가성순열

암호학에서 유사순열(PRP)은 실제적인 노력으로 무작위 순열(즉, 함수의 영역에 있는 모든 순열의 패밀리로부터 균일한 확률로 무작위로 선택한 순열)과 구별할 수 없는 함수다.

정의

F를 매핑${\displaystyle {}^{}}${$,$ 1 ${\displaystyle {}^{}{}^{}}${ 0${\displaystyle {,}^{}}$ ${\displaystyle 1^{}}$× { ${\displaystyle {0\mathrm{}}^{}{1\mathrm{}}^{}}$ × 0 → { ${\displaystyle {}^{}{,}^{}}$ ${\displaystyle 1^{}}$ $}$ ${\displaystyle {}^{}}$ {\$displaystyle\\{0$,1$\right\}^{$n}\$time \{0,1\i1$}{$s}}}}\right\}^{n$만 PRP로 $설정$하십시오.

• $모든{\displaystyle }$ K${\displaystyle {}^{}}$$0,$ ${\displaystyle 1^{}}$}$초$${\displaystyle {,}^{}}$$1\right\}^{s$에 대해 F는${\displaystyle {}^{}}${${\displaystyle {0\mathrm{},}^{}}$ ${\displaystyle 1^{}}$ $\displaystyle$$\{0$$,1\$$right\}^{n}}$에서${\displaystyle {}^{}}${$\$n$\}\}\}\}\}\}\}\}$까지의 바이어스탠다.
• For any ${\displaystyle K\in \left\{0,1\right\}^{s}}$, there is an "efficient" algorithm to evaluate ${\displaystyle F_{K}(x)}$ for any ${\displaystyle x\in \left\{0,1\right\}^{n}}$,.
• 모든 확률론적 다차 함수 시간 distinguishers D{D\displaystyle}:Pr(DFK(1n)에게)1)− Pr(Dfn(1n))1)<>ε(s){\displaystyle \left Pr\left(D^{F_{K}}(1^{n})=1\right)-Pr\left(D^{f_{n}}(1^{n})=1\right)\right<>\varepsilon(s)}, K∈{0,1}s {\disp$레이스타일 K\in \{0,1\right\}^{s}}}}}$은(는) 임의로, ${\displaystyle f_{}}$ {\$displaystyle f_{n}}}$은(^[1]는$)$ n비트 문자열의 순열 집합에서 임의로 균일하게 선택된다$$$$.

가성 순열 패밀리는 가성 순열의 모음으로, 키를 사용하여 특정 순열을 선택할 수 있다.

블록 암호의 모델

(키)블록 암호의 이상화된 추상화는 일반 텍스트와 암호 텍스트 간의 매핑에 대한 진정한 무작위 순열이다.블록 암호의 보안 매개변수에 의해 명시된 것보다 적은 노력으로 유의미한 이점을 얻는 구별 알고리즘이 존재한다면(이는 일반적으로 요구되는 노력이 암호의 키 공간을 통한 짐승의 힘 검색과 거의 같아야 함을 의미한다), 암호는 적어도 인증적 의미에서는 깨진 것으로 간주된다.그러한 중단이 즉시 실질적인 보안 실패로 이어지지는 않는다.^[2]

현대의 암호는 초가성성을 가질 것으로 예상된다.즉, 상대가 암호의 정방향과 역방향으로 블랙박스 접근권을 가지고 있더라도 동일한 메시지 공간에서 임의로 선택한 순열과 구별할 수 없어야 한다.^[3]

가성 함수가 있는 연결

Michael Luby와^[4] Charles Racoff는 "강력한" 유사성 순열은 Feistel 암호를 사용하여 건설되는 Luby-Rackoff 구조를 사용하여 유사성 함수로 구축될 수 있다는 것을 보여주었다.

관련개념

예측할 수 없는 순열

예측 불가능한 순열(UP) F는_k 빠른 무작위화 알고리즘으로 값을 예측할 수 없는 순열이다.예측할 수 없는 순열은 더 복잡한 속성을 가진 암호 시스템의 구성 블록인 암호 원시적인 것으로 사용될 수 있다.

