सुरक्षा और क्रिप्टोग्राफी के सिद्धांत और अभ्यास के बीच अंतर?

सुरक्षा और क्रिप्टोग्राफी के सिद्धांत और अभ्यास के बीच क्या दिलचस्प अंतर हैं?

सबसे दिलचस्प पाठ्यक्रम उदाहरण होगा जो व्यावहारिक अनुभव के आधार पर सैद्धांतिक अनुसंधान के लिए नए रास्ते सुझाते हैं :)।

उत्तर शामिल हो सकते हैं (लेकिन यह सीमित नहीं हैं):

• उदाहरण जहां सिद्धांत कुछ सुझाता है, लेकिन यह कभी भी व्यवहार में उपयोग नहीं किया जाता है
• उदाहरण जहां सिद्धांत बताता है कि कुछ सुरक्षित है जो व्यवहार में सुरक्षित नहीं है
• व्यापक व्यावहारिक उपयोग में कुछ के उदाहरणों के पीछे बहुत कम सिद्धांत है।

...

चेतावनी

यदि आपका उत्तर अनिवार्य रूप से है "थ्योरी असममित दवाओं के बारे में है, लेकिन अभ्यास नहीं है," तो या तो सिद्धांत वास्तव में केंद्रीय होना चाहिए, या उत्तर में विशिष्ट उदाहरण शामिल होने चाहिए जहां वास्तविक दुनिया के उदाहरणों पर व्यावहारिक अनुभव अपेक्षाओं से भिन्न होता है सिद्धांत पर।

एक उदाहरण मुझे पता है: सुरक्षित सर्किट मूल्यांकन। सिद्धांत रूप में बहुत शक्तिशाली, लेकिन व्यवहार में उपयोग करने के लिए बहुत जटिल है, क्योंकि इसमें आपका कोड शामिल होगा, इसे एक सर्किट में अनियंत्रित करना और फिर एक समय में प्रत्येक गेट एक का सुरक्षित मूल्यांकन करना।

अरे लड़का, कहाँ से शुरू करें।

बड़ा एक निश्चित रूप से ब्लैक बॉक्स है। क्रिप्टो शोधकर्ताओं ने रैंडम ओरेकल मॉडल की अस्थिरता समस्या जैसी चीजों के बारे में उपद्रव किया। सुरक्षा शोधकर्ता दूसरे चरम पर हैं और चाहते हैं कि सब कुछ एक ब्लैक बॉक्स के रूप में प्रयोग करने योग्य हो, न कि केवल हैश फ़ंक्शंस में। यह तनाव का एक निरंतर स्रोत है।

उदाहरण के लिए, यदि आप सुरक्षा प्रोटोकॉल के औपचारिक विश्लेषण को देखते हैं, उदाहरण के लिए BAN तर्क , तो आप देखेंगे कि सममित एन्क्रिप्शन को "आदर्श ब्लॉक सिफर" माना जाता है। यहाँ एक सूक्ष्म अंतर है - BAN तर्क (और अन्य प्रोटोकॉल विश्लेषण तकनीक) सुरक्षा प्रमाण होने का दावा नहीं करते हैं; बल्कि, वे खामियों को खोजने के लिए तकनीक हैं। इसलिए यह कड़ाई से सच नहीं है कि आदर्श सिफर मॉडल यहां शामिल है। हालाँकि, यह आनुभविक रूप से सही है कि अधिकांश सुरक्षा विश्लेषण औपचारिक मॉडल तक सीमित रहते हैं, इसलिए प्रभाव समान होता है।

हमने अभी तक चिकित्सकों के बारे में बात नहीं की है। इन लोगों के पास आमतौर पर ऐसा कोई सुराग भी नहीं होता है कि क्रिप्टो प्राइमेटिव्स ब्लैक बॉक्स होने का इरादा नहीं करते हैं, और मुझे संदेह है कि यह कभी भी बदलने वाला है - दशकों से इसे अपने सिर में मारने की कोशिश करने से कोई फर्क नहीं पड़ा है।

