Loading
Nota de Estudos
Study Reminders
Support
Text Version

Adversário passivo e Ativo

Set your study reminders

We will email you at these times to remind you to study.
  • Monday

    -

    7am

    +

    Tuesday

    -

    7am

    +

    Wednesday

    -

    7am

    +

    Thursday

    -

    7am

    +

    Friday

    -

    7am

    +

    Saturday

    -

    7am

    +

    Sunday

    -

    7am

    +

Fundamentos de CryptographyProf. Dr. Ashish Choudhury (Ex-) Infosys Foundation Career Development Cátedra Instituto de Informação Technology-BangaloreLecture-21From Passive to Active AdversaryHello todos, bem-vindos à palestra 20, so apenas uma breve recapitula. (Consulte o Tempo do slide: 00 :34) Até agora temos discutido sobre criptografia de chave simétrica na presença de um adversário passivo ou de um eavesdropper que pode apenas eavesbaixar a comunicação acontecendo entre o remetente e um receptor. Mas a partir de agora consideraremos um adversário mais poderoso, ou seja, um adversário ativo. E veremos o que exatamente são os efeitos nocivos da presença de um adversário ativo.Mais especificamente, o roteiro para esta palestra é o seguinte, introduziremos adversário ativo e discutiremos as diferenças entre um modelo de adversário passivo e um modelo ativo de adversário. E também introduziremos a noção de segurança CCA. E discutiremos como exatamente abordar projetar esquemas seguros CCA a partir de um esquema seguro da CPA. (Consulte o Tempo do slide: 01 :20) Então, vamos iniciar nossa discussão discutindo as diferenças entre o modelo contraditório passivo e o modelo contraditório ativo. Assim, no modelo passivo adversarial, o cenário é o thefollowing temos um remetente e um receptor com uma chave compartilhada acordada por algum mecanismo mágico. E dizer que remetente tem uma sequência de mensagens que ele criptografou usando algum algoritmo de criptografia que é publicamente conhecido e um texto cifrado são comunicados sobre um canal publicamente conhecido. Onde um adversário pode se eavescair e ler o texto cifrado direito. Assim, no modelo de adversário passivo, o adversário só pode ler o conteúdo do texto cifrado. E o adversário não tem qualquer poder para alterar os conteúdos cifrados, para reordená-los, para inserir novo texto cifrado de sua semeadura, para deletar algum texto cifrado etc. Isso significa que a única capacidade do adversário no modelo contraditório passivo é a capacidade de leitura.Considerando que se vamos para o modelo de contraditório ativo, e o cenário é o mesmo com relação ao remetente e ao receptor. A saber, a chave pré-compartilhada é acordada entre o remetente e o receptor. O Sender tem uma sequência de mensagens criptografadas por algum processo de criptografia. E agora supomos que temos um adversário poderoso que está ativo. E o que exatamente eu quero dizer por adversário ativo é que ele não só pode ler o texto cifrado comunicado pelo remetente. Mas o adversário tem permissão para alterar o conteúdo do texto cifrado. Ele pode inserir novo texto cifrado próprio, ou pode reordenar a sequência de texto cifrado como o enviado pelo remetente. Por isso, é por isso que o número de texto cifrado está aqui e o texto cifrado que na realidade são comunicados pelo remetente, são denotados por c1 a cl. Considerando que o texto cifrado ou as cordas de bits que realmente são recebidos pelo receptor são denotados por c ’ 1, c ’ 2, assim, c ’ t, em que t poderia ser diferente de l e cada ci ’ pode não ser igual ao ci correspondente e assim por diante. Então, isso significa no modelo de contraditório ativo, temos um adversário mais poderoso que é mais poderoso comparado com o adversário no modelo contraditório passivo. (Consulte o Slide Time: 03 :43) Então, agora o que vamos ilustrar é que assim que considerarmos um modelo contraditório mais poderoso, a saber, um adversário ativo, sejam quais forem os esquemas de criptografia que tínhamos visto até agora ou seja, sejam quais forem os candidatos a esquemas seguros de CPA que tenhamos discutido até agora, todos eles podem ser quebrados na presença de um adversário ativo. Isso não quer dizer que os esquemas de criptografia que discutimos são inseguros. Eles estão seguros em um modelo contraditório mais fraco, a saber, um modelo contraditório passivo onde o adversário se restringe apenas a eavesqueda. Mas