Provable-Security

澄清可證明的密碼學爭議

  • October 8, 2021

我在Wikipedia中讀到了可證明的密碼學。文章提到了 2007 年左右的緊張爭議。

這些爭議還存在嗎?

可證明證券的替代品是什麼?還不夠嗎?我認為 AES 不遵循可證明的密碼學風格,對嗎?

密碼學社區中接受/首選的觀點是什麼?

為什麼它首先開始,證明不是可取的嗎?

可證明密碼學的成就是什麼?

鑑於這些爭議,從哪裡開始密碼學研究/研究?

我看了一些反對意見,我覺得這是兩件事:開始的假設不強,以及一些論文中存在的一些錯誤,對嗎?我認為第一個對於開始來說是必不可少的(鑑於對此類假設的認識),第二個是個別案例(鑑於它是錯誤的)不足以反駁整個科學分支。

總的來說,那篇文章似乎是指“另一個看……”的工作。許多論文都在這個網站上進行了整理。

您可以嘗試總結許多“爭議”。反對“可證明的安全性”概念的主要推力是它誇大了它所提供的東西——可證明的安全方案可能因各種原因而受到攻擊。原因簡要總結如下:

  1. 該方案在簡化為一些難題的情況下是安全的。這個難題很深奧,沒有太多研究,實際上很容易
  2. (聲稱的)證明中有一個錯誤
  3. 證明是在一個不切實際的模型中完成的,在實踐中仍然可以攻擊該方案
  4. 減少是“不嚴格的”,並且不適用於人們使用的實際參數。

還有一些更深奧的抱怨(例如,密碼證明中的非一致性作用),但以上至少是我傾向於聽到的具有可證明安全性的“主要抱怨”,我認為這些抱怨從根本上說是有效的.

可證明證券的替代品是什麼?還不夠嗎?我認為 AES 不遵循可證明的密碼學風格,對嗎?

一般而言,在所提出的擔保要求中,替代更為準確。除了上述第 2 點之外,上述所有點都顯示有關基礎方案的一些資訊。只要準確描述所顯示的內容,就不存在“超賣”結果的問題。

密碼學社區中接受/首選的觀點是什麼?

可證明的安全性仍然是密碼學的標准設置,儘管從大約 10 年前可以說該領域已經收集了更多的“標準”假設(這很好,因為上面列表中的第一點)。

為什麼它首先開始,證明不是可取的嗎?

證明僅與被證明的陳述一樣有用,這本質上是反對可證明安全性的論據的來源。

可證明密碼學的成就是什麼?

這確實太大而無法討論,並且高度取決於“可證明的密碼學”的含義。至少,可證明的密碼學傾向於告訴您,您嘗試做的事情並沒有根本性的缺陷。例如

  1. 格密碼學中平均情況減少的最壞情況告訴您,LWE 問題在某種意義上是從中採樣硬實例的“正確”平均情況分佈。請注意,這些縮減在某種意義上是“糟糕的可證明密碼學”的一個例子,因為從業者通常不使用使縮減有效的參數,並且縮減不是特別嚴格。不過,充分討論這一點需要更多的空間。
  2. 類似地,在格領域,基於格的簽名最初很難建構(它們經常洩露密鑰),直到一篇論文提出了相當複雜的拒絕採樣論點。如果不尋求證明,似乎很難找到這種拒絕抽樣論點——順便說一下,這些簽名並沒有受到有意義的攻擊。

當然,作者經常談論某些東西是“證明工件”,這通常意味著為了使證明通過而進行的修改,但除此之外,顯然對於安全性似乎沒有必要。這通常會使方案效率降低,因此“使證明通過的複雜更改”也可能是負面的。

鑑於這些爭議,從哪裡開始密碼學研究/研究?

在大多數情況下,您可以忽略這些爭議。雖然有一些有用的要點(特別是在處理將要具體部署的方案的具體安全性方面),但它們具有技術性質,我不會在密碼學研究的初學者面前強加。

引用自:https://crypto.stackexchange.com/questions/95486