Foundations de CryptographyProf. Dr. Ashish Choudhury (ex) Fundación Infosys Fundación de Desarrollo Career ProfessorInternational Institute of Information Technology-BangaloreLecture-21De pasivo a Active AdversaryHola a todos, bienvenido a la conferencia 20, por lo que sólo una breve recapitulación. (Consulte Slide Time: 00 :34) Till ahora hemos discutido sobre la criptografía de clave simétrica en presencia de un adversario pasivo o un cuentagotas que sólo puede espiar la comunicación que ocurre entre el remitente y un receptor. Pero a partir de ahora consideraremos un adversario más poderoso, es decir, un adversario activo. Y veremos qué son exactamente los efectos nocivos de la presencia de un adversario activo.Más específicamente, la hoja de ruta para esta conferencia es la siguiente, introduciremos un adversario activo y discutiremos las diferencias entre un modelo adversario pasivo y un modelo adversario activo. Y también introduciremos la noción de seguridad del CCA. Y discutiremos cómo abordar exactamente el diseño de esquemas seguros de CCA a partir de un esquema seguro de CPA. (Consulte Slide Time: 01 :20) Así que empecemos nuestra discusión discutiendo las diferencias entre el modelo de adversaria pasiva y el modelo activo adversarial. Así que en el modelo de adversaria pasiva, el escenario es el siguiente tenemos un remitente y un receptor con una clave compartida acordada por algún mecanismo mágico. Y decir que el remitente tiene una secuencia de mensajes que ha cifrado mediante el uso de algún algoritmo de cifrado que se conoce públicamente y un texto cifrado se comunica a través de un canal conocido públicamente. Donde un adversario puede espiar y leer el derecho de texto cifrado. Así que en el modelo de adversario pasivo, el adversario sólo puede leer el contenido del texto cifrado. Y el adversario no tiene ningún poder para cambiar el contenido de texto cifrado, para reordenarlos, para insertar un nuevo texto cifrado de susiembres, para eliminar un poco de texto cifrado, etc. Eso significa que la única capacidad del adversario en el modelo pasivo adversario es la capacidad de lectura.Mientras que si vamos al modelo activo adversarial, y el escenario es el mismo con respecto al remitente y al receptor. A saber, la clave precompartida se acuerda entre el remitente y el receptor. El remitente tiene una secuencia de mensajes cifrados por un proceso de cifrado. Y ahora asumimos que tenemos un adversario poderoso que está activo. Y lo que exactamente quiero decir por el adversario activo es que no sólo puede leer el texto cifrado comunicado por el remitente. Pero el adversario tiene permitido cambiar el contenido del texto cifrado. Puede insertar un nuevo texto cifrado propio o puede reordenar la secuencia de texto cifrado como la enviada por el remitente. De modo que es por eso que el número de texto cifrado está aquí y el texto cifrado que realmente se comunica por el remitente, se denotan por c1 a cl. Mientras que el texto cifrado o las cadenas de bits que realmente reciben el receptor son denotadas por c ’ 1, c ’ 2, de este modo, c ’ t, donde t puede ser diferente de l y cada ac ’ puede no ser igual a la ci correspondiente y así a la derecha. Así que, eso significa en el modelo activo adversarial, tenemos un adversario más poderoso que es más poderoso en comparación con el adversario en el modelo pasivo adversario. (Consulte el Tiempo de Slide: 03:43) Por lo tanto, ahora lo que vamos a ilustrar es que tan pronto como consideremos un modelo adversarial más poderoso, es decir, un adversario activo, cualquiera que sea el esquema de encriptación que habíamos visto hasta ahora, es decir, cualquiera de los candidatos CPA seguros que hemos discutido hasta ahora, todos ellos pueden ser rotos en la presencia de un adversario activo. Esto no significa que los sistemas de encriptación que hemos discutido sean inseguros, sino que se encuentran en un modelo de contradicción más débil, a saber, un modelo de contradicción pasiva en el que el adversario está restringido sólo a los escuchas. Pero tan pronto como vayamos a un modelo adversarial más poderoso, a saber, con el modelo activo adversarial, nuestro objetivo de esta ilustración es mostrar cómo el adversario activo puede romper el esquema de seguridad de CPA. Así que consideramos un servicio de solicitud de correo electrónico y asumimos que tenemos un servidor de correo cuyo nombre de dominio es mail.com. Y asumimos