assim que vamos a um modelo contraditório mais poderoso a saber, com modelo contraditório ativo, nosso objetivo desta ilustração é mostrar como o adversário anativo pode quebrar o esquema seguro da CPA. Por isso, consideramos um serviço de requisição por e-mail e assumimos que temos um servidor de e-mail cujo nome de domínio é mail.com. E assumimos que cada cabeçalho de e-mail a primeira parte do cabeçalho do e-mail é a identidade do receptor. Isso significa que o cabeçalho do e-mail terá o formato “ To ” seguido do nome do destinatário em mail.com. Assim, será a sintaxe do cabeçalho do e-mail neste aplicativo. E assumimos que neste aplicativo, todos os usuários que estão usando o serviço de mail.com, ele possui um par de chave secreta pré-compartilhada e secretamente disponível para o usuário sob correspondente servidor de e-mail. Por isso, por exemplo, Alice terá o pré set kA, que está disponível para Alice e para o servidor principal e não conhecido por mais ninguém. Da mesma forma assumimos outro usuário do sistema, digamos que Bob tem um kB de chave secreta que é compartilhado entre o servidor de e-mail e Bob.E assim, se temos n número de usuários, assumimos que cada usuário tem uma chave secreta, que é compartilhada entre aquele usuário específico e um servidor de e-mail. (Consulte o Tempo do slide: 05 :50) Então, é a configuração que estamos assumindo aqui e a forma como este aplicativo funciona é a seguinte. Você pode imaginar que qualquer mensagem criptografada que venha para o servidor de e-mail, o servidor de e-mail decriptografa esse e-mail usando a chave do usuário correspondente a partir da qual ou do remetente correspondente qual o e-mail está por vir. E então uma vez que o e-mail é decriptografado, então o servidor de e-mail passa o cabeçalho a partir do qual ele aprende o destinatário daquele e-mail. E daí, o e-mail correspondente é encaminhado para aquele destinatário específico. Por isso, por exemplo, se Alice está interessada em enviar um e-mail, diga mensagem m ou um correio m para Bob. Em seguida, Alice preparará um texto simples onde a primeira parte do texto simples será a identidade do destinatário. Neste caso, o conteúdo de u será a representação binária da string “ Para [email protected] ”, seguida de quaisquer e-mails que ela quiser comunicar a Bob.Então que será o texto simples da Alice se ela quiser enviar um email para Bob. E o que a Alice vai fazer é que vai criptografar esse e-mail usando algum processo de criptografia segura do CPA. Por isso, supomos que estamos usando o modo contador de operação da cifra de blocos ou AES para o modo contador de instância de operação da AES para criptografar o conteúdo de e-mail onde a chave secreta que é usada para criptografar a mensagem é a kA chave que é compartilhada entre Alice e o servidor de e-mail. Então, será a correspondência criptografada que Alice comunicará ao servidor de e-mail. Agora uma vez que o e-mail criptografado chega ao servidor de e-mail, o servidor de e-mail sabe que o e-mail está vindo de Alice e ele decriptografa conforme o modo de contador de decriptografia. E a chave que é utilizada para a decriptografia é a chave que é partilhada entre o servidor de correio e Alice, nomeadamente o kA. E após a decriptografia, o servidor de correio recupera o texto simples correspondente que analisa na identidade do destinatário seguido do conteúdo do correio. Assim, neste caso, o servidor de e-mail descobre que o destinatário do e-mail é Bob, e daí ele encaminha o e-mail para Bob. Por isso, estou assumindo que o correio é encaminhado como está em claro para Bob mas você pode imaginar para fornecer mais privacidade, Bob pode criptografar ainda mais o e-mail m usando o kB chave usando qualquer processo de criptografia segura do CPA, então é assim que o sistema funciona. Então agora o que vamos mostrar nesta ilustração é que, se assumirmos que o nosso adversário é um adversário ativo.Isso significa que supomos que temos um usuário mal-intencionado no sistema que está ativo, e seu nome é dizer Charlie. Então o que vamos ver é que, é possível que um Charlie malicioso redirecione o correio de Alice para Bob, para sua caixa de correio sem realmente Alice ou o servidor de correio, sabendo desse fato, certo. E estamos assumindo aqui que Charlie é um adversário ativo que significa que não é permitido apenas