Oh Junge, wo soll ich anfangen?
Das große ist definitiv Black Boxes. Krypto-Forscher machen sich Sorgen um Dinge wie das Unbeständigkeitsproblem des Zufalls-Oracle-Modells. Sicherheitsforscher sind am anderen Ende der Welt und möchten, dass alles als Black Box und nicht nur als Hash-Funktion verwendet werden kann. Dies ist eine ständige Spannungsquelle.
Wenn Sie sich die formale Analyse von Sicherheitsprotokollen ansehen, zum Beispiel die BAN-Logik , werden Sie feststellen , dass die symmetrische Verschlüsselung als "ideale Blockverschlüsselung" behandelt wird. Hier gibt es eine subtile Unterscheidung: Die BAN-Logik (und andere Protokollanalysetechniken) erheben keinen Anspruch auf Sicherheitsnachweise. Vielmehr handelt es sich um Techniken zum Auffinden von Fehlern. Daher ist es nicht unbedingt richtig, dass es sich um das ideale Verschlüsselungsmodell handelt. Es ist jedoch empirisch richtig, dass der größte Teil der Sicherheitsanalyse auf das formale Modell beschränkt ist, sodass der Effekt der gleiche ist.
Wir haben noch nicht einmal über Praktizierende gesprochen. Diese Typen haben normalerweise nicht einmal eine Ahnung, dass Krypto-Primitive keine Black Box sein sollen, und ich bezweifle, dass sich dies jemals ändern wird - Jahrzehnte des Versuchs, dies in den Kopf zu schlagen, haben keinen Unterschied gemacht.
Beachten Sie diese Sicherheitshinweise zur Fälschbarkeit von API-Signaturen, um festzustellen, wie schlimm das Problem ist . Der Fehler ist teilweise auf die Längenerweiterungs-Attacke in der Merkle-Damgard-Konstruktion zurückzuführen (was wirklich sehr grundlegend ist) und betrifft Flickr, DivShare, iContact, Mindmeister, Myxer, RememberTheMilk, Scribd, Vimeo, Voxel, Wizehhive und Zoomr. Die Autoren weisen darauf hin, dass dies keine vollständige Liste ist.
Ich denke, die Praktizierenden verdienen den Löwenanteil der Schuld für diesen traurigen Zustand. Andererseits müssen Krypto-Theoretiker vielleicht auch ihre Position überdenken. Ihre Linie war: "Blackboxes sind unmöglich zu bauen; wir werden es nicht einmal versuchen." Zu dem, was ich sage, da klar ist, dass Ihre Konstruktionen sowieso als Blackbox verwendet werden (werden), warum sollten Sie nicht zumindest versuchen, sie so nah wie möglich an Blackboxen zu bringen?
Die Zeitung Merkle-Damgard Revisited ist ein großartiges Beispiel dafür, wovon ich spreche. Sie untersuchen den Sicherheitsbegriff, dass "die Hash-Funktion beliebiger Länge H sich wie ein zufälliges Orakel verhalten muss, wenn der Baustein fester Länge als zufälliges Orakel oder ideale Blockchiffre betrachtet wird." Diese Art der theoretischen Forschung kann in der Praxis von großem Nutzen sein.
Kommen wir nun zu Ihrem Beispiel für die Schaltungsbewertung. Ich bitte Sie, Ihrer Argumentation nicht zuzustimmen. Es ist nicht so, als würdest du eine kompilierte Binärdatei in eine Schaltung verwandeln. Vielmehr würden Sie die Schaltkreisbewertung nur auf die zugrunde liegende Vergleichsfunktion anwenden, was normalerweise recht einfach ist. Fairplay ist eine Implementierung der Schaltkreisbewertung. Ein Kollege von mir, der damit gearbeitet hat, sagt mir, dass es überraschend schnell ist. Es stimmt zwar, dass Effizienz ein Problem bei der Schaltkreisbewertung ist (und ich kenne Fälle aus der Praxis, in denen sie aus diesem Grund abgelehnt wurde), aber es ist alles andere als ein Showstopper.
Der zweite Grund, warum ich mit Ihnen nicht einverstanden bin, ist, dass Sie über einige der typischen realen Szenarien nachdenken, in denen Sie möglicherweise eine vergessene Schaltungsbewertung durchführen möchten - zum Beispiel, wenn zwei Unternehmen überlegen, ob sie fusionieren sollen - die Berechnungskosten beteiligt sind trivial im Vergleich zur Gesamt menschlichen Anstrengung und Budget.
Warum verwendet dann niemand in der Praxis eine generische sichere Funktionsbewertung? Gute Frage. Das bringt mich zu meinem zweiten Unterschied zwischen Theorie und Praxis: Vertrauen existiert tatsächlich in der Praxis! Im paranoiden Modell muss nicht alles getan werden. Die Menge der Probleme, die die Leute tatsächlich mit Krypto lösen wollen, ist viel, viel kleiner als es sich Kryptografen vorstellen.
Ich kenne jemanden, der eine Firma gegründet hat, die versucht, sichere Multiparty-Rechendienste an Unternehmenskunden zu verkaufen. Ratet mal - niemand wollte es. Sie gehen diese Probleme an, indem sie einen Vertrag unterzeichnen, in dem festgelegt wird, was Sie mit den Daten tun und was nicht, und dass Sie die Daten zerstören, nachdem Sie sie für den vorgesehenen Zweck verwendet haben. Meistens funktioniert dies einwandfrei.
Mein letzter Unterschied zwischen Theorie und Praxis betrifft die PKI. Kryptopapiere enthalten häufig einen Satz mit der Aufschrift "Wir nehmen eine PKI an". Leider sind digitale Zertifikate für Endbenutzer (im Gegensatz zu Websites oder Mitarbeitern in einem Unternehmenskontext, in dem es eine natürliche Hierarchie gibt) nie zustande gekommen. In diesem klassischen Artikel wird die Heiterkeit beschrieben, die entsteht, wenn Sie normale Personen zur Verwendung von PGP auffordern. Mir wurde gesagt, dass sich die Software seitdem stark verbessert hat, aber die zugrunde liegenden Design- und Architekturprobleme sowie die menschlichen Einschränkungen unterscheiden sich heutzutage nicht wesentlich.
Ich denke nicht, dass Kryptografen aufgrund des Fehlens einer echten PKI etwas anderes tun sollten, außer sich der Tatsache bewusst zu sein, dass dies die Anwendbarkeit von kryptografischen Protokollen in der Realität einschränkt. Ich habe es reingeworfen, weil ich es zu reparieren versuche.