โอ้เจ้าจะเริ่มจากตรงไหนดี
กล่องใหญ่เป็นกล่องดำแน่นอน นักวิจัย Crypto สร้างความยุ่งยากเกี่ยวกับสิ่งต่าง ๆ เช่นปัญหาที่ไม่สามารถควบคุมได้ของโมเดล Oracle แบบสุ่ม นักวิจัยด้านความปลอดภัยอยู่ที่สุดโต่งและต้องการให้ทุกอย่างใช้งานได้เหมือนกล่องดำไม่ใช่แค่แฮชฟังก์ชัน นี่คือแหล่งที่มาของความตึงเครียดอย่างต่อเนื่อง
หากต้องการดูการวิเคราะห์อย่างเป็นทางการของโปรโตคอลความปลอดภัยตัวอย่างเช่นตรรกะลอจิกคุณจะเห็นว่าการเข้ารหัสแบบสมมาตรนั้นถือว่าเป็น "รหัสบล็อกในอุดมคติ" มีความแตกต่างที่ลึกซึ้งที่นี่ - ตรรกะตรรกะ (และเทคนิคการวิเคราะห์โปรโตคอลอื่น ๆ ) ไม่ได้อ้างว่าเป็นหลักฐานพิสูจน์ความปลอดภัย ค่อนข้างเป็นเทคนิคในการค้นหาข้อบกพร่อง ดังนั้นจึงไม่เป็นความจริงอย่างเด็ดขาดว่ารูปแบบการเข้ารหัสในอุดมคติมีส่วนเกี่ยวข้องที่นี่ อย่างไรก็ตามมันเป็นความจริงเชิงประจักษ์ที่การวิเคราะห์ความปลอดภัยส่วนใหญ่มีแนวโน้มที่จะถูก จำกัด ให้อยู่ในรูปแบบที่เป็นทางการดังนั้นผลจะเหมือนกัน
เรายังไม่ได้พูดถึงผู้ฝึกหัดเลย โดยทั่วไปแล้วคนพวกนี้ไม่มีเงื่อนงำว่าการเข้ารหัสแบบดั้งเดิมไม่ได้มีจุดประสงค์เพื่อเป็นกล่องดำและฉันสงสัยว่านี่จะเปลี่ยนไป - ทศวรรษของการพยายามเอาชนะสิ่งนี้ในหัวของพวกเขาไม่ได้สร้างความแตกต่าง
หากต้องการดูว่าปัญหานั้นเลวร้ายเพียงใดให้พิจารณาคำแนะนำด้านความปลอดภัยนี้ที่เกี่ยวข้องกับการปลอมแปลง API ข้อผิดพลาดส่วนหนึ่งเกิดจากการโจมตีระยะยาวในการก่อสร้าง Merkle-Damgard (ซึ่งเป็นสิ่งที่พื้นฐานจริงๆ) และมีผลต่อ Flickr, DivShare, iContact, Mindmeister, Myxer, RememberTheMilk, Scribd, Vimeo, Voxel, Wizehhive และ Zoomr ผู้เขียนทราบว่านี่ไม่ใช่รายการที่สมบูรณ์
ฉันคิดว่าผู้ปฏิบัติงานสมควรได้รับส่วนแบ่งของความผิดสำหรับสถานการณ์ที่น่าเศร้านี้ ในทางกลับกันนักทฤษฎี crypto อาจจำเป็นต้องพิจารณาตำแหน่งของพวกเขาด้วยเช่นกัน สายของพวกเขาถูก: "กล่องดำเป็นไปไม่ได้ที่จะสร้าง; เราจะไม่ลองด้วยซ้ำ" ที่ฉันพูดเนื่องจากเป็นที่ชัดเจนว่าสิ่งปลูกสร้างของคุณจะได้รับ (mis) ใช้เป็นกล่องดำอยู่แล้วทำไมอย่างน้อยก็ไม่ลองทำให้มันใกล้เคียงกับกล่องดำมากที่สุด
บทความMerkle-Damgard Revisitedเป็นตัวอย่างที่ดีของสิ่งที่ฉันกำลังพูดถึง พวกเขาศึกษาแนวคิดเกี่ยวกับความปลอดภัยว่า "ฟังก์ชันแฮชความยาวตามอำเภอใจ H จะต้องทำตัวเป็นออราเคิลแบบสุ่มเมื่อการสร้างบล็อกแบบความยาวคงที่นั้นถูกมองว่าเป็นการสุ่มแบบออราเคิล การวิจัยเชิงทฤษฎีประเภทนี้มีศักยภาพที่จะเป็นประโยชน์อย่างมากในทางปฏิบัติ