que cada cabecera de correo electrónico la primera parte de la cabecera de correo electrónico es la identidad del receptor. Eso significa que la cabecera del correo electrónico tendrá el formato “ A ” seguido por el nombre del destinatario en mail.com. Así que será la sintaxis de la cabecera de correo electrónico en esta aplicación. Y suponemos que en esta aplicación, todos los usuarios que están utilizando el servicio de mail.com, tiene un par de claves secretas pre compartidas y secretamente disponibles para el usuario bajo el correspondiente servidor de correo. Así, por ejemplo, Alice tendrá pre set kA, que está disponible para Alice y para el servidor principal y no conocido por nadie más. De la misma manera que asumimos otro usuario del sistema, digamos que Bob tiene una clave secreta kB que se comparte entre el servidor de correo y Bob.Y como que, si tenemos n número de usuarios, asumimos que cada usuario tiene una clave secreta, que se comparte entre ese usuario específico y un servidor de correo. (Consulte Slide Time: 05:50) Así que es el valor que estamos asumiendo aquí y la forma en que funciona esta aplicación es el siguiente. Usted puede imaginar que cualquier correo encriptado que llega al servidor de correo electrónico, el servidor de correo electrónico descifra ese correo electrónico utilizando la clave del usuario correspondiente del que o desde el correspondiente senderfrom del que se viene el email. Y luego una vez que el correo electrónico es descifrado, entonces el servidor de correo electrónico pasa la cabecera de la que aprende el destinatario de ese correo electrónico. Y por lo tanto, el correo electrónico correspondiente se reenvía a ese destinatario en particular. Así que por ejemplo, si Alice está interesada en enviar un correo, diga el mensaje m o un correo m a Bob. Entonces Alice preparará un texto plano donde la primera parte del texto plano será la identidad del destinatario. En este caso, el contenido de u será la representación binaria de la cadena “ A [email protected] ”, seguida de cualquier correo electrónico que desee comunicar a Bob.Así que será el texto sin formato de la Alice si quiere enviar un correo electrónico a Bob. Y lo que Alice va a hacer es que va a cifrar ese correo electrónico utilizando algún proceso de cifrado seguro de CPA. Así que asumimos que estamos utilizando el modo contador de operación de cifrado de bloques o AES para el modo contador de instancia de operación de AES para cifrar el contenido de correo electrónico donde la clave secreta que se utiliza para cifrar el mensaje es la clave kA que se comparte entre Alice y el servidor de correo. Así que será el correo cifrado que Alice comunicará al servidor de correo. Ahora, una vez que el correo electrónico cifrado llega al servidor de correo, el servidor de correo sabe que el correo electrónico viene de Alice y que descifra como por la modalidad de contador de descifrado. Y la clave que se utiliza para el descifrado es la clave que se comparte entre el servidor de correo y Alice, a saber, kA. Y después del descifrado, el servidor de correo recupera el texto plano correspondiente que analiza en la identidad del destinatario seguido por el contenido del correo. Así que en este caso, el servidor de correo encuentra que el destinatario del correo electrónico es Bob, y por lo tanto envía el correo electrónico a Bob. Por lo que estoy suponiendo que el correo se reenvía como está en claro para Bob, pero usted puede imaginar para proporcionar más privacidad, Bob puede cifrar más el correo electrónico m usando la clave kB utilizando cualquier proceso de cifrado seguro CPA, por lo que es la forma en que funciona el sistema. Así que ahora lo que vamos a mostrar en esta ilustración es que, si asumimos que nuestro adversario es un adversario activo.Eso significa que asumimos que tenemos un usuario malicioso en el sistema que está activo, y su nombre es decir Charlie. Así que lo que vamos a ver es que, es posible que un Charlie malicioso redireccione el correo de Alice a Bob, a su buzón sin realmente Alice o el servidor de correo, sabiendo de este hecho, a la derecha. Y estamos asumiendo aquí que Charlie es un adversario activo que significa que no sólo está permitido espiar la comunicación entre Alice y el servidor de correo. Pero puede insertar que es propio texto cifrado, puede reordenar un texto cifrado y así sucesivamente. Así que ya no estamos en el modelo de adversaria