2.3安全评估米
出于可用性的原因,响应空间的大小对在人类身份识别协议中,一般都很小。因此,有很高的可能性|对|-1一个候选人秒具有与相同的响应秒0针对给定的挑战。结束米这种可能性减少到的挑战|对|-米因此,一个分数η|对|米候选人的要素,即S公司,与响应流一致Γ0长度的米。这就要求信息论绑定在米除此之外,我们只期望目标的秘密秒0以满足目标响应流Γ0。此界限,表示为米它,表示为η日志2|对|。因此,攻击者必须至少观察米它challenge-response配对以获得独立于任何攻击的唯一秘密。我们对保险箱的估计米即。,米^,对于CH攻击,只有当其高于时才有意义米它.
让秒∈S公司是这样的d日(秒0,秒)=我.给定均匀随机c(c)∈C,让第页我表示以下概率(f)(c(c),秒)=(f)(c(c),秒0).然后
(2.1)第页我=一我+(1-一我)1|对|=一我(1-1|对|)+1|对|,
哪里
一我:=(η-我u个)(ηu个).
直觉上,一我表示u个候选的位秒被选中应对挑战的人与秘密中的人相同秒0,这是一个距离我从秒.
定理1。
让我<j个<η.然后第页我≥第页j个,当且仅当η-我和η-j个都小于u个.
证明。
当两者都发生时η-我和η-j个小于0,则按惯例(η-我u个)=(η-j个u个)=0,因此第页我=第页j个=1|对|.何时η-我≥u个和η-j个<u个,那么一我≥1,而一j个=0从中可以看出第页我>第页j个.我们只剩下箱子η-我>u个和η-j个≥u个。自我<j个<η,我们有η-我>η-j个这让我们可以写
(η-我u个)=(η-我)(η-我-u个)⋅(η-我-1)(η-我-u个-1)⋯(η-j个+1)(η-j个+1-u个)⋅(η-j个u个)>1⋅1⋯1⋅(η-j个u个)=(η-j个u个).
这意味着一我>一j个因此第页我>第页j个.∎
图1显示的值第页我作为我范围从0到ηη=80,u个=5和|对|=4.注意周围的情况我=η2概率第页我更接近|对|-1=0.25.现在,和以前一样秒∈S公司是这样的d日(秒,秒0)=我。那么响应流的概率秒,即Γ,是距离Γ0由给出(参见[8])
ℙ[d日(Γ0,Γ)=γ∣d日(秒0,秒)=我]=b条(γ,米,第页我),
哪里b条(γ,米,第页我)是二项式分布的概率质量函数,由
b条(γ,米,第页我)=(米γ)第页我γ(1-第页我)米-γ.
让d日(秒0,秒)=ξ对一些人来说秒∈S公司.我们将表示这样一个秒通过秒ξ.给定秒ξ,让秒ξ-1和秒ξ+1表示的两个邻居秒ξ这样的话d日(秒0,秒ξ-1)=ξ-1和d日(秒0,秒ξ+1)=ξ+1。我们首先感兴趣的是为米,区分Γ(秒ξ-1)=Γξ-1和Γ(秒ξ+1)=Γξ+1。这样的值米确保高概率距离-(ξ-1)候选人将被保留在CH攻击中,而不是距离-(ξ+1),这反过来将帮助攻击迭代地接近目标机密秒0(请参见[8]). 如果米这样很难区分响应流Γξ-1和Γξ+1,则CH攻击不会收敛到目标机密秒0因此,这是CH攻击成功的必要条件。因此,我们将获得一个安全的表达式米即。,米^,通过此步骤。
为此,首先定义伯努利随机变量
X={1有可能第页ξ-1,0否则,
和
Y(Y)={1有可能第页ξ+1,0否则.
直觉上,X表示指标随机变量,当秒ξ-1具有与相同的响应秒0。同样适用于Y(Y).进一步定义随机变量Z轴=X-Y(Y)。的预期值Z轴由提供
(2.2)𝔼[Z轴]:=μ=𝔼[X]-𝔼[Y(Y)]=第页ξ-1-第页ξ+1=:ϵ,
以及方差(假设X和Y(Y)独立)由
(2.3)变量[Z轴]:=σ2=(1)2变量[X]+(-1)2变量[Y(Y)]=第页ξ-1(1-第页ξ-1)+第页ξ+1(1-第页ξ+1).
注意,根据定理1,ϵ=第页ξ-1-第页ξ+1>0。如图所示2.
