完美前向保密中的完美是什麼意思?為什麼一些密碼學家不同意這個術語?
在這篇博文中,馬修格林說
前向保密(通常被誤稱為“完美前向保密”)…
維基百科關於前向保密的文章(部落格中的同一句話連結)說
前向保密(FS),也稱為完美前向保密(PFS)…
這意味著它們是同一件事並使馬修格林的陳述無效。
顯然格林教授的說法只是個人對完美一詞的不同意
我很想知道前向保密是/不是“完美”的,(為什麼密碼學家不同意完美)以及為什麼該術語最初與前向保密相關?
密鑰建立(KE)協議的前向保密意味著,對各方長期密鑰的妥協不會影響過去已建立密鑰的保密性。
舉例說明 PFS 的含義。假設甲方和乙方有私鑰 $ s_B $ 和 $ s_B $ . 今天他們執行 KE 並建立一個密鑰 $ k_1 $ . 他們在會話期間使用此密鑰,然後銷毀此密鑰。在此會話期間,攻擊者竊聽了所有消息並記住了腳本 $ T $ 的會議。明顯地, $ T $ 包括 KE 的消息,以及隨後的“數據”消息,用密鑰加密 $ k_1 $ . 明天,攻擊者以某種方式獲得了密鑰 $ s_A $ 和 $ s_B $ , 但不是 $ k_1 $ (因為 $ k_1 $ 被摧毀和遺忘 $ A $ 和 $ B $ )。這就是 KE 的 PFS 屬性:即使有 $ T $ , $ s_A $ 和 $ s_B $ , 攻擊者找不到 $ k_1 $ 並解密隱藏在 $ T $ .
然後回答你的問題,為什麼在 PFS 中“完美”這個詞是模棱兩可的。這顯然是 M.Green 的觀點,但我會嘗試猜測他的意思。其實我對這個詞也有同感。“完美”在這裡是模棱兩可的。例如,我們不使用“完全安全的簽名方案”,我們只使用“安全”。此外,在密碼學中,有時會出現“完美”一詞,以描述某些屬性(通常是某種保密)不是基於計算假設,但它是完美的 - 即無條件且不需要任何假設/假設。例子:
- 完美的零知識與零知識(可能只是統計或計算)
- 加密的完美保密 - Shannon 介紹的術語https://en.wikipedia.org/wiki/One-time_pad#Perfect_secrecy
因此,在密碼學中,“完美”通常是 https://en.wikipedia.org/wiki/Information-theoretic_security的同義詞。但是出於一些愚蠢的原因 - 在這種情況下(在 KE 的情況下)不是。
因此,更清楚的是有一個術語“前向保密”,然後,額外的“完美”意味著它不需要任何假設並且是無條件的。但由於某些歷史原因,在文獻中 PFS 用於正常前向保密。
為什麼(完美)一詞最初與前向保密有關
Christoph G. Günther 在An Identity-Based Key-Exchange Protocol(在Eurocrypt 1989 的程序中)中沒有給出任何理由,這是有記錄以來最早的使用並聲稱該概念:
- >
這種修改恢復了 Diffie-Hellman 方案的一個屬性,我們可以稱之為完美前向保密。如果 Alice 和 Bob 沒有被冒充,當協議執行時,找到密鑰 $ \zeta $ 就像打破每個第三方的 Diffie-Hellman 計劃一樣困難。
至少,完美並不意味著即使是計算無界的對手也無法破壞該計劃。
所以我的觀點是完美的存在,因為它聽起來不錯,並且使三個字母的首字母縮略詞被抓住了。