यह देखने के लिए कि समस्या कितनी बुरी है, एपीआई हस्ताक्षर माफी से संबंधित इस सुरक्षा सलाहकार पर विचार करें । बग आंशिक रूप से मर्कले-डैमगार्ड निर्माण (जो वास्तव में कुछ बुनियादी है) में लंबाई-विस्तार के हमले के कारण है, और फ़्लिकर, डिवाश, आईकॉन्टैक्ट, माइंडमिस्टर, माएक्सर, रिमेम्बरमैक्स, स्क्रिब्ड, वीमो, वोक्सेल, वाइजहाइव और ज़ूम्र को प्रभावित करता है। लेखक ध्यान दें कि यह पूरी सूची नहीं है।

मुझे लगता है कि चिकित्सकों को इस दुख की स्थिति के लिए शेर के हिस्से के लायक माना जाता है। दूसरी ओर, शायद क्रिप्टो सिद्धांतकारों को अपनी स्थिति पर फिर से विचार करने की आवश्यकता है। उनकी लाइन है: "ब्लैक-बॉक्स बनाना असंभव है; हम कोशिश भी नहीं कर रहे हैं।" जिस पर मैं कहता हूं, चूंकि यह स्पष्ट है कि आपके निर्माणों को वैसे भी (गलत) ब्लैक बॉक्स के रूप में इस्तेमाल किया जा रहा है, तो कम से कम उन्हें ब्लैक बॉक्स के जितना करीब संभव बनाने की कोशिश क्यों न करें?

पेपर मर्कले-डमगार्ड रिविजिटेड इस बात का एक बड़ा उदाहरण है कि मैं किस बारे में बात कर रहा हूं। वे सुरक्षा धारणा का अध्ययन करते हैं कि "मनमाने ढंग से लंबाई वाले हैश फंक्शन एच को एक यादृच्छिक ओरेकल के रूप में व्यवहार करना चाहिए जब फिक्स्ड-लेंथ बिल्डिंग ब्लॉक को रैंडम ऑरेकल या एक आदर्श ब्लॉक-सिफर के रूप में देखा जाता है।" इस तरह के सैद्धांतिक अनुसंधान व्यवहार में बेहद उपयोगी होने की क्षमता रखते हैं।

अब आइए सर्किट मूल्यांकन के अपने उदाहरण पर आते हैं। मैं आपके तर्क से असहमत हूं। यह ऐसा नहीं है कि आप एक संकलित बाइनरी लेंगे और नेत्रहीन इसे एक सर्किट में बदल देंगे। इसके बजाय, आप सर्किट मूल्यांकन केवल अंतर्निहित तुलनात्मक फ़ंक्शन पर लागू करेंगे जो आमतौर पर काफी सरल है। फेयरप्ले सर्किट मूल्यांकन का एक कार्यान्वयन है। मेरे साथ काम करने वाले एक सहकर्मी ने मुझे बताया कि यह आश्चर्यजनक रूप से तेज़ है। हालांकि यह सच है कि दक्षता सर्किट मूल्यांकन के साथ एक समस्या है (और मुझे वास्तविक दुनिया के उदाहरणों के बारे में पता है जहां इसे इस कारण से खारिज कर दिया गया था), यह एक शोस्टॉपर से दूर है।

दूसरा कारण जो मैं आपसे असहमत हूं, यदि आप कुछ वास्तविक जीवन के परिदृश्यों के बारे में सोचते हैं, जिसमें आप प्रत्यक्ष रूप से अनजान सर्किट मूल्यांकन को अंजाम देना चाहते हैं - उदाहरण के लिए, जब दो कंपनियां इस बात का पता लगा रही हैं कि क्या विलय करना है - कम्प्यूटेशनल लागत समग्र मानवीय प्रयासों और बजट की तुलना में इसमें तुच्छताएं शामिल हैं ।

तो फिर कोई भी अभ्यास में सामान्य सुरक्षित फ़ंक्शन मूल्यांकन का उपयोग क्यों नहीं करता है? बड़ा सवाल है। यह मुझे सिद्धांत और व्यवहार के बीच मेरे दूसरे अंतर पर लाता है: विश्वास वास्तव में व्यवहार में मौजूद है! पैरानॉयड मॉडल में सब कुछ करने की आवश्यकता नहीं है। समस्याओं का सेट जो लोग वास्तव में क्रिप्टो का उपयोग करके हल करना चाहते हैं, क्रिप्टोग्राफ़रों की कल्पना की तुलना में बहुत छोटा है।

