Symmetric

對稱密鑰算法的安全性降低是什麼?

  • December 6, 2021

我正在閱讀後量子密碼學的維基百科頁面。它說希望密碼算法可以簡化為某些特定的數學問題,即係統的難處理性應該本質上源於某些數學問題的難度。

例如,基於格的密碼學、Diffie-Hellman、RSA、McEliece 系統、多元密碼學分別簡化為最短向量問題、離散對數問題、整數分解、伴隨式解碼問題、多元二次方程求解問題。

我看不到任何對稱密鑰算法的例子。這是為什麼?我認為由於對稱密鑰密碼學的本質,他們不需要這個屬性?

是不是因為它不是公鑰加密,所以不需要不對稱性,因此不需要一些易於加密、難以解密的系統,它可以轉換為一些單向函式,由於背後的數學而難以反演?

感謝您的回答,這很有幫助。

我看不到任何對稱密鑰算法的例子。但為什麼?

有幾種可能的方法來回答這個問題;最直接的是對稱密鑰算法基於特定的數學問題(我們通常不這樣表達)。

舉一些不對稱算法的例子:

例如… diffie-hellman,rsa …減少到…離散對數問題,整數分解…分別。

這是不正確的;如果你有一個可以破壞 Diffie-Hellman 的 Oracle,那麼沒有已知的方法可以使用它來解決離散日誌問題;如果您得到一個可以破壞 RSA 的 Oracle,則沒有已知的方法可以使用它來分解。

相反,Diffie-Hellman 簡化為“Diffie-Hellman 問題”(技術上,cDH 或 dDH,取決於您的 Oracle 所做的事情);RSA 減少的內容被稱為“RSA 問題”。

現在,“Diffie-Hellman 問題”或“RSA 問題”與“AES 問題”有什麼區別?除了“AES 問題”需要更長的時間來描述並且感覺更隨意的事實之外,我看不到一個(當然“AES 問題”已經得到了很好的研究)。而且,如果我們在某種模式下使用 AES,通常有證據表明該模式的安全性會降低到“AES 問題”,因此這不僅僅是一個愚蠢的文字遊戲。


解決這個問題的另一種方法(如果我們堅持將“簡單數學問題”作為取消“AES 問題”資格的一種方式)是要注意我們確實知道可以簡化為簡單數學問題的對稱原語。然而,這些原語的執行速度通常比我們在實踐中使用的要慢得多(並且通常具有更大的密文),因此我們從不使用它們,特別是因為我們不知道任何證明“簡單數學問題”實際上更難的證據比我們在實踐中使用的“複雜數學問題”。

人們可以扭轉這一局面,問“為什麼我們堅持將非對稱算法建立在特定的難題上?”。一個答案是非對稱算法試圖做的不僅僅是對稱算法。非對稱算法不僅需要看起來“隨機”,即使攻擊者以公鑰的形式得到提示,它仍然需要安全。這個公鑰必須以某種方式與私鑰相關,但不是以一種明顯的方式(當然,在給定私鑰的情況下容易進行的操作必須在僅給定公鑰的情況下不可行)。我們知道建立這種模糊關係的唯一方法是將其簡化為一個更簡單的難題。

就對稱密碼學中的安全性降低而言,它們往往適用於使用理想化原語的構造,例如偽隨機函式偽隨機排列。因此,例如,Luby 和 Rackoff 已經證明,可以使用三輪 Feistel 構造從偽隨機函式構造偽隨機排列。同樣,對稱密碼學家可能會嘗試證明塊密碼操作模式將塊大小的偽隨機排列擴展到更大數據塊的偽隨機排列。

然後,保證來自相信我們使用的對稱原語可以與理想化的偽隨機對應物區分開來。“打破這個結構就像區分 SHA256 和偽隨機函式一樣難”或“打破這個結構就像這個組中的決定性 Diffie-Hellman 問題一樣難”這句話是否有更多保證取決於消費者。

引用自:https://crypto.stackexchange.com/questions/96398