- Văn bản
- Lịch sử
Oded’s ConclusionsMy starting point
Oded’s Conclusions
My starting point is that within the domain of science, every deduction requires a rigorous justification.23 In contrast, unjustified deductions should not be allowed; especially not in a subtle research
area such as Cryptography. Furthermore, one should refrain from making statements that are likely
to mislead the listener/reader, such as claiming a result in a restricted model while creating the
impression that it holds also in a less restricted model. The presentation of such a result should
clearly state the restrictions under which it holds, and refrain from creating the impression that the
result extends also to a case where these restrictions are waived (unless this is indeed true (and one
can prove it)). Needless to say, it is perfectly ok to conjecture that a restricted result extends also
to a case when these restrictions are waived, but the stature of such a statement (as a conjecture)
should be clear.
The above abstract discussion directly applies to security in the Random Oracle Model. Deducing that the security of a scheme in the Random Oracle Model means anything about the security
of its implementations, without proper justification, is clearly wrong. This should have been clear
also before the current work. It should have also been clear that no proper justification of a deduction from security in the Random Oracle Model to security of implementations has ever been
given. The contributions of the current work are two-fold:
23 This does not disallow creative steps committed in the course of research, without proper justification. Such
unjustified steps are the fuel of progress. What I refer to are claims that are supposed to reflect valid facts. Such
claims should be fully justified, or offered as conjectures.
31
1. This work uncovers inherent difficulties in the project of providing conditions that would allow
(justifiable) deduction from security in the Random Oracle Model to security of implementations. Such a project could have proceeded by identifying properties that characterize proofs
of security in the Random Oracle Model, and (justifiably) deducing that the such schemes
maintain their security when implemented with ensembles satisfying these properties. The
problem with this project is that correlation intractability should have been (at the very least)
one of these properties, but (as we show) no function ensemble can satisfy it.
2. As stated above, deducing that the security of a scheme in the Random Oracle Model means
anything about the security of its implementations, without proper justification, is clearly
wrong. The current work presents concrete examples in which this unjustified deduction
leads to wrong conclusions. That is, it is shown that not only that unjustified deduction
regarding the Random Oracle Model may lead to wrong conclusions, but rather than in some
cases indeed this unjustified deduction does lead to wrong conclusions. Put in other words,
if one needs a concrete demonstration of the dangers of unjustified deduction when applied
to the Random Oracle Model, then this work provides it.
The bottom-line: It should be clear that the Random Oracle Methodology is not sound; that
is, the mere fact that a scheme is secure in the Random Oracle Model cannot be taken as evidence
(or indication) to the security of (possible) implementations of this scheme. Does this mean that
the Random Oracle Model is useless? Not necessarily: it may be useful as a test-bed (or as a sanity
check).24 Indeed, if the scheme does not perform well on the test-bed (resp., fails the sanity check)
then it should be dumped. But one should not draw wrong conclusions from the mere fact that a
scheme performs well on the test-bed (resp., passes the sanity check). In summary, the Random
Oracle Methodology is actually a method for ruling out some insecure designs, but this method is
not “complete” (i.e., it may fail to rule out insecure design
My starting point is that within the domain of science, every deduction requires a rigorous justification.23 In contrast, unjustified deductions should not be allowed; especially not in a subtle research
area such as Cryptography. Furthermore, one should refrain from making statements that are likely
to mislead the listener/reader, such as claiming a result in a restricted model while creating the
impression that it holds also in a less restricted model. The presentation of such a result should
clearly state the restrictions under which it holds, and refrain from creating the impression that the
result extends also to a case where these restrictions are waived (unless this is indeed true (and one
can prove it)). Needless to say, it is perfectly ok to conjecture that a restricted result extends also
to a case when these restrictions are waived, but the stature of such a statement (as a conjecture)
should be clear.
The above abstract discussion directly applies to security in the Random Oracle Model. Deducing that the security of a scheme in the Random Oracle Model means anything about the security
of its implementations, without proper justification, is clearly wrong. This should have been clear
also before the current work. It should have also been clear that no proper justification of a deduction from security in the Random Oracle Model to security of implementations has ever been
given. The contributions of the current work are two-fold:
23 This does not disallow creative steps committed in the course of research, without proper justification. Such
unjustified steps are the fuel of progress. What I refer to are claims that are supposed to reflect valid facts. Such
claims should be fully justified, or offered as conjectures.
