WikiDer > Ослепление (криптография)
В криптография, ослепляющий это метод, с помощью которого агент может предоставить услугу (т. е. вычислить функция для) клиент в закодированной форме, не зная ни реального ввода, ни реального вывода. Методы ослепления также применяются для предотвращения атаки по побочным каналам на шифровальных устройствах.
Точнее, Алиса имеет вход Икс и у Оскара есть функция ж. Алиса хотела бы, чтобы Оскар вычислил у = ж(Икс) для нее, не раскрывая ни Икс или же у Для него. Причина, по которой она хотела этого, может заключаться в том, что она не знает функции ж или что у нее нет ресурсов для его вычисления. Алиса «слепит» сообщение, кодируя его в какой-то другой ввод E(Икс); кодировка E должен быть биекция на входном пространстве ж, в идеале случайная перестановка. Оскар дает ей ж(E(Икс)), к которому она применяет расшифровку D чтобы получить D(ж(E(Икс))) = у.
Не все функции позволяют выполнять слепые вычисления. В других случаях ослепление следует применять с осторожностью. Примером последнего является Рабин – Вильямс подписи. Если к форматированному сообщению применяется ослепление, но случайное значение не соответствует требованиям Якоби в п и q, то это может привести к восстановлению закрытого ключа. Демонстрацию восстановления можно увидеть на CVE-2015-2141[1] открыл Евгений Сидоров.
Наиболее распространенное применение ослепления - это слепая подпись. В протоколе слепой подписи подписывающий подписывает сообщение цифровой подписью, не имея возможности узнать его содержание.
В одноразовый блокнот (OTP) - это приложение, скрывающее проблему защищенной связи по самой своей природе. Алиса хотела бы тайно послать сообщение Бобу, однако все их сообщения могут быть прочитаны Оскаром. Следовательно, Алиса отправляет сообщение после того, как закрывает его секретным ключом или OTP, которым она делится с Бобом. Боб отменяет ослепление после получения сообщения. В этом примере функция ж это личность и E и D оба обычно XOR операция.
Ослепление также можно использовать для предотвращения некоторых атаки по побочным каналам на схемы асимметричного шифрования. Атаки по побочным каналам позволяют злоумышленнику восстановить информацию о входе в криптографическую операцию путем измерения чего-то другого, кроме результата алгоритма, например, энергопотребления, времени вычисления или радиочастотного излучения устройством. Обычно эти атаки зависят от злоумышленника, который знает характеристики алгоритма, а также (некоторые) входные данные. В этой настройке ослепление служит для изменения входных данных алгоритма в непредсказуемое состояние. В зависимости от характеристик функции ослепления это может предотвратить утечку полезной информации частично или полностью. Обратите внимание, что безопасность зависит также от устойчивости самих функций ослепления к атакам по побочным каналам.
Например, в ЮАР ослепление включает в себя вычисление операции ослепления E(Икс) = (xr)е мод N, куда р является случайным целым числом от 1 до N и относительно простой к N (т.е. gcd (р, N) = 1), Икс это открытый текст, е является публичным показателем RSA и N - модуль RSA. Как обычно, функция дешифрования ж(z) = zd мод N применяется таким образом, давая ж(E(Икс)) = (xr)ред мод N = xr мод N. Наконец, его не слепят с помощью функции D(z) = zr−1 мод N. Умножение xr мод N к р−1 мод N дает Икс, по желанию. При расшифровке таким образом злоумышленник, который может измерить время, затраченное на эту операцию, не сможет использовать эту информацию (путем применения временных атак, для которых, как известно, RSA уязвим), поскольку он не знает константу р и, следовательно, не имеет информации о реальном вводе, подаваемом на примитивы RSA.