Score:26

มีโปรโตคอลที่มีชื่อเสียงใดบ้างที่ได้รับการพิสูจน์ว่าปลอดภัยแต่การพิสูจน์ของโปรโตคอลนั้นผิดพลาดและนำไปสู่การโจมตีในโลกแห่งความเป็นจริง?

ธง us

มีโปรโตคอลสมัยใหม่ (หลังสงครามโลกครั้งที่ 2) และโปรโตคอลที่มีชื่อเสียงที่ได้รับการพิสูจน์แล้วว่าปลอดภัย (ในทุกรุ่น: ตามเกม, UC...) แต่การพิสูจน์ของใครผิดและอาจนำไปสู่การโจมตีในโลกแห่งความเป็นจริงหรือไม่

โปรดทราบว่า:

  • ฉันไม่กังวลเกี่ยวกับการโจมตีสมมติฐานทางคณิตศาสตร์ด้วยตัวเอง (ซึ่งดูเหมือนจะเป็นจุดสนใจของ หัวข้อนี้และไม่สามารถถือเป็นข้อผิดพลาดในการพิสูจน์ได้ เป็นเพียงสมมติฐานที่น่าเสียดาย) แต่แน่นอน ฉันชอบที่จะได้ยินเกี่ยวกับโปรโตคอลที่อ้างว่าปลอดภัยทันทีที่ข้อสันนิษฐาน X เป็นจริง ในขณะที่ความจริงแล้ว โปรโตคอลเหล่านั้นถูกทำลายทั้งๆ ที่ข้อเท็จจริงที่ว่า X ไม่ได้ถูกทำลาย
  • โดย "การโจมตีในโลกแห่งความจริง" ฉันชอบการโจมตีที่ทำลายโปรโตคอลที่ใช้ในทางปฏิบัติโดยผู้ใช้ปลายทางที่ไม่ใช่ผู้เชี่ยวชาญ แต่ฉันก็สบายดีกับโปรโตคอลที่รู้จักกันดีซึ่งส่วนใหญ่รู้จักและใช้ในโลกวิชาการ

ตามหลักการแล้ว ฉันชอบที่จะเรียนรู้ว่า "ความผิดพลาด" ในการพิสูจน์นั้นเป็นความผิดพลาดจริงๆ หรือมีแนวโน้มที่จะสร้างขึ้นโดยเจตนา (ลับๆ ของ NSA...)

แก้ไข

คุณสามารถระบุได้อย่างแม่นยำเมื่อเป็นไปได้หรือไม่ว่าการโจมตีเกิดจากความผิดพลาดในการพิสูจน์ตัวเอง หรือหากไม่ได้เลือกรูปแบบการรักษาความปลอดภัยอย่างเหมาะสม

Martin R. Albrecht avatar
cn flag
คุณสามารถพิจารณา https://arxiv.org/abs/2012.03141 และ https://mtpsym.github.io/
Daniel S avatar
ru flag
[การโจมตี 3 เชค](https://blog.cryptographyengineering.com/2014/04/24/attack-of-week-triple-handshakes-3shake/) บน TLS น่าจะเป็นโปรโตคอลที่มีโปรไฟล์สูงสุด
in flag
การเข้ารหัสสมัยใหม่ส่วนใหญ่ไม่เคย "ได้รับการพิสูจน์ว่าปลอดภัย" ในความหมายใดๆ ของคำนี้ ตัวอย่างเช่น ตามความเข้าใจของฉัน AES-256 เชื่อว่ามีความปลอดภัยเป็นหลัก เนื่องจากคนฉลาดจำนวนมากพยายามทำลายมันเป็นเวลานาน และทำให้ความคืบหน้าน้อยมาก อีกประเด็นคือการโจมตีในโลกแห่งความเป็นจริงที่ปฏิบัติได้จริงมักมุ่งเน้นไปที่ช่องทางด้านข้างมากกว่าการโจมตีโดยตรงกับอัลกอริธึมการเข้ารหัส เนื่องจากการโจมตีแบบแรกมักให้ผลลัพธ์ที่ต่ำกว่ามากในทางปฏิบัติ
Léo Colisson avatar
us flag
@Ievgeni เดาว่าฉันทำผิดพลาดเมื่อพิมพ์ความปลอดภัย แก้ไขแล้ว!
Score:17
ธง in

