ביטחון סמנטי

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

בקריפטוגרפיה, ביטחון סמנטי (Semantic security)[1][2] היא הגדרה של ביטחון אלגוריתם הצפנה דטרמיניסטי או הסתברותי, סימטרי ואסימטרי כאחד. נניח שליריב או התוקף גישה לזוג טקסטים קריאים כלשהם ובאפשרותו לראות את תוצאת ההצפנה שלהם עם האלגוריתם אותו הוא מעוניין לפצח. האלגוריתם ייקרא בטוח סמנטית אם היריב לא יוכל ללמוד בזמן ריצה פולינומי בהסתברות גבוהה מחצי בשיעור שאינו זניח האם תוצאת האלגוריתם היא הצפנה של או מבלי לראות את המפתח. המילה סמנטי מקורה מהגדרה היסטורית של ההצפנה בה הוצפנו מילים ואותיות.

אי-יכולת הבחנה

הוכח שביטחון סמנטי שקול להגדרת ביטחון מערכת הצפנה שנקראת 'אי-יכולת הבחנה' (indistinguishability) המסומנת בקיצור IND, שפירושה שהיריב לא יכול להבחין בין טקסטים מוצפנים של המערכת לבין טקסט אקראי אמיתי בהסתברות גבוהה מחצי בשיעור שאינו זניח (non-negligable). אפשר לחלק את ההגדרה של ביטחון סמנטי לכמה דרגות בהתאם ליכולות היריב מהקל לכבד. מהיבט תאורטי ההנחה היא שליריב בעל עוצמת חישוב גבוהה גישה ל"אורקל הצפנה" או "אורקל פענוח". ההבדל ביניהם הוא שבראשונה היריב מקבל תוצאות הצפנה של טקסטים קריאים אותם הוא מגיש לאורקל לפי בחירתו, מה שקרוי התקפת גלוי-נבחר בקיצור IND-CPA. יש לציין שבהצפנה אסמטרית מעצם ההגדרה תמיד ביכולת היריב לקבל הצפנה של טקסטים קריאים כרצונו, בגלל שיש לו גישה למפתח הציבורי. בשנייה הוא מגיש טקסטים מוצפנים לאורקל לפי בחירתו ומקבל בחזרה את הפענוח שלהם. זוהי התקפת מוצפן-נבחר בקיצור IND-CCA שהיא ההגדרה היותר מחמירה וגם היא מתחלקת לשני סוגים CCA1 ו-CCA2 (ראו גם חשילות).

כל פרימיטיב קריפטוגרפי דטרמיניסטי כמו RSA אם משתמשים בו ישירות, לא יעמוד במבחן הגדרה זו כיוון שבהינתן שני מסרים שהוצפנו עם מפתח זהה הטקסט המוצפן ייראה תמיד זהה. עובדה זו 'מדליפה' מידע כלשהו אפילו אם מועט ליריב פוטנציאלי ועל כן אינו בטוח סמנטית.

במודלים המתוארים מוקנת ליריב עוצמה רבה, במיוחד במודל CCA2. הגישה לאורקל משמעה במציאות גישה מלאה למערכת ההצפנה באופן שניתן להצפין או לפענח מבלי לראות את מפתח ההצפנה. לא תמיד המודלים הללו קיימים במציאות, אך יש סיטואציות שבהן זה אפשרי במידה חלקית. למשל אם המערכת מפיקה הודעות שגיאה שונות בהתאם לסיטואציות שונות או שזמן התגובה של המערכת משתנה באופן ניכר בהתאם למצבים שונים כגון שגיאה באחד הפרמטרים, הרי שהמערכת מדליפה באופן עקיף מידע מסוים למתקיף שיכול לעזור לו לפרוץ אותה. קיימות דוגמאות מעשיות של התקפות מוצלחות נגד מערכות אבטחה על בסיס מידע כזה. בהקשר זה הודעת השגיאה עצמה נחשבת ל'אורקל'.

