Loading
Notes d'étude
Study Reminders
Support
Text Version

Adversaire passif et actif

Set your study reminders

We will email you at these times to remind you to study.
  • Monday

    -

    7am

    +

    Tuesday

    -

    7am

    +

    Wednesday

    -

    7am

    +

    Thursday

    -

    7am

    +

    Friday

    -

    7am

    +

    Saturday

    -

    7am

    +

    Sunday

    -

    7am

    +

Fondations de CryptographyProf. Dr. Ashish Choudhury (Former) Infosys Foundation Career Development Chair ProfessorInternational Institute of Information Technology-BangaloreLecture-21From Passive to Active AdversaryHello everyone, welcome to lecture 20, so just a brief recap. (Voir diapositive Time: 00 :34) Till now we have discussion about symétrique key cryptography in the presence of a passive adversary or an eavesdropper who can just eavesdrop the communication happening between the expéditeur and a receiver. Mais à partir de maintenant, nous envisagerons un adversaire plus puissant, à savoir un adversaire actif. Et nous verrons ce que sont exactement les effets néfastes de la présence d'un adversaire actif.Plus précisément, la feuille de route pour cette conférence est la suivante: nous présenterons un adversaire actif et nous discuterons des différences entre un modèle d'adversaire passif et un modèle d'adversaire actif. Et nous introduisons également la notion de sécurité du CCA. Et nous discuterons de la façon exacte d'aborder la conception des régimes de sécurité du CCA à partir d'un régime de sécurité de l'ACP. (Référez-vous à la diapositive: 01 :20) Nous allons donc commencer notre discussion en discutant des différences entre le modèle passif passif et le modèle de confrontation actif. Donc, dans le modèle de l'adversaire passif, le scénario est le suivant nous avons un émetteur et un récepteur avec une clé partagée acceptée par un mécanisme magique. Et dire que l'expéditeur a une séquence de messages qu'il a cryptés à l'aide d'un algorithme de chiffrement qui est connu publiquement et qu'un texte chiffré est communiqué sur un canal connu du public. Donc, dans le modèle de l'adversaire passif, l'adversaire ne peut lire que le contenu du texte chiffré. Et l'adversaire n'a pas le pouvoir de changer le contenu du texte chiffré, de les réorganiser, d'insérer un nouveau texte chiffré de itssown, de supprimer un texte chiffré, etc. Cela signifie que la seule capacité de l'adversaire dans le modèle accusatoire passif est la capacité de lecture.Si nous allons au modèle de l'adversaire actif, et que le scénario est le même à l'égard de l'expéditeur et du récepteur. La clé pré-partagée est convenue entre l'expéditeur et le destinataire. Sender a une séquence de messages cryptés par un processus de cryptage. Et maintenant, nous partons du principe que nous avons un adversaire puissant qui est actif. Et ce que je veux dire par un adversaire actif, c'est qu'il ne peut pas seulement lire le texte de chiffrement communiqué par l'expéditeur, mais l'adversaire est autorisé à changer le contenu du texte chiffré. Il peut insérer un nouveau texte chiffré, ou il peut réorganiser la séquence de texte comme étant celle envoyée par l'expéditeur. C'est pourquoi le nombre de codes de chiffrement est ici et le texte chiffré qui est effectivement communiqué par l'expéditeur, il est noté par c1 à cl. Alors que le texte ou les chaînes de bits qui sont effectivement reçus par le récepteur sont indiqués par c ’ 1, c ’ 2, comme cela, c ’ t, où t peut être différent de l et de chaque ci ’ peut ne pas être égal aux ci correspondants et ainsi de droite. Donc, c'est-à-dire dans le modèle de confrontation active, nous avons un adversaire plus puissant qui est plus puissant que l'adversaire dans le modèle de l'adversaire passif. (Référez-vous à la diapositive: 03 :43) Donc, maintenant, ce que nous allons illustrer, c'est que dès que nous envisagerons un modèle accusatoire plus