Параметр безопасности

В этой статье не указаны источники . Помогите улучшить эту статью , добавив ссылки на надежные источники . Материалы без ссылок могут быть оспорены и удалены . Найти источники:  «Параметр безопасности» – новости  · газеты  · книги  · ученый  · JSTOR ( июль 2017 г. ) ( Узнайте, как и когда удалять это сообщение )

В криптографии параметр безопасности — это способ измерения того, насколько «сложно» для противника взломать криптографическую схему. Существует два основных типа параметров безопасности: вычислительные и статистические , часто обозначаемые как и , соответственно. Грубо говоря, вычислительный параметр безопасности — это мера входного размера вычислительной задачи , на которой основана криптографическая схема, которая определяет ее вычислительную сложность, тогда как статистический параметр безопасности — это мера вероятности, с которой противник может взломать схему (что бы это ни значило для протокола).${\displaystyle \каппа}$${\displaystyle \лямбда}$

Параметры безопасности обычно выражаются в унарной форме , т. е. выражаются в виде строки s, , традиционно записываемой как , так что временная сложность криптографического алгоритма полиномиальна по размеру входных данных.${\displaystyle \каппа}$${\displaystyle \каппа}$ ${\displaystyle 1}$${\displaystyle \каппа =1\cdots 1}$${\displaystyle 1^{\каппа}}$

Безопасность криптографических примитивов зависит от сложности некоторых сложных проблем . Параметр вычислительной безопасности устанавливается таким образом, что вычисление считается неразрешимым .${\displaystyle \каппа}$${\ displaystyle O (2 ^ {\ каппа})}$

• Если безопасность схемы зависит от секретности ключа для псевдослучайной функции (PRF), то мы можем указать, что ключ PRF должен быть выбран из пространства, чтобы поиск методом перебора требовал вычислительной мощности.${\displaystyle \{0,1\}^{\каппа }}$${\ displaystyle O (2 ^ {\ каппа})}$
• В криптосистеме RSA параметр безопасности обозначает длину в битах модуля n ; поэтому положительное целое число n должно быть числом из множества {0, ..., 2 - 1}.${\displaystyle \каппа}$^{${\displaystyle \каппа}$}

Безопасность в криптографии часто основывается на том факте, что статистическое расстояние между

• распределение, основанное на секрете, и
• смоделированное распределение , созданное субъектом, который не знает секрета

мало. Мы формализуем это с помощью статистического параметра безопасности, говоря, что распределения статистически близки , если статистическое расстояние между распределениями может быть выражено как пренебрежимо малая функция в параметре безопасности. Один устанавливает статистический параметр безопасности таким образом, что считается «достаточно малым» шансом на победу противника.${\displaystyle \сигма}$${\displaystyle O(2^{-\сигма})}$

Рассмотрим следующие две широкие категории атак противников на заданную криптографическую схему: атаки, в которых противник пытается узнать секретную информацию, и атаки, в которых противник пытается убедить честную сторону принять ложное утверждение как истинное (или наоборот). В первом случае, например, схема шифрования с открытым ключом , противник может получить большой объем информации, из которой он может попытаться узнать секретную информацию, например, путем изучения распределения шифртекстов для фиксированного открытого текста, зашифрованного с различной случайностью. Во втором случае может оказаться, что противник должен угадать вызов или секрет и может сделать это с некоторой фиксированной вероятностью; в этом случае мы можем говорить о распределениях, рассматривая алгоритм выборки вызова в протоколе. В обоих случаях мы можем говорить о вероятности «победы» противника в широком смысле и можем параметризовать статистическую безопасность, требуя, чтобы распределения были статистически близки в первом случае, или определяя пространство вызовов в зависимости от статистического параметра безопасности во втором случае.

• В схемах шифрования одним из аспектов безопасности (на высоком уровне) является то, что все, что можно узнать об открытом тексте, имея зашифрованный текст, можно узнать и из случайно выбранной строки (той же длины, что и зашифрованные тексты), которая независима от открытого текста. Формально, нужно показать, что равномерное распределение по набору строк фиксированной длины статистически близко к равномерному распределению по пространству всех возможных зашифрованных текстов.
• В протоколах с нулевым разглашением мы можем далее подразделить статистические параметры безопасности на параметры нулевое разглашение и статистические параметры безопасности надежности . Первый параметризует то, что расшифровка выдает о секретном знании, а второй параметризует вероятность, с которой нечестный доказывающий может убедить честного проверяющего, что он знает секрет, даже если он его не знает.
• В универсальной компоновке безопасность протокола основана на статистической неразличимости распределений реального и идеального исполнения. Интересно, что для вычислительно неограниченной среды недостаточно, чтобы распределения были статистически неразличимы, поскольку среда может запустить эксперимент достаточное количество раз, чтобы наблюдать, какое распределение создается (реальное или идеальное); однако любой автономный противник протокола выиграет только с незначительной вероятностью в статистическом параметре безопасности, поскольку он участвует в протоколе только один раз.

• Размер ключа
• Незначительная функция