הקשר לסודיות מושלמת

ביטחון סמנטי הוא גרסה חלשה של סודיות מושלמת. לפי שאנון שיטת הצפנה תקרא מושלמת אם יריב פסיבי אפילו בעל עצמת חישוב בלתי מוגבלת, לא יוכל ללמוד מאומה אודות טקסט המקור מהתבוננות בטקסט-המוצפן בלבד, כיוון שכל טקסט יכול היה להיות המקור במידה שווה. לכן ציתות לערוץ התקשורת בו עובר המידע המוצפן לא יועיל ליריב במאומה. ביטחון סמנטי לעומת זאת מוגבל ליריב בעל עצמת חישוב מוגבלת בזמן ומקום.

ההגדרה הפורמלית של סודיות מושלמת היא; עבור כל שני מסרים אקראיים כלשהם המסומנים בקיצור אם ההתפלגות של ההצפנה וההצפנה זהה לחלוטין ולא ניתן להבחין ביניהם בשום אופן, אזי ההצפנה מספקת סודיות מושלמת. למשל הוכח שאם הוא מחרוזת אקראית כלשהי (לפחות כמו המסר עצמו) הרי ש-XOR של המסר עם מספק ביטחון מושלם, כלומר הצופן אינו טומן בחובו שום מידע לגבי המקור. ההוכחה נכונה רק אם נבחר באקראי בהיסתברות שווה, מתוך מרחב המפתחות שגודלו לפחות כמרחב המסר, כלומר .

אם מפתח ההצפנה הוא כאורך המסר מתקבל פנקס חד-פעמי והוא בטוח ללא סייג, בתנאי שנעשה בו שימוש פעם אחת בלבד (מכאן השם). מסיבות ברורות עובדות אילו מציבות קושי בשימוש בשיטה מבחינה מעשית. יתרה מזו, את המפתח צריך להעביר בערוץ בטוח (כמו על ידי שליח נאמן) לצד המקבל כדי שיוכל לפענח איתו את המידע המוצפן, אם יימצא ערוץ כזה שניתן להעביר דרכו מפתח כה ארוך בסודיות, למה לא להשתמש באותו ערוץ כדי להעביר את המסר עצמו ואז אין צורך במפתח כלל. השאיפה היא למצוא דרכים להעביר מסרים גדולים בערוץ פתוח ללא הגבלה ועם מפתח קטן ככל האפשר ובגודל קבוע. אולם אז מאבדים את תכונת הסודיות המושלמת, כי בדרך זו מועבר ליריב מידע שכעת טווח המפתח קטן בהרבה מהמסר (ההנחה היא שליריב ידוע אורך המפתח איתו נעשה שימוש).

למעשה כעת בידי היריב שתי אופציות שתמיד יוכל לנצל כדי לתקוף את הצופן ללא תלות בביטחונו והן: הראשונה, ניחוש אקראי. אם מפתח ההצפנה שאיתו נעשה שימוש בגודל סיביות והוא נבחר באקראי מתוך הטווח המקסימלי של המפתחות האפשריים, ההסתברות שהניחוש יצליח היא . אך אם המפתח קל לניחוש, כגון: אם נבחר מתוך רשימה קצרה של מפתחות, או שמכיל יתירות מסוימת - דהיינו שאינו אקראי לחלוטין, הניחוש הרבה יותר קל. האופציה השנייה היא כוח גס, דהיינו הניסיון לנחש מהו המפתח על ידי ניסיונות הצפנה במקרה הממוצע, עם כל המפתחות האפשריים. אם התקפת איזון זמן/זיכרון אפשרית או התקפת ניפגש באמצע (MITM), התוקף יכול להשתמש בטבלאות חיפוש. למשל אפשר לאחסן טבלה של כל אפשרויות ההצפנה (עם כל המפתחות האפשריים) ולחפש התאמה. חיפוש בטבלה אמנם מתבצע בזמן של אך דרישות הזיכרון מאידך אינן מעשיות. למרות שקיימות טכניקות לאיזון בין צריכת זיכרון לזמן חישוב, אם המפתח גדול התקפה כזו לא תהיה מעשית.

