Энтропическая безопасность - Entropic security

Энтропическая безопасность определение безопасности, используемое в области криптография. Современное шифрование схемы обычно требуются для защиты связи, даже если злоумышленник имеет существенную информацию о зашифрованных сообщениях. Например, даже если злоумышленник знает, что перехваченный зашифрованный текст шифрует либо сообщение «Атака», либо сообщение «Отступление», семантически безопасный Схема шифрования не позволит злоумышленнику узнать, какое из двух сообщений зашифровано. Однако такие определения, как семантическая безопасность слишком сильны, чтобы их можно было достичь с помощью определенных специализированных схем шифрования. Энтропийная безопасность - это более слабое определение, которое можно использовать в особом случае, когда злоумышленник имеет очень мало информации о зашифрованных сообщениях.

Хорошо известно, что определенные типы алгоритмов шифрования не могут удовлетворять таким определениям, как семантическая безопасность: Например, детерминированное шифрование алгоритмы никогда не могут быть семантически безопасными. Определения энтропийной безопасности ослабляют эти определения для случаев, когда пространство сообщений имеет значительную энтропию (от противник точка зрения). Под этим определением можно доказать безопасность детерминированного шифрования.

Обратите внимание, что на практике энтропийно-безопасные алгоритмы шифрования являются «безопасными» только при условии, что распространение сообщений обладает высокой энтропией с точки зрения любого разумного противника. Это нереалистичное предположение для общей схемы шифрования, поскольку нельзя предполагать, что все вероятные пользователи будут шифровать сообщения с высокой энтропией. Для этих схем более строгие определения (например, семантическая безопасность или неразличимость при адаптивной атаке по выбранному зашифрованному тексту ) уместны. Однако есть особые случаи, когда разумно требовать сообщений с высокой энтропией. Например, схемы шифрования, которые шифруют только материал секретного ключа (например, инкапсуляция ключей или Key Wrap схемы) можно рассматривать в рамках определения энтропийной безопасности. Практическое применение этого результата - использование детерминированное шифрование алгоритмы безопасного шифрования материала секретного ключа.

Рассел и Ван формализовали определение энтропийная безопасность для шифрования. Их определение напоминает семантическая безопасность определение, когда пространства сообщений имеют высокоэнтропийное распределение. В одной формализации определение подразумевает, что злоумышленник, имеющий зашифрованный текст, не сможет вычислить какой-либо предикат зашифрованного текста с (существенно) большей вероятностью, чем злоумышленник, который не владеет зашифрованным текстом. Позже Додис и Смит предложили альтернативные определения и показали эквивалентность.

Рекомендации

• А. Рассел и Ю. Ван. Как обмануть безграничного противника коротким ключом. Появился на Достижения в криптологии - Eurocrypt 2002.
• Ю. Додис и А. Смит. Энтропийная безопасность и шифрование высокоэнтропийных сообщений. Появился на Конференция по теории криптографии (TCC) 2005 г..