在實踐中使用保序加密是否安全？

當我閱讀論文時，我經常看到這樣的評論，“保序加密是確定性的，它不是 IND-CPA 安全的”，或者一般來說“它不夠安全，無法在實踐中實施”。所以我想知道這些評論是否正確，特別是從實際實施的角度來看。我知道很多基於 OPE 的作品。如果在現實世界中不是那麼安全，我可以認為這些作品是理論多於實踐嗎？

及時的問題，因為最近在新聞中出現了對CryptDB 中的順序保留加密的攻擊。引用研究論文(pdf)，他們在 OPE 上使用了兩種攻擊：

• 排序攻擊：是一種解密 OPE 加密列的攻擊。這種民間傳說攻擊非常簡單，但正如我們所展示的，在實踐中非常強大。它適用於“密集”的列，因為消息空間的每個元素都出現在加密列中。雖然這似乎是一個相對強的假設，但我們表明它適用於許多現實世界的數據集。
• 累積攻擊：是我們引入的一種新攻擊，可以解密 OPE 加密的列。這種攻擊甚至適用於低密度列，並且還利用了組合優化技術。

在實踐中，他們能夠以非常高的可信度解密具有相對較小範圍的可能值的欄位。

開發商的回應是：

OPE 加密應該用於“高熵值”，其中順序沒有透露太多

我不認為在很多情況下會出現這種情況，但同時需要隱私和排序（而不是例如僅確定性加密），但可能有一些。例如，在某些情況下，一些非常精確的時間戳可能符合要求，如果找到近似值不成問題，但精確值會。

因此，安全的實際應用可能會受到限制，但它們可能存在。

引用自：https://crypto.stackexchange.com/questions/29229