Доказуемая безопасность относится к любому типу или уровню компьютерной безопасности , которая может быть доказана. Она используется по-разному в разных областях.
Обычно это относится к математическим доказательствам , которые распространены в криптографии . В таком доказательстве возможности злоумышленника определяются состязательной моделью (также называемой моделью злоумышленника): цель доказательства — показать, что злоумышленник должен решить основную сложную проблему , чтобы взломать безопасность моделируемой системы. Такое доказательство обычно не рассматривает атаки по сторонним каналам или другие атаки, специфичные для реализации, поскольку их обычно невозможно смоделировать без реализации системы (и, таким образом, доказательство применимо только к этой реализации).
За пределами криптографии этот термин часто используется в сочетании с безопасным кодированием и безопасностью по проекту , оба из которых могут полагаться на доказательства, чтобы показать безопасность определенного подхода. Как и в случае с криптографической настройкой, это включает в себя модель злоумышленника и модель системы. Например, код может быть проверен на соответствие предполагаемой функциональности, описанной моделью: это можно сделать с помощью статической проверки . Эти методы иногда используются для оценки продуктов (см. Общие критерии ): безопасность здесь зависит не только от правильности модели злоумышленника, но и от модели кода.
Наконец, термин «доказуемая безопасность» иногда используется продавцами программного обеспечения безопасности , которые пытаются продать такие продукты безопасности, как брандмауэры , антивирусное программное обеспечение и системы обнаружения вторжений . Поскольку эти продукты обычно не подлежат проверке, многие исследователи безопасности считают, что такие заявления являются продажей змеиного масла .
В криптографии система имеет доказуемую безопасность , если ее требования безопасности могут быть формально заявлены в состязательной модели, в отличие от эвристики, с четкими предположениями, что у противника есть доступ к системе, а также достаточно вычислительных ресурсов. Доказательство безопасности (называемое «редукцией») заключается в том, что эти требования безопасности выполняются при условии, что предположения о доступе противника к системе удовлетворены и некоторые четко заявленные предположения о сложности определенных вычислительных задач выполняются. Ранний пример таких требований и доказательств был дан Голдвассером и Микали для семантической безопасности и конструкции, основанной на проблеме квадратичного остатка . Некоторые доказательства безопасности находятся в заданных теоретических моделях, таких как модель случайного оракула , где реальные криптографические хеш-функции представлены идеализацией.
Существует несколько направлений исследований в области доказуемой безопасности. Одно из них — установить «правильное» определение безопасности для заданной, интуитивно понятной задачи. Другое — предложить конструкции и доказательства, основанные на общих предположениях, насколько это возможно, например, на существовании односторонней функции . Основная открытая проблема — установить такие доказательства, основанные на P ≠ NP , поскольку существование односторонних функций, как известно, не следует из гипотезы P ≠ NP .
Несколько исследователей обнаружили математические ошибки в доказательствах, которые использовались для заявлений о безопасности важных протоколов. В следующем частичном списке таких исследователей их имена сопровождаются сначала ссылкой на оригинальную статью с предполагаемым доказательством, а затем ссылкой на статью, в которой исследователи сообщили о недостатках: В. Шуп; [1] [2] А. Дж. Менезес; [3] [4] А. Джа и М. Нанди; [5] [6] Д. Галиндо; [7] [8] Т. Ивата, К. Охаши и К. Минемацу; [9] [10] М. Нанди; [11] [12] Х.-С. Корон и Д. Наккаче; [13] [14] Д. Чакраборти, В. Эрнандес-Хименес и П. Саркар; [15] [16] П. Гажи и У. Маурер; [17] [18] С.А. Какви и Э. Килц; [19] [20] и Т. Холенштейн, Р. Кюнцлер и С. Тессаро. [21] [22]
Коблиц и Менезес писали, что доказуемые результаты безопасности для важных криптографических протоколов часто имеют ошибки в доказательствах; часто интерпретируются вводящим в заблуждение образом, давая ложные заверения; как правило, полагаются на сильные предположения, которые могут оказаться ложными; основаны на нереалистичных моделях безопасности; и служат для отвлечения внимания исследователей от необходимости «старомодного» (нематематического) тестирования и анализа. Их серия статей, подтверждающих эти утверждения [23] [24], была спорной в сообществе. Среди исследователей, которые отвергли точку зрения Коблиц-Менезеса, был Одед Голдрайх , ведущий теоретик и автор книги «Основы криптографии» . [25] Он написал опровержение их первой статьи «Еще один взгляд на „доказуемую безопасность“» [26] , которую он назвал «О постмодернистской криптографии». Голдрайх писал: «... мы указываем на некоторые фундаментальные философские недостатки, лежащие в основе указанной статьи, и на некоторые из ее заблуждений относительно теоретических исследований в области криптографии за последнюю четверть века». [27] : 1 В своем эссе Голдрайх утверждал, что строгая методология анализа доказуемой безопасности является единственной, совместимой с наукой, и что Коблиц и Менезес являются «реакционерами (т. е. они играют на руку противникам прогресса)». [27] : 2
В 2007 году Коблиц опубликовал статью «Непростые отношения между математикой и криптографией» [28] , в которой содержались некоторые спорные утверждения о доказуемой безопасности и других темах. Исследователи Одед Голдрайх, Боаз Барак, Джонатан Кац , Хьюго Кравчик и Ави Вигдерсон написали письма в ответ на статью Коблица, которые были опубликованы в выпусках журнала за ноябрь 2007 года и январь 2008 года. [29] [30] Кац, который является соавтором высоко оцененного учебника по криптографии, [31] назвал статью Коблица «снобизмом в чистом виде»; [29] : 1455 , а Вигдерсон, который является постоянным членом Института перспективных исследований в Принстоне, обвинил Коблица в «клевете». [30] : 7
Иван Дамгард позже написал доклад с изложением позиции на ICALP 2007 по техническим вопросам, [32] и был рекомендован Скоттом Ааронсоном как хороший глубокий анализ. [33] Брайан Сноу , бывший технический директор Управления по обеспечению информации Агентства национальной безопасности США , рекомендовал доклад Коблица-Менезеса «Дивный новый мир безрассудных предположений в криптографии» [34] аудитории на конференции RSA 2010 Cryptographers Panel. [35]
Классическая доказуемая безопасность в первую очередь направлена на изучение взаимосвязи между асимптотически определенными объектами. Вместо этого, ориентированная на практику доказуемая безопасность касается конкретных объектов криптографической практики, таких как хэш-функции, блочные шифры и протоколы, поскольку они развертываются и используются. [36] Ориентированная на практику доказуемая безопасность использует конкретную безопасность для анализа практических конструкций с фиксированными размерами ключей. «Точная безопасность» или « конкретная безопасность » — это название, данное доказуемым сокращениям безопасности, где безопасность количественно определяется путем вычисления точных границ вычислительных усилий, а не асимптотической границы, которая гарантированно сохраняется для «достаточно больших» значений параметра безопасности .
{{citation}}
: CS1 maint: дата и год ( ссылка ){{cite book}}
: Внешняя ссылка в |postscript=
( помощь )CS1 maint: постскриптум ( ссылка ){{cite journal}}
: Внешняя ссылка в |postscript=
( помощь )CS1 maint: постскриптум ( ссылка )