El marco de componibilidad universal (UC) [1] es un modelo de propósito general para el análisis de protocolos criptográficos. Garantiza propiedades de seguridad muy fuertes. Los protocolos permanecen seguros incluso si se componen arbitrariamente con otras instancias del mismo u otros protocolos . La seguridad se define en el sentido de emulación de protocolo. Intuitivamente, se dice que un protocolo emula a otro, si ningún entorno (observador) puede distinguir las ejecuciones. Literalmente, el protocolo puede simular el otro protocolo (sin tener acceso al código). La noción de seguridad se deriva implícitamente. Asume un protocoloes seguro por definición. Si otro protocolo emula el protocolo tal que ningún entorno distinga la emulación de la ejecución del protocolo, entonces el protocolo emulado es tan seguro como el protocolo .
Funcionalidad ideal
Una funcionalidad ideal es un protocolo en el que una parte de confianza que puede comunicarse a través de canales perfectamente seguros con todos los participantes del protocolo calcula el resultado del protocolo deseado. Decimos que un protocolo criptográfico que no puede hacer uso de una parte de confianza cumple una funcionalidad ideal, si el protocolo puede emular el comportamiento de la parte de confianza para usuarios honestos, y si la opinión de que un adversario aprende atacando el protocolo es indistinguible de lo que puede ser calculado por un simulador que solo interactúa con la funcionalidad ideal.
Modelo de computación
El modelo de computación de componibilidad universal es el de las máquinas de Turing interactivas que pueden activarse entre sí escribiendo en las cintas de comunicación de las demás. Una máquina de Turing interactiva es una forma de máquina de Turing de cintas múltiples y se usa comúnmente para modelar los aspectos computacionales de las redes de comunicación en criptografía .
Modelo de comunicación
El modelo de comunicación en el marco de UC desnudo es muy básico. Los mensajes de una parte emisora se entregan al adversario, quien puede reemplazar estos mensajes con mensajes de su propia elección que se entregan a la parte receptora. Este también es el modelo de amenaza Dolev-Yao . (Basado en el modelo computacional, todas las partes se modelan como máquinas de turing interactivas)
Todos los modelos de comunicación que agregan propiedades adicionales como confidencialidad , autenticidad , sincronización o anonimato se modelan utilizando su propia funcionalidad ideal. Una funcionalidad de comunicación ideal toma un mensaje como entrada y produce un mensaje como salida. Los poderes (más limitados) del adversario se modelan a través de la capacidad (limitada) del adversario para interactuar con esta funcionalidad ideal.
Canal autenticado ideal
Para un canal autenticado ideal óptimo, la funcionalidad ideal toma un mensaje de una fiesta con identidad como entrada, y genera el mismo mensaje junto con la identidad al destinatario y al adversario. Modelar el poder del adversario para retrasar la comunicación asincrónica la funcionalidad primero puede enviar un mensaje al adversario y solo entregaría el mensaje una vez que recibe el comando para hacerlo como respuesta.
Canal seguro ideal
En un canal seguro ideal , la funcionalidad idealsolo envía la identidad del remitente tanto al destinatario como al adversario, mientras que el mensaje solo se revela al destinatario. Esto modela el requisito de que un canal seguro sea tanto autenticado como privado. Para modelar alguna fuga sobre la información que se está transfiriendo,puede revelar información sobre el mensaje al adversario, por ejemplo, la longitud del mensaje. La comunicación asincrónica se modela mediante el mismo mecanismo de retardo que para.
Canales más avanzados
Si bien los medios técnicos y los supuestos físicos detrás de la comunicación anónima y seudónima son muy diferentes, [2] el modelado de tales canales utilizando funcionalidades ideales es análogo. Consulte también enrutamiento de cebolla y P2P anónimo . Se pueden definir funcionalidades similares para la comunicación por difusión o la comunicación síncrona .
Canal anónimo ideal
En un canal anónimo ideal , la funcionalidad ideal, toma un mensaje de una fiesta con identidad como entrada, y genera el mismo mensaje pero sin revelar la identidad al destinatario y al adversario.
Canal seudónimo ideal
En un canal seudónimo ideal , las partes participantes registran primero seudónimos únicos con la funcionalidad ideal. Para hacer una transferencia toma un mensaje y el seudónimo del destinatario como entrada. La funcionalidad ideal busca al propietario del seudónimo y transfiere el mensaje. sin revelar la identidad del remitente.
Estas formalizaciones se abstraen de los detalles de implementación de los sistemas concretos que implementan dichos canales. En su forma pura, una funcionalidad ideal puede resultar irrealizable. Puede ser necesario relajar la funcionalidad filtrando más información al adversario ( grado de anonimato ). Por otro lado, los canales de comunicación pueden ser físicos, [3] [4] por ejemplo, un dispositivo móvil puede lograr un canal anónimo cambiando constantemente su ubicación antes de transmitir mensajes que no contienen identificadores .
Resultados de imposibilidad
No existe un protocolo de compromiso de bits que se pueda componer universalmente en el modelo estándar . La intuición es que en el modelo ideal, el simulador tiene que extraer el valor a comprometerse de la entrada del entorno. Esto permitiría al receptor en el protocolo real extraer el valor comprometido y romper la seguridad del protocolo. Este resultado de imposibilidad se puede aplicar a otras funcionalidades.
Supuestos de configuración y confianza
Para eludir el resultado de imposibilidad anterior, se requieren supuestos adicionales. Las suposiciones de configuración y confianza adicionales, como el modelo de cadena de referencia común y la suposición de una autoridad de certificación confiable , también se modelan utilizando funcionalidades ideales en UC.
Controversia y otros modelos
- La simulabilidad reactiva [5] es un modelo similar desarrollado al mismo tiempo que el modelo de compatibilidad universal.
- La criptografía abstracta / constructiva [6] [7] es un modelo de propósito general más reciente para el análisis componible de protocolos criptográficos.
- El modelo GNUC e IITM son reformulaciones de componibilidad universal por otro investigador (de manera destacada, Victor Shoup y Ralf Kuesters) que influyeron en las nuevas versiones del modelo canónico de Ran Canetti .
Ver también
Referencias
- ^ R. Canetti. Seguridad universalmente componible: un nuevo paradigma para los protocolos criptográficos. [1]
- ^ Douglas Wikström: "Una red mixta universalmente compostable". TCC 2004 : 317-335. doi : 10.1007 / 978-3-540-24638-1_18
- ^ Tatsuaki Okamoto: "Sobre la relación entre supuestos físicos criptográficos". ISAAC 1993 : 369-378
- ^ Waka Nagao, Yoshifumi Manabe, Tatsuaki Okamoto: "Relación de tres canales criptográficos en el marco de la UC". ProvSec 2008 : 268-282. doi : 10.1007 / 978-3-540-88733-1_19
- ^ Michael Backes y Birgit Pfitzmann y Michael Waidner. El marco de simulación reactiva (RSIM) para sistemas asincrónicos. Archivo de Cryptology ePrint: Informe 2004/082
- ^ Ueli Maurer, Renato Renner: Criptografía abstracta. ICS 2011: 1-21
- ^ Ueli Maurer. Criptografía constructiva: un nuevo paradigma para las definiciones y pruebas de seguridad. TOSCA 2011: 33-56