ตัวอย่างหนึ่งคือ OCB2;

อย่างไรก็ตาม Akiko Inoue และ Kazuhiko Minematsu อธิบาย การโจมตีปลอมแปลงที่ใช้งานได้จริงกับ OCB2 ในปี 2561 จากบทคัดย่อ;

เรานำเสนอการโจมตีเชิงปฏิบัติกับ OCB2 ซึ่งเป็นมาตรฐาน ISO รูปแบบการเข้ารหัสที่รับรองความถูกต้อง (AE) OCB2 เป็นโหมดการทำงานแบบเข้ารหัสที่มีประสิทธิภาพสูง มีการศึกษาอย่างกว้างขวางและกว้างขวาง เชื่อว่าจะปลอดภัยด้วยหลักฐานความปลอดภัยที่พิสูจน์ได้ การโจมตีของเรา อนุญาตให้ฝ่ายตรงข้ามสร้างการปลอมแปลงด้วยแบบสอบถามการเข้ารหัสเดียวของ ข้อความธรรมดาที่เกือบจะรู้จักกัน การโจมตีนี้สามารถขยายไปสู่พลังที่รุนแรงได้ การปลอมแปลงเกือบสากลและสากลโดยใช้ข้อความค้นหาเพิ่มเติม ที่มา การโจมตีของเราเป็นวิธีที่ OCB2 ใช้ AE โดยใช้ blockcipher ที่ปรับแต่งได้ ซึ่งเรียกว่า XEXâ . เราได้ตรวจสอบการโจมตีของเราโดยใช้รหัสอ้างอิง ของ OCB2. การโจมตีของเราไม่ได้ทำลายความเป็นส่วนตัวของ OCB2 และไม่เป็นเช่นนั้น ใช้กับอื่นๆ รวมถึง OCB1 และ OCB3

และงานอื่น ๆ ที่ปรับปรุงงานของ Inoue และ Minematsu;


ครึ่งเดียว;

kelalaka avatar
in flag
โชคดีที่ไม่ได้รับการยอมรับอย่างกว้างขวาง
SWdV avatar
in flag
เห็นได้ชัดว่าส่วนหนึ่งเป็นเพราะได้รับการจดสิทธิบัตร
kelalaka avatar
in flag
@SWdV ฉันไม่ทราบว่ามีสิทธิบัตรสำหรับ OCB2 และ OCB ใช้งานได้ฟรีสำหรับซอฟต์แวร์ฟรี ...
Score:10
ธง cn

บางที "การกู้คืนข้อความธรรมดาโจมตี SSH“มีคุณสมบัติ?

ผู้อ่านบางท่านอาจสงสัยว่า ณ จุดนี้เราจะสามารถโจมตี SSH แบบต่างๆ ที่ได้รับการพิสูจน์แล้วว่าปลอดภัยใน [1] ได้อย่างไร เหตุผลพื้นฐานก็คือ ในขณะที่ผู้เขียน [1] ตระหนักดีว่าการดำเนินการถอดรหัสใน SSH ไม่ใช่ âatomicâ และอาจล้มเหลวในรูปแบบต่างๆ แบบจำลองความปลอดภัยของพวกเขาไม่ได้แยกความแตกต่างระหว่างรูปแบบต่างๆ ของความล้มเหลวเมื่อรายงานข้อผิดพลาด ต่อปฏิปักษ์ ยิ่งไปกว่านั้น แบบจำลองของพวกเขาไม่ได้คำนึงถึงความจริงที่ว่าจำนวนข้อมูลที่จำเป็นในการดำเนินการถอดรหัสเสร็จสมบูรณ์นั้นถูกกำหนดโดยข้อมูลที่ต้องถอดรหัส (ฟิลด์ความยาว) น่าเสียดายที่ดูเหมือนว่าการใช้งานการเข้ารหัสในโลกแห่งความเป็นจริงนั้นซับซ้อนกว่าโมเดลความปลอดภัยปัจจุบันสำหรับการจัดการ SSH

แล้วดู"Surfeit ของ SSH Cipher Suites"สำหรับการติดตาม

Léo Colisson avatar
us flag
โอ้ ขอบคุณมาก ฉันไม่รู้ว่า SSH อาจถูกโจมตีแบบนี้ ตรงนี้ ฉันเดาว่ามันแตกต่างจากการโจมตี OCB2: โฟลว์อยู่ในรูปแบบการรักษาความปลอดภัยและไม่ใช่ความผิดพลาดในการพิสูจน์
Score:9
ธง ng