פונקציית זניחות

Postscript-viewer-blue.svg ערך מורחב – פונקציה זניחה

בניסוח פורמלי indistinguishability (אי-יכולת הבחנה) פירושה שאם נתונה סכמת הצפנה/פענוח (בקיצור Enc/Dec), הפרמטר ומפתח אקראי , עבור כל שני מסרים כלשהם ופונקציה בוליאנית בסיבוכיות לפי פרמטר (הפרמטרים יובהרו בהמשך), מתקיים:

כלומר בהינתן תוצאות ההצפנה של שני המסרים, היריב לא יכול לזהות בהבדל משמעותי (שאינו זניח) ביניהם ולומר מי מהן היא תוצאה של המסר הראשון ומי מהן של השני. רצוי שהפרמטר יהיה גדול כמו . הפרמטר הוא טווח שגיאה או פונקציית זניחות (להלן).

כלי שימושי להגדרת בטיחות ההצפנה היא פונקציית זניחות (Negligible function). הפונקציה זניחה אם עבור כל פולינום ו- גדול מתקיים:

.

כלומר תכונת אי-ההבחנה מתקיימת אם ההסתברות שהיריב יצליח לזהות הבדל בין שני המסרים המוצפנים גדול מחצי בשיעור כה קטן עד שהוא זניח (לא מורגש), לדוגמה היא פונקציה זניחה היות שהיא מתכנסת מהר ל-0, לעומת זאת אינה פונקציה זניחה. שני פרמטרים שימושיים נוספים להגדרה קונקרטית של ביטחון סמנטי, הם הפונקציה שהיא כמות המידע שיש בידי התוקף לגבי ההתפלגות של טווח המסר לפני ההצפנה והפונקציה מייצגת את המידע שהתוקף מעוניין להשיג לגבי על ידי ציתות. ייתכן שהתוקף מעוניין בחשיפת המסר כולו או מסתפק בסיבית אחת בלבד.

ההגדרה הקונקרטית של ביטחון סמנטי, בהינתן סכמת הצפנה (Enc,Dec), הפרמטרים , אם עבור כל התפלגות וכל פונקציה ופונקציה . עבור כל אלגוריתם בסיבוכיות קיים אלגוריתם בסיבוכיות , כך שמתקיים:

במילים, ההסתברות שאלגוריתם עם פונקציית ההצפנה יפיק פלט כלומר ישיג את היעד שנקבע, לא גדולה משיעור שעולה על מההסתברות ש- יצליח לעשות זאת (ללא ההצפנה). כלומר המידע הנוסף לתוקף על ידי ההצפנה זניח. פרמטרים מעניינים מבחינה מעשית יכולים להיות למשל: ו- וסיבוכיות צריכה להיות קטנה מאוד. אפשר לראות שאם ו- לא מוגבל, ההגדרה המתוארת תהיה מקבילה לסודיות מושלמת.

