תמורה פסאודו-אקראית

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

בקריפטוגרפיה, תמורה פסאודו-אקראית (Pseudorandom Permutation) בקיצור PRP היא פונקציה שלא ניתן להבחין בינה לבין תמורה אקראית שנבחרה בהתפלגות אחידה מתוך משפחת כל התמורות בעלות תחום דומה[1]. במילים אחרות PRP היא משפחה של תמורות המדמות אורקל אקראי באופן שלא קיים אלגוריתם יעיל שיכול להבחין עם יתרון משמעותי לפי הפלט, בין תמורה שנבחרה ממשפחה זו לבין תמורה אקראית. ההבדל היחיד בין תמורה פסאודו-אקראית לפונקציה פסאודו-אקראית הוא שבתמורה תמיד קיימת פונקציה הופכית.

אובייקט תאורטי דומה נקרא תמורה בלתי צפויה (unpredictable permutation) בקיצור UP. על בסיס פונקציה בלתי צפויה, תמורה בלתי צפויה היא תמורה שלא קיים אלגוריתם אקראי יעיל שיכול לחזות את ערכיה בדיוק גבוה באופן משמעותי מניחוש אקראי[2].

מהיבט תאורטי האובייקטים PRP ו-UP הם כלים דומים לבניית פרימיטיבים קריפטוגרפיים חשובים כמו פונקציות גיבוב, צופן בלוקים וקוד אימות מסרים.

הגדרה[עריכת קוד מקור | עריכה]

תהי פונקציה יעילה, משמרת-אורך, עם מפתח. אפשר להתייחס אל כאל משפחה של תמורות, למשל הפונקציה היא תמורה אחת מתוך המשפחה, כך שעבור כל שנבחר באקראי היא תמורה עם מפתח. כיוון שאורך הפלט זהה לאורך הקלט, מזה נובע שהיא חד-חד-ערכית ועל. היא נקראת יעילה אם קיים אלגוריתם יעיל שיכול להריץ את בזמן פולינומי בהינתן ו- וכן קיים אלגוריתם יעיל שיכול לחשב את התמורה ההופכית בהינתן ו-. ההנחה המשתמעת מכאן שאורכי הקלט, הפלט והמפתח זהים אינה בהכרח מדויקת תמיד. למעשה הפלט חייב להיות כאורך הקלט אחרת היא לא תקרא תמורה, אולם המפתח יכול להיות באורך שונה. נהוג לכנות את אורך הקלט והפלט "בלוק" שאורכו הוא סיביות. וכן נקרא פרמטר ביטחון.

בדומה לפונקציה פסאודו-אקראית, כדי שהתמורה תקרא פסאודו-אקראית היא צריכה להיות בלתי ניתנת להבחנה מתמורה אקראית באורך זהה. למעשה ההבדל בין פונקציה פסאודו-אקראית לבין תמורה פסאודו-אקראית אינו גדול כי תמורה ופונקציה באורך זהה ניראות גם ככה דומות ולא ניתן לזהות הבדל ביניהן אלא אם כן מוצאים שני ערכים ו- כך שמתקיים שאז אנחנו יודעים שהיא אינה תמורה. אולם ההסתברות שימצאו שני ערכים כאלה בזמן פולינומי כאשר גדול, זניחה.

למעשה הטענה הבאה נכונה: אם היא פרמוטציה פסאודו-אקראית אז היא גם פונקציה פסאודו-אקראית. אך מפני שבכל תמורה מחייבת שתהיה גם פונקציה הופכית , עובדה זו יוצרת בעיה שלא קיימת בפונקציה פסאודו-אקראית, כי כעת צריך לוודא שהתמורה תהיה בטוחה גם אם למבחין גישה לאורקל הפונקציה ההופכית. מעצם ההגדרה של פונקציה פסאודו-אקראית לא בהכרח קיימת פונקציה הופכית. אם התמורה היא בעלת תכונה כזו היא תקרא תמורה פסאודו-אקראית חזקה. בניסוח פורמלי:

תהי תמורה יעילה עם מפתח. היא תקרא תמורה פסאודו-אקראית חזקה אם עבור כל מבחין פולינומי הסתברותי D קיימת פונקציית זניחות כך שמתקיים
.

כאשר הוא מפתח שנבחר באקראי בהתפלגות אחידה והפונקציה נבחרה באקראי מתוך קבוצת כל התמורות האפשריות באורך סיביות. האינטואיציה מאחורי הביטוי הזה היא שאם לא קיים אלגוריתם הבחנה פולינומי, שמיוצג כאן על ידי D שיכול לזהות לפי הפלט, הבדל כלשהו בין התמורה אפילו בהינתן התמורה ההופכית , לבין תמורה אקראית אמיתית בהתסברות גבוהה משיעור זניח שנקבע על ידי פונקציית הזניחות אז היא נחשבת לתמורה פסאודו-אקראית חזקה (מבחינה חישובית).