puissant, à savoir un adversaire actif, quels que soient les systèmes de cryptage que nous avons vus jusqu'à présent, quels que soient les projets que nous avons examinés jusqu'à présent par l'ACP, tous peuvent être brisés en présence d'un adversaire actif. Cela ne signifie pas que les systèmes de cryptage dont nous avons parlé ne sont pas sûrs, ils sont sûrs dans un modèle de confrontation plus faible, c'est-à-dire un modèle de confrontation passive où l'adversaire n'est limité qu'à l'écoute. Mais dès que nous allons à un modèle accusatoire plus puissant, à savoir avec un modèle antagoniste actif, notre objectif de cette illustration est de montrer comment un adversaire actif peut briser le système sécurisé de l'ACP. Nous considérons donc un service de messagerie électronique et nous supposons que nous avons un serveur de messagerie dont le nom de domaine est mail.com. Et nous supposons que chaque en-tête de courriel de la première partie de l'en-tête de courriel est l'identité du récepteur. Cela signifie que l'en-tête de courrier électronique aura le format “ To ” suivi du nom du destinataire à l'adresse mail.com. Il s'agit donc de la syntaxe de l'en-tête de l'e-mail dans cette application. Et nous supposons que dans cette application, tous les utilisateurs qui utilisent le service de mail.com, il a une paire de clé secrète pré-partagée et secrètement disponible pour l'utilisateur sous le serveur de messagerie correspondant. Ainsi, par exemple, Alice aura préconfiguré kA, qui est disponible pour Alice et pour le serveur principal et qui n'est connu de personne d'autre. De la même façon que nous supposons un autre utilisateur du système, disons que Bob a une clé secrète kB qui est partagée entre le serveur de messagerie et Bob.Et comme ça, si nous avons n nombre d'utilisateurs, nous supposons que chaque utilisateur a une clé secrète, qui est partagée entre cet utilisateur spécifique et un serveur de messagerie. (Voir Diapositive Heure: 05 :50) Donc c'est le paramètre que nous présumons ici et la façon dont cette application fonctionne comme suit. Vous pouvez imaginer que tout courrier chiffré qui vient sur le serveur de messagerie, le serveur de messagerie déchiffre ce courrier électronique à l'aide de la clé de l'utilisateur correspondant à partir duquel ou à partir de la senderfrom correspondante à partir de laquelle le courrier électronique est en train de venir. Ensuite, une fois que le courrier électronique est déchiffré, le serveur de messagerie transmet l'en-tête à partir duquel il apprend le destinataire de ce courrier électronique. Par conséquent, le courrier électronique correspondant est envoyé à ce destinataire particulier. Ainsi, par exemple, si Alice est intéressée à envoyer un mail, par exemple un message m ou un mail à Bob. Ensuite, Alice préparera un texte en clair où la première partie du texte ordinaire sera l'identité du destinataire. Dans ce cas, le contenu de u sera la représentation binaire de la chaîne “ à [email protected] ”, suivie de tous les courriels qu'elle veut communiquer à Bob.Donc, ce sera le texte ordinaire de la Alice si elle veut envoyer un courriel à Bob. Et ce qu'Alice va faire, c'est de chiffrer cet e-mail en utilisant un processus de cryptage sécurisé CPA. Nous supposons donc que nous utilisons le mode de compteur de fonctionnement du chiffrement par bloc ou AES pour le mode de compteur de fonctionnement d'AES pour chiffrer le contenu de courrier électronique où la clé secrète utilisée pour chiffrer le message est la clé kA qui est partagée entre Alice et le serveur de messagerie. Une fois que l'e-mail chiffré est envoyé au serveur de messagerie, le serveur de messagerie sait que le courrier électronique provient d'Alice et qu'il est déchiffré selon le mode de déchiffrement. Et la clé qui est utilisée pour le décryptage est la clé partagée entre le serveur de messagerie et Alice, à savoir kA. Et après le déchiffrement, le serveur de