pasiva. Y nuestro objetivo es mostrar que de hecho es posible que un Charlie malicioso redireccione un correo de Alice destinado a Bob para realmente ir a la caja de correo electrónico de Charlie, a la derecha. (Consulte el tiempo de la diapositiva: 09:16) Así, básicamente, el sistema de la manera en que se opera es como sigue sólo recordar que Alice ha cifrado un correo electrónico, y el texto cifrado fue c que se comunicó de Alice a Bob. Y ahora lo que hace el malicioso Charlie es, hace lo siguiente. Intercepta el correo electrónico cifrado que va de Alice al servidor de correo electrónico y el objetivo del Charlie ahora es el siguiente. Una vez que intercepta el correo electrónico cifrado, a saber, el texto cifrado c. El objetivo del Charlie es producir un nuevo texto cifrado que denoté por? y enviarlo al servidor de correo. Por lo tanto, ¿que el texto cifrado o el texto cifrado? que ahora se reenvía al servidor de correo electrónico. Cuando se descifra utilizando la modalidad de contador de operacion utilizando la kA clave produce un correo electronico produce un contenido de mensaje donde el contenido de correo electronico sigue siendo el mismo m como enviado por el Alice.Pero la direccion de receptor es decir? en lugar de [email protected],? corresponde a [email protected] ¿Si nuestro atacante malicioso Charlie es capaz de producir este texto cifrado? del texto cifrado c. ¿Entonces cuándo? es descifrado por el servidor de correo, el correo electrónico correspondiente se enviará a la caja de correo electrónico de Charlie en lugar de la caja de correo electrónico de Bob ’ Así que eso es exactamente lo que es el objetivo de Charlie y si Charlie es capaz de hacer eso, el objetivo de Charlie se logra, a la derecha. Por lo tanto, esta característica de producir un texto cifrado relacionado? de un texto cifrado existente. ¿Para que el texto plano subyacente debajo de c y? están relacionados se conoce como la maleabilidad de un cifrado. Y si el texto cifrado, si el proceso de cifrado que estamos utilizando tiene esta propiedad de maleabilidad, entonces de hecho Bob será capaz de lograr con éxito su objetivo. (Consulte el tiempo de la diapositiva: 11 30) Así, vamos a ver si de hecho es posible para Bob lograr su objetivo si estamos utilizando un modo de operación de contador. Así que imagina que el correo electrónico o el mensaje que Alice ha cifrado, que consiste en el bloque de mensaje u y el bloque de correo electrónico real dicen m. Y por simplicidad estoy asumiendo que ambos u, a saber, la identidad del receptor que en este caso es [email protected] mail.com.And en realidad bloque de correo todos ellos se ajusta en 2 bloques consecutivos de la función pseudo aleatoria subyacente que estamos utilizando en el modo contador de operación. Esto es sólo para la simplicidad, pero incluso si no es el caso, podemos suponer que el texto plano u concatenado con m está cifrado según el modo contador de operación. (Consulte el tiempo de la diapositiva: 12 :22) Por lo tanto, la forma en que el modo de contador de la operación habría operado en este texto plano será el siguiente. Alice habría elegido alrededor del valor aleatorio del contador y ese será el bloque de texto ciphertext 0th. Y puesto que en este ejemplo concreto, estamos suponiendo que un texto plano consta de 2 bloques, el texto cifrado constará de 2 bloques, es decir c1 y c2, donde c1 se obtendrá al evaluar primero el PRF de clave subyacente con la clave kA, en la entrada de bloque CTR + 1.Y evaluando el mismo PRF con clave con la clave kA, con la entrada de bloque CTR + 2. Y las salidas resultantes se utilizan como las almohadillas para enmascarar los bloques de mensajes u y m y que le da el correspondiente bloque de texto c1 y c2. Por lo tanto, básicamente lo que significa es que c1 es el XOR del bloque de mensajes u con el valor del PRF por clave en este valor de contador. Y un bloque de texto cifrado es básicamente el XOR del mensaje, contenido de texto plano m con la salida de PRF y en la entrada CTR + 2.Y nuestro malicioso Charlie es consciente de este hecho porque sabe el proceso de cifrado que es utilizado por Alice para producir el texto cifrado c. (Consultar tiempo de diapositiva: 13 :45) Ahora, ¿cuál es el objetivo de Charlie malicioso, su objetivo es básicamente tomar este texto cifrado c que consta de 3 bloques c0, c1 y c2 y producir un texto cifrado relacionado?, satisfaciendo la propiedad que habíamos discutido