eavescair a comunicação entre Alice e o servidor de e-mail. Mas pode inserida ela é próprio texto cifrado, pode reordenar um texto cifrado e assim por diante. Portanto, não estamos mais no modelo contraditório passivo. E nosso objetivo é mostrar que de fato é possível um Charlie malicioso redirecionar um correio de Alice destinado a Bob para realmente ir para a caixa de email do Charlie, certo. (Consulte o Tempo do slide: 09 :16) Então, basicamente, o modo como o sistema é operado é o seguinte apenas lembre-se de que Alice criptografou um e-mail, e o texto cifrado foi c que foi comunicado de Alice a Bob. E agora o que o Charlie malicioso faz é, faz o seguinte. Ele intercepta o e-mail criptografado que está indo de Alice para o servidor de e-mail e o objetivo do Charlie agora é o seguinte. Uma vez que intercepta o e-mail criptografado, a saber, o texto cifrado c. O objetivo do Charlie é produzir um novo texto cifrado que eu denote por? e encaminá-lo para o servidor de e-mail. Então, que o texto cifrado modificado ou o para o texto cifrado? que agora é encaminhado para o servidor de e-mail. Quando decriptografado usando o modo de contador de operação usando o kA chave produz um email produz um conteúdo de mensagem onde o conteúdo de email permanece o mesmo a saber m como enviado pelo Alice.Mas o endereço destinatário a saber? em vez de [email protected],? corresponde a [email protected] Se o nosso atacante malicioso Charlie é capaz de produzir este texto cifrado? a partir do texto cifrado c. Então quando? for decriptografado pelo servidor de e-mail, o e-mail correspondente m será encaminhado para a caixa de email de Charlie em vez de Bob ’ s caixa de email. Então, é isso que exatamente é o objetivo de Charlie e se Charlie é capaz de fazer isso, o objetivo do Charlie é alcançado, certo. Então, essa característica de produzir um texto cifrado relacionado? a partir de um texto cifrado existente. De modo que o texto simples subjacente por baixo de c e? são relacionados é conhecida como maleabilidade de uma cifra. E se o texto cifrado, se o processo de criptografia que estamos usando tiver essa propriedade de maleabilidade, então realmente Bob será capaz de atingir com sucesso seu objetivo. (Consulte o Slide Time: 11 :30) Então, vamos ver se de fato é possível que Bob alcance seu objetivo se estamos usando um modo de contração de operação. Então imagine que o e-mail ou a mensagem que Alice tenha criptografado, ela consiste no bloco de mensagens u e no bloco de email real dizer m. E pela simplicidade estou assumindo que ambos u, a saber, a identidade do receptor que neste caso é o [email protected] mail.com.E na verdade bloco de correspondência todos eles se encaixam em 2 blocos consecutivos da função pseudo aleatória subjacente que estamos usando no modo de contração da operação. Isso é apenas pela simplicidade mas mesmo que isso não seja o caso, podemos supor que o texto simples u concatenado com m é criptografado conforme o modo contador de operação. (Consulte o tempo de deslizamento: 12 :22) Então, a forma como o modo de contador de operação teria operado neste texto simples será o seguinte. Alice teria captado em torno de valor aleatório do balcão e que será o 0º bloco cifrado. E já que neste particular, estamos assumindo que um texto simples consiste em 2 blocos, o texto cifrado consistirá de 2 blocos, a saber, c1 e c2, em que c1 será obtido por primeiro avaliando a PRF chaveada subjacente com o kA chave, na entrada do bloco CTR + 1. E avaliando a mesma PRF chaveada com o kA chave, com a entrada de bloco CTR + 2. E as saídas resultantes são usadas como os pads para mascarar os blocos de mensagens u e m e que lhe dá o bloco cifrado correspondente c1 e c2. Então, basicamente o que significa é que c1 é o XOR do bloco de mensagens u com o valor da PRF chaveada neste valor do contador. E um bloco de texto cifrado é basicamente o XOR da mensagem, conteúdo de texto simples m com a saída da PRF e na entrada CTR + 2. E o nosso malicioso Charlie está ciente desse fato porque sabe o processo de criptografia que é usado por Alice para produzir o texto cifrado c. (Consulte o Tempo do slide: 13 :45) Agora qual é o objetivo de Charlie malicioso, seu objetivo é basicamente levar este texto cifrado c composto por 3 blocos c0, c1 e c2 e produzir um texto cifrado relacionado?, satisfazendo a propriedade