La seguridad demostrable se refiere a cualquier tipo o nivel de seguridad informática que pueda demostrarse. Se utiliza de diferentes maneras en diferentes campos.
Por lo general, esto se refiere a pruebas matemáticas , que son comunes en criptografía . En tal prueba, las capacidades del atacante están definidas por un modelo adversarial (también conocido como modelo de atacante): el objetivo de la prueba es mostrar que el atacante debe resolver el problema difícil subyacente para romper la seguridad del sistema modelado. Esta prueba generalmente no considera ataques de canal lateral u otros ataques específicos de implementación, porque generalmente son imposibles de modelar sin implementar el sistema (y, por lo tanto, la prueba solo se aplica a esta implementación).
Fuera de la criptografía, el término se utiliza a menudo junto con codificación segura y seguridad por diseño , los cuales pueden depender de pruebas para mostrar la seguridad de un enfoque particular. Al igual que con la configuración criptográfica, esto implica un modelo de atacante y un modelo del sistema. Por ejemplo, se puede verificar que el código coincida con la funcionalidad prevista, descrita por un modelo: esto se puede hacer mediante verificación estática . Estas técnicas se utilizan a veces para evaluar productos (ver Criterios comunes ): la seguridad aquí depende no sólo de la exactitud del modelo del atacante, sino también del modelo del código.
Finalmente, el término seguridad demostrable a veces lo utilizan los vendedores de software de seguridad que intentan vender productos de seguridad como firewalls , software antivirus y sistemas de detección de intrusos . Como estos productos normalmente no están sujetos a escrutinio, muchos investigadores de seguridad consideran que este tipo de afirmación es vender aceite de serpiente .
En criptografía , un sistema tiene seguridad demostrable si sus requisitos de seguridad pueden expresarse formalmente en un modelo adversarial , en lugar de heurísticamente, con suposiciones claras de que el adversario tiene acceso al sistema y suficientes recursos computacionales. La prueba de seguridad (llamada "reducción") es que estos requisitos de seguridad se cumplen siempre que se cumplan los supuestos sobre el acceso del adversario al sistema y se mantengan algunos supuestos claramente establecidos sobre la dureza de ciertas tareas computacionales . Goldwasser y Micali dieron un ejemplo temprano de tales requisitos y pruebas para la seguridad semántica y la construcción basada en el problema de residuosidad cuadrática . Algunas pruebas de seguridad se encuentran en modelos teóricos dados, como el modelo de oráculo aleatorio , donde las funciones hash criptográficas reales se representan mediante una idealización.
Existen varias líneas de investigación en seguridad demostrable. Una es establecer la definición "correcta" de seguridad para una tarea dada, intuitivamente entendida. Otra es sugerir construcciones y pruebas basadas en suposiciones generales tanto como sea posible, por ejemplo, la existencia de una función unidireccional . Un importante problema abierto es establecer tales pruebas basadas en P ≠ NP , ya que no se sabe que la existencia de funciones unidireccionales se derive de la conjetura P ≠ NP .
Varios investigadores han encontrado falacias matemáticas en pruebas que se habían utilizado para hacer afirmaciones sobre la seguridad de protocolos importantes. En la siguiente lista parcial de dichos investigadores, sus nombres van seguidos primero de una referencia al artículo original con la supuesta prueba y luego de una referencia al artículo en el que los investigadores informaron sobre los defectos: V. Shoup; [1] [2] AJ Menezes; [3] [4] A. Jha y M. Nandi; [5] [6] D. Galindo; [7] [8] T. Iwata, K. Ohashi y K. Minematsu; [9] [10] M. Nandi; [11] [12] J.-S. Corón y D. Naccache; [13] [14] D. Chakraborty, V. Hernández-Jiménez y P. Sarkar; [15] [16] P. Gaži y U. Maurer; [17] [18] SA Kakvi y E. Kiltz; [19] [20] y T. Holenstein, R. Künzler y S. Tessaro. [21] [22]
Koblitz y Menezes han escrito que los resultados de seguridad demostrables para protocolos criptográficos importantes frecuentemente contienen falacias en las pruebas; a menudo se interpretan de manera engañosa y dan falsas garantías; normalmente se basan en suposiciones sólidas que pueden resultar falsas; se basan en modelos de seguridad poco realistas; y sirven para distraer la atención de los investigadores de la necesidad de pruebas y análisis "anticuados" (no matemáticos). Su serie de artículos que respaldan estas afirmaciones [23] [24] han sido controvertidos en la comunidad. Entre los investigadores que han rechazado el punto de vista de Koblitz-Menezes se encuentra Oded Goldreich , un destacado teórico y autor de Foundations of Cryptography . [25] Escribió una refutación de su primer artículo "Otra mirada a la 'seguridad demostrable'" [26] que tituló "Sobre la criptografía posmoderna". Goldreich escribió: "... señalamos algunos de los defectos filosóficos fundamentales que subyacen a dicho artículo y algunos de sus conceptos erróneos con respecto a la investigación teórica en criptografía en el último cuarto de siglo". [27] : 1 En su ensayo Goldreich argumentó que la metodología de análisis riguroso de la seguridad demostrable es la única compatible con la ciencia, y que Koblitz y Menezes son "reaccionarios (es decir, hacen el juego a los oponentes del progreso)". [27] : 2
En 2007, Koblitz publicó "La incómoda relación entre las matemáticas y la criptografía", [28] que contenía algunas declaraciones controvertidas sobre seguridad demostrable y otros temas. Los investigadores Oded Goldreich, Boaz Barak, Jonathan Katz , Hugo Krawczyk y Avi Wigderson escribieron cartas en respuesta al artículo de Koblitz, que se publicaron en los números de noviembre de 2007 y enero de 2008 de la revista. [29] [30] Katz, coautor de un libro de texto de criptografía de gran prestigio, [31] calificó el artículo de Koblitz como "esnobismo en estado puro"; [29] : 1455 y Wigderson, que es miembro permanente del Instituto de Estudios Avanzados de Princeton, acusó a Koblitz de "calumnia". [30] : 7
Ivan Damgård escribió más tarde un documento de posición en ICALP 2007 sobre cuestiones técnicas, [32] y Scott Aaronson lo recomendó como un buen análisis en profundidad. [33] Brian Snow , ex director técnico de la Dirección de Garantía de la Información de la Agencia de Seguridad Nacional de EE. UU. , recomendó el artículo de Koblitz-Menezes "El nuevo mundo valiente de suposiciones audaces en criptografía" [34] a la audiencia en la Conferencia RSA 2010 Cryptographers Panel. [35]
Seguridad demostrable clásica destinada principalmente a estudiar la relación entre objetos definidos asintóticamente . En cambio, la seguridad demostrable orientada a la práctica se ocupa de objetos concretos de la práctica criptográfica, como funciones hash, cifrados de bloque y protocolos a medida que se implementan y utilizan. [36] La seguridad demostrable orientada a la práctica utiliza seguridad concreta para analizar construcciones prácticas con tamaños de clave fijos. "Seguridad exacta" o " seguridad concreta " es el nombre que se le da a las reducciones de seguridad demostrables en las que se cuantifica la seguridad calculando límites precisos del esfuerzo computacional, en lugar de un límite asintótico que se garantiza que se mantendrá para valores "suficientemente grandes" del parámetro de seguridad .
{{citation}}
: Mantenimiento CS1: fecha y año ( enlace ){{cite book}}
: Enlace externo en |postscript=
( ayuda )Mantenimiento CS1: posdata ( enlace ){{cite journal}}
: Enlace externo en |postscript=
( ayuda )Mantenimiento CS1: posdata ( enlace )