anteriormente. Así que aquí es como el Charlie malicioso puede preparar el texto cifrado modificado?,? básicamente consiste de 3 bloques de texto cifrado donde el bloque de texto cifrado 0th es el mismo que el bloque 0thciphertext de la ciphertext.Namely original, el valor del contador, que fue utilizado por Alice es retenido como es, y un segundo bloque de texto cifrado, a saber c2 del texto cifrado y el texto cifrado original sigue siendo el mismo. Debido a que el bloque de texto cifrado c2 en realidad es el cifrado del texto plano, que el Charlie malicioso quiere ser reenviado al buzón de Charlie. Así que no quiere meterse con el segundo bloque de texto cifrado en el texto cifrado modificado. Pero si ve el primer bloque de texto cifrado en el texto cifrado modificado se establece en el XOR del primer bloque de texto cifrado del texto cifrado original y el valor de u XORed con?. ¿Y como se puede ver que el valor u, así como? ¿es conocido por el malicioso Charlie, u en este caso es la cadena binaria de cadena correspondiente a [email protected]? es la cadena binaria correspondiente a la cadena [email protected] Y si ve, si hace XOR de c1 con u y? entonces ya que c1 es en realidad un cifrado de u, a saber, es un valor de su PRF con clave en el valor de contador CTR + 1 XORed con u. Y si más XOR con u Formateado: Leftand? , entonces el efecto de u y u se cancela, por lo que en cierto sentido, el primer bloque del texto cifrado modificado corresponde ahora al cifrado de la cadena? bajo el valor de contador CTR + 1 según la modalidad de contador de operación. Y si nuestro malicioso Charlie prepara c así, y lo reenvía al servidor de correo cuando el servidor de correo descifra este texto cifrado modificado pensando que en realidad viene de Alice. El servidor de correo lo descifrará según la modalidad de contador de operación utilizando la tecla Alice. Y después del descifrado aprenderá que se supone que el correo se entregará al buzón de Charlie y que enviará el correo a la bandeja de entrada del Charlie en lugar de la caja de correo electrónico del Bob y ni Alice ni el servidor de correo estarán al tanto de este hecho, a la derecha. (Consulte el Tiempo de Slide: 16 :38) Así que lo que hemos visto aquí es básicamente, un Charlie malicioso o un Charlie activo puede introducir un texto cifrado relacionado explotando la propiedad de maleabilidad de la modalidad de contador de operación. Y puede terminar identificando lo que fue cifrado en el texto cifrado real y esto viola el requisito de privacidad de nuestro proceso de cifrado. Hago hincapié en que esto no significa que el modo contador de operación no es seguro. Es seguro bajo el modelo de ataque CPA donde el adversario sólo se supone que es un cuentagotas y sólo puede emitir el servicio de encripción oracle. Pero ahora, el ataque que habíamos visto aquí es el ataque más poderoso, que no es capturado por el modelo de ataque de la CPA. Es decir, el ataque que habíamos visto en este ejemplo corresponde al hecho de que el adversario tiene control sobre lo que se descifra. Es decir, consigue acceso al servicio de oráculo de descifrado. Debido a que el malicioso Charlie, lo que ha hecho es, su objetivo era identificar lo que está encriptado en c. Y para hacer eso ha preparado un texto cifrado modificado y reenvía ese texto cifrado al receptor, es decir, el servidor de correo, que realmente descifra el texto cifrado modificado ajeno al hecho de que en realidad es un texto cifrado modificado proveniente de un adversario y que ingenuamente descifra el texto cifrado y termina enviando de vuelta el texto plano correspondiente al adversario.Para que pueda imaginar como acceso a un servicio de oráculo de descifrado que no fue el caso en el modelo de ataque de CPA. En el modelo de ataque de CPA, el adversario sólo está restringido a obtener acceso al servicio de oráculo de cifrado. No asumimos que tenga acceso al servicio de oráculo de descifrado. Y el poder que el adversario malicioso está recibiendo al tener acceso al servicio de oráculo de descifrado es que básicamente está explotando la propiedad de maleabilidad de su ciphere.Namely, es objetivo fue identificar lo que está encriptado en c, pero para hacer eso prepara un texto cifrado relacionado, ¿verdad? en este caso. Y averigüe qué es exactamente el texto plano subyacente que está cifrado en?. Y entonces al conocer la relación entre el texto plano que fue cifrado en c, y el texto