บางทีเราอาจนับมาตรฐานสากลฉบับแรกเกี่ยวกับลายเซ็นดิจิทัล ISO/IEC 9796:1991ซึ่งระบุลายเซ็น RSA และ Rabin โดยใช้ช่องว่างภายในที่ซ้ำซ้อนของข้อความที่จะลงนาม ความปลอดภัยได้รับการพิสูจน์แล้ว เหตุผลล้ำสมัย, ตีพิมพ์ใน การดำเนินการของ Eurocrypt 1990. ที่ระบุคุณสมบัติของการเติมลายเซ็นของมาตรฐาน จำเป็น เพื่อความปลอดภัยแม้จะมีคุณสมบัติการคูณของฟังก์ชัน RSA แบบดิบก็ตาม $x\mapsto x^d\bmod n$, ชอบ:

  • การเปลี่ยนแปลงหรือการเติมเต็มองค์ประกอบตัวแทนจะไม่ส่งผลให้เกิดองค์ประกอบอื่น
  • ผลคูณตามธรรมชาติขององค์ประกอบที่เป็นตัวแทนโดยค่าคงที่ใดๆ ที่ไม่ใช่ 1 ไม่ใช่องค์ประกอบที่เป็นตัวแทน

คุณสมบัติเหล่านี้เป็นจริง แต่พวกเขาไม่ได้สร้างหลักฐานความปลอดภัยในความหมายสมัยใหม่ พวกเขาเพียงพิสูจน์ความเป็นไปไม่ได้ของ บาง การโจมตีมากกว่าของ ใดๆ จู่โจม.

และพบในปี 1999 เป็นวิธีการคำนวณที่ไม่แพงซึ่งแสดงข้อความประเภทต่างๆ จำนวนมาก เช่น ลายเซ็นของอันหนึ่งถูกพบโดยการส่งอีกอันหนึ่ง (ตอนแรกสามอัน) สำหรับลายเซ็น RSA; หรือพบรหัสส่วนตัว (ตัวแบ่งทั้งหมด) โดยส่งข้อความสองข้อความเพื่อขอลายเซ็น Rabin มาตรฐานถูกถอนออกในอีกหนึ่งปีต่อมา

แม้จะมีการใช้มาตรฐานนั้นในทางปฏิบัติ การโจมตีไม่เคยลดระดับไปสู่การแสวงหาประโยชน์เท่าที่ฉันทราบ เนื่องจากแอปพลิเคชันไม่อนุญาตให้ได้รับลายเซ็นของข้อความแม้แต่น้อยที่ตรงกับข้อจำกัดที่แม่นยำ


ตัวอย่างที่คล้ายกันคือ ISO/IEC 9796-2:1997 ลายเซ็น (แต่มาพร้อมกับการเรียกร้องความปลอดภัยแม้แต่น้อย) ถูกทำลายโดยการโจมตี: Jean-Sébastien Coron, David Naccache, Mehdi Tibouchi, Ralf-Philipp Weinmann's การเข้ารหัสเชิงปฏิบัติของ ISO 9796-2 และลายเซ็น EMV, ใน วารสารวิทยาการเข้ารหัสลับ (2558) และกจอนใน การดำเนินการของ Crypto 2009. โครงร่างนี้ใช้กันอย่างแพร่หลายในสมาร์ทการ์ดของธนาคาร โดยมีพารามิเตอร์ที่ช่วยให้สามารถคำนวณข้อความไม่กี่แสนข้อความที่เป็นไปได้ เช่น ควร ฝ่ายตรงข้ามจัดการเพื่อให้ได้ลายเซ็นของทั้งหมดยกเว้นอันเดียว ซึ่งช่วยให้สามารถค้นหาลายเซ็นของข้อความสุดท้ายได้ แต่ไม่สามารถลดลงถึงการแสวงหาผลประโยชน์ในทางปฏิบัติ