que tínhamos discutido anteriormente. Então aqui está como o malicioso Charlie pode preparar o texto cifrado modificado?,? basicamente consiste em 3 bloco de texto cifrado onde o 0º bloco cifrado é o mesmo que o bloco 0thciphertext do ciphertext.Namely original, o valor do contador, que foi usado por Alice é retido como ele é, e um segundo bloco cifrado de texto, a saber, c2 do texto cifrado e cifrado original permanece o mesmo. Porque o bloco de texto cifrado c2 na verdade é a criptografia do texto simples, que o malicioso Charlie quer ser encaminhado para a caixa postal de Charlie. Por isso, não quer bagunçar o segundo bloco cifrado no texto cifrado modificado. Mas se você vir o primeiro bloco cifrado no texto cifrado modificado é definido para o XOR do primeiro bloco cifrado do texto cifrado original e o valor de u XORed com?. E como você pode ver que o valor u tão bem quanto? são conhecidas do malicioso Charlie, u neste caso é a cadeia binária string correspondente a [email protected]? é a cadeia binária correspondente à string [email protected] E se você ver, se você faz XOR de c1 com u e? então já que o c1 é realmente uma criptografia de u, a saber, é um valor da sua PRF chaveada no valor contador CTR + 1 XORed com u. E se você mais XOR com u Formatted: Leftand? , então o efeito de u e u cancela fora, então em certo sentido, o primeiro bloco do cifrado modificado agora realmente corresponde à criptografia da sequência? sob o valor contador CTR + 1 conforme o modo de contador de operação. E se o nosso malicioso Charlie prepara c como este, e encaminhá-lo para o servidor de correio quando o servidor de correio decriptografar este texto cifrado modificado achando que ele está realmente vindo de Alice. O servidor de e-mail irá descriptografá-lo conforme o modo de contador de operação usando chave Alice. E depois de decriptografar aprenderá que o correio deve ser entregue à caixa postal de Charlie e ele encaminhará o correio para a caixa de entrada do Charlie em vez da caixa de e-mail do Bob e nem o Alice nem o servidor de e-mail estarão cientes deste fato, certo. (Consulte o Tempo do slide: 16 :38) Então o que temos visto aqui é basicamente, um Charlie malicioso ou um Charlie ativo pode introduzir um texto cifrado relacionado explorando a propriedade de maleabilidade do modo de operação do contador. E pode acabar identificando o que foi criptografado no texto cifrado real e isso viola o requisito de privacidade do nosso processo de criptografia. Ressalto que isso não significa que o modo de operação do contador não seja seguro. Ele é seguro sob o modelo de ataque CPA onde o adversário só é assumido como um eavesdropper e ele só pode emitir serviço de oracle de criptografia. Mas agora, o ataque que tínhamos visto aqui é o ataque mais poderoso, que não é capturado pelo modelo de ataque da CPA. A saber, o ataque que tínhamos visto neste exemplo corresponde ao fato de que adversário tem controle sobre o que é decriptografado. A saber, ele obtém acesso ao serviço de oráculo de descriptografia. Porque o Charlie malicioso, o que ele tem feito é, seu objetivo era identificar o que é criptografado em c. E para fazer que preparou um texto cifrado modificado e encaminha aquele texto cifrado para o receptor a saber, o servidor de correio, que de fato decripa o texto cifrado modificado esquecendo do fato de que na verdade é um texto cifrado modificado vindo de um adversário e ele ingenuamente decripa o texto cifrado e acaba enviando de volta o texto simples correspondente para o adversário.De modo que você possa imaginar como acesso a um serviço de oracle de descriptografia que não foi o caso no modelo de ataque CPA. No adversário do modelo de ataque da CPA fica restrito apenas a obtenção de acesso ao serviço de oracle de criptografia. Não assumimos que tenha acesso ao serviço de oracle de decriptografia. E o poder que o adversário malicioso está conseguindo ao ter acesso ao serviço de oráculo de descriptografia é que ele está basicamente explorando a propriedade de maleabilidade de sua cifração subjacente .Namely, ele é objetivo era identificar o que é criptografado em c, mas para fazer que ele prepara um texto cifrado relacionado, direito a saber? neste caso. E descubra o que é exatamente o texto simples subjacente que está criptografado?. E então ao saber a relação entre o texto simples