Güvenlik teorisi ve pratiği ile kriptografi arasındaki fark?

Güvenlik teorisi ve pratiği ile kriptografi arasındaki ilginç farklar nelerdir?

Elbette en ilginç irade, pratik deneyime dayanan teorik araştırmalar için yeni yollar öneren örnekler olacaktır :).

Cevaplar içerebilir (ancak bunlarla sınırlı değildir):

• Teorinin bir şeyin mümkün olduğunu öne sürdüğü, ancak pratikte hiç kullanılmadığı örnekler
• Teorinin pratikte güvenli olmayan bir şeyin güvenli olduğunu öne sürdüğü örnekler
• Yaygın pratik kullanımda bir şeyin örnekleri arkasında çok az teori var.

...

Uyarı

Cevabınız esasen “Teori asimptotikle ilgilidir, ancak uygulama değil” şeklinde ise, ya teori gerçekten merkezi olmalı ya da cevap, gerçek dünyadaki pratik deneyimlerin beklentilerden farklı olduğu özel örnekler içermelidir. teoride.

Bildiğim bir örnek: güvenli devre değerlendirmesi. Teoride çok güçlü, fakat pratikte hiç kullanmayacak kadar karmaşık, çünkü kodunuzu almayı, onu bir devreye sokmayı ve ardından her bir geçidin bir defada güvenli bir şekilde değerlendirilmesini içerecektir.

Oh oğlum, nereden başlamalı.

Büyük olan kesinlikle siyah kutular. Kripto araştırmacıları, Rastgele Oracle Modelinin önemsizliği sorunu gibi şeyleri karıştırıyor. Güvenlik araştırmacıları öbür uçta ve her şeyin sadece karma işlevler yerine kara kutu olarak kullanılmasını istiyorlar. Bu sabit bir gerilim kaynağıdır.

Örneğin, güvenlik protokollerinin resmi analizine, örneğin BAN mantığına bakarsanız, simetrik şifrelemenin "ideal blok şifresi" olarak değerlendirildiğini göreceksiniz. Burada ince bir ayrım var - BAN mantığı (ve diğer protokol analiz teknikleri) güvenlik kanıtı olarak görülmez; aksine, kusurları bulma teknikleridir. Bu nedenle, ideal şifre modelinin burada yer aldığı kesin olarak doğru değildir. Bununla birlikte, güvenlik analizlerinin çoğunun resmi modelle sınırlı kaldığı ampirik olarak doğrudur, dolayısıyla etki aynıdır.

Henüz uygulayıcılar hakkında konuşmadık bile. Bu adamlar tipik olarak kripto ilkellerinin kara kutular olmadığına dair bir ipucuna bile sahip değiller ve bunun değişeceğinden şüpheliyim - bunu yıllarca başlarına atmaya çalışmak bir fark yaratmadı.

Sorunun ne kadar kötü olduğunu görmek için API imzasının bağışlanabilirliği ile ilgili bu güvenlik tavsiyesini göz önünde bulundurun . Böcek kısmen Merkle-Damgard inşaatındaki (gerçekten çok temel bir şey olan) uzun süreli saldırıdan kaynaklanıyor ve Flickr, DivShare, iContact, Mindmeister, Myxer, RememberTheMilk, Scribd, Vimeo, Voxel, Wizehhive ve Zoomr'ı etkiliyor. Yazarlar bunun tam bir liste olmadığını not eder.

Uygulayıcıların bu üzücü durum için aslanın suçlamadaki payını hak ettiğini düşünüyorum. Öte yandan, belki de kripto teorisyenlerinin de konumlarını yeniden düşünmeleri gerekir. Sıraları şuydu: "kara kutuların yapılması imkansız; hatta deneyemeyeceğiz." Söyleyeceğim, inşaatlarınızın yine de siyah kutu olarak kullanılacağı (yanlış) olacağı açık olduğundan, neden en azından onları siyah kutulara mümkün olduğunca yaklaştırmaya çalışmıyorsunuz?

Kağıt Merkle-Damgard Revisited ben neden bahsettiğimi büyük bir örnektir. Güvenlik uzunluğunu, "sabit uzunluklu yapı bloğu rasgele bir oracle veya ideal bir blok şifresi olarak görüldüğü zaman keyfi uzunluk hash işlevi H'nin rastgele bir kâhin gibi davranması gerektiği" nosyonunu araştırıyorlar. Bu tür bir teorik araştırma pratikte fazlasıyla faydalı olma potansiyeline sahiptir.

Şimdi devre değerlendirme örneğinize bakalım. Senin akıl yürütmene katılmıyorum. Derlenmiş bir ikili dosya alıp, bunu kör bir şekilde bir devreye çevireceğiniz gibi değil. Aksine, devre değerlendirmesini yalnızca genellikle oldukça basit olan temel karşılaştırma fonksiyonuna uygularsınız. Fairplay , devre değerlendirme uygulamasıdır. Onunla çalışan bir meslektaşım bana şaşırtıcı derecede hızlı olduğunu söylüyor. Verimliliğin devre değerlendirmesiyle ilgili bir sorun olduğu doğru olsa da (ve bu nedenle reddedildiği gerçek dünya örneklerini de biliyorum), bir göstericiden uzaktır.

