この単純なXOR暗号化通信は完全に安全ですか？

アリスとピーターにはそれぞれ4GBのUSBフラッシュメモリスティックがあるとします。ランダムに生成されたビットを含むalice_to_peter.key（2GB）およびpeter_to_alice.key（2GB）という名前の2つのファイルを両方のスティックに保存します。二度と会うことはありませんが、電子的に通信します。また、Aliceはという変数を維持し、alice_pointerPeterはという変数を維持peter_pointerします。どちらも最初はゼロに設定されています。

アリスがピーターにメッセージを送信する必要がある場合、アリスnは次のことを行います（メッセージのn番目のバイトは次のとおりです）。

encrypted_message_to_peter[n] = message_to_peter[n] XOR alice_to_peter.key[alice_pointer + n]
encrypted_payload_to_peter = alice_pointer + encrypted_message_to_peter
alice_pointer += length(encrypted_message_to_peter)

（そして最大限のセキュリティのために、キーの使用済み部分は消去できます）

Peterはencrypted_payload_to_peter、alice_pointerメッセージの最初に格納された読み取りを受け取り、実行します。

message_to_peter[n] = encrypted_message_to_peter[n] XOR alice_to_peter.key[alice_pointer + n]

また、最大限のセキュリティを確保するために、メッセージを読んだ後、キーの使用済み部分も消去します。 -編集：実際、この完全なチェックと認証のないこの単純なアルゴリズムのステップはセキュリティを低下させます。以下のPaŭloEbermannの投稿を参照してください。

ピーターがアリスにメッセージを送信する必要があるとき、彼らは今度はとで逆をpeter_to_alice.key行いpeter_pointerます。

この簡単なスキーマを使用すると、今後50年間、毎日2GB /（50 * 365）=〜115kBの暗号化データを双方向に送信できます。より多くのデータを送信する必要がある場合、たとえば、今日の2TB HD（1TBキー）を使用すると、より大きなキーを使用でき、今後50年間で60MB /日を交換できます。これは実際には大量のデータです。たとえば、圧縮を使用すると、1時間以上の高品質の音声通信になります。

攻撃者がキーなしで暗号化されたメッセージを読む方法はないようです。なぜなら、彼らが無限に高速なコンピューターを持っているとしても、総当たりで彼らはすべての可能なメッセージを制限の下で得ることができますが、これは天文学的な数字ですメッセージの数と攻撃者は、それらのどれが実際のメッセージであるかを知りません。

私は正しいですか？この通信方式は本当に安全ですか？また、安全な場合、独自の名前を持っていますか？XOR暗号化はよく知られていますが、両側で大きなキーを使用するこの具体的な実用的なアプリケーションの名前を探していますか？私はこのアプリケーションが私の前に誰かによって発明されたことを謙虚に期待しています。:-)

注：完全に安全であれば、驚くべきことです。今日の低コストの大容量ストレージデバイスでは、高価な量子暗号より安全な通信を行う方がはるかに安価であり、同等のセキュリティを備えているからです！

編集： これは、ストレージコストが減少するので、将来的にはより実用的になると思います。安全な通信を永遠に解決できます。今日、誰かが1年後でも既存の暗号を正常に攻撃し、しばしば高価な実装を安全でないものにするかどうかは確実ではありません。通信が発生する前の多くの場合、双方が個人的に会うとき、それが鍵を生成する時です。たとえば、大きなキーを持つHDを持つことができる潜水艦間の軍事通信に最適だと思います。また、軍の中央は各潜水艦にHDを持つことができます。アカウントを作成するときに銀行などと会うため、銀行口座を管理するなど、日常生活でも実用的です。

はい、これはワンタイムパッドです。キーマテリアルが再利用されない場合、理論的には安全です。

欠点は、プリンシパルの通信ペアごとに1つのキーが必要になることと、通信の前にキーマテリアルを安全に交換する方法が必要になることです。

以下のようVatineの答えは示し、あなたのアルゴリズムは、基本的には、ワンタイムパッドです。

ただし、メモの1つにコメントするには：

注：完全に安全な場合、今日の低コストの大容量メモリでは、高価な量子暗号法と同等のセキュリティよりも安全な通信の方法が実際にははるかに安価であるため、驚くべきことです！

私の反応はノーです、それは驚くべきことではありません。悪魔は常に詳細にあり、ここの悪魔は鍵の交換にあります。あなたの方法は完璧な、対面のキー交換に依存しています。何かを購入したり、他の安全な接続をしたいたびに、4GBのフラッシュディスクを携帯しているJames Bondをインターネット上のすべての商人に送る余裕はありません。

最後に、アルゴリズムのXORの側面は重要ではありません。OTPでは、単純な置換暗号で十分です。OTPの強みは、キーが再利用されないことであり、James Bondが両当事者のキーを問題なく交換していることを前提としています（つまり、事前の安全なキー交換）

ワンタイムパッドには、メッセージを読むことしかできない攻撃者に対する無条件の（数学的に証明された）プライバシー保証がありますが、いくつかの弱点があります。

• プレーンテキストを正しく推測する傍受攻撃者は、暗号テキストを任意の（同じ長さで）操作できます。

• 攻撃者がメッセージ（またはその一部）を挿入または削除すると、アリスとボブのポインターが同期しなくなり、今後の通信がすべて切断されます。

  更新：これは、両当事者が両方のポインターを追跡することを前提としています。現在のポインター値を送信すると、2回パッド攻撃（同じ範囲のキーを複数回使用できるようにする場合）またはDOS攻撃（同じ範囲のキーを許可しない場合）に対して脆弱です。削除するなどして、複数回使用します）。

これらの問題は両方とも、整合性の欠如と認証保護が原因で発生します。完全な暗号がありますが、MACはありません。

MACをワンタイムパッドプロトコルに追加して、実際にセキュアにします。各メッセージは、想定される送信者によって実際に送信され、その間に変更されていないことを保証する「チェックサム」を取得する必要があります。また、前のメッセージが失われた場合（またはメッセージが重複している場合はメッセージを拒否する場合）に受信者が使用するキーの部分を知るために、シーケンス番号を送信する必要があります。

通常のMACアルゴリズムはここで行いますが、ワンタイム多項式MACを使用して、ワンタイムパッドにセキュリティを一致させることができます。（暗号化キーの前後のビットからMACキーを取得します。つまり、1つのキーを両方の目的に再利用しないでください。）

実際、完全に安全というわけではありません。プロトコルがリークするのは、通信されたメッセージの長さです。

たとえば、スパイが「yes」または「no」で返信することを知っていて、長さ= 2を見つけた場合、彼はそれが「no」であると推測できます。

実際に、コンテキストを推測できる場合、既知の長さからどれだけ推測できるかは驚くべきことです。