मैं किसी ऐसे व्यक्ति को जानता हूं जिसने उद्यम ग्राहकों के लिए सुरक्षित मल्टीपार्टी कम्प्यूटेशन सेवाओं को बेचने की कोशिश करने वाली कंपनी शुरू की। लगता है क्या - कोई नहीं चाहता था। जिस तरह से वे इन समस्याओं से संपर्क करते हैं वह एक अनुबंध पर हस्ताक्षर करना है जो यह निर्दिष्ट करता है कि आप डेटा के साथ क्या कर सकते हैं और क्या नहीं कर सकते हैं, और यह कि आप इच्छित उद्देश्य के लिए उपयोग करने के बाद डेटा को नष्ट कर देंगे। ज्यादातर समय, यह ठीक काम करता है।

सिद्धांत और व्यवहार के बीच अंतर का मेरा अंतिम बिंदु पीकेआई के बारे में है। क्रिप्टो कागज अक्सर एक वाक्य कहते हैं कि "हम पीकेआई मान लेते हैं।" दुर्भाग्य से, अंतिम उपयोगकर्ताओं के लिए डिजिटल प्रमाण पत्र (जैसा कि कॉर्पोरेट संदर्भ में वेबसाइटों या कर्मचारियों के विपरीत है, जहां एक प्राकृतिक पदानुक्रम है) कभी भी भौतिक नहीं हुआ। यह क्लासिक पेपर उस उल्लसितता का वर्णन करता है जो पीजीपी का उपयोग करने के लिए सामान्य लोगों से पूछते समय आपको बताती है। मुझे बताया गया है कि तब से सॉफ्टवेयर में बहुत सुधार हुआ है, लेकिन अंतर्निहित डिजाइन और वास्तुकला के मुद्दे और मानव सीमाएं आज बहुत भिन्न नहीं हैं।

मुझे नहीं लगता कि क्रिप्टोग्राफर्स को वास्तविक दुनिया PKI की इस कमी के परिणामस्वरूप कुछ भी अलग करना चाहिए, इस तथ्य के बारे में जानने के अलावा कि यह क्रिप्टोग्राफिक प्रोटोकॉल की वास्तविक दुनिया की प्रयोज्यता को सीमित करता है। मैंने इसे फेंक दिया क्योंकि यह कुछ ऐसा है जिसे मैं ठीक करने की कोशिश कर रहा हूं।

रैंडमवल्कर का जवाब बहुत अच्छा है। सिद्धांत और व्यवहार के बीच मेरा पसंदीदा अंतर यादृच्छिक ओरेकल मॉडल है। यह व्यवहार में एक बहुत ही सुरक्षित अनुमानक लगता है (यह मानते हुए कि लोग कुछ बेवकूफी नहीं करते हैं और कम से कम लंबाई विस्तार उचित रूप से करते हैं, रैंडमवल्कर का उत्तर भी देखें) लेकिन हमारे पास इसके बारे में कोई सकारात्मक सैद्धांतिक परिणाम नहीं हैं। वास्तव में, इस अनुमान के बारे में सभी सैद्धांतिक परिणाम नकारात्मक हैं। मुझे लगता है कि यह एक महान शोध प्रश्न है और आशा है कि किसी दिन इस मॉडल के बारे में कुछ दिलचस्प सकारात्मक परिणाम साबित होंगे।

जहाँ तक मैं अभ्यास में भी जानता हूं, तब तक आपत्ति के बारे में, हालाँकि यह व्यापक उपयोग में है, पर अपसंस्कृति को एन्क्रिप्शन के रूप में सुरक्षित नहीं माना जाता है, और एक दीर्घकालिक और बहुत संवेदनशील रहस्य को छिपाने के लिए आपत्तिजनक का उपयोग करना विवेकपूर्ण नहीं माना जाता है। (जैसा कि यादृच्छिक ओरेकल का उपयोग करके एन्क्रिप्शन के विरोध में, जो लोग इसके लिए उपयोग करने के साथ पूरी तरह से सहज हैं।) तो उस अर्थ में, सिद्धांत और व्यवहार के बीच का अंतर उतना बड़ा नहीं है। (अर्थात, ओफ़्फ़केशन बेहद रोचक क्षेत्र है जिसे हम सिद्धांत और व्यवहार दोनों में समझने से बहुत दूर हैं।)