Sizinle aynı fikirde olmadığım ikinci neden ise, düşüncesizce devre dışı değerlendirme yapmak isteyebileceğiniz tipik gerçek hayat senaryolarından bazılarını düşünürseniz - örneğin, iki şirket birleştirmek isteyip istemediğinizi - hesaplama maliyetlerini katılmaktadırlar önemsiz genel insan çaba ve bütçesine göre.

Peki neden kimse pratikte genel güvenli fonksiyon değerlendirmesini kullanmıyor? Harika soru Bu beni teori ve pratik arasındaki ikinci farkıma getiriyor: güven aslında pratikte var! Paranoyak modelde her şeyin yapılması gerekmez. İnsanların kripto kullanarak çözmek istedikleri problemler kümesi, kriptografların hayal ettiklerinden çok daha küçüktür.

Kurumsal müşterilere güvenli çok partili hesaplama hizmetleri satmaya çalışan bir şirket kurmuş birini tanıyorum. Tahmin et ne oldu - kimse istemedi. Bu sorunlara yaklaşma şekilleri, verilerle neler yapabileceğinizi ve yapamayacağınızı ve amaçlanan amaçla kullandıktan sonra verileri yok edeceğinizi belirten bir sözleşme imzalamaktır. Çoğu zaman bu işe yarar.

Teori ile pratik arasındaki son farkım PKI ile ilgili. Kripto kağıtları sık sık bir yere "PKI varsayıyoruz" diyen bir cümle yapışıyor. Ne yazık ki, son kullanıcılar için (doğal bir hiyerarşinin olduğu kurumsal bağlamdaki web sitelerine veya çalışanların aksine) dijital sertifikalar hiçbir zaman gerçekleşmedi. Bu klasik makale , normal insanlardan PGP kullanmalarını istediğinizde ortaya çıkan komikliği açıklar. Yazılımın o zamandan beri çok geliştiğini söyledim, ancak temel tasarım ve mimari konular ile insan sınırlamaları bugün pek farklı değil.

Kriptografların, gerçek dünyadaki bir PKI eksikliğinin bir sonucu olarak farklı bir şey yapmaları gerektiğini, kriptografik protokollerin gerçek dünyaya uygulanabilirliğini sınırladığının farkında olmadıklarını sanmıyorum. Fırlattım çünkü düzeltmeye çalıştığım bir şey.

Randomwalker'ın cevabı çok iyi. Teori ve pratik arasındaki en sevdiğim boşluk rastgele kehanet modeli. Bu uygulamada çok güvenli bir sezgisel görünmektedir (insanların aptalca bir şey yapmadıklarını ve en azından uygun şekilde uzatma yaptıklarını varsayalım, aynı zamanda rastgele gezginin cevabına bakınız) ancak bununla ilgili herhangi bir olumlu teorik sonuç elde etmiyoruz. Aslında, bu sezgisel hakkındaki teorik sonuçlar negatiftir. Bunun harika bir araştırma sorusu olduğunu düşünüyorum ve bir gün bu modelle ilgili bazı ilginç olumlu sonuçların ortaya çıkacağını umuyorum.

Yaygın kullanımda olmasına rağmen, uygulamada bile bildiğim kadarıyla şaşırtmaca ile ilgili olarak, şaşırtmaca şifreleme kadar güvenli sayılmaz ve uzun vadeli ve çok hassas bir sır saklamak için şaşırtmaca kullanmak akıllıca değildir. (Rastgele kâheti kullanarak şifrelemenin aksine, insanlar bunun için kullanmaktan tamamen rahattırlar.) Dolayısıyla, bu anlamda, teori ile pratik arasındaki boşluk o kadar büyük değil. (yani, şaşırtmaca, hem teoride hem de pratikte anlamaktan uzak olduğumuz derece ilginç bir alandır.)

Homomorfik şifreleme ve güvenli çok partili iletişim, kriptografide henüz pratik yapmak için yeterince çalışılmamış en son keşiflerden ikisidir: PROCEED gibi araştırma çabaları , bunu yazmak için ne tür bir programlama modeli kullanabileceğimizi belirlemek için bu yönde ilerlemektedir. hesaplamanın yanı sıra, onları makul zamanda çalıştırmalarını sağlayan çekirdek şifreleme algoritmalarında optimizasyonlar bulmak. Bu, kriptografide oldukça yaygın bir durumdur: Çalıştırması uzun zaman alan (nispeten) basit algoritmalar ile başlarız ve sonra kriptograflar algoritmaları daha ileri ve daha da iyileştirmek için matematiği kullanarak yıllarını harcarlar.