鉴于米i.i.d.随机变量Z轴我类型为Z轴,然后我们对概率感兴趣
(2.4)ℙ[∑我=0米Z轴我≤0],
它估计了米挑战的响应流秒ξ-1至少与秒0作为的秒ξ+1本质上,方程式中的概率(2.4)是错误概率给了小溪Γξ+1,一个区分器错误地决定它属于秒ξ-1当被要求给出二元决策时,我们可以假设区分器的错误概率小于或等于12.我们有兴趣找到样本数量的界限米误差概率接近12。这意味着区分器将无法区分两个响应流Γξ-1和Γξ+1,因此CH攻击很可能无法输出目标机密秒0.
现在,我们可以写下方程式(2.4)作为
ℙ[∑我=0米Z轴我≤0]=ℙ[∑我=0米Z轴我-米μ≤-米μ]=ℙ[∑我=0米Z轴我-米μσ米≤-米μσ米]
=ℙ[∑我=0米Z轴我-米μσ米≤-米μσ]→Φ(-米μσ) 作为米→∞,
在这里我们应用了中心极限定理(定理1)在最后一步中。修正错误概率δ。那么我们想要
(2.5)Φ(-米μσ)≥δ⟹-米≥σμΦ-1(δ)⟹米≤(σμΦ-1(δ))2,
不等式符号的变化如下Φ-1(δ)≤0对于δ≤12注意,我们也可以使用一个浓度不等式,例如霍夫丁不等式(定理2),以获得
ℙ[∑我=0米Z轴我≤0]=ℙ[∑我=0米Z轴我-∑我=0米𝔼[Z轴我]≤-米ϵ]≤经验(-2ϵ2∑我=0米4)=经验(-ϵ2米2),
我们利用了这个事实一我=-1,b条我=1和𝔼[Z轴我]=μ=ϵ。但这是错误概率尾部的上限,只会给我们一个下限
(2.6)米≥-2ϵ2在(δ)
对于误差概率δ尾部的固定上界所需的最小样本数。这与我们的目的相反,我们的目的是在米误差概率接近12.
我们定义了我们的界限米根据方程式(2.5)通过固定δ=0.495,这给了我们
(2.7)米^:=(σμΦ-1(0.495))2≈σ2μ2(-0.0125)2≈σ2μ20.00016=0.00016σ2ϵ2,
其中ϵ值和σ2如方程式所示(2.2)和方程式(2.3)分别是。
2.3.1实证评估
从那以后米^对应于接近的错误概率12,CH攻击应不成功(已观察到)米≤米^。由于我们依赖一些简化假设来获得此估计,例如X和Y(Y)以及通过中心极限定理的正态近似,值得从经验上验证这个估计。为此,我们运行了子程序CH攻击使用的距离-ξ邻居秒0在模拟识别协议上(正如Coskun和Herley所做的那样[8]). 更具体地说,我们随机选择秒∈S公司-{秒0}这样的话d日(秒,秒0)=ξ,并执行“攻击”的步骤2至81.这使我们不必费力地通过2η/(ηξ)候选人,这将需要相当长的时间。因此,随机秒∈S公司-{秒0}每次都是这样选择的d日(秒,秒0)=ξ。通过随机抽样模拟每个新的随机挑战u个(最初随机选择的)目标机密η中的位秒0(从而模拟随机挑战将包含随机u个一些秘密)。响应是从集合中随机生成的{0,1,…,|对|-1}.为了在两个挑战包含相同内容的情况下使响应一致u个一些秘密,创建了一个哈希表,其中包含u个-位字符串作为键,响应作为值。对于η和u个,我们对ξ的每个值运行CH攻击子程序25次,从1开始,直到估计米^大于10,000挑战-响应配对。结果如图所示三.信息论下限米它=η日志2|对|图中也显示了。从图中可以看出,η和u个,即数字e(电子),(f),小时,我,k和我,成功概率为0米^通过方程式获得(2.7). 对于图形我,我们扩展了截止的值米^到60,000挑战-响应配对。如图所示,CH攻击的成功率仍然为0。我们注意到,虽然我们选择了δ=0.495,δ值接近0.5就足够了。例如,我们的模拟还发现δ=0.490成为一个安全的选择。当然,δ=0.490给出了更高的值米^与δ=0.495ξ的固定值。进一步降低δ,例如降低到0.400,不建议作为安全选择。图4显示了原因。
图3的值米^根据方程式(2.7)以及CH攻击对ξ增加值的成功率(x个-轴)。|对|固定为4。这个年-轴是对数刻度的。图例:—米^;—-米它;浅绿色条表示成功率;××100%成功边界;++50%的成功边界。
2.4估算工作系数
在本小节中,我们获得了CH攻击的功因子(WF)的简单分析估计。请注意,我们有兴趣找到λ的值,以便2λ≈WF公司因此,估计值减去2的两次方就足够了。每当我们绘制WF时,它都会出现在日志2-比例尺。CH攻击的功因子由下式给出(参见[8,第页。 434])
(2.8)WF公司=1(ηξ)(2η+τηξ∑我=0η(η我)∑j个=米第页ξ米(米j个)第页我j个(1-第页我)米-j个),
其中τ是Coskun和Herley设定为10的阈值米第页ξ选择的边界是否使响应流距离小于米第页ξ从目标机密的响应流中丢弃[8]。定义
WF公司1=2η(ηξ),
我们称之为暴力术语[8]。让
α我:=∑j个=米第页ξ米(米j个)第页我j个(1-第页我)米-j个,
并定义右侧术语
WF公司2=τηξ(ηξ)∑我=0η(η我)α我.