messagerie récupère le texte normal correspondant qu'il analyse à l'identité du destinataire suivi du contenu du courrier. Dans ce cas, le serveur de messagerie constate que le destinataire de l'e-mail est Bob, et donc transmet le courrier électronique à Bob. Donc je suppose que le courrier est envoyé car il est clair pour Bob mais vous pouvez imaginer fournir plus de confidentialité, Bob peut encore chiffrer le courriel à l'aide de la clé kB à l'aide de n'importe quel processus de cryptage sécurisé de l'ACP, donc c'est ainsi que le système fonctionne. Donc maintenant ce que nous allons montrer dans cette illustration, c'est que, si nous supposons que notre adversaire est un adversaire actif.Cela signifie que nous supposons que nous avons un utilisateur malveillant dans le système qui est actif, et son nom est dit Charlie. Donc ce que nous allons voir c'est que, c'est possible pour un malveillant Charlie de rediriger le courrier d'Alice vers Bob, vers sa boîte aux lettres sans Alice ou le serveur de messagerie, connaissant ce fait, pas vrai. Et nous supposons ici que Charlie est un adversaire actif, ce qui signifie qu'il n'est pas seulement autorisé à écouter la communication entre Alice et le serveur de messagerie, mais qu'il peut l'insérer lui-même, il peut réorganiser un texte chiffré et ainsi de suite. Nous ne sommes donc plus dans le modèle passif passif. Et notre but est de montrer qu'il est en effet possible pour un Charlie malveillant de rediriger un courrier d'Alice destiné à Bob pour aller à la boîte de courriel de Charlie, à droite. (Référez-vous à la diapositive: 09 :16) Donc, en gros, le mode de fonctionnement du système est comme suit: il suffit de rappeler qu'Alice a crypté un courriel, et que le texte était c qui a été communiqué d'Alice à Bob. Et maintenant ce que fait le malveillant Charlie, c'est ce qui suit. Il intercepte l'e-mail crypté qui va d'Alice au serveur de messagerie et l'objectif de Charlie maintenant est le suivant. Une fois qu'il intercepte l'email crypté, à savoir le texte chiffré c. L'objectif du Charlie est de produire un nouveau chiffon dont je dénote? Et envoyez-le au serveur de messagerie. Donc, que le texte chiffré ou le texte chiffré? Qui est maintenant transmis au serveur de messagerie. Lorsqu'il est déchiffré à l'aide du mode de compteur d'opération à l'aide de la clé kA, un message électronique produit un contenu de message lorsque le contenu du courrier électronique reste le même, à savoir m que celui envoyé par la Alice.Mais l'adresse du destinataire est la suivante: Au lieu de [email protected],? Si [email protected] attaquant malveillant Charlie est capable de produire ce texte chiffré? à partir du texte chiffré c. Alors quand? Est déchiffré par le serveur de messagerie, le courriel correspondant sera envoyé à la boîte de courriel de Charlie à la place de la boîte de courriel de Bob ’. C'est donc ce qui est exactement le but de Charlie et si Charlie est capable de le faire, l'objectif de Charlie est atteint, c'est vrai. Donc, cette fonctionnalité de production d'un texte chiffré? à partir d'un texte de chiffrement existant. Donc, le texte sous-jacent sous c et? Sont liés est connu sous le nom de malléabilité d'un chiffrement. Et si le texte chiffré, si le processus de cryptage que nous utilisons possède cette propriété de malleabilité, alors Bob sera en mesure d'atteindre son objectif. (Référez-vous à la diapositive: 11 h 30) Donc, voyons s'il est effectivement possible pour Bob d'atteindre son objectif si nous utilisons un mode de fonctionnement contre le compteur. Alors imaginez que le courriel ou le message qu'Alice a chiffré, il se compose du bloc de messages u et du bloc de messagerie réel par exemple m. Et pour plus de simplicité, je suppose que les deux u, à savoir l'identité du récepteur qui, dans ce cas, est [email protected] mail.com.Et en fait le bloc postal s'insère dans 2 blocs consécutifs de la fonction pseudo-aléatoire