เอกสารอ้างอิงเกี่ยวกับการโจมตีคือ Don Coppersmith, Jean-Sébastien Coron, François Grieu, Shai Halevi, Charanjit Jutla, David Naccache, Julien P. Stern: การวิเคราะห์ด้วยการเข้ารหัสของ ISO/IEC 9796-1, ใน วารสารวิทยาการเข้ารหัสลับ (2550). จัดกลุ่มการโจมตีก่อนหน้านี้ใหม่:

Léo Colisson avatar
us flag
ขอบคุณมาก! คุณทราบหรือไม่ว่า ISO/IEC 9796-2:1997 มีหลักฐานการรักษาความปลอดภัยบางประเภท
fgrieu avatar
ng flag
@LéoColisson: สิ่งที่ใกล้เคียงที่สุดคือสิ่งที่ฉันระบุในประโยคที่สองของคำตอบด้วย [ลิงก์](https://link.springer.com/content/pdf/10.1007/3-540-46877-3_42.pdf) . ฉันไม่ถือว่าเป็นหลักฐานความปลอดภัยในความหมายสมัยใหม่
Léo Colisson avatar
us flag
ฉันหมายถึงตัวอย่างที่สองของคุณ (ตัวอย่างจากปี 1997 ไม่ใช่ปี 1991) ฉันไม่เห็นการอ้างอิงถึงหลักฐานในคำตอบนี้ ในเอกสาร ISO ฉันเห็นเพียงว่า "แบบแผนคล้ายกับแบบแผนลายเซ็นดิจิทัล 3 มีหลักฐานความปลอดภัยทางคณิตศาสตร์ (ดู [5]) อย่างไรก็ตาม เทคนิคการพิสูจน์เหล่านี้ใช้ไม่ได้กับแบบแผนลายเซ็นดิจิทัล 1" และในกระดาษ http://www.crypto-uni.lu/jscoron/publications/iso97962joc.pdf ฉันเห็นว่าโครงร่างนี้ได้รับการพิสูจน์แล้วว่าปลอดภัยหาก k_h > 2/3 ขนาดของโมดูลัส แต่ยังไม่ชัดเจนหลังจากดูอย่างรวดเร็ว คือที่ตั้งของการโจมตี
fgrieu avatar
ng flag
@LéoColisson: ขอโทษครับ อ่านผิด ไม่ ไม่เคยมี (AFAIK) อ้างหลักฐานความปลอดภัยสำหรับ ISO/IEC 9796-2:1997 หรือแม้แต่ข้อโต้แย้งด้านความปลอดภัยโดยละเอียดของ AFAIK เฉพาะโครงร่างในภายหลัง (2 และ 3) เท่านั้นที่มีหลักฐานด้านความปลอดภัยในความหมายสมัยใหม่ ฉันรู้จักแอปพลิเคชั่นเพียงไม่กี่ตัวเท่านั้นที่ใช้โครงร่างใหม่ ซึ่งไม่มีเลยในการอัพเกรดจากโครงร่างเก่า
Score:4
ธง tn

ล่าสุด, WPA2 ถูกตรวจพบว่ามีความเสี่ยงต่อการโจมตี Key Reinstallationแม้ว่าการจับมือแบบ 4 ทิศทาง WPA2 ได้รับการพิสูจน์แล้วว่าปลอดภัย

จากเว็บไซต์ของพวกเขา

การจับมือแบบ 4 ทิศทางได้รับการพิสูจน์ทางคณิตศาสตร์แล้วว่าปลอดภัย การโจมตีของคุณเป็นไปได้อย่างไร?

คำตอบสั้น ๆ คือ การพิสูจน์ที่เป็นทางการไม่รับประกันว่าจะติดตั้งคีย์เพียงครั้งเดียว แต่เป็นการรับรองว่าคีย์การเจรจายังคงเป็นความลับ และไม่สามารถปลอมแปลงข้อความจับมือได้