התקפת גלוי-נבחר

Postscript-viewer-blue.svg ערך מורחב – התקפת גלוי-נבחר

כאשר בידי התוקף ידע מוקדם לגבי זוגות טקסט-מוצפן/טקסט-מקור מתאימים, שהוצפנו במפתח שאינו ידוע לו. למשל אם ביכולתו לבקש הצפנה של טקסט גלוי כלשהו לפי בחירתו, או כאשר מסר שהיה בתחילה סודי הפך לאחר הזמן להיות לא סודי (כך שעלה בידו להשיג את המקור ואת ההצפנה שלו אך לא את המפתח). לסוג כזה של התקפה קוראים התקפת גלוי-נבחר או בקיצור CPA. אי יכולת הבחנה תחת התקפת גלוי נבחר המסומנת בקיצור IND-CPA, פירושה שמניחים שהתוקף יכול לבחור זוגות טקסטים גלויים כלשהם, להציגם בפני אורקל הצפנה, שמחזיר לו הצפנה של אחד מהם באופן אקראי (לפי הטלת מטבע) ותפקידו לנסות להבחין איזה מהטקסטים ששלח הוצפן. ההצפנה תהיה בטוחה תחת הנחה זו, רק אם אין בידי התוקף יתרון כלשהו שעוזר לו לגלות איזה מהטקסטים הוצפן בהסתברות גבוהה מחצי בשיעור כלשהו שאינו זניח (non-negligible).

בניסוח פורמלי עבור סכמת הצפנה (Enc,Dec), פונקציה בוליאנית בסיבוכיות , פרמטר המייצג פונקציית זניחות כלשהי ושני מסרים אקראיים כלשהם , מתקיים:

צריך לשים לב שבהצפנה א-סימטרית מעצם הגדרתה ליריב תמיד תהיה היכולת לבחור זוגות טקסט-גלוי/טקסט-מוצפן. כמו כן קיימות הגדרות מחמירות של ביטחון סימנטי מסוג זה תחת התקפת מוצפן-נבחר שהיא יותר חזקה, המסומנת בקיצור IND-CCA.

בעיקרון כל פונקציה פסאודו-אקראית מוכחת יכולה לשמש לבניית סכמת הצפנה שתהיה בטוחה לפי הגדרת IND-CPA וכן IND-CCA.

היסטוריה

המושג ביטחון סמנטי הועלה לראשונה על ידי גולדווסר ומיקלי במאמרים[4] מ-1982 הדנים בחסרונות של הצפנה א-סימטרית דטרמיניסטית דוגמת RSA והציעו רעיון שנקרא הצפנה היסתברותית שאמורה להתמודד עם חסרונות אילו. צופן אל-גמאל הוא הדוגמה הטובה ביותר לכך. הם הציעו דרך משלהם ליישום הצפנה הסתברותית הנקראת הצפנת בלום-גולדווסר.

דוגמאות

שיטת הצפנה דטרמיניסטית כמו RSA מכילה מטבעה מספר חולשות מהותיות:

  1. היא אינה בטוחה עבור כל מסר במידה שווה (למשל במסרים קטנים מאוד, הצפנת הערך 0 או 1 תניב תוצאה זהה, כך שקל לזהות זאת).
  2. קל לעיתים לחשב מידע חלקי אודות מקור הצופן מתוך הטקסט המוצפן. למשל ב-RSA ניתן לחשב את הסיבית הנמוכה ביותר של המסר על ידי חישוב סימן יעקובי.
  3. הצפנה חוזרת של אותו המסר תניב תמיד תוצאה זהה. אפשר לזהות בקלות תעבורה של מסרים תדירים בעלי אופי מיוחד גם אם לא ניתן לקרוא את תוכנם.

אפשר להפוך כל שיטה דטרמיניסטית לבטוחה סמנטית על ידי הוספת אקראיות למסר לפני תהליך ההצפנה. הכנת מסר באופן זה נהוגה למעשה כחלק מתקן מפתח פומבי של RSA ונקראת RSA-OAEP.

הערות שוליים

  1. ^ S. Goldwasser and S. Micali, Probabilistic encryption & how to play mental poker keeping secret all partial information, Annual ACM Symposium on Theory of Computing, 1982.
  2. ^ Bellare, M., A. Desai, D. Pointcheval, and P. Rogaway (1998). Relations among notions of security for public-key encryption schemes
  3. ^ S. Goldwasser and S. Micali, Probabilistic encryption. Journal of Computer and System Sciences, 28:270-299, 1984.
  4. ^ [3]