sous-jacente que nous utilisons dans le mode de compteur de fonctionnement. C'est juste pour la simplicité, mais même si ce n'est pas le cas, on peut supposer que le texte en clair u concaténé avec m est chiffré selon le mode de compteur de fonctionnement. (Voir Heure de la diapositive: 12 :22) Donc, la façon dont le mode de fonctionnement du compteur aurait fonctionné sur ce texte simple sera comme suit. Alice aurait choisi la valeur aléatoire du compteur et ce sera le 0e bloc de texte de chiffrement. Et puisque dans cet exemple particulier, nous supposons qu'un texte en clair se compose de 2 blocs, le texte de chiffrement sera composé de 2 blocs, à savoir c1 et c2, où c1 sera obtenu en évaluant d'abord le PRF clé sous-jacent avec la clé kA, à l'entrée de bloc CTR + 1.Et en évaluant le même PRF avec la clé kA, avec l'entrée de bloc CTR + 2. Et les sorties résultantes sont utilisées comme tapis pour masquer les blocs de message u et m et qui vous donne le bloc de texte correspondant c1 et c2. Donc, en gros ce que cela signifie, c'est que c1 est la XOR du bloc de message u avec la valeur de la clé PRF à cette contre-valeur. Et un bloc de texte est essentiellement le XOR du message, contenu en texte clair m avec la sortie PRF et à l'entrée CTR + 2.Et notre malveillant Charlie est conscient de ce fait parce qu'il connaît le processus de cryptage utilisé par Alice pour produire le texte de chiffrement c. (Voir la diapositive: 13 :45) Maintenant, quel est le but de malicieux Charlie, son but est de prendre ce texte de chiffrement c composé de 3 blocs c0, c1 et c2 et de produire un texte chiffré?, satisfaisant la propriété dont nous avions discuté précédemment. Alors voici comment le malveillant Charlie peut préparer le texte modifié?,? se compose essentiellement de 3 blocs de texte où le bloc de texte de chiffrement est le même que le bloc 0thciphertext du code de chiffrement d'origine. La valeur du compteur, qui a été utilisée par Alice est conservée telle quelle, et un deuxième bloc de chiffrement, à savoir c2 du texte chiffré et du texte chiffré d'origine reste le même. Parce que le bloc de texte c2 est en fait le chiffrement du texte en clair, que le malveillant Charlie veut être envoyé à la boîte aux lettres de Charlie. Il ne veut donc pas s'en tenir au second bloc de chiffrement dans le texte chiffré modifié. Mais si vous voyez le premier bloc de texte chiffré dans le texte chiffré, est défini sur la XOR du premier bloc de texte chiffré du texte chiffré d'origine et la valeur de u XORed?. Et comme vous pouvez voir que la valeur u aussi bien que? Sont connus du malveillant Charlie, u dans ce cas est la chaîne de chaîne binaire correspondant à [email protected]? Est la chaîne binaire correspondant à la chaîne [email protected] Et si vous voyez, si vous faites XOR de c1 avec u et? Alors puisque c1 est en fait un chiffrement de u, c'est-à-dire qu'il s'agit d'une valeur de votre PRF indexé à la valeur de compteur CTR + 1 XORed avec u. Et si vous avez plus de XOR avec u Formatted: Leftand? , alors l'effet de u et u annule, donc dans un sens, le premier bloc du texte modifié correspond maintenant en fait au chiffrement de la chaîne? Sous la valeur de compteur CTR + 1 selon le mode de compteur de fonctionnement. Et si notre malveillant Charlie se prépare comme ça, et l'acheminons vers le serveur de messagerie lorsque le serveur de messagerie décrypte ce texte modifié en pensant qu'il vient d'Alice. Le serveur de messagerie le déchiffrera selon le mode de fonctionnement du compteur à l'aide de la touche Alice. Et après le décryptage, il apprenne que le courrier est censé être livré à la boîte aux lettres de Charlie et il transmettra le courrier à la boîte de réception de Charlie au lieu de la boîte de courrier électronique de Bob et ni Alice ni le serveur de messagerie ne seront au courant de ce fait. (Voir Diapositive Heure: 16 :38) Donc ce que nous avons vu ici est en