คำตอบที่ยาวกว่านี้จะกล่าวถึงในบทนำของงานวิจัยของเรา: การโจมตีของเราไม่ละเมิดคุณสมบัติด้านความปลอดภัยที่พิสูจน์แล้วในการวิเคราะห์อย่างเป็นทางการของการจับมือกัน 4 ทิศทาง โดยเฉพาะอย่างยิ่ง หลักฐานเหล่านี้ระบุว่าคีย์การเข้ารหัสที่เจรจายังคงเป็นส่วนตัว และมีการยืนยันตัวตนของทั้งไคลเอนต์และจุดเข้าใช้งาน (AP) การโจมตีของเราไม่ทำให้คีย์การเข้ารหัสรั่วไหล นอกจากนี้ แม้ว่าเฟรมข้อมูลปกติสามารถปลอมแปลงได้หากใช้ TKIP หรือ GCMP แต่ผู้โจมตีไม่สามารถปลอมแปลงข้อความจับมือได้ และด้วยเหตุนี้จึงไม่สามารถปลอมแปลงไคลเอ็นต์หรือ AP ในระหว่างการจับมือได้ ดังนั้นคุณสมบัติที่ได้รับการพิสูจน์ในการวิเคราะห์อย่างเป็นทางการของการจับมือกัน 4 ทิศทางยังคงเป็นจริง อย่างไรก็ตาม ปัญหาคือ การพิสูจน์ไม่ได้ติดตั้งโมเดลคีย์ พูดอีกอย่างก็คือ แบบจำลองที่เป็นทางการไม่ได้กำหนดว่าควรติดตั้งคีย์การเจรจาเมื่อใด ในทางปฏิบัติ หมายความว่าสามารถติดตั้งคีย์เดียวกันได้หลายครั้ง ดังนั้นจึงรีเซ็ต nonces และตัวนับการเล่นซ้ำที่ใช้โดยโปรโตคอลการเข้ารหัส (เช่น โดย WPA-TKIP หรือ AES-CCMP)

kelalaka avatar
in flag
อย่างที่คุณเห็น หลักฐานนั้นใช้ได้ในเงื่อนไขของพวกเขา นั่นเป็นผลงานที่ดีจริง ๆ เพื่อพิสูจน์โปรโตคอลที่สมบูรณ์
Score:2
ธง jp

เดอะ ชิปปัตตาเลี่ยน กับ รหัส Skipjack

นี่อาจเป็นผลที่แขวนอยู่ต่ำกว่าที่คุณตั้งใจไว้ เนื่องจาก "เวกเตอร์การโจมตีในโลกแห่งความจริง" อาจไม่มีประโยชน์มากนักในการโจมตี เนื่องจากมีเพียง เอทีแอนด์ที ทีเอสดี-3600-อี เป็นอุปกรณ์ที่ทราบกันดีว่าได้ดำเนินการนี้เพื่อสิ่งนี้ และอุปกรณ์อื่น ๆ ส่วนใหญ่ดูเหมือนจะซื้อโดยกระทรวงยุติธรรมแห่งสหรัฐอเมริกาเท่านั้น สิ่งนี้กล่าวว่าอาจช่วยอธิบายความคิดเห็นของ @Kevin อย่างละเอียดเกี่ยวกับวิธีการที่ช่องทางด้านข้างมักเป็นเวกเตอร์การโจมตีสำหรับอัลกอริทึมดังกล่าว เนื่องจากเหตุผลที่ทราบกันดีที่สุดว่าไม่ได้ใช้งานอีกต่อไป

ชิป Clipper และฟิลด์การเข้าถึงการบังคับใช้กฎหมาย (LEAF)

LEAF มีวัตถุประสงค์เพื่อให้รัฐบาลสามารถอ่านข้อมูลที่จำเป็นเพื่อให้สามารถระบุคีย์เข้ารหัส และสามารถถอดรหัสข้อความได้เมื่อมีหมายสำคัญให้ทำเช่นนั้น

ซึ่งพบปัญหาใหญ่ 2 ประการในภายหลังคือ

1.) Matt Blaze ในปี 1994 ค้นพบว่าสามารถใช้ความจริงที่ว่า ระบบ LEAF ต้องการแฮช 16 บิตสำหรับคีย์เข้ารหัสเพื่อตรวจสอบว่าเป็นข้อความที่ถูกต้องในการเข้ารหัส (เช่นสามารถถอดรหัสได้) เป็นไปได้ที่จะใช้การตรวจสอบแบบ 16 บิตใหม่ประมาณ 30-50 นาทีสำหรับคีย์การเข้ารหัสที่แตกต่างจากที่ใช้เข้ารหัสข้อความ โดยผ่านขั้นตอน "ถอดรหัสได้หากจำเป็น" อย่างมีประสิทธิภาพ .