ทีนี้มาดูตัวอย่างของการประเมินวงจร ฉันขอไม่เห็นด้วยกับเหตุผลของคุณ ไม่ใช่ว่าคุณจะเอาไบนารี่ที่คอมไพล์แล้วสุ่มสี่สุ่มห้าให้เป็นวงจร แต่คุณจะใช้การประเมินวงจรกับฟังก์ชั่นการเปรียบเทียบซึ่งโดยทั่วไปจะค่อนข้างง่าย Fairplayเป็นการใช้งานการประเมินวงจร เพื่อนร่วมงานของฉันที่ทำงานกับมันบอกฉันว่ามันเร็วอย่างน่าประหลาดใจ ในขณะที่มันเป็นความจริงที่ประสิทธิภาพเป็นปัญหากับการประเมินวงจร (และฉันรู้กรณีอินสแตนซ์โลกที่มันถูกปฏิเสธด้วยเหตุผลนี้) มันอยู่ไกลจาก showstopper
เหตุผลที่สองที่ฉันไม่เห็นด้วยกับคุณก็คือถ้าคุณคิดถึงสถานการณ์ทั่วไปที่คุณอาจต้องการทำการประเมินวงจรที่หลงลืมตัวอย่างเช่นเมื่อทั้งสอง บริษัท กำลังพิจารณาว่าจะรวมหรือไม่ - ต้นทุนการคำนวณ มีส่วนเกี่ยวข้องเล็กน้อยเมื่อเทียบกับความพยายามและงบประมาณโดยรวมของมนุษย์
เหตุใดจึงไม่มีใครใช้การประเมินฟังก์ชั่นความปลอดภัยทั่วไปในทางปฏิบัติ เป็นคำถามที่ดีมาก สิ่งนี้นำฉันไปสู่ความแตกต่างที่สองของฉันระหว่างทฤษฎีและการปฏิบัติ: เชื่อมั่นในการปฏิบัติจริง ๆ ไม่ใช่ทุกสิ่งที่จะต้องทำในแบบจำลองหวาดระแวง ชุดของปัญหาที่ผู้คนต้องการแก้ไขโดยใช้ crypto นั้นจริง ๆ แล้วเล็กกว่าสิ่งที่ cryptographers จินตนาการ
ฉันรู้จักใครบางคนที่เริ่มต้น บริษัท พยายามขายบริการการคำนวณแบบหลายส่วนที่ปลอดภัยให้กับลูกค้าองค์กร คาดเดาสิ่งที่ - ไม่มีใครต้องการมัน วิธีที่พวกเขาเข้าถึงปัญหาเหล่านี้คือการเซ็นสัญญาระบุสิ่งที่คุณสามารถทำได้และไม่สามารถทำได้กับข้อมูลและคุณจะทำลายข้อมูลหลังจากที่คุณใช้เพื่อจุดประสงค์ ส่วนใหญ่แล้วมันใช้งานได้ดี
จุดแตกต่างสุดท้ายของฉันระหว่างทฤษฎีและการปฏิบัติคือเกี่ยวกับ PKI เอกสาร Crypto ติดประโยคหนึ่งบ่อยครั้งว่า "เราถือว่าเป็น PKI" น่าเสียดายที่ใบรับรองดิจิทัลสำหรับผู้ใช้ปลายทาง (ตรงข้ามกับเว็บไซต์หรือพนักงานในบริบทขององค์กรซึ่งมีลำดับชั้นตามธรรมชาติ) ไม่เคยปรากฏ บทความคลาสสิคนี้อธิบายถึงความฮือฮาที่เกิดขึ้นเมื่อคุณขอให้คนทั่วไปใช้ PGP ฉันบอกแล้วว่าซอฟต์แวร์นั้นพัฒนาขึ้นมากมายตั้งแต่นั้นมา แต่ปัญหาด้านการออกแบบและสถาปัตยกรรมและข้อ จำกัด ของมนุษย์ในปัจจุบันไม่ได้แตกต่างกันมากนัก
ฉันไม่คิดว่า cryptographers ควรทำอะไรที่แตกต่างไปจากการขาด PKI ในโลกแห่งความเป็นจริงนี้ยกเว้นที่จะตระหนักถึงความจริงที่ว่ามัน จำกัด การบังคับใช้โปรโตคอลเข้ารหัสลับในโลกแห่งความเป็นจริง ฉันขว้างมันเข้าไปเพราะมันเป็นสิ่งที่ฉันพยายามจะแก้ไข