gros, un Charlie malveillant ou un Charlie actif peut introduire un code de chiffrement associé en exploitant la propriété de malleability du mode de compteur de fonctionnement. Et cela peut finir par identifier ce qui a été crypté dans le texte chiffré réel et cela viole l'exigence de confidentialité de notre processus de cryptage. J'insiste sur le fait que cela ne signifie pas que le mode de fonctionnement du compteur n'est pas sécurisé. Il est sécurisé dans le cadre du modèle d'attaque CPA où l'adversaire est supposé être un écouteur seulement et il ne peut émettre que le service d'oracle de chiffrement. Mais maintenant, l'attaque que nous avons vue ici est la plus puissante attaque, qui n'est pas saisie par le modèle d'attaque de l'ACP. En effet, l'attaque que nous avons vue dans cet exemple correspond au fait que l'adversaire contrôle ce qui est déchiffré. À savoir, il a accès au service d'oracle de décryptage. Parce que le malveillant Charlie, ce qu'il a fait est, son but était d'identifier ce qui est crypté en c. Et pour faire cela, elle a préparé un texte chiffré modifié et transmet ce texte au récepteur, à savoir le serveur de messagerie, qui décrypte en fait le texte chiffré modifié du fait qu'il s'agit en fait d'un texte de chiffrement modifié provenant d'un adversaire et qu'il déchiffre naïvement le texte chiffré et qu'il renvoie le texte en clair correspondant à l'adversaire.Vous pouvez donc imaginer comme un accès à un service d'oracle de décryptage qui n'était pas le cas dans le modèle d'attaque CPA. Dans le modèle d'attaque CPA, l'adversaire n'est limité qu'à l'accès au service d'oracle de chiffrement. Nous ne supposons pas qu'il a accès au service d'oracle de décryptage. Et le pouvoir que l'adversaire malveillant reçoit en ayant accès au service d'oracle de décryptage est qu'il exploite fondamentalement la propriété de malleabilité de votre code de chiffrement sous-jacent. Il a pour objectif d'identifier ce qui est chiffré dans c, mais de faire qu'il prépare un texte chiffré, à savoir? Dans ce cas. Et trouvez ce qu'est exactement le texte sous-jacent qui est crypté dans?. Et ensuite, en connaissant la relation entre le texte en clair qui a été crypté dans c, et le texte en clair, qui est chiffré dans?, il peut identifier ce qui était en fait crypté dans c.Donc, cela donne à un adversaire maintenant plus de pouvoir par rapport à un adversaire, qui est écoute et dans le modèle d'attaque CPA, non. Ainsi, dans cet exemple précis, nous avons montré l'attaque par rapport au mode de fonctionnement du compteur. Et je le laisse comme un exercice pour vous que tout le mode de fonctionnement sécurisé de CPA que nous avons discuté jusqu'à présent, à savoir le mode OFB, et le mode CBC, tous peuvent être cassés, si nous allons à l'attaque de la CCA, si nous allons à un modèle d'attaque, où l'adversaire a accès au service d'oracle de décryptage, à l'exception du service d'oracle de chiffrement. (Référez-vous à la diapositive: 19 :42) Donc, la discussion que nous avions jusqu'ici motive maintenant que nous devons modéliser le service d'oracle de décryptage dans le jeu CPA. Et cela mène à un modèle d'attaque plus puissant ou à une notion plus puissante de sécurité que nous appelons la sécurité de la CCA. Et comme nous l'avons fait pour le monde CPA où nous avons d'abord défini le message unique de sécurité CPA suivi d'une sécurité multi-messageCPA.Nous allons suivre le même exercice dans le monde du CCA. Cela signifie que nous commenterons par la définition de la sécurité de la DPA à un seul message. Ensuite, nous allons passer à la définition de la sécurité multimessage de la CCA et ainsi de suite. L'essence même de la sécurité de message unique est que l'objectif de l'adversaire est de faire la distinction entre un chiffrement de m0 et un chiffrement de m1 où m0 et m1 ont choisi par l'adversaire lui-même, même si l'adversaire a accès à 2 services d'oracle, à savoir le