Cifrado de miel

referencias:

1. Juels A, Ristenpart T. Cifrado de miel: seguridad más allá de la fuerza bruta[C]//Avances en criptología–EUROCRYPT 2014: 33.ª Conferencia internacional anual sobre teoría y aplicaciones de técnicas criptográficas, Copenhague, Dinamarca, del 11 al 15 de mayo. 2014. Actas 33. Springer Berlin Heidelberg, 2014: 293-310.

Cifrado de miel

El HE propuesto por [JR14] es un cifrado simétrico. Al descifrar con la clave secreta incorrecta, se obtendrán mensajes de miel aparentemente plausibles pero falsos llamados mensajes de miel . Cuando la entropía del espacio de claves es baja (como en el cifrado basado en contraseña, PBE ), el adversario puede enumerar todas las claves y observar la semántica de los resultados del descifrado para determinar qué clave es correcta. Sin embargo, HE garantiza que el adversario no pueda distinguir la clave correcta basándose en la semántica (similar a la seguridad de la teoría de la información del bloc de notas de un solo uso).

Abstracción de HE:

1. $C\leftarrow Hmin{c}_{}(metro;r)$ : algoritmo de cifrado, clave privada$k\in K$ , mensaje$metro\in M$ ,$r$ , texto cifrado$C$
2. $metro\leftarrow HDe{c}_{}\left(c\right)$ : Algoritmo de descifrado, requisito de corrección$Pr\left[HDe{c}_{}\right(HEn{c}_{}(metro;r))=m]=1$

HE tiene dos requisitos de seguridad: seguridad de recuperación de mensajes (MR), más seguridad semántica (múltiples instancias). Supongamos $\mu$ es la entropía mínima de la distribución de la clave secreta ($-iniciarsesión{\mathrm{máximo}}_{}p\left(x\right)$ ), entonces, cuando la entropía de la distribución del mensaje es suficientemente grande,seguridad de MRcontra adversarios ilimitados es cercano a$1/2^m$ .

[JR14] Utilice codificadores transformadores de distribución para implementar HE (es decir, muestreo de acuerdo con la distribución acumulativa). El modo de trabajo es DTE-luego-Enc. Primero, la distribución ${pag}_{}$Noticias $m$ está codificado como$s$ , luego a$s$ puede utilizar cualquier cifrado simétrico. De hecho,HE utiliza la incertidumbre de la distribución de mensajespara "proteger" claves deficientes y aleatoriedad deficiente para lograr el objetivo de resistir ataques de fuerza bruta.

Por lo tanto, la seguridad HE se limita a: sólo es accesible cuando el adversario no tiene otra información adicional sobre el mensaje objetivo. Por ejemplo, en el cifrado de clave pública, siempre que el adversario tenga la clave pública correspondiente, puede verificar cuál es la clave privada correcta. Además, si existe una dependencia entre la distribución del mensaje y la distribución de la clave secreta, o si los mensajes relacionados están cifrados con la misma clave secreta, el adversario también puede distinguir la clave secreta correcta. Pero aun así, el límite inferior de seguridad de HE es la seguridad PBE (la probabilidad de éxito del adversario es $q/2^m$ ).

Características similares: cifrado que preserva el formato, hashing por colisión, cifrado sin compromiso, Honeypots, honeywords, sistema Kamouflage

Codificadores transformadores de distribución

La función de DTE: la distribución del mensaje de entrada es ${pag}_{}$El mensaje $metro\in M$ , produce semillas distribuidas aproximadamente uniformemente$s\in S.$ _ También hay un decodificador correspondiente, dado cualquier$s\; se$ puede restaurar a$m$ y hacer$m$ obedece${pag}_{}$repartido.

Abstracción DTE:

1. $s\leftarrow encode\left(m\right)$ : algoritmo de codificación, mensaje$metro\in M$ , semilla$s\in S$
2. $metro\leftarrow decode\left(s\right)$ : algoritmo de decodificación, requisito de corrección$P\; r\; [\; decodificar\; (\; codificar\; (\; m\; )\; )\; =\; m\; ]\; =\; 1\; Pr\; [decodificar\; (codificar\; (m))\; =$$Pr\left[decodificar\right(codificar\left(m\right))\_\_\_\_\_\_=m]=1$

Dado conocimiento previo ${pag}_{}$，定义${pag}_{}\left(m\right)=Pr[m^{\prime }=metro:s{\leftarrow }_{}S,{metro}^{\prime }\leftarrow decode(s)]$ , decimos que DTE es seguro si${pag}_{}\equiv {pag}_{}$

[JR14] proporciona un método de construcción de DTE general, DTE de muestreo inverso (inversión de la función de distribución acumulativa)

• Dado el mensaje ordenado $METRO=\{m_{},\cdots ,{metro}_{|M}\}$ conocimiento previo${pag}_{}$, sea $F_{}$es su función de distribución acumulativa CDF, y define $F_{}\left(m_{}\right)=0$
• Sea el espacio semilla $S=[0,1)$ , elija la granularidad adecuada para convertir el espacio de números reales continuo en un conjunto discreto de números racionales
• $s\leftarrow ISDTE.codificare(m\_\_\_{}_{})$ :计算$yo=F_{}\left(m_{yo-}\right),r=F_{}\left(m_{}\right)$ , y luego muestrear uniformemente$s{\leftarrow }_{}[l,r)$
• $metro\leftarrow ISDTE.decode\left(s\right)$ :计算$metro=F_{metro}^{-}\left(s\right):={mín.}_{}\left\{F_{}\right(m_{})>S\}$

DTE-luego-cifrar

令$SE=(enc,\_dec)$ es cualquier cifrado simétrico, sea$DTE=(codificar,\_\_\_\_decode)$ es el IS-DTE anterior, construimos$él[smi,DTE]=(HEnc,HDec)$，

• Proceso de cifrado: mensaje de entrada $metro\in M$ , codificación$s=encode\left(m\right)$ , cifrado$c\; =\; enc\; (\; s\; )$$C=enc\left(s\right)$ , texto cifrado de salida$C$
• Proceso de descifrado: entrada de texto cifrado $C\in C$ , descifrar$s=dec\left(c\right)$ , decodificar$metro=decode\left(s\right)$ , salida de texto sin formato$metro$

[JR14] utilizó el modelo box-ball (juego de bolas y contenedores ponderados con tamaños de contenedores no uniformes) para analizar la seguridad de HE.