plano, que está encriptado en?, puede identificar lo que fue realmente encriptado en c.Así, esto le da a un adversario ahora más poder en comparación con un adversario, que es el cuentagotas y en el modelo de ataque de la CPA, a la derecha. Así que, en este ejemplo concreto, hemos mostrado el ataque con respecto a la modalidad de contador de operación. Y lo dejo como un ejercicio para usted que todo el modo seguro CPA de operaciones que habíamos discutido hasta ahora, es decir, el modo OFB, y el modo CBC todos ellos se pueden romper, si vamos al ataque de CCA, si vamos a un modelo de ataque, donde el adversario consigue acceso al servicio de oráculo de descifrado aparte del servicio de oráculo de cifrado. (Consulte Tiempo de Slide: 19 :42) Por lo tanto, la discusión que teníamos hasta ahora motiva ahora que tenemos que modelar el servicio de oráculo de descifrado en el juego de CPA. Y eso lleva a un modelo de ataque más potente o a una noción más poderosa de seguridad a la que nos llamamos seguridad CCA. Y como hemos hecho para el mundo de la CPA donde definimos por primera vez el mensaje único de seguridad de CPA seguido por una seguridad multi messageCPA.Vamos a seguir el mismo ejercicio en el mundo del CCA también. Eso significa que empezaremos con la definición de seguridad de CCA de mensaje único. Y luego procederemos a la definición de multi message CCA seguridad y así sucesivamente. Así que la esencia del mensaje único CCA seguridad es que el objetivo del adversario es distinguir entre un cifrado de m0 frente a un cifrado de m1 donde m0 y m1 han elegido por el propio adversario, incluso si el adversario obtiene acceso a 2 servicios de oracle, a saber, el servicio de oráculo de cifrado, así como el servicio de oráculo de descifrado. De manera más precisa, tenemos un esquema de encriptación públicamente conocido sobre algún espacio de texto público conocido públicamente. Y la nomenclatura del experimento es? ?????, Π??? (n). Estamos en el mundo del CCA, así que es por eso que el superíndice CCA y nosotros tenemos el parámetro de seguridad n. Y el juego se juega entre un adversario y un experimento o un hipotético verificador donde tenemos una fase de entrenamiento de pre-desafío, fase de desafío seguida de una fase de entrenamiento post-desafío y una fase de salida. (Consultar Tiempo de Slide: 21:15) Así que la fase de entrenamiento previo al desafío es similar a la fase de entrenamiento previo al desafío del CPAmodel con algunas modificaciones. Así que ahora el adversario puede obtener acceso al servicio de oráculo de cifrado, así como el servicio de oráculo de descifrado. Esto significa que puede consultar de forma adaptativa el cifrado de cualquier número de mensajes de su elección desde el espacio de texto sin formato, siempre y cuando el número de mensajes esté limitado por alguna función polinómica del parámetro de seguridad. Y para responder a estas consultas de oracle de cifrado, el experimento o el retador ejecuta el algoritmo de generación de claves obtiene la clave que es desconocida para el atacante. Y el experimento o el retador cifra todos los mensajes que se consultan para el servicio de oráculo de cifrado y el texto cifrado correspondiente se devuelve al adversario. Así que a pesar de que en esta imagen he mostrado que el adversario está consultando todos los mensajes en el solo disparo. Pero puede que no sea el caso, el adversario puede presentar sus consultas para el servicio de encripción oracle adaptativamente. Eso significa, que primero puede pedir el cifrado de m1 y en función de la respuesta puede decidir lo que debe ser el m2 que para lo que debe pedir el servicio de cifrado oracle y así sucesivamente. (Consulte el tiempo de la diapositiva: 22 :33) Y no sólo el adversario puede pedir el servicio de oráculo de cifrado, también puede pedir el servicio de oráculo de descifrado. A saber, el adversario ya que conoce la descripción del algoritmo de cifrado, el algoritmo de descifrado, el espacio de texto plano y un espacio de texto cifrado, el adversario conocerá el espacio de texto cifrado. Y por lo tanto puede pedir el descifrado de cualquier número de texto cifrado del espacio de texto cifrado siempre y cuando el número de texto cifrado esté limitado por la función polinómica del parámetro de seguridad. Y para responder a las consultas de oráculo de descifrado, el retador o el experimento tiene que descifrar todo el texto cifrado enviado según