service d'oracle de cryptage ainsi que le service d'oracle de décryptage. Plus précisément, nous disposons d'un système de cryptage public sur certains espaces en texte public. Et la nomenclature de l'expérience est? ?????, Π??? N). Nous sommes dans le monde de la CCA, c'est pourquoi le plus superscript CCA et nous avons le paramètre de sécurité n. Et le jeu est joué entre un adversaire et une expérience ou un vérificateur hypothétique où nous avons une phase de formation pré-challenge, une phase de challenge suivie d'une phase de formation post-challenge et une phase de sortie. (Voir Diapositive Heure: 21 :15) La phase de formation pré-challenge est donc similaire à la phase de formation pré-challenge du modèle CPAmodel avec quelques modifications. Donc maintenant, l'adversaire peut avoir accès au service d'oracle de chiffrement ainsi qu'au service d'oracle de décryptage. Cela signifie qu'il peut demander le chiffrement d'un nombre quelconque de messages de son choix à partir de l'espace de texte en clair tant que le nombre de messages est limité par une fonction polynomiale du paramètre de sécurité. Et pour répondre à ces requêtes d'oracle de chiffrement, l'expérimentation ou le challenger exécute l'algorithme de génération de clé obtient la clé qui est inconnue de l'agresseur. Et l'expérimentation ou le challenger chiffre tous les messages qui sont interrogés pour le service d'oracle de chiffrement et le texte de chiffrement correspondant est renvoyé à l'adversaire. Donc, même si dans cette photo, j'ai montré que l'adversaire s'interroge pour tous les messages en un seul coup, mais ce n'est peut-être pas le cas, l'adversaire peut soumettre ses requêtes pour le service d'oracle de cryptage. Cela signifie qu'il peut d'abord demander le chiffrement de m1 et en fonction de la réponse, il peut décider de ce qui devrait être le m2 pour lequel il devrait demander le service d'oracle de cryptage et ainsi de suite. (Référez-vous à la diapositive: 22 :33) Et non seulement l'adversaire peut demander le service d'oracle de chiffrement, il peut également demander le service d'oracle de décryptage. A savoir l'adversaire puisqu'il connaît la description de l'algorithme de chiffrement, de l'algorithme de déchiffrement, de l'espace de texte en clair et d'un espace de chiffrement, l'adversaire connaît l'espace de chiffrement. Et donc il peut demander le décryptage de tout nombre de textes de chiffrement à partir de l'espace de chiffrement tant que le nombre de texte chiffré est délimité par la fonction polynomiale du paramètre de sécurité. Et pour répondre aux requêtes d'oracle de déchiffrement, le challenger ou l'expérience doit déchiffrer tout le texte de chiffrement soumis selon le processus de déchiffrement du schéma sous-jacent, en utilisant la même clé inconnue k. Encore une fois, l'adversaire peut soumettre ses requêtes d'oracle de décryptage de manière adaptative. Cela signifie qu'il peut dire, par exemple, demandé en premier pour le décryptage d'un c1and c2 arbitraire. Et ensuite, sur la base de la réponse qu'il voit, il peut décider de ce qui devrait être c3 et ainsi de suite. De plus, l'adversaire est autorisé à chevaucher ses requêtes d'oracle de chiffrement et les requêtes d'oracle de déchiffrement dans n'importe quel ordre arbitraire. Il n'y a aucune restriction qu'il doit d'abord demander des requêtes d'oracle de chiffrement, soumettre ses requêtes d'oracle de chiffrement. Et puis seulement il doit soumettre ses requêtes d'oracle de décryptage. Il n'y a absolument aucune restriction, il peut aller dans n'importe quel ordre arbitraire aussi longtemps que tout est polynomialement délimité. (Référez-vous à la diapositive: 23 :56) Et une fois la phase de formation au défi terminée, l'adversaire va à la phase de remise en question où il choisit une paire de messages à partir de l'espace de texte en clair. Mais la restriction que leur longueur devrait être la même. En dehors de ce