Homomorphic एन्क्रिप्शन और सुरक्षित मल्टीपार्टी कम्युनिकेशन दो बड़ी हैं, क्रिप्टोग्राफी में हालिया खोजें जो अभी तक व्यावहारिक बनाने के लिए पर्याप्त रूप से अध्ययन नहीं की गई हैं: PROCEED जैसे शोध प्रयास इस दिशा में आगे बढ़ रहे हैं कि हम इसको लिखने के लिए किस तरह के प्रोग्रामिंग मॉडल का उपयोग कर सकते हैं। संगणना की तरह, साथ ही कोर क्रिप्टोग्राफिक एल्गोरिदम के लिए अनुकूलन पाते हैं जो उन्हें उचित समय में चलाते हैं। क्रिप्टोग्राफी में यह एक काफी सामान्य घटना है: हम (तुलनात्मक रूप से) सरल एल्गोरिदम के साथ शुरू करते हैं, जिसे चलाने में लंबा समय लगता है, और फिर क्रिप्टोग्राफर गणित का उपयोग करके एल्गोरिदम को आगे और आगे अनुकूलित करने के लिए साल बिताते हैं।

उदाहरण जहां सिद्धांत कुछ सुझाता है, लेकिन यह कभी भी व्यवहार में उपयोग नहीं किया जाता है:

सिद्धांत में हल की गई चीजों के उदाहरणों को खोजना बहुत आसान है, लेकिन या तो (1) अभ्यास में उपयोग करने के लिए बहुत अक्षम हैं या (2) कोई भी परवाह नहीं करता है। उदाहरण: (1) (सामान्य) शून्य-ज्ञान प्रमाण, (2) निर्विवाद हस्ताक्षर। वास्तव में, किसी भी क्रिप्टो सम्मेलन को देखें और कम से कम आधे पेपर संभवतः इन श्रेणियों में से एक में गिर जाएंगे।

उदाहरण जहां सिद्धांत से पता चलता है कि कुछ सुरक्षित है जो व्यवहार में सुरक्षित नहीं है:

यह प्रश्न थोड़ा अस्पष्ट है, इसलिए मुझे यकीन नहीं है कि अगर यह इसका उत्तर देता है - लेकिन 'अस्थायी रूप से सुरक्षित' योजनाओं के बहुत सारे उदाहरण हैं जो व्यवहार में टूट जाते हैं क्योंकि सुरक्षा परिभाषा परिनियोजन परिदृश्य से मेल नहीं खाती। पिछले कुछ वर्षों में अकेले SSH और IPSec (अन्य लोगों के बीच) के हमलों पर हमले हुए।

व्यापक व्यावहारिक उपयोग में किसी चीज के उदाहरण के पीछे बहुत कम सिद्धांत हैं:

मेरा मानना ​​है कि आप क्रिप्टो दुनिया में हैं, सामान्य सुरक्षा दुनिया में नहीं। एक अच्छा उदाहरण डीएसएस हस्ताक्षर हैं, जिनके पास सुरक्षा का कोई सबूत नहीं है।

$M$$M'$$M'$$w \iff M$$w$$M'$$w \iff M$$w$$M'$$M$$M'$$M$

कई वाणिज्यिक कंपनियां हैं जो बाइनरी ऑबफ्यूशन समाधान की पेशकश करती हैं, और कई ओपन सोर्स समाधान भी हैं। बेशक के लिए सटीक तरीके, निश्चित रूप से गुप्त रखे जाते हैं; उद्योग में प्रचलित ओफिसकेशन प्रतिमान हेयुरिस्टिक है, इसलिए इस संदर्भ में एक द्विआधारी को बाधित करने के लिए उपयोग किए जाने वाले एल्गोरिदम को जानना आमतौर पर डीबॉफिकेशन में कुछ लाभ की गारंटी देगा। उद्योग में बाधा को "अस्पष्टता के माध्यम से सुरक्षा" के रूप में जाना जाता है।