2.) Yair Frankel และ Moti Yung ในปี 1995 ค้นพบว่าสามารถใช้มันได้ อุปกรณ์ที่สามารถใช้ LEAF เพื่อสร้างการตรวจสอบที่แนบมากับข้อความที่เข้ารหัสบนอุปกรณ์อื่นจึงข้ามขั้นตอน "ถอดรหัสได้หากจำเป็น" แบบเรียลไทม์

ท้ายที่สุดแล้ว ปัญหาเหล่านี้น่าจะนำไปสู่การเลิกใช้วิธีนี้ โดยรัฐบาลสหรัฐฯ เป็นลูกค้ารายใหญ่ที่สุดของ AT&T TSD-3600-E ฉันไม่รู้ว่าจริง ๆ แล้วใช้กล่องเหล่านี้ไปกี่กล่อง เนื่องจากมีรายงานว่ากล่องส่วนใหญ่ยังไม่ได้เปิด ซึ่งทำให้เราเกี่ยวข้องกับรหัส Skipjack จริง

สคิปแจ็ค

นี่คือการเข้ารหัสที่ฉันเข้าใจ ถูกใช้โดยชิป Clipper ซึ่งหากไม่มี LEAF ที่ถูกต้องจากแฮชด้านบน จะปลอดภัยจากผู้ที่ถอดรหัสสิ่งที่อยู่ในข้อความ

นี่เป็นเรื่องยากที่จะพิสูจน์ว่าได้รับการพิสูจน์แล้วว่าปลอดภัย เนื่องจากเดิมทีมันถูกจัดประเภท แต่... นักวิจัยทางวิชาการถูกนำเข้ามาเพื่อประเมิน Skipjack และพบว่า "ดังนั้นจึงไม่มีความเสี่ยงที่สำคัญที่ SKIPJACK จะถูกทำลายโดยการค้นหาอย่างละเอียดถี่ถ้วนในอีก 30-40 ปีข้างหน้า"

25 มิถุนายน พ.ศ. 2541 เมื่อ Skipjack ไม่เป็นความลับอีกต่อไป Eli Biham และ Adi Shamir ค้นพบว่าเมื่อ Skipjack ลดลงเหลือ 16 รอบแทนที่จะเป็น 32 รอบมันสามารถแตกหักได้ด้วยเวกเตอร์การโจมตีที่ค้นพบในเวลานั้น ต่อมาในปี 1999 กับ Alex Biryukov พวกเขาสามารถขยายได้ถึง 31 รอบจาก 32 รอบ

เห็นได้ชัดว่า ณ ปี 2009 การทะลุทะลวงทั้งหมด 32 รอบยังไม่ถูกทำลายทั้งหมด แต่ดูเหมือนว่าสิ่งเหล่านี้บ่งชี้ว่าหลักฐานเดิมอาจผิดพลาด เนื่องจากปรากฏว่า 31 รอบแรกของ Skipjack 32 รอบอาศัยเป็นหลัก การจำแนกประเภทของอัลกอริทึมในขณะนั้น

ดังที่ @Kevin กล่าวในความคิดเห็นของเขาต่อคำถามข้างต้น โดยหลักแล้วช่องทางด้านข้างจะเป็นหนทางที่จะทำลายมัน - และในกรณีนี้ Clipper Chip และโปรโตคอล LEAF ของมันเองได้รับการพิสูจน์แล้วว่าเป็นลิงค์ที่อ่อนแอกว่า - การทำลายโปรโตคอลที่จะมี ถูกใช้เพื่อถอดรหัสข้อความที่เข้ารหัสภายใต้การรับประกัน

Score:2
ธง cn

ในปี 2019 มีการค้นพบช่องโหว่ปลอมแปลงใน Zcash [ดู ที่นี่].

ก่อนการแก้ไข ผู้โจมตีอาจสร้าง Zcash ปลอมโดยไม่ถูกตรวจพบ!