que foi criptografado em c, e o texto simples, que é criptografado em?, ele pode identificar o que foi realmente criptografado em c.So, isso dá um adversário agora mais poder comparado a um adversário, que é eavesdropper e no modelo de ataque CPA, certo. Por isso, neste exemplo específico, mostramos o ataque com respeito ao modo de contração da operação. E deixo como um exercício para você que todo o CPA modo seguro de operações que tínhamos discutido até agora, a saber, o modo OFB, e o modo CBC todos eles podem ser quebrados, se vamos para o ataque CCA, se vamos a um modelo de ataque CCA, onde o adversário obtém acesso ao serviço de oracle de descriptografia além do serviço de oracle de criptografia. (Consulte o tempo de slide: 19 :42) Então, a discussão que tivemos até agora motiva agora que temos que modelar o serviço de oracle de decriptografia no jogo CPA. E isso leva a um modelo de ataque mais poderoso ou uma noção mais poderosa de segurança que chamamos de segurança CCA. E como fizemos para o mundo CPA onde definimos pela primeira vez a mensagem única de segurança CPA seguida por uma segurança multi-messageCPA.Nós vamos seguir o mesmo exercício também no mundo CCA. Isso significa que começaremos com a definição de segurança CCA de mensagem única. E então seguiremos para a definição de segurança CCA multi-mensagem e assim por diante. Por isso, a essência da segurança da CCA de mensagem única é que o objetivo do adversário ’ é distinguir entre uma criptografia de m0 versus uma criptografia de m1 onde m0 e m1 escolheram pelo próprio adversário, mesmo que o adversário obtenha acesso a 2 serviços oracle, a saber, o serviço de oracle de criptografia, bem como o serviço oracle de descriptografia. Por isso, mais precisamente, temos um esquema de criptografia publicamente conhecido sobre algum espaço público à paisana conhecido. E a nomenclatura do experimento é? ?????, Π??? (n). Estamos no mundo CCA, então é por isso que o superscript CCA e nós temos o parâmetro de segurança n. E o jogo é jogado entre um adversário e um experimento ou um verificador hipotético onde temos uma fase de treinamento de pré-desafio, fase de desafio seguida de uma fase de treinamento de pós desafio e uma fase de saída. (Consulte o Tempo do slide: 21 :15) Assim, a fase de treinamento de pré-desafio é semelhante à fase de treinamento de pré-desafio do CPAmodelo com algumas modificações. Então agora o adversário pode obter acesso ao serviço de oracle de criptografia assim como serviço oracle de decriptografia. Isso significa que pode se consultar adaptivamente para a criptografia de qualquer número de mensagens de sua escolha a partir do espaço de texto simples desde que o número de mensagens seja delimitado por alguma função polinomial do parâmetro de segurança. E para responder a essas consultas de oracle de criptografia, o experimento ou o desafiador executa o algoritmo de geração de chaves obtém a chave que é desconhecida do invasor. E experiente ou o desafiante criptografa todas as mensagens que são consultadas para o serviço de oracle de criptografia e o texto cifrado correspondente são enviados de volta para o adversário. Por isso, mesmo que nesta foto mostrei que adversário está consultando todas as mensagens no único tiro. Mas esse pode não ser o caso, adversário pode submeter suas consultas para o serviço de oracle de criptografia adaptivamente. Isso significa, ele pode primeiro pedir a criptografia de m1 e com base na resposta ele pode decidir o que deve ser o m2 que para o qual deve pedir o serviço de oracle de criptografia e assim por diante. (Consulte o Tempo do slide: 22 :33) E não só o adversário pode pedir o serviço de oracle de criptografia, ele também pode pedir o serviço de oracle de descriptografia. A saber, o adversário já que sabe a descrição do algoritmo de criptografia, algoritmo de decriptografia, espaço de texto simples e um espaço cifrado, adversário conhecerá o espaço cifrado. E daí pode pedir a decriptografia de qualquer número de texto cifrado do espaço cifrado enquanto o número de texto cifrado for superior delimitado por função polinomial do parâmetro de segurança. E para responder às consultas de oracle de descriptografia, o desafiante ou o experimento tem que decriptografar todo o texto cifrado conforme o processo de descriptografia do esquema subjacente, utilizando a