给定值为米^通过方程式计算出ξ的固定值(2.7),可以通过方程式直接测量WF(2.8). 然而,这种方法存在两个问题。第一个是米^数字越大α我计算成本很高。事实上,科斯昆和赫利只对u个=5(请参见[8,第页。 437]). 其次,从WF这个相当粗糙的表达中不可能有太多见解。因此,我们进一步探讨了这个表达。
首先,我们对这些数字进行了估计α我注意,本质上,α我是二项式的比例(η我)保留。定义伯努利随机变量
X我={1有可能第页我,0否则.
让X我,1,X我,2,…,X我,米表示i.i.d.伯努利随机变量,其中每个X我,j个类型为X我以上。弗斯特修理一个我>ξ,其中ξ>0那么,从萨诺夫定理(定理5)和推论6,我们有
ℙ[∑j个=1米X我,j个≥米第页ξ]→2-米D类(P(P)ξ∥P(P)我) 作为米→∞.
由此我们可以估计α我≈2-米D类(P(P)ξ∥P(P)我)什么时候我≥ξ和α我≈1-2-米D类(P(P)ξ∥P(P)我)什么时候我<ξ(参见示例图5).
然而,如图所示1,对于ξ的较大值,例如ξ>η2,的邻居的概率差异很小秒ξ因此,我们的边界α我基于大偏差假设的,将出错。对此进行补偿的一种方法是使用数值的法线近似值α我作为Φ(-米μX我/σX我)为附近的邻居秒ξ什么时候ξ>η2以与第节类似的方式2.3,其中μX我=第页我和σX我2=第页我(1-第页我).一种不太混乱的方法是将数字上界α我乘以0.5我>ξ下限为0.5我<ξ,表明这些金额预计不会超过这些限制(见图5). 这为我们提供了以下估计:
(2.9)α我≈{最大值{1-2-米D类(P(P)ξ∥P(P)我),0.5}如果我<ξ,0.5如果我=ξ,最小值{0.5,2-米D类(P(P)ξ∥P(P)我)}如果我>ξ.
根据这个数字的估计α我我们表示的是WF公司2通过WF公司2^.图6显示实际工作系数WF公司2与我们的估计相比WF公司2^。请注意WF公司2^预计比简单地近似所有数字要好α我通过标准正态估计(不仅仅是αξ),因为对于较大的偏差,标准正态估计值较差。为了说明这一点,我们举例说明WF公司2反对WF公司2^和标准正态估计,表示为WF公司2~,如图所示7对于η=800.注意如何WF公司2~偏离了许多数量级。为了获得高精度值,我们实现了WF公司2~使用mpmath Python库[12]精度为200位小数。
图6实际工作系数WF公司2与估计值相比WF公司2^什么时候η=80,u个=15和ξ∈{1,10,60}反对米在范围内[1,200].图例:—日志2WF公司2;—-日志2WF公司^2.
我们现在可以看到工作系数估算的演变WF公司^反对米^(使用δ=0.495在方程式中(2.7))如图所示8,通过替换获得WF公司2通过WF公司^2在方程式中(2.8).
该图表明CH攻击的计算复杂度在ξ≈η2。我们现在表明,对于适当大的值u个。在此过程中,我们还获得了WF公司^.修复0<β<1这样的话u个=βn个我们想证明对于一个适当大的β(比如110),数字α我所有值至少为0.5我∈{1,…,ξ,…,η-u个}从数字的定义α我在方程式中(2.9)很明显,对于我≤ξ,α我≥0.5。对于我>ξ,表明了这一点α我≥0.5与展示相同
2-米^D类(P(P)ξ∥P(P)我)≥2-1⟹-米^D类(P(P)ξ∥P(P)我)≥-1⟹米^D类(P(P)ξ∥P(P)我)≤1.