31
1. This work uncovers inherent difficulties in the project of providing conditions that would allow
(justifiable) deduction from security in the Random Oracle Model to security of implementations. Such a project could have proceeded by identifying properties that characterize proofs
of security in the Random Oracle Model, and (justifiably) deducing that the such schemes
maintain their security when implemented with ensembles satisfying these properties. The
problem with this project is that correlation intractability should have been (at the very least)
one of these properties, but (as we show) no function ensemble can satisfy it.
2. As stated above, deducing that the security of a scheme in the Random Oracle Model means
anything about the security of its implementations, without proper justification, is clearly
wrong. The current work presents concrete examples in which this unjustified deduction
leads to wrong conclusions. That is, it is shown that not only that unjustified deduction
regarding the Random Oracle Model may lead to wrong conclusions, but rather than in some
cases indeed this unjustified deduction does lead to wrong conclusions. Put in other words,
if one needs a concrete demonstration of the dangers of unjustified deduction when applied
to the Random Oracle Model, then this work provides it.
The bottom-line: It should be clear that the Random Oracle Methodology is not sound; that
is, the mere fact that a scheme is secure in the Random Oracle Model cannot be taken as evidence
(or indication) to the security of (possible) implementations of this scheme. Does this mean that
the Random Oracle Model is useless? Not necessarily: it may be useful as a test-bed (or as a sanity
check).24 Indeed, if the scheme does not perform well on the test-bed (resp., fails the sanity check)
then it should be dumped. But one should not draw wrong conclusions from the mere fact that a
scheme performs well on the test-bed (resp., passes the sanity check). In summary, the Random
Oracle Methodology is actually a method for ruling out some insecure designs, but this method is
not “complete” (i.e., it may fail to rule out insecure design
0/5000
Của Oded kết luậnĐiểm khởi đầu của tôi là trong tên miền của khoa học, khấu trừ mọi yêu cầu khắt khe justification.23 ngược lại, unjustified khấu trừ không nên được phép; đặc biệt là không phải trong một nghiên cứu tinh tếkhu vực như mật mã. Hơn nữa, một trong những nên kiềm chế không lập báo cáo khả năngđể đánh lừa người nghe/đọc, chẳng hạn như tuyên bố kết quả trong một mô hình bị giới hạn trong khi tạo ra cácẤn tượng mà nó chứa cũng trong một mô hình ít hạn chế hơn. Cho nên trình bày kết quảnêu rõ những hạn chế mà nó nắm giữ, và kiềm chế tạo ra những ấn tượng mà cáckết quả kéo dài cũng đến một trường hợp mà những hạn chế này được miễn (trừ khi điều này là thực sự đúng (và mộtcó thể chứng minh)). Không cần phải nói, đó là hoàn toàn ok để phỏng đoán rằng một kết quả hạn chế mở rộng cũngmột trường hợp khi các hạn chế đang từ bỏ, nhưng tầm vóc của một tuyên bố (như là một phỏng đoán)nên được rõ ràng.Các cuộc thảo luận ở trên trừu tượng trực tiếp áp dụng cho an ninh trong các mô hình Oracle ngẫu nhiên. Deducing rằng an ninh của một đề án mô hình Oracle ngẫu nhiên có nghĩa là bất cứ điều gì về bảo mậttrong hiện thực của nó, mà không có biện minh hợp, là rõ ràng sai. Điều này cần phải có được rõ ràngcũng trước khi công việc hiện tại. Nó nên cũng đã được rõ ràng rằng không có biện minh hợp của một khoản khấu trừ từ an ninh trong Oracle mẫu ngẫu nhiên để bảo mật của việc triển khai đã từngđược đưa ra. Sự đóng góp của công việc hiện tại là hai lần:23 điều này không phải không cho phép sáng tạo bước cam kết trong quá trình nghiên cứu, mà không có biện minh phù hợp. Như vậyunjustified bước là nhiên liệu của tiến bộ. Những gì tôi đề cập đến là tuyên bố có nghĩa vụ phải phản ánh sự kiện hợp lệ. Như vậyyêu cầu bồi thường nên hoàn toàn hợp lý, hoặc cung cấp như là phỏng đoán.311. công việc khám phá