mesma chave desconhecida k. Novamente, o adversário pode enviar suas consultas de oracle de decriptografia adaptivamente. Isso significa que pode dizer por exemplo, questionado primeiro pela decriptografia de um c1and arbitrário c2. E então com base na resposta que ela vê, pode decidir o que deve ser c3 e assim por diante. Além disso, o adversário tem permissão para sobrepor suas consultas de oráculo de criptografia e descriptografar consultas oracle em qualquer ordem arbitrária. Não há restrição de que ele deva primeiro pedir consultas de oracle de criptografia, enviar suas consultas de oracle de criptografia. E então só ele deve submeter suas consultas de decriptografia oracle. Não há absolutamente nenhuma restrição, ela pode ir em qualquer ordem arbitrária desde que tudo seja polinomialmente delimitado. (Consulte o Tempo do slide: 23 :56) E uma vez que a fase de treinamento do pré-desafio acabou, o adversário vai para a fase de desafio em que ele escolhe um par de mensagens do espaço de texto simples. Mas a restrição de que seu comprimento deveria ser o mesmo. Fora que não há absolutamente nenhuma restrição, o par de impugnação de impugnação que ele está submetendo, poderia ser qualquer texto simples para o qual ele poderia já ter solicitado o serviço de oracle de criptografia. E para responder ao texto simples de impugnação, o experimento seleciona aleatoriamente uma das mensagens com probabilidade 1/2, pode ser m0 ou com probabilidade 1/2, pode ser m1. E uma vez que o desafio plaintexto mb é decidido pelo experimento, o experimento criptografa que desafie o texto à plaina e o texto cifrado a c * é dado ao adversário. E o desafio para os adversários identificam o que exatamente é criptografado em c *.Agora, vamos para a fase de treinamento de pós desafio onde novamente o adversário pode pedir, adaptativamente, a criptografia de qualquer mensagem da mesma é escolha, certo. Ele pode até pedir a criptografia de m0, ele pode pedir a criptografia de m1 ou qualquer texto à plaina dela é escolha. E o experimento ou o desafiante responde criptografando as mensagens correspondentes, novamente usando a mesma chave desconhecida k. E não só isso, o adversário pode pedir o serviço de oráculo de descriptografia, a saber, pode enviar qualquer texto cifrado de sua escolha. Com a única restrição de que o texto cifrado para o qual se pede o serviço de oráculo de decriptografia, ele deve ser diferente de c *, a saber, deve ser diferente do texto do desafio cifrado. Pois, se o adversário for autorizado a obter o serviço de oracle de decriptografia mesmo para c * então facilmente ele pode identificar o que exatamente é criptografado em c * se ele é m0 ou m1.E não há como definir qualquer um que possamos dar qualquer noção significativa de segurança. Também, isso modela o direito de realidade. Se voltemos ao exemplo que tínhamos visto a saber, o pedido de serviço de e-mail, certo. Então, o objetivo do adversário ou do mal-intencionado Charlie foi identificar o que é criptografado em c sem realmente obter o serviço de oracle de decriptografia para c. Porque se o mal-intencionado Charlie conseguir o serviço de oráculo de decriptografia até mesmo para c. Então pode trivialmente identificar o que exatamente é o e-mail que Alice quer comunicar a Bob. A parte interessante ali era que o adversário ou o malicioso Charlie recebeu acesso ao serviço de oráculo de decriptografia para qualquer texto cifrado diferente do texto cifrado c, que o Charlie está interessado em descriptografar. Assim, para modelar que, no jogo CCA, colocamos essa restrição que uma vez que o texto da impugnação é dado ao adversário, o adversário não pode submeter um serviço decryptionoracle para o texto do desafio cifrado. Além disso ele pode modificar qualquer número de bits do texto da cifração do desafio e aquelas cifrastextit podem se submeter para descriptografia como alguma consulta para o serviço de oracle de descrição. E o experimento deve responder de volta a essas consultas de oráculo de decriptografia decriptografando todas aquelas cifras cifradas e retornando novamente o texto à plaina correspondente. E, finalmente, as saídas adversas, o que o plaintexto é exatamente criptografado no texto do desafio. (Consulte o tempo de deslizamento: 27 :10) a saber: ele supera um bit b ’ que poderia ser 0 ou 1. Agora nossa definição de segurança