Format-Preserving
FPE 限制和 FPE 範圍
您認為格式保留加密(FPE)方案相對於其他傳統分組密碼有什麼限制嗎?FPE 是否有廣泛的應用成為未來的研究領域?
您認為格式保留加密(FPE)方案相對於其他傳統分組密碼有什麼限制嗎?
實際上,可以將 FPE 方案視為傳統分組密碼的推廣。畢竟,傳統的分組密碼被固定為特定的分組大小;使用 FPE,我們可以使用我們認為方便的任何塊大小(例如,整個消息)。
FPE 是否有廣泛的應用成為未來的研究領域?
我相信是這樣。FPE 的一個優點(稍加調整;大多數 FPE 方案都允許這樣做)是很容易建構一個非常容忍誤用的 AEAD 方案:
- 要加密,你會收到消息 $ M $ , 並追加 $ k $ 零和 $ \ell $ 隨機位(或隨機數;解密器將恢復這些位,因此如果需要它們可以用作序列號)。使用 FPE 方案加密,使用 AAD 作為調整。
- 要解密,您可以使用 AAD 作為調整,使用 FPE 方案進行解密;解析結果,並檢查是否 $ k $ 零出現在最後。
很明顯,這是一個安全的 AAD 方案(假設 FPE 方案是安全的)。此外:
- 如果發件人使用不良隨機性 $ \ell $ 隨機位,它成為一種確定性方案,對手可以確定同一消息是否被發送了兩次,但無法確定除此之外的任何內容。
- 如果接收方忘記檢查 $ k $ 零,那麼這變成了一個完全亂碼的方案,對手可以將解密的消息更改為隨機的東西,但除此之外不能做任何事情。這與許多 AEAD 方案形成對比,在這些方案中,如果解密器忘記檢查標籤,則加密變得具有延展性(並且 AAD 基本上被忽略)。
那麼,如果這真是太棒了,那麼缺點是什麼?嗯,一個主要的問題是性能——目前的 FPE 方案很慢,所以沒有使用這種直接的設計。一個性能更好(但仍然安全)的 FPE 方案將使它更具吸引力。
另一個明顯的缺點是 FPE 不能以“一次性”方式實現(我們分段處理消息);當我們需要處理大消息時,這很方便;但是很明顯,能夠進行容錯加密(其中缺少隨機數熵僅洩漏消息是否相同)與一次性加密不兼容,並且能夠進行容錯解密(忘記檢查完整性檢查只允許主動攻擊者隨機化明文)與一次性解密不兼容。