những khó khăn cố hữu trong các dự án cung cấp các điều kiện mà sẽ cho phép(chính đáng) khấu trừ từ an ninh trong Oracle mẫu ngẫu nhiên để bảo mật của hiện thực. Một dự án có thể đã tiến hành bằng cách xác định tính chất đặc trưng bằng chứngan ninh trong Oracle mẫu ngẫu nhiên, và (justifiably) suy như các đề ánduy trì an ninh của họ khi thực hiện với ensembles đáp ứng các đặc tính này. Cácvấn đề với dự án này là tương quan intractability cần phải có (ít nhất)một trong những thuộc tính này, nhưng (như chúng tôi cho) không có toàn bộ chức năng có thể đáp ứng nó.2. như đã nêu ở trên, suy rằng an ninh của một đề án mô hình Oracle ngẫu nhiên có nghĩa làbất cứ điều gì về bảo mật hiện thực của nó, mà không có biện minh đúng, rõ ràng làsai. Hiện nay làm việc trình bày các ví dụ cụ thể, trong đó đây unjustified khấu trừdẫn đến kết luận sai. Có nghĩa là, nó được hiển thị không chỉ có vậy unjustified khấu trừliên quan đến mô hình Oracle ngẫu nhiên có thể dẫn đến kết luận sai lầm, nhưng thay vì một sốtrường hợp thực sự khấu trừ unjustified này dẫn đến kết luận sai. Đặt nói cách khác,Nếu một trong những nhu cầu một minh chứng cụ thể của sự nguy hiểm của unjustified khấu trừ khi áp dụngvới mô hình ngẫu nhiên của Oracle, sau đó công việc này cung cấp cho nó.Dưới cùng The-Line: nó nên được rõ ràng rằng các phương pháp Oracle ngẫu nhiên không phải là âm thanh; màlà một thực tế chỉ là một chương trình an toàn trong mô hình Oracle ngẫu nhiên không thể được dùng như là bằng chứng(hoặc chỉ) đến an ninh (có thể) thực thi của chương trình này. Điều này có nghĩa rằngMẫu ngẫu nhiên của Oracle là vô ích? Không nhất thiết phải: nó có thể hữu ích như kiểm tra giường (hoặc như một sự tỉnh táokiểm tra).24 thật vậy, nếu chương trình không hoạt động tốt trên giường thử nghiệm (này, thất bại kiểm tra sanity)sau đó nó nên được đổ. Nhưng một trong những không nên rút ra kết luận sai từ một thực tế chỉ có mộtSơ đồ thực hiện tốt trên giường thử nghiệm (này, vượt qua kiểm tra sanity). Tóm lại, ngẫu nhiênPhương pháp Oracle là thực sự là một phương pháp để loại trừ một số thiết kế không an toàn, nhưng phương pháp này làkhông "hoàn tất" (tức là, nó có thể thất bại để cai trị ra các thiết kế không an toàn
đang được dịch, vui lòng đợi..
Kết luận của Oded
điểm khởi đầu của tôi là trong các lĩnh vực khoa học, mỗi trích đòi hỏi khắt khe justification.23 Ngược lại, trừ phi lý không được phép; đặc biệt là không phải trong một nghiên cứu tinh tế
khu vực như Cryptography. Hơn nữa, người ta không nên lập báo cáo có khả năng
gây nhầm lẫn cho người nghe / đọc, chẳng hạn như tuyên bố kết quả trong một mô hình hạn chế trong khi tạo ra
ấn tượng rằng nó cũng giữ trong một mô hình ít bị hạn chế. Việc trình bày kết quả như vậy nên
nêu rõ các hạn chế mà theo đó nắm giữ, và tránh tạo ấn tượng rằng các
kết quả cũng mở rộng đến một trường hợp mà những hạn chế này được miễn (trừ khi điều này thực sự là đúng (và một
có thể chứng minh điều đó)). Không cần phải nói, nó là hoàn toàn ok để phỏng đoán rằng một kết quả bị hạn chế cũng mở rộng
đến một trường hợp khi những hạn chế này được miễn, nhưng tầm vóc của một tuyên bố như vậy (như là một phỏng đoán)
nên được rõ ràng.
Các cuộc thảo luận trừu tượng trên trực tiếp áp dụng cho an ninh trong Mô hình ngẫu nhiên Oracle. Suy luận rằng an ninh của một Đề án trong Random Oracle mẫu có nghĩa là bất cứ điều gì về sự an toàn
của việc triển khai của nó, vô duyên cớ, rõ ràng là sai. Điều này cần phải có được rõ ràng
cũng trước khi công việc hiện tại. Nó cũng nên có được rõ ràng rằng không có duyên cớ của một trích từ an ninh trong các ngẫu nhiên Oracle Model để bảo mật cho việc triển khai đã từng được
đưa ra. Đóng góp của các công trình hiện nay là hai mặt:
23 Điều này không không cho phép bước sáng tạo đã cam kết trong quá trình nghiên cứu, vô duyên cớ. Như
bước phi lý là nhiên liệu của sự tiến bộ. Những gì tôi tham khảo những tuyên bố được cho là để phản ánh sự kiện hợp lệ. Như
yêu cầu nên được giải thích đầy đủ, hoặc cung cấp như là phỏng đoán.