Teorinin bir şeyin mümkün olduğunu öne sürdüğü, ancak pratikte asla kullanılmayacağı örnekleri:

Teoride çözülen şeylerin örneklerini bulmak oldukça kolaydır, ancak ya (1) pratikte kullanılamayacak kadar yetersiz ya da (2) kimse umursamıyor. Örnekler: (1) (genel) sıfır bilgi kanıtları, (2) yadsınamaz imzalar. Aslında, herhangi bir kripto konferansına bakın ve makalelerin en az yarısı muhtemelen bu kategorilerden birine girecek.

Teorinin pratikte güvenli olmayan bir şeyin güvenli olduğunu öne sürdüğü örnekler:

Bu soru biraz belirsizdir, bu yüzden cevap verip vermediğinden emin değilim - ancak güvenlik tanımı dağıtım senaryosuna uymadığından, uygulamada kırılan bir çok “güvenli güvenlik” örneği var. Sadece son birkaç yılda, diğerleri arasında, SSH ve IPSec’in (kanıtlanabilir değişkenleri) saldırılar oldu.

Yaygın pratik kullanımda bir şeyin örnekleri arkasında çok az teori var:

Genel güvenlik dünyasında değil, kripto dünyasında demek istediğinizi varsayıyorum. İyi bir örnek, güvenlik kanıtı bulunmayan DSS imzalarıdır.

$M$$M'$$M'$$w \iff M$$w$$M'$$w \iff M$$w$$M'$$M$$M'$$M$

İkili şaşırtma çözümleri sunan birçok ticari şirket var ve ayrıca birkaç açık kaynaklı çözüm var. Elbette şaşırtmaya yönelik kesin yöntemler gizli tutulur; Endüstride yaygın olan şaşırtmaca paradigması sezgiseldir, bu nedenle bu bağlamda bir ikiliyi şaşırtmak için kullanılan algoritmaları bilmek, deobfüzyon işleminde bazı avantajlar sağlayacaktır. Endüstrideki şaşırtmaca "belirsizlik yoluyla güvenlik" olarak bilinir.

Endüstrinin isteklerini resmileştiren ancak hesaplama güçlülüğüne dayanan kesin olarak daha güçlü bir güvenlik nosyonuna dayanan gizlilik problemine teorik yaklaşımlar vardır (tamsayı ve string denklik testlerini tek yönlü fonksiyon denkliği testleriyle değiştirmeyi hayal edin). Özellikle, kompostlanabilir nokta şaşırtmaca çalışması, endüstriye ilginç bir şaşırtma problemini çözmeye çalışmak için geliştirilmiştir. Ne yazık ki kurcalamaya karşı dayanıklı bir donanımdan ilham alan bir modele dayanan karışıklık için en geniş yayma teorik modeline 2001 yılında Barak ve arkadaşları tarafından " On (im) obfuscating olasılığı " başlıklı makalesinde imkansız bir sonuç verilmiştir . (O zamandan beri, diğer bazı modellere de imkansızlık sonuçları verilmiştir).

Şu anda programın şaşırtılması teorisi, yeni (muhtemelen daha az kısıtlayıcı) bir model gerektiren bir akış halindedir. Aslında teori ile ilgili temel sorun, üzerinde anlaşmaya varılmış bir modelin (ve dolayısıyla resmi garnitürlerin) eksikliğidir. Tamamen Homomorfik Şifreleme'nin yeni çıkması, böyle bir temel sağlayabilir (bu tamamen bu yazarın spekülasyonudur).

Netleştirmek için, şaşırtmaca üçüncü örneğinizle eşleşiyor: "Yaygın pratik kullanımda bir şeyin örnekleri arkasında çok az teori var." Şaşırtma, günümüzde hem endüstri hem de daha nefreti olanlar tarafından yaygın olarak kullanılmaktadır. Endüstrideki şaşırtmaca, şu anda denemelere rağmen hiçbir katı teoriye dayanmamaktadır.

Sözde rasgele jeneratörler gibi temel ilkellere geldiğinde bile önemli bir boşluk vardır. Örneğin sözderandom fonksiyonlarını düşünün. Uygulamada insanlar gibi şeyler kullanmak AES teorik adaylar farklılık, (; Naor, Reingold; Goldreich, Goldwasser, Micali vs.) birkaç boyutta: Birincisi, parametreler tamamen farklıdır, örneğin AES anahtar uzunluğu olabilir eşittir giriş uzunluğunu teorik yapılarda duyulmamış olan. Belki daha da önemlisi, AES (ve diğer birçok blok şifre) teorik yapıların gidişatından oldukça farklı olan ikame-permütasyon ağı paradigmasını izler (örneğin yukarıda belirtilenler).

Elbette en ilginç irade, pratik deneyime dayanan teorik araştırmalar için yeni yollar öneren örnekler olacaktır :).

Yukarıdakilerin böyle bir örnek olduğunu düşünüyorum, örneğin Eric Miles'ın yazdığı bu makaleye bakın (esasen bu cevabın alındığı).