qu'il n'y a absolument aucune restriction, la paire de contestation en clair qu'elle soumet, il pourrait s'agir de n'importe quel texte pour lequel elle aurait déjà demandé le service d'oracle de cryptage. Et pour répondre au texte en clair, l'expérience sélectionne au hasard un des messages avec la probabilité 1/2, elle pourrait être m0 ou avec la probabilité 1/2, elle pourrait être m1. Et une fois que le challenge en clair mb est décidé par l'expérience, l'expérience chiffre le texte en clair et le texte de défi à c * est donné à l'adversaire. Et le défi pour les adversaires d'identifier ce qui est exactement chiffré en c *.Maintenant, nous allons à la phase de formation post-remise en question où une fois de plus l'adversaire peut demander le cryptage de tous les messages de ce choix, c'est le bon choix. Il peut même demander le chiffrement de m0, il peut demander le chiffrement de m1 ou tout texte en clair est le choix. Et l'expérience ou le challenger répond en cryptant les messages correspondants, en utilisant à nouveau la même clé inconnue k. Et non seulement cela, l'adversaire peut demander le service d'oracle de décryptage, à savoir qu'il peut soumettre n'importe quel texte chiffré de son choix. Avec la seule restriction que le texte de chiffrement pour lequel il demande le service d'oracle de déchiffrement, il devrait être différent de c *, c'est-à-dire qu'il devrait être différent du texte de défier le texte. Parce que, si l'adversaire est autorisé à obtenir le service d'oracle de décryptage même pour c *, il peut facilement identifier ce qui est exactement chiffré dans c * s'il est m0 ou m1.Et il n'y a aucun moyen de définir ce que nous pouvons donner à une notion significative de sécurité. De plus, cela modéle la réalité. Si nous revenons à l'exemple que nous avions vu, c'est-à-dire la demande de service de courriel, non. Donc, l'objectif de l'adversaire ou du malveillant Charlie était d'identifier ce qui est crypté en c sans obtenir le service d'oracle de décryptage pour c. Parce que si le malveillant Charlie peut obtenir le service d'oracle de décryptage même pour c. Alors il peut trivialement identifier ce qu'est exactement le courriel qu'Alice veut communiquer à Bob. La partie intéressante est que l'adversaire ou le malveillant Charlie a eu accès au service d'oracle de décryptage pour n'importe quel texte de chiffrement différent du texte chiffré c, que le Charlie est intéressé à décrypter. Donc pour modéliser que, dans le jeu CCA, nous mettons cette restriction qu'une fois le texte de chiffrement remis à l'adversaire, l'adversaire ne peut pas soumettre un service de déchiffrement pour le texte de chiffrement du défi. En dehors de cela, il peut modifier n'importe quel nombre de bits du texte de chiffrement et les ciphertextit peuvent soumettre pour le décryptage comme une requête pour le service d'oracle de description. Et l'expérience devrait répondre à ces requêtes d'oracle de décryptage en déchiffant tous ces codes de chiffrement et en renvoyant le texte en clair correspondant. Et finalement, les sorties de l'adversaire, ce que le texte en clair est exactement chiffré dans le texte chiffré de défi. (Référez-vous à la diapositive: 27 :10) Il s'agit d'un bit de b ’ qui pourrait être 0 ou 1. Maintenant notre définition de la sécurité CCA ou CCAmessage single message CCA security is that we say that, this publiquement encryption process Π is single message semantically secure in the CCA world or single message CCAsecure, if for any polynomial time adversary A participating in this CCA game, there exist a négligeables probabilité or négligeables function, such that the probabilité of our adversaire correct identifier the plaintext chiffré in c * is upper bounded by ½ ; + negl (n), right. Nous disons donc que si l'adversaire identifie correctement le message qui est crypté en c *, alors la sortie de l'expérience est 1. Cela signifie que l'adversaire a gagné