예측할 수 없는 순열의 적수는 순열 연산과 역순열 연산을 모두 위해 오라클에 대한 액세스를 부여하는 알고리즘으로 정의된다.상대에게는 도전 입력 k가 주어지며 F의_k 값을 예측하도록 한다.이러한 예측을 돕기 위해 오라클에 일련의 쿼리를 할 수 있지만, k 자체의 값을 쿼리할 수는 없다.^[5]

순열을 생성하기 위한 랜덤화 알고리즘은 출력이 샬레 이전에 다항식(n)의 쿼리 수를 오라클에 만드는 적수에 의해 랜덤보다 훨씬 더 정확하게 예측할 수 없는 항목 집합(길이-n 이진 문자열로 설명됨)에 대한 순열인 경우 예측 불가능한 순열을 생성한다.nge round, 실행 시간이 n 단위의 다항식이고 오류 확률은 모든 인스턴스의 1/2 미만이다.즉, 순열을 위해 오라클에 의해 상대화된 복잡도 등급 PP에서는 예측할 수 없다.^[5]

예측 불가능한 순열의 속성

F기능이_k 예측불가능성 요건만 충족하면 MAC(보안메시지 인증코드)가 아니라는 것을 알 수 있다.또한 n비트의 UP로 모델링된 블록 암호로부터 효율적인 가변 입력 길이 MAC를 구축할 수 없음을 보여줄 수 있다.예측 불가능한 라운드 함수를 가진 k = n/Ω(log log) 원형 Feistel 구조의 출력이 모든 중간 라운드 값을 누설할 수 있는 것으로 나타났다.^[5]현실적인 예측 불가능한 기능(UF)의 경우에도 중간 라운드 값에 대한 일부 정보가 출력을 통해 유출될 수 있다.나중에 페이젤 시공에서 초로건수를 사용할 경우, 적수가 순열 출력과 함께 중간 라운드 값을 모두 얻더라도 결과 UP 시공은 안전하다는 것이 밝혀졌다.^[6]

또한, 만약 UP건설 ψU,k에 대한 예측 불가능성 게임 그리고는 도전자에 쿼리의 다항 갯수 무시할 수 없는 장점 επ고 있는 무시할 수 없는 a가 있는 효율적인 UP상대 Aπ, 그때도 초려과편 아프리카 흑인이 존재하는지 존재하는 의하면 이런 점에서 입증된 바 있는 정리이다dvantage UF 계열 F로부터 샘플링된 UF와의 예측불가능성 게임에서 UP 적수 A의_π 최대 장점은 ε_π = O (ε_f. (qk))⁶임을 알 수 있다.여기서 ε은_f F에서 샘플링된 UF에 대해 O(t + (qk))⁵ 시간에 실행 중인 UF 적수의 최대 이점을 나타낸다. 여기서 t는 PRP 적수 A의_ψ 실행 시간이고 q는 그에 의해 수행된 쿼리 수입니다.^[6][7]

또한 예측불허의 특성을 만족시키고 의사 무작위성을 반드시 충족시키지 않는 서명 체계는 본질적으로 검증 가능한 예측불허함수(VUF)이다.검증 가능한 예측 불가능한 함수는 VRF(Verificable Pharosorandom Function)와 유사하게 정의되지만, 의사 무작위가 더 약한 예측 불가능성으로 대체되는 경우.검증 가능한 예측 불가능한 순열은 VUF의 순열 아날로그 또는 VRP의 예측 불가능한 아날로그다.VRP도 VUP로 VRF에 적용된 Feistel 구축을 통해 VRP를 구축하면 실제로 VUP를 구축할 수 있다.그러나 VUF가 VRF보다 훨씬 쉽게 구성될 수 있어 유용하게 보이지 않는다.^[8]

적용들

• DES

K X → X ∀ X={0,1},⁶⁴ K={0,⁵⁶1}

• AES-128

K X → X ∀ k=X={0,¹²⁸1}

참고 항목

• 블록 암호(비트의 고정 크기 블록에서 작동하는 pseudorandom 순열 패밀리)
• 포맷 보존 암호화(임의의 유한 집합에서 동작하는 pseudorandom 순열 패밀리)

참조