被動腐敗?= UC 框架中的拜占庭式腐敗?
**註釋:**我們遵循 UC 框架中的約定。我們用一個 $ \mathcal{A} $ 表示對手,磷 $ \mathcal{P} $ 表示模型中的一方。
我們專注於 UC 框架中的兩種類型的腐敗,我們現在對其進行重新表述。
- 拜占庭式的腐敗:一個 $ \mathcal{A} $ 完全控制磷 $ \mathcal{P} $ .
- 被動腐敗:一個 $ \mathcal{A} $ 看到內部狀態磷 $ \mathcal{P} $ .
我的問題是:
被動腐敗真的等同於拜占庭式腐敗嗎?
現在我解釋我的問題背後的原因。
在 UC 框架中,一個 $ \mathcal{A} $ 控製網路,如果一個 $ \mathcal{A} $ 只能看到內部狀態磷 $ \mathcal{P} $ ,一個 $ \mathcal{A} $ 可以做以下近似“控制磷 $ \mathcal{P} $ " 在真實世界模型中:
- 一個 $ \mathcal{A} $ 分離物磷 $ \mathcal{P} $ 從網路。
- 一個 $ \mathcal{A} $ 複製內部狀態磷 $ \mathcal{P} $ 並啟動虛擬機˜磷 $ \widetilde{\mathcal{P}} $ .
- ˜磷 $ \widetilde{\mathcal{P}} $ 具有相同的內部狀態磷 $ \mathcal{P} $ 在腐敗的時候。但,一個 $ \mathcal{A} $ 完全控制˜磷 $ \widetilde{\mathcal{P}} $ .
- ˜磷 $ \widetilde{\mathcal{P}} $ 假裝是磷 $ \mathcal{P} $ 在其餘的執行中。
一些讀者可能會懷疑 4 在 UC 框架中是否可以使用經過身份驗證的通道。現在我解釋我的擔憂。
在 UC 框架中,知道誰實際發送消息並非易事。我們需要依靠“經過身份驗證的渠道”。我們用F一個在噸H $ \mathcal{F}_\mathsf{auth} $ 表示這種通信通道的理想功能。
通過F一個在噸H $ \mathcal{F}_\mathsf{auth} $ ,協議中的各方可以確定誰發送了消息。如果磷 $ \mathcal{P} $ 被拜占庭腐蝕一個 $ \mathcal{A} $ ,一個 $ \mathcal{A} $ 可以發送消息的名稱磷 $ \mathcal{P} $ .
但是,如果一個 $ \mathcal{A} $ 被動腐敗磷 $ \mathcal{P} $ ?
- 的定義F一個在噸H $ \mathcal{F}_\mathsf{auth} $ 允許一個 $ \mathcal{A} $ 更改從磷 $ \mathcal{P} $ 如果一個 $ \mathcal{A} $ 腐敗磷 $ \mathcal{P} $ . 目前尚不清楚它在被動腐敗的情況下是否有所不同。
- 現有的實現F一個在噸H $ \mathcal{F}_\mathsf{auth} $ 依靠一些秘密磷 $ \mathcal{P} $ ,例如簽名密鑰。如果一個 $ \mathcal{A} $ 只看到內部狀態磷 $ \mathcal{P} $ ,其中包括這樣的秘密,那麼一個 $ \mathcal{A} $ 可以假裝是磷 $ \mathcal{P} $ 在這些認識中。
或者換句話說,被動腐敗不會減少一個 $ \mathcal{A} $ 的模仿能力磷 $ \mathcal{P} $ .
回到我的問題:
被動腐敗真的等同於拜占庭式腐敗嗎?
還有一個後續問題。
我應該如何模擬類似於被動腐敗的東西?
感謝您的閱讀。
讓我添加一個例子來幫助解釋。
考慮到我可以被動地破壞 CVS 的網路伺服器。我可以在 CVS 網路伺服器的內部狀態中竊取他們的 TLS/SSL 證書私鑰。
然後,我對特定客戶端進行中間人攻擊,如果我還控製網路,我可以向該客戶端模仿 CVS 網站並顯示錯誤的藥房記錄。
參考:
- Canetti 關於 UC 框架的論文。“通用可組合安全性:加密協議的新範式”。 https://eprint.iacr.org/2000/067.pdf
- 卡內蒂關於實現的論文F一個在噸H $ \mathcal{F}\mathsf{auth} $ 使用Fs一世G $ \mathcal{F}\mathsf{sig} $ . “通用可組合簽名、認證和認證”。https://eprint.iacr.org/2003/239.pdf
- Canetti-Shahaf-Vald 關於實現的論文F一個在噸H $ \mathcal{F}\mathsf{auth} $ 具有全球 PKI(公告板證書頒發機構)也使用Fs一世G $ \mathcal{F}\mathsf{sig} $ . “使用全球 PKI 的通用可組合身份驗證和密鑰交換”。https://eprint.iacr.org/2014/432.pdf
- Backes-Pfitzmann-Waidner 關於實現的論文Fs一世G $ \mathcal{F}_\mathsf{sig} $ 使用公鑰簽名方案。“通用可組合密碼庫”。https://eprint.iacr.org/2003/015.pdf
被動腐敗真的等同於拜占庭式腐敗嗎?
答案顯然是否定的,否則密碼學家不會花太多時間開發主動安全協議。
讓我添加一個例子來幫助解釋。
考慮到我可以被動地破壞 CVS 的網路伺服器。我可以在 CVS 網路伺服器的內部狀態中竊取他們的 TLS/SSL 證書私鑰。
然後,我對特定客戶端進行中間人攻擊,如果我還控製網路,我可以向該客戶端模仿 CVS 網站並顯示錯誤的藥房記錄。
您指定的中間人攻擊是主動攻擊。是的,在現實生活中,擁有網路伺服器內部狀態的攻擊者可以獲得他們的 TLS/SSL 私鑰,然後可能會造成各種麻煩。但是,被動模型的全部意義在於我們假設攻擊者沒有這樣做。他們唯一要做的就是記錄他們破壞的各方的純文字消息/內部狀態。
我們為什麼要做出這個假設?當然是為了讓我們的生活更輕鬆。我們必須從某個地方開始,所以我們從一個相當簡單的對手模型開始。它不假設一個完全受信任的第三方,但我們仍然可以開發安全協議。那是一場胜利。這種勝利是否會轉化為現實世界是另一個問題。有論文(我正在尋找,找到後我會更新)使用被動安全協議並認為這是可以的,因為由於應用程序的原因,還有其他機制可以迫使各方誠實。
因此,如果您擔心主動攻擊者,您應該使用對主動攻擊者安全的協議。如果對手實際上是活躍的,被動安全協議將被嚴重破壞。