l'expérience autrement nous disons que dans l'expérience l'adversaire a perdu l'expérimentaire.Donc, la définition de la sécurité est que l'adversaire ne devrait pas être capable de gagner l'expérience, à savoir, il ne devrait pas être capable de générer b ’ = b sauf avec la probabilité 1/2 + negl (n), pourquoi moitié plusnégligeable, parce qu'il y a toujours une attaque triviale, à savoir une attaque de devinette où l'adversaire A peut deviner si elle est m0 ou si elle est m1 qui est chiffrée en c *. Et la probabilité de réussite de cette attaque de deviner est 1/2.Outre que nous donnons un avantage supplémentaire négligeable à l'adversaire pour identifier ce qui est crypté dans c * parce que nous sommes dans le monde de sécurité informatique. Et puis, en exploitant la relation entre le texte en clair dans le texte chiffré et dans le texte chiffré d'origine, il peut identifier ce qui a été crypté dans le texte chiffré. (Voir la diapositive: 33 :38) Et nous avons vu concrètement que cela se produit lorsque nous avons vu le mode de compteur d'opération utilisé dans le contexte de l'application de service de messagerie, de droite. Cela prouve clairement ou fondamentalement que nous pouvons prouver formellement que si votre processus de cryptage est malléable, c'est vrai, alors il ne peut jamais être protégé par la CCA en raison de ce fait fondamental, pas vrai. Alors maintenant, notre objectif sera si nous sommes tous intéressés à concevoir un processus de cryptage sécurisé de la CCA. Nous devons nous assurer que nous devons faire ou que nous devons nous assurer que le chiffrement sécurisé de l'ACP est modifié de manière à ce que le service d'oracle de décryptage devienne inutile pour l'agresseur. Et ce que je voulais dire par inutile dans ce contexte, c'est s'il y a un adversaire malveillant qui essaie de modifier un texte chiffré et d'essayer d'obtenir le service d'oracle de décryptage pour cela, ce qui ne devrait pas être possible pour l'adversaire, c'est-à-dire que toute modification du texte de chiffrement doit être détectée par l'expéditeur ou par le destinataire. Si nous pouvons d'une manière ou d'une autre nous assurer ceci, alors ce que cela fera en gros, c'est que le service d'oracle de décryptage que l'adversaire a obtenu deviendra inutile pour l'adversaire. Et donc du monde de la CCA, nous retournerons au monde de l'ACP, non. C'est donc une approche générique que nous allons suivre pour concevoir un système de cryptage sécurisé de la CCA, c'est-à-dire que nous prendrons tous les systèmes de sécurité existants de l'ACP et, en plus de cela, nous allons apporter des modifications, afin que le service d'oracle de décryptage devienne inutile pour l'adversaire. Ce système permet de s'assurer que toute modification d'un texte de chiffrement qui a été communiquée par un expéditeur légitime et transmise au destinataire. B mais bloqué par un adversaire malveillant et modifié en route vers le récepteur, est détecté par le récepteur. Donc, ce sera notre approche générique, lors de la prochaine conférence, nous verrons comment nous allons apporter ces modifications, donc cela m'amène à la fin de cette conférence. En résumé, dans cette conférence, nous avons introduit la notion d'adversaire malveillant ou d'adversaire actif, ce qui est une notion plus puissante de l'adversaire. Lorsque l'adversaire n'est pas seulement autorisé à écouter la communication entre l'expéditeur et un récepteur. Mais l'adversaire est autorisé à modifier le texte chiffré, il est autorisé à insérer de nouveaux chiffrements, à réorganiser le texte chiffré et ainsi de suite, et non seulement cela, nous avons aussi supposé que cet adversaire a accès au service d'oracle de décryptage. Nous avons également discuté de la façon dont un processus de chiffrement sécurisé du candidat CPA, à savoir le mode de fonctionnement du compteur, peut être brisé, si nous le prenons pour le monde sécurisé de la CCA, merci.