Indistinció del text xifrat

La indistinció del text xifrat és una propietat de molts esquemes de xifratge. Intuïtivament, si un criptosistema posseeix la propietat d'indistinguibilitat, aleshores un adversari no podrà distingir parells de textos xifrats en funció del missatge que xifren. La propietat d'indistinció sota l'atac de text en pla escollit es considera un requisit bàsic per als sistemes criptogràfics de clau pública més segurs, encara que alguns esquemes també proporcionen indistinció sota l'atac de text xifrat escollit i l'atac adaptatiu de text xifrat triat. La indistinció sota l'atac de text pla escollit és equivalent a la propietat de la seguretat semàntica, i moltes proves criptogràfiques utilitzen aquestes definicions de manera intercanviable.^[1]

Un criptosistema es considera segur en termes d'indistinció si cap adversari, donat un xifratge d'un missatge escollit aleatòriament d'un espai de missatges de dos elements determinat per l'adversari, pot identificar l'elecció del missatge amb una probabilitat significativament millor que la d'endevinar aleatòriament (¹⁄₂). Si algun adversari pot aconseguir distingir el text xifrat escollit amb una probabilitat significativament superior a ¹⁄₂, aleshores es considera que aquest adversari té un "avantatge" a l'hora de distingir el text xifrat, i l'esquema no es considera segur pel que fa a la indistinció. Aquesta definició engloba la noció que en un esquema segur, l'adversari no hauria d'aprendre cap informació en veure un text xifrat. Per tant, l'adversari no hauria de ser capaç de fer-ho millor que si ho endevinés a l'atzar.^[2]

Definicions formals[modifica]

La seguretat en termes d'indistinció té moltes definicions, depenent de les suposicions fetes sobre les capacitats de l'atacant. Normalment es presenta com un joc, on el criptosistema es considera segur si cap adversari pot guanyar el joc amb una probabilitat significativament més gran que un adversari que ha d'endevinar aleatòriament. Les definicions més habituals que s'utilitzen en criptografia són indistingibilitat sota un atac de text en pla escollit (abreujat IND-CPA), indistinció sota atac de text xifrat triat (no adaptatiu) i indistingibilitat sota atac de text xifrat escollit adaptatiu (IND-CCA2). La seguretat sota qualsevol de les definicions anteriors implica seguretat sota les anteriors: un esquema que és segur IND-CCA1 també és segur IND-CPA, i un esquema que és segur IND-CCA2 és segur tant IND-CCA1 com IND-CPA. Així, IND-CCA2 és la més forta de les tres definicions de seguretat.^[3]

Equivalències i implicacions[modifica]

La indistinció és una propietat important per mantenir la confidencialitat de les comunicacions xifrades. Tanmateix, en alguns casos s'ha trobat que la propietat d'indistinguibilitat implica altres propietats de seguretat aparentment no relacionades. De vegades aquestes implicacions van en ambdues direccions, fent equivalents dues definicions; per exemple, se sap que la propietat d'indistinguibilitat sota un atac de text xifrat triat adaptatiu (IND-CCA2) és equivalent a la propietat de no-mal·leabilitat sota el mateix escenari d'atac (NM-CCA2). Aquesta equivalència no és immediatament òbvia, ja que la no mal·leabilitat és una propietat que tracta la integritat del missatge, més que la confidencialitat. En altres casos, s'ha demostrat que la indistinció es pot combinar amb determinades altres definicions, per tal d'implicar encara altres definicions útils, i viceversa. La llista següent resumeix algunes implicacions conegudes, encara que de cap manera és completa.

La notació $\scriptstyle A\;\Rightarrow \;B$ significa que la propietat A implica la propietat B. $\scriptstyle A\;\Leftrightarrow \;B$ significa que les propietats A i B són equivalents. $\scriptstyle A\;\not \Rightarrow \;B$ significa que la propietat A no implica necessàriament la propietat B.

IND-CPA $\scriptstyle \Leftrightarrow$ seguretat semàntica sota CPA.
NM-CPA (no-mal·leabilitat sota l'atac de text pla escollit) $\scriptstyle \Rightarrow$ IND-CPA.
NM-CPA (no-mal·leabilitat sota l'atac de text pla escollit) $\scriptstyle \not \Rightarrow$ IND-CCA2.
NM-CCA2 (no mal·leabilitat sota atac de text xifrat escollit adaptatiu) $\scriptstyle \Leftrightarrow$ IND-CCA2.^[4]

Referències[modifica]

↑ «Ciphertext indistinguishability» (en anglès). [Consulta: 1r maig 2024].
↑ «What is Ciphertext Indistinguishability? | Security Encyclopedia» (en anglès). [Consulta: 1r maig 2024].
↑ Mike Rosulek, PhD «Chapter 8: Security against Chosen Plaintext Attacks» (en anglès). open.oregonstate.education, 2017.
↑ Abdalla, Michel; Benhamouda, Fabrice; Pointcheval, David «Public‐key encryption indistinguishable under plaintext‐checkable attacks» (en anglès). IET Information Security, 10, 6, 2016-11, pàg. 288–303. DOI: 10.1049/iet-ifs.2015.0500. ISSN: 1751-8717.

[1] «Ciphertext indistinguishability» (en anglès). [Consulta: 1r maig 2024].

[2] «What is Ciphertext Indistinguishability? | Security Encyclopedia» (en anglès). [Consulta: 1r maig 2024].

[3] Mike Rosulek, PhD «Chapter 8: Security against Chosen Plaintext Attacks» (en anglès). open.oregonstate.education, 2017.

[4] Abdalla, Michel; Benhamouda, Fabrice; Pointcheval, David «Public‐key encryption indistinguishable under plaintext‐checkable attacks» (en anglès). IET Information Security, 10, 6, 2016-11, pàg. 288–303. DOI: 10.1049/iet-ifs.2015.0500. ISSN: 1751-8717.

[1]

[2]

[3]

[4]