el proceso de descifrado del esquema subyacente, utilizando la misma clave desconocida k. De nuevo, el adversario puede enviar sus consultas de oráculo de descifrado de forma adaptable. Eso significa que puede decir, por ejemplo, que primero se le preguntó por el descifrado de un c1y c2 arbitrario. Y luego en base a la respuesta que ve, puede decidir lo que debe ser c3 y así sucesivamente. Además, se permite al adversario solapar sus consultas de oráculo de cifrado y descifrado de consultas oracle en cualquier orden arbitrario. No hay ninguna restricción de que primero debe pedir consultas de oracle de cifrado, enviar sus consultas de oracle de cifrado. Y entonces sólo debe presentar sus consultas de oráculo de descifrado. No hay absolutamente ninguna restricción, puede ir en cualquier orden arbitrario siempre y cuando todo esté polinomialmente acotado. (Consultar Tiempo de Slide: 23 :56) Y una vez que la fase de entrenamiento del pre-desafío ha terminado, el adversario va a la fase de desafío donde escoge un par de mensajes del espacio de texto plano. Pero la restricción de que su longitud debería ser la misma. Aparte de que no hay absolutamente ninguna restricción, el par de reto texto plano que se está sometiendo, podría ser cualquier texto plano para el que podría haber pedido ya el servicio de encripción oracle. Y para responder al desafío texto plano, el experimento selecciona al azar uno de los mensajes con probabilidad 1/2, podría ser m0 o con probabilidad 1/2, podría ser m1. Y una vez que el experimento mb de texto sin formato es decidido por el experimento, el experimento cifra que el desafío de texto plano y el reto cifrado en c * se da al adversario. Y el desafío para que los adversarios identifiquen qué es exactamente encriptado en c *.Ahora, vamos a la fase de entrenamiento post desafío donde de nuevo el adversario puede pedir adaptivamente el cifrado de cualquier mensaje de él es la elección, a la derecha. Incluso puede pedir el cifrado de m0, puede pedir el cifrado de m1 o cualquier texto plano de él es la elección. Y el experimento o el retador responde cifrando los mensajes correspondientes, utilizando de nuevo la misma clave desconocida k. Y no sólo eso, el adversario puede pedir el servicio de oráculo de descifrado, a saber, puede enviar cualquier texto cifrado de su elección. Con la única restricción que el texto cifrado para el que está pidiendo el servicio de oráculo de descifrado, debe ser diferente de c *, a saber, debe ser diferente del desafío cifrado. Porque, si se permite al adversario obtener el servicio de oráculo de descifrado incluso para c * entonces fácilmente puede identificar qué es exactamente cifrado en c * si es m0 o m1.Y no hay manera de que podamos definir cualquiera que podamos dar alguna noción significativa de seguridad. Además, esto modela el derecho de la realidad. Si volvemos al ejemplo que habíamos visto a saber, la aplicación de servicio de correo electrónico, a la derecha. Por lo tanto, el objetivo del adversario o el Charlie malicioso era identificar lo que está encriptado en c sin obtener realmente el servicio de descifrado oracle para c. Porque si el malicioso Charlie puede obtener el servicio de oráculo de descifrado incluso para c. Entonces puede banalmente identificar qué es exactamente el email que Alice quiere comunicar a Bob. La parte interesante allí era que el adversario o el Charlie malicioso se le dio acceso al servicio de oráculo de descifrado para cualquier ciphertext diferente del ciphertext c, que el Charlie está interesado en descifrar. Así que para modelar que, en el juego de CCA, ponemos esta restricción que una vez que el desafío cifrado se da al adversario, el adversario no puede enviar un servicio de descifrado para el desafío cifrado. Aparte de que puede modificar cualquier número de bits de la ciphertext de desafío y esas ciphertextit pueden enviar para el descifrado como una consulta para el servicio de oráculo de descripción. Y el experimento debería responder a esas consultas de oráculo descifrado descifrando todas las cifrasde texto y devolviendo el texto sin formato correspondiente. Y, por último, las salidas del adversario, qué texto plano está exactamente cifrado en el texto cifrado del reto. (Consulte el tiempo de la diapositiva: 27 :10) A saber, la salida es un bit b ’ que podría ser 0 ó 1. Ahora nuestra definición de seguridad de CCA o mensaje único CCAmessage CCA seguridad es que decimos