31
1. Công việc này phát hiện ra những khó khăn vốn có trong các dự án cung cấp các điều kiện mà sẽ cho phép
(chính đáng) trích từ an ninh trong các ngẫu nhiên Oracle Model để bảo mật cho việc triển khai. Một dự án như vậy có thể đã được tiến hành bằng cách xác định các thuộc tính đặc trưng bằng chứng
về an ninh trong Random Oracle Model, và (chính đáng) suy luận rằng các đề án như vậy
duy trì an ninh của họ khi thực hiện với cụm công trình đáp ứng các đặc tính này. Các
vấn đề với dự án này là sự tương quan không thể trị được cần phải có được (ít nhất)
một trong những thuộc tính, nhưng (như chúng tôi hiển thị) không có chức năng quần thể đáp ứng nó.
2. Như đã nêu ở trên, suy luận rằng sự an toàn của một chương trình trong Random Oracle mẫu có nghĩa là
bất cứ điều gì về sự an toàn của việc triển khai của nó, vô duyên cớ, rõ ràng là
sai. Công việc hiện nay trình bày ví dụ cụ thể, trong đó khấu trừ phi lý này
dẫn đến kết luận sai. Nghĩa là, nó chỉ ra rằng không chỉ có vậy trừ phi lý
về Random Oracle mẫu có thể dẫn đến những kết luận sai, nhưng thay vì trong một số
trường hợp thực sự trừ phi lý này dẫn đến kết luận sai. Đặt nói cách khác,
nếu một người cần một thể hiện cụ thể sự nguy hiểm của khấu trừ phi lý khi áp dụng
cho các ngẫu nhiên Oracle Model, sau đó công việc này cung cấp cho nó.
Các dòng dưới: Nó sẽ được rõ ràng rằng Oracle phương pháp ngẫu nhiên không âm thanh; đó
là, thực tế chỉ là một chương trình được an toàn trong Random Oracle Model không thể được thực hiện như là bằng chứng
(hoặc chỉ) đến an ninh của hiện thực (có thể) của chương trình này. Điều này có nghĩa rằng
các ngẫu nhiên Oracle Model là vô ích? Không nhất thiết là: nó có thể hữu ích như là điểm thử nghiệm (hoặc như một sự tỉnh táo
kiểm tra) .24 Thật vậy, nếu kế hoạch không thực hiện tốt trên các kiểm tra giường (resp, không kiểm tra sự tỉnh táo.)
Sau đó nó nên được đổ. Nhưng người ta không nên rút ra kết luận sai sự thật thuần túy mà một
chương trình hoạt động tốt trên các kiểm tra giường (resp., Vượt qua các kiểm tra sự tỉnh táo). Tóm lại, các ngẫu nhiên
Oracle Phương pháp thực sự là một phương pháp để loại trừ một số thiết kế không an toàn, nhưng phương pháp này là
không "hoàn thành" (tức là, nó có thể không loại trừ thiết kế không an toàn
điểm khởi đầu của tôi là trong các lĩnh vực khoa học, mỗi trích đòi hỏi khắt khe justification.23 Ngược lại, trừ phi lý không được phép; đặc biệt là không phải trong một nghiên cứu tinh tế
khu vực như Cryptography. Hơn nữa, người ta không nên lập báo cáo có khả năng
gây nhầm lẫn cho người nghe / đọc, chẳng hạn như tuyên bố kết quả trong một mô hình hạn chế trong khi tạo ra
ấn tượng rằng nó cũng giữ trong một mô hình ít bị hạn chế. Việc trình bày kết quả như vậy nên
nêu rõ các hạn chế mà theo đó nắm giữ, và tránh tạo ấn tượng rằng các
kết quả cũng mở rộng đến một trường hợp mà những hạn chế này được miễn (trừ khi điều này thực sự là đúng (và một
có thể chứng minh điều đó)). Không cần phải nói, nó là hoàn toàn ok để phỏng đoán rằng một kết quả bị hạn chế cũng mở rộng
đến một trường hợp khi những hạn chế này được miễn, nhưng tầm vóc của một tuyên bố như vậy (như là một phỏng đoán)
nên được rõ ràng.