मोटापे की समस्या के सैद्धांतिक दृष्टिकोण हैं जो उद्योग की इच्छाओं को औपचारिक रूप देते हैं लेकिन कम्प्यूटेशनल इंट्रेक्टबिलिटी (एक तरह से फ़ंक्शन समकक्षता परीक्षण के साथ पूर्णांक और स्ट्रिंग समतुल्यता परीक्षणों को बदलने की कल्पना) के आधार पर सुरक्षा की कड़ाई से मजबूत धारणा पर भरोसा करते हैं। विशेष रूप से, उद्योग के लिए दिलचस्प समस्या को हल करने की कोशिश करने के लिए प्रयोजनीय बिंदु obfuscation के अध्ययन को उन्नत किया गया है। दुर्भाग्य से छेड़छाड़-प्रूफ हार्डवेयर से प्रेरित मॉडल के आधार पर मोटापे के लिए सबसे व्यापक प्रसार सैद्धांतिक मॉडल 2001 में बराक एट अल द्वारा " ओफ़्फ़्स ऑफ़ द ओफसुसेटिंग प्रोग्राम्स " की संभावना वाले पेपर में एक असंभव परिणाम दिया गया था । (कई अन्य मॉडलों के बाद से भी असंभव परिणाम दिए गए हैं)।

अभी कार्यक्रम के सिद्धांत का प्रवाह प्रवाह की स्थिति में है, इसके लिए नए (संभावित कम प्रतिबंधात्मक) मॉडल की आवश्यकता है। वास्तव में, सिद्धांत के साथ मुख्य समस्या मॉडल पर सहमति की कमी है (और इसलिए औपचारिक रूप से स्वयंसेवकों)। पूरी तरह से होमोमोर्फिक एन्क्रिप्शन का हालिया आगमन इस तरह का आधार प्रदान कर सकता है (यह पूरी तरह से इस लेखक की ओर से अटकलें हैं)।

स्पष्ट करने के लिए, आपत्तिजनकता आपके तीसरे उदाहरण से मेल खाती है: "व्यापक व्यावहारिक उपयोग में किसी चीज़ के उदाहरण के पीछे बहुत कम सिद्धांत है।" Obfuscation का उपयोग आज व्यापक रूप से उद्योग द्वारा और अधिक नापाक उद्देश्यों के साथ किया जाता है। उद्योग में विरोधाभास वर्तमान में प्रयासों के बावजूद किसी भी कठोर सिद्धांत पर आधारित नहीं है।

जब यह छद्म-आयामी जनरेटर जैसे बुनियादी प्राइमेटिव की बात आती है, तब भी एक महत्वपूर्ण अंतर होता है। उदाहरण के लिए छद्म आयामी कार्यों पर विचार करें। व्यवहार में लोग एईएस जैसी चीजों का उपयोग करते हैं , जो सैद्धांतिक उम्मीदवारों (गोल्डीरिच, गोल्डवेसर, मिकलि; नोर, रेनगोल्ड; आदि) से कई आयामों के साथ भिन्न होते हैं: सबसे पहले, पैरामीटर पूरी तरह से अलग हैं, जैसे एईएस में कुंजी हो सकती है जो इनपुट लंबाई के बराबर होती है । , जो सैद्धांतिक निर्माणों में अनसुना है। शायद अधिक महत्वपूर्ण बात, एईएस (और कई अन्य ब्लॉक सिफर) तथाकथित प्रतिस्थापन-क्रमपरिवर्तन नेटवर्क प्रतिमान का पालन करते हैं जो सैद्धांतिक निर्माणों के जाने के तरीके से काफी अलग है (जैसे कि ऊपर उल्लेखित हैं)।

सबसे दिलचस्प पाठ्यक्रम उदाहरण होगा जो व्यावहारिक अनुभव के आधार पर सैद्धांतिक अनुसंधान के लिए नए रास्ते सुझाते हैं :)।

मुझे लगता है कि उपरोक्त एक ऐसा उदाहरण है, उदाहरण के लिए इस पेपर को एरिक माइल्स (जिसमें से अनिवार्य रूप से यह उत्तर लिया गया है) देखें।