que, este proceso de cifrado conocido públicamente Π es un único mensaje semánticamente seguro en el mundo de CCA o mensaje único CCAsecure, si para cualquier adversario de tiempo polinomio A participar en este juego de CCA, existe una probabilidad insignificante o función insignificante, de tal manera que la probabilidad de que nuestro adversario identifique correctamente el texto plano cifrado en c * es superior acotado por ½ + negl (n), derecha. Así que decimos que si el adversario identifica correctamente el mensaje que está cifrado en c *, entonces la salida del experimento es 1. Eso significa que el adversario ha ganado el experimento de lo contrario decimos que en el experimento adversario ha perdido el experimento.Así, la definición de la seguridad es que el adversario no debe ser capaz de ganar el experimento, a saber, no debe ser capaz de producir b ’ = b excepto con probabilidad 1/2 + negl (n), por qué medio plusinsignificante, porque hay un ataque siempre trivial, a saber, un ataque de adivinación donde el adversario A puede adivinar si es m0 o si es m1 que está encriptado en c *. Y la probabilidad de éxito de este ataque de adivinación es 1/2.Aparte de que estamos dando una ventaja extra insignificante al adversario para identificar lo que está encriptado en c * porque estamos en el mundo computacionalmente seguro.   Y entonces, explotando la relación entre el texto plano en el texto cifrado modificado y en el texto cifrado original, puede identificar lo que exactamente fue encriptado en el desafío cifrado. (Consultar Tiempo de Slide: 33 :38) Y hemos visto concretamente que esto sucede cuando hemos visto el modo contador de operación que se utiliza en el contexto de la aplicación de servicio de correo electrónico, a la derecha. Así que esto demuestra claramente o básicamente podemos demostrar formalmente que si su proceso de cifrado es maleable, correcto, entonces nunca puede ser CCA seguro debido a este hecho fundamental, a la derecha. Así que ahora nuestro objetivo será si estamos interesados en diseñar un proceso de cifrado seguro de CCA. Tenemos que asegurarnos de que cómo tenemos que hacer o tenemos que asegurarnos de que el cifrado seguro de CPA se modifique de tal manera que el servicio de descifrado de oracle sea inútil para el atacante. Y lo que quise decir por inútil en este contexto es si hay un adversario malicioso que intenta modificar un texto cifrado y tratar de obtener el servicio de oráculo de descifrado para eso, que no debería ser posible para el adversario, es decir, cualquier modificación del texto cifrado debe ser detectada por el remitente o por el receptor. Y tan pronto como sea detectado, el receptor puede simplemente rechazar esos textos de cifrado modificados. Si de alguna manera podemos asegurar esto, entonces lo que básicamente esto asegurará es que el servicio de oráculo de descifrado que el adversario estaba recibiendo se volverá inútil para el adversario. Y de ahí que desde el mundo del CCA volvamos al mundo de la CPA, a la derecha. Así que es un enfoque genérico que vamos a seguir para diseñar el esquema de cifrado seguro de CCA, a saber, vamos a tomar cualquier esquema de seguridad de CPA existente. Y encima de eso, haremos modificaciones, de modo que el servicio de oráculo de descifrado se vuelve inútil para el adversario. Tal bAl asegurar que cualquier modificación de un texto cifrado que ha sido comunicado por un remitente legítimo y enviado al receptor. B pero bloqueado por un adversario malicioso y cambiado en ruta al receptor, es detectado por el receptor. Así que, ese será nuestro enfoque genérico, en la próxima conferencia, veremos cómo exactamente vamos a hacer esas modificaciones, así que eso me lleva al final de esta conferencia. Para resumir, en esta conferencia hemos introducido la noción de adversario malicioso o adversario activo, que es una noción más poderosa de adversario. Donde el adversario no sólo está autorizado a espiar la comunicación entre el remitente y un receptor. Pero al adversario se le permite modificar el texto cifrado, se le permite insertar nuevo texto cifrado, reordenar el texto cifrado y así sucesivamente. Y no sólo eso, también asumimos que a ese adversario se le da acceso al servicio de oráculo de descifrado. También hemos hablado de cómo se puede romper un proceso de cifrado seguro de CPA candidato, es decir, el modo contador de operación, si lo llevamos al mundo seguro de CCA, gracias.