首先观察到,自从第页我≥|对|-1>0为所有人我∈{0,1,…,η}、和第页ξ<1为所有人ξ>1,根据定理1,0<第页我<第页ξ<1然后从定理4并通过设置z=Φ-1(δ)在方程式中(2.7),我们得到
米^D类(P(P)ξ∥P(P)我)=σ2z2ϵ2D类(P(P)ξ∥P(P)我)
≤σ2z2(第页ξ-1-第页ξ+1)21θ(第页ξ-第页我)2
=σ2z2θ(第页ξ-第页我)2(第页ξ-1-第页ξ+1)2
≤z22θ(第页ξ-第页我)2(第页ξ-1-第页ξ)2,
我们利用了这样一个事实σ2≤12(通过应用命题三关于方程式(2.3)). 现在为我>ϵ,
(第页ξ-第页我)2≤(第页ξ-1|对|)2=((η-ξu个)(ηu个)(1-1|对|))2
和
(第页ξ-1-第页ξ)2=((η-ξ+1u个)-(η-ξu个)(ηu个)(1-1|对|))2
=((η-ξ+1η-ξ+1-u个-1)(η-ξu个)(ηu个)(1-1|对|))2
=(u个η-ξ+1-u个)2((η-ξu个)(ηu个)(1-1|对|))2.
替换这些值并进行简化,我们得到
米^D类(P(P)ξ∥P(P)我)≤z22θ(η-ξ+1-u个u个)2.
现在,替换u个=βn个,我们得到
(η-ξ+1-u个u个)2=1β2(1-ξη+1η-β)2≤1β2(1-β)2 (自ξ≥1).
此外,对于所有人我∈{1,…,η-u个},的第页我使其最小化第页我(1-第页我)对应于我=1.现在,
第页1=(η-1u个)(ηu个)(1-1|对|)+1|对|
=η-u个η(1-1|对|)+1|对|
=(1-β)(1-1|对|)+1|对| (替换u个=βη)
=1-β(1-1|对|).
让θ我对应于定理中的θ4具有相关间隔[第页ξ,第页我].如果我们允许θ=最小值我{θ我},那么
θ=第页1(1-第页1)
=(1-β(1-1|对|))β(1-1|对|)
=β2(1β-(1-1|对|))(1-1|对|)
>β2(1β-1)|对|-1|对| (自|对|-1>0),
这意味着
1θ<1β2β1-β|对||对|-1≤2β2β1-β (自|对|≥2).
将这些结果替换为米^D类(P(P)ξ∥P(P)我),我们最终获得
米^D类(P(P)ξ∥P(P)我)≤z222β2β1-β1β2(1-β)2=z2β4β(1-β)≤14z2β4,
最后一个不等式来自命题三。如果β≥|z|2.根据方程式(2.7),我们选择了|z|≈0.0125,因此β≥0.08作为一种选择就足够了。由此可以看出2-米^D类(P(P)ξ∥P(P)我)≥0.5.因此WF公司^2对于米^至少是
(2.10)WF公司^2=τηξ(ηξ)∑我=0η(η我)α我≥τηξ(ηξ)122η=τηξ(ηξ)2η-1.
注意,由于二项式和的最大值为2η,上述工作系数接近最大值,因为米^
WF公司^2≤τηξ(ηξ)2η.
上述表达式的最小值约为ξ=η2.这是真的,因为
(ηξ)={𝒪(ηξ)的ξ≤η2,𝒪(ηη-ξ)的ξ>η2,
和条款ξηξ和ξηη-ξ在以下情况下具有最小值ξ=η2.替换WF公司2值为WF公司^2通过方程式获得(2.10)在方程式中(2.8),我们看到总工作系数WF公司由WF公司2什么时候米=米^(和u个≥βη),自
WF公司≈(2+τηξ)(ηξ)2η-1≈τηξ(ηξ)2η-1.
我们在以下启发式定理中总结了我们的发现。
定理2。
让第页我按公式定义(2.1)的我∈{0,1,…,η}此外,让米^=(σzϵ)2,其中
ϵ2=(第页ξ-1-第页ξ+1)2 𝑎𝑛𝑑 σ2=第页ξ-1(1-第页ξ-1)+第页ξ+1(1-第页ξ+1),
和z=Φ-1(δ)对一些人来说δ∈(0,12).那么如果u个≥βη,其中β=|z|2Coskun和Herley攻击的功因子为
WF公司≈τηξ(ηξ)2η-1,
当ξ=η2对于1≥ξ≥η-u个和u个≤η2.如果u个>η2,最小值为ξ=η-u个.
我们重申,我们有兴趣找到这样的λ2λ≈WF公司因此,与真实值相差几次方2的估计就足够了。