Các cuộc thảo luận trừu tượng trên trực tiếp áp dụng cho an ninh trong Mô hình ngẫu nhiên Oracle. Suy luận rằng an ninh của một Đề án trong Random Oracle mẫu có nghĩa là bất cứ điều gì về sự an toàn
của việc triển khai của nó, vô duyên cớ, rõ ràng là sai. Điều này cần phải có được rõ ràng
cũng trước khi công việc hiện tại. Nó cũng nên có được rõ ràng rằng không có duyên cớ của một trích từ an ninh trong các ngẫu nhiên Oracle Model để bảo mật cho việc triển khai đã từng được
đưa ra. Đóng góp của các công trình hiện nay là hai mặt:
23 Điều này không không cho phép bước sáng tạo đã cam kết trong quá trình nghiên cứu, vô duyên cớ. Như
bước phi lý là nhiên liệu của sự tiến bộ. Những gì tôi tham khảo những tuyên bố được cho là để phản ánh sự kiện hợp lệ. Như
yêu cầu nên được giải thích đầy đủ, hoặc cung cấp như là phỏng đoán.
31
1. Công việc này phát hiện ra những khó khăn vốn có trong các dự án cung cấp các điều kiện mà sẽ cho phép
(chính đáng) trích từ an ninh trong các ngẫu nhiên Oracle Model để bảo mật cho việc triển khai. Một dự án như vậy có thể đã được tiến hành bằng cách xác định các thuộc tính đặc trưng bằng chứng
về an ninh trong Random Oracle Model, và (chính đáng) suy luận rằng các đề án như vậy
duy trì an ninh của họ khi thực hiện với cụm công trình đáp ứng các đặc tính này. Các
vấn đề với dự án này là sự tương quan không thể trị được cần phải có được (ít nhất)
một trong những thuộc tính, nhưng (như chúng tôi hiển thị) không có chức năng quần thể đáp ứng nó.
2. Như đã nêu ở trên, suy luận rằng sự an toàn của một chương trình trong Random Oracle mẫu có nghĩa là
bất cứ điều gì về sự an toàn của việc triển khai của nó, vô duyên cớ, rõ ràng là
sai. Công việc hiện nay trình bày ví dụ cụ thể, trong đó khấu trừ phi lý này
dẫn đến kết luận sai. Nghĩa là, nó chỉ ra rằng không chỉ có vậy trừ phi lý
về Random Oracle mẫu có thể dẫn đến những kết luận sai, nhưng thay vì trong một số
trường hợp thực sự trừ phi lý này dẫn đến kết luận sai. Đặt nói cách khác,
nếu một người cần một thể hiện cụ thể sự nguy hiểm của khấu trừ phi lý khi áp dụng
cho các ngẫu nhiên Oracle Model, sau đó công việc này cung cấp cho nó.
Các dòng dưới: Nó sẽ được rõ ràng rằng Oracle phương pháp ngẫu nhiên không âm thanh; đó
là, thực tế chỉ là một chương trình được an toàn trong Random Oracle Model không thể được thực hiện như là bằng chứng
(hoặc chỉ) đến an ninh của hiện thực (có thể) của chương trình này. Điều này có nghĩa rằng
các ngẫu nhiên Oracle Model là vô ích? Không nhất thiết là: nó có thể hữu ích như là điểm thử nghiệm (hoặc như một sự tỉnh táo
kiểm tra) .24 Thật vậy, nếu kế hoạch không thực hiện tốt trên các kiểm tra giường (resp, không kiểm tra sự tỉnh táo.)
Sau đó nó nên được đổ. Nhưng người ta không nên rút ra kết luận sai sự thật thuần túy mà một
chương trình hoạt động tốt trên các kiểm tra giường (resp., Vượt qua các kiểm tra sự tỉnh táo). Tóm lại, các ngẫu nhiên
Oracle Phương pháp thực sự là một phương pháp để loại trừ một số thiết kế không an toàn, nhưng phương pháp này là
không "hoàn thành" (tức là, nó có thể không loại trừ thiết kế không an toàn
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- già
- きらめく危なげな瞳がいいな しなやかで甘い唇がいいな
- endorsedsurredereed
- thực hành
- beautiful beach
- Ideal for auto scrubbers.
- bạ quá đẹp trai
- More and more people live in large citie
- This is going to be your greatest opport
- Nhiều tòa soạn trên thế giới đang cắt gi
- trong quá trình sử dụng
- Tôi muốn bắt đâu công việc lúc
- Nhà tôi có ba phòng ngủ
- Networks that grow unheeded without any
- Tm ¼ mechanical torque supplied by the p
- Bạn tên là gì
- TRIAL
- Networks that grow unheeded without any
- Back
- Mua tủ đông của hàng xóm, mở ra thấy...
- Cost control
- 研磨点
- he quen với việc dậy sớm mỗi ngày
- hanh khô