CCA ou CCAmessage single message CCA segurança é que dizemos que, este processo de criptografia conhecido publicamente Π é mensagem única semanticamente segura no mundo CCA ou única mensagem CCAsegura, se para qualquer momento polinomial adversário A participando deste jogo CCA, existe uma probabilidade insignificante ou insignificante, tal que a probabilidade de nosso adversário identificar corretamente o texto à plaina criptografado em c * é superior delimitado por ½ + negl (n), certo. Por isso, dizemos que se adversário identificar corretamente a mensagem que é criptografada em c *, então a saída do experimento é 1. Isso significa que adversário ganhou o experimento senão dizemos que no experimento adversário perdeu o experimentos.Então, a definição da segurança é que adversário não deve ser capaz de vencer o experimento a saber, não deve ser capaz de saída b ’ = b exceto com probabilidade 1/2 + negl (n), por que há um ataque sempre trivial, ou seja, um ataque de adivinhação em que o adversário A pode adivinhar se é m0 ou se é m1 que é criptografado em c *. E a probabilidade de sucesso desse ataque de adivinhação é de 1/2.Apart a partir disso estamos dando uma vantagem insignificante extra ao adversário para identificar o que é criptografado em c * porque estamos no mundo computacionalmente seguro.   E então, ao explorar a relação entre o texto demandado no texto cifrado modificado e no texto cifrado original, ele pode identificar o que exatamente foi criptografado na cifração do desafio. (Consulte o Tempo do slide: 33 :38) E tivemos concretamente visto que isso acontece quando temos visto o modo de contador de operação sendo usado no contexto do aplicativo de serviço de e-mail, certo. Então isso claramente prova ou basicamente podemos provar formalmente que se o seu processo de criptografia for maleável, certo, então ele nunca poderá ser CCA seguro por causa desse fato fundamental, certo. Por isso, agora nosso objetivo será se estamos todos interessados em projetar um processo de criptografia segura do CCA. Temos que garantir que como temos que fazer ou temos que garantir que a cifra segura da CPA seja modificada de tal forma que o serviço de decriptografia oracle tipo de se torne inútil para o atacante. E o que eu quis dizer por inútil neste contexto é se houver um adversário malicioso que tente modificar um texto cifrado e tentar obter o serviço de oráculo de descriptografia para isso, isso não deve ser possível para o adversário a saber, qualquer modificação do texto cifrado deve ser detectada tanto pelo remetente ou pelo receptor. E assim que ele for detectado, o receptor pode simplesmente rejeitar aqueles textos cifrados modificados. Se conseguimos, de alguma forma, garantir isso, então o que basicamente isso garantirá é que o serviço de decriptografia oracle que o adversário estava recebendo se tornará inútil para o adversário. E daí a partir do mundo CCA nós vamos voltar para o mundo CPA, certo. Então, essa é uma abordagem genérica que vamos seguir para projetar esquema de criptografia segura do CCA, a saber, vamos levar qualquer esquema seguro de CPA existente. E, em cima disso, faremos modificações, para que o serviço de oracle de descriptografia torne-se inútil para o adversário. Tal bAo assegurar que qualquer modificação de um texto cifrado que tenha sido comunicado por um remetente legítimo e encaminhado ao receptor. B mas bloqueado por um adversário mal-intencionado e alterado de rota para o receptor, obtém-se detectado pelo receptor. Então, essa será a nossa abordagem genérica, na próxima palestra, veremos como exatamente vamos fazer essas modificações, então isso me leva ao final desta palestra. Para resumir, nesta palestra introduzimos a noção de adversário malicioso ou adversário ativo, que é uma noção mais poderosa de adversário. Onde adversário não é permitido apenas eavescair a comunicação entre o remetente e um receptor. Mas o adversário tem permissão para modificar o texto cifrado, é permitido inserir novo texto cifrado, reordenar cifração e assim por diante. E não só isso, também assumimos que aquele adversário recebe acesso ao serviço de oracle de descriptografia. Discutimos também que como um processo de criptografia seguro candidato a CPA, a saber, o modo de contador de operação pode ser quebrado, se nós levarmos para o mundo seguro CCA, obrigado.