמנטי]] פולינומי לפי הרעיון של מיקלי וגודלווסר שנקרא [[הצפנה היסתברותית]]. והשנייה טובה כנגד [[התקפת מוצפן-נבחר]] ונקראת [[חשילות (קריפטוגרפיה)|אי-חשילה]] ושתיהן יעילות יותר מסכימות הצפנה שהן בעלות ביטחון מוכח לפי מודל סטנדרטי כמו [[הצפנת בלום-גולדווסר]]. לעומת זאת החסרון בשיטות המתוארות כאן שהצופן המתקבל גדול יותר בערך פי שניים מהטקסט המקורי.
שורה 63:
{{קריפטוגרפיה}}
[[קטגוריה:קריפטוגרפיה]]
|