為什麼在實踐中不使用 Domingo-Ferrer 密碼系統?
Domingo-Ferrer 密碼系統是一個完全同態的密碼系統。它工作得足夠快。我只見過已知明文攻擊。這是在實踐中不使用它的理由嗎?還是有更顯著的缺點不建議使用?
TLDR:該方案僅是對稱的,其“可證明的安全性”論點是有缺陷的,即使攻擊者可以使用適量的明文,它實際上也是不安全的。
我在以下文章中對該方案發表評論:Josep Domingo-Ferrer, A Provably Secure Additive and Multipliative Privacy Homomorphism,發表在ISC 2002的會議記錄中。我忽略了1996 年的方案,它在某種意義上是一個子集。
本文介紹了一種對稱加密系統,允許在沒有密鑰的情況下對密文進行計算(加法、減法、乘法),前提是結果保持在一定範圍內( $ 10^5 $ 至 $ 10^{20} $ 在建議的參數化中)。
任意強大的對手聲稱可證明的安全性,但假設只有少數 $ n $ 明文(包括計算結果)為對手所知: $ 5 $ 至 $ 50 $ 在建議的參數化中。
這是一個極其嚴重的限制。再加上它是一個對稱密碼系統(加密需要一個秘密,這也允許解密任何明文或以密文形式已知的計算結果),這大大降低了系統的實際興趣。
特別是,我認為沒有可信的案例將計算解除安裝到計算能力更便宜的一方,因為與實際感興趣的計算相比,加密的成本將令人望而卻步。如果我們假設所有密文都是公開的,那麼任何在合法使用中加密解密的一方都可以獲得所有明文。
**更新:**更糟糕的是,資訊論安全論點是有缺陷的。簡而言之,它表明攻擊者在明文資訊有限的假設下無法找到密鑰,但未能解釋
- 等效密鑰,允許在不知道實際密鑰的情況下解密
- 提供有關明文的大量資訊僅僅是因為它必須足夠小,以使同態屬性可以在不溢出的情況下使用。
ACM DL顯示 35 篇論文被. 有兩個值得注意的是
- Ueli Maurer 和 Dominik Raub,Black-box extension fields and the inexistence of field-homomorphic one-way permutations,在Asiacrypt 2007的會議記錄中:歸功於證明存在被證明存在的對象會有實際應用。
- 2018 年基於霧的公共雲計算中匿名和安全聚合方案的自引,承認該方案是
只針對純密文攻擊
遺憾的是,該引文列表中沒有對該論文的兩個具體反駁:
- David Wagner,代數隱私同態的密碼分析,ISC 2003 會議記錄。作者的論文頁面有可讀的幻燈片和文章(ps)。
- Feng Bao,Cryptanalysis of a Provable Secure Additive and Multiplicative Privacy Homomorphism,被WCC 2003接受(我找不到那個)。
在我第一眼看到這篇論文時,我發現從現代學術的角度來看,它並不完全令人滿意:
安全證明沒有給出對手優勢的定量限制(聲稱參數可以足夠大,以至於這個優勢可以忽略不計)。
範圍 $ s $ 據說是秘密的,但它是一個小整數 $ 5 $ 至 $ 53 $ 在建議的參數化中,並且可以從密文大小和明文邊界估計。學術上正確的做法是考慮 $ s $ 上市。
當洩露的明文數量超過時,認為系統可以保持安全 $ n $ . 但爭論歸結為:我們的分析並未證明密鑰在計算上很容易找到。