תמורה בלתי צפויה[עריכת קוד מקור | עריכה]

תמורה בלתי צפויה היא הגדרה קצת יותר חלשה מתמורה פסאודו-אקראית. היריב במקרה של תמורה בלתי צפויה הוא אלגוריתם הסתברותי שמקבל גישה לאורקל לשני הכיוונים, התמורה והתמורה ההופכית . היריב מקבל אתגר והוא מתבקש לנחש מה יהיה פלט הפונקציה . הוא רשאי לבצע סדרה של שאילתות לאורקל למעט שאילתה בנוגע ל-.

הגדרה פורמלית[עריכת קוד מקור | עריכה]

אלגוריתם אקראי פולינומי ייקרא תמורה בלתי צפויה אם עבור כל מבחין הסתברותי פולינומי שלא רשאי להגיש לאורקל שאילתה בנוגע לתחזית עצמה (התמורה), קיימת פונקציית זניחות כך שמתקיים:

תמורה פסאודו-אקראית וצופן בלוקים[עריכת קוד מקור | עריכה]

הביטוי העיקרי לתמורה פסאודו-אקראית מבחינה מעשית הוא צופן בלוקים. חשוב להדגיש שכל צופן בלוקים נחשב, אם כי לא מוכח, לתמורה פסאודו-אקראית חזקה. כשהדגש הוא על חזקה. בזכות תכונה זו אפשר לבנות מצופן בלוקים פרימיטיבים קריפטוגרפיים רבים ולנתח את ביטחונם באופן תאורטי. ביניהם למשל הצפנה מאומתת וקוד אימות מסרים. אף על פי שרוב צפני הבלוקים הקיימים כיום עונים להגדרה של פרמוטציה פסאודו אקראית חזקה, יש יתרון מהיבט של יעילות להוכיח שצופן בלוקים בטוח תחת הגדרה פחות חזקה במקרים בהם אפשר להסתפק בכך.

רשת פייסטל היא מבנה קריפטוגרפי פופולרי, שמקבל פונקציה חד-כיוונית לא הפיכה וממנה מייצר תמורה הפיכה עם מפתח. רשת פייסטל היא מבנה איטרטיבי הפועל כדלהלן. הקלט באורך סיביות מחולק לשני חצאים ו- (חצי ימני וחצי שמאלי בהתאמה) כל אחד באורך סיביות, בהינתן פונקציה פסאודו-אקראית שמקבלת את וקלט באורך ומחזירה פלט פסאודו-אקראי באורך מבנה פייסטל מתבצע כך:

ברור שבמהלך הראשון המבנה המתואר אינו פסאודו-אקראי אפילו ש- פסאודו-אקראית כי החצי השמאלי הוא למעשה חצי הקלט הימני ללא שינוי. וכן במהלך השני אפשר להראות שהפלט אינו פסאודו-אקראי כי קיים אלגוריתם פולינומי שיכול להבחין בינו לבין פלט אקראי. יש לזכור שבכל מהלך צריך מפתח שונה ובלתי תלוי במפתחות הקודמים. למרבה ההפתעה רשת פייסטל בשלושה מהלכים עם שלושה מפתחות שונים, נחשבת לפסאודו-אקראית אך לא פסאודו-אקראית חזקה. לעומת זאת הוכח שרשת פייסטל בארבעה מהלכים עם ארבעה מפתחות שונים נחשבת לתמורה פסאודו-אקראית חזקה, בהנחה שהפונקציה הפנימית נחשבת פסאודו-אקראית[3].

צריך לזכור שצופן בלוקים כשלעצמו אינו בטוח לשימוש לבד, אלא הוא רק "אבן בניין" שממנה ניתן בין היתר לבנות מערכת הצפנה בטוחה. לצורך המחשה, אם משתמשים בצופן בלוקים ישירות במערכת הצפנה, למשל המצפין שולח את למקבל, כאשר הוא צופן בלוקים שמקבל את המפתח איתו הוא מצפין את ומחזיר את (למשל AES). אפשר להוכיח שמערכת כזו לא תהיה עמידה נגד התקפת מוצפן-נבחר, מפני שהצפנה כזו היא דטרמיניסטית באופיה ולכן המתקיף יכול להבחין בקלות אם הוצפנו בלוקים זהים עם אותו מפתח. הבחנה זו חשובה ולא תמיד מושם עליה דגש כראוי. אחת הדרכים להתמודד עם חיסרון זה היא להשתמש בצופן הבלוקים במסגרת מצב הפעלה בטוח. קיימים מצבי הפעלה שונים של צופן בלוקים הכוללים בין היתר הצפנה מאומתת, כשכל אחד מהם מספק ביטחון בדרך שונה ובעל מאפיינים שונים בהתאם לסביבה, מידת האיום ואילוצי יעילות. במערכות הצפנה מודרניות נהוג לשלב אקראיות כדי לעמוד במודלים של ביטחון מחמירים יותר.

ראו גם[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Jonathan Katz and Yehuda Lindell (2007). Introduction to Modern Cryptography (2nd edition).
  2. ^ New Design Criteria for Hash Functions and Block Ciphers.
  3. ^ Michael Luby, Charles Rackoff. "How to construct pseudo-random permutations from pseudo-random functions", 1985. [1] [2]