ด้วยมูลค่าตลาดปัจจุบันที่ 1.7 พันล้านดอลลาร์ ดูเหมือนว่า Zcash อย่างน้อยวันนี้ เพลิดเพลินกับการยอมรับอย่างกว้างขวางเกินกว่าผู้ใช้ที่เชี่ยวชาญเพียงไม่กี่คน ช่องโหว่นี้เกิดจากข้อบกพร่องด้านการเข้ารหัสเล็กน้อยใน [บีซีทีวี14] กระดาษที่อธิบายโครงสร้าง zk-SNARK ที่ใช้ในการเปิดตัว Zcash ดั้งเดิม ช่องโหว่นี้มีความละเอียดอ่อนมากจนสามารถหลบเลี่ยงการวิเคราะห์โดยผู้เชี่ยวชาญด้านการเข้ารหัสเป็นเวลาหลายปี นอกจากนี้ ผลงานที่ตามมาบางชิ้นของนักวิจัยที่มีชื่อเสียงก็ได้รับข้อบกพร่องเช่นเดียวกัน

ที่สำคัญ [บีซีทีวี14] การก่อสร้างไม่มีหลักฐานด้านความปลอดภัยโดยเฉพาะ ดังที่ระบุไว้ใน [พาร์โน15] และอาศัยเป็นหลักในการ [PGHR13] การพิสูจน์ความปลอดภัยและความคล้ายคลึงกันระหว่างสองแผน ทีมงาน Zcash Company พยายามเขียนหลักฐานความปลอดภัยใน [บีจี17] แต่ก็ไม่ได้เปิดเผยช่องโหว่นี้ Zcash มีตั้งแต่นั้นเป็นต้นมา อัปเกรดเป็นระบบพิสูจน์ใหม่ [Groth16] ซึ่งมีหลายรายการ การพิสูจน์ที่เป็นอิสระและการวิเคราะห์ที่ดีกว่าอย่างเห็นได้ชัด

Score:0
ธง us

สำหรับอัลกอริทึมการเข้ารหัสที่ทันสมัยส่วนใหญ่ไม่มีข้อพิสูจน์ทางคณิตศาสตร์ที่เข้มงวดว่าปลอดภัย บ่อยครั้งเมื่อมีการเผยแพร่หรืออภิปรายหลักฐานดังกล่าว สมมติฐาน ซึ่งเชื่อได้ว่าเป็นความจริงเท่านั้น หากข้อสันนิษฐานเหล่านี้ไม่เป็นไปตามข้อพิสูจน์ หลักฐานจะแตกสลายแม้ว่าจะไม่มีข้อผิดพลาดก็ตาม ตัวอย่างเช่น ความปลอดภัยของ Triple-DES ตั้งอยู่บนสมมติฐานว่า DES ปกติมีความปลอดภัย (แม้ว่าจะมีขนาดคีย์ไม่เพียงพอที่จะป้องกันการโจมตีแบบดุร้าย) หากพบข้อบกพร่องร้ายแรงใน DES ก็อาจส่งผลต่อความปลอดภัยของ 3DES เช่นกัน

สมมติฐานประเภทที่สองในการพิสูจน์ความปลอดภัยมาจากความจริงที่ว่าพวกเขากำลังพยายาม พิสูจน์เชิงลบ. ดังนั้น แทนที่จะพิสูจน์ว่าอัลกอริทึมไม่สามารถถูกทำลายได้ การวิจัยประเมินความปลอดภัยด้วย w.r.t. การโจมตีที่รู้จัก หากอัลกอริทึมเป็นที่รู้จักอย่างแพร่หลายมานานหลายทศวรรษ เชื่อว่าอัลกอริทึมนั้น "ได้รับการพิสูจน์แล้วในทางปฏิบัติ" ซึ่งอันที่จริงแล้วเป็นข้อสันนิษฐานว่าไม่สามารถออกแบบการโจมตีใหม่ๆ เพื่อต่อต้านมันได้

ประเด็นสองข้อข้างต้นมานอกเหนือจากข้อผิดพลาดซ้ำซากในตรรกะของการพิสูจน์

ดังนั้น ขึ้นอยู่กับระดับของหลักฐานที่คุณพิจารณาว่าเพียงพอ คุณสามารถพูดอย่างนั้นก็ได้ ไม่มี ของโปรโตคอลที่มีชื่อเสียงในโลกแห่งความเป็นจริงได้รับการพิสูจน์แล้วว่าปลอดภัย หรือว่าโปรโตคอลเหล่านั้นซึ่งถูกแคร็กในภายหลังได้รับการ "พิสูจน์" ว่าปลอดภัยในบางจุด (ไม่เช่นนั้นพวกเขาจะไม่ถูกใช้งาน) แต่การพิสูจน์นั้นไม่ถือเอาเสียเลย

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา