Cramer–Shoup kriptorendszer

A Cramer – Shoup rendszer egy nyilvános kulcsú titkosítási algoritmus . Az első algoritmus, amely ellenállónak bizonyult az adaptívan választott rejtjelezett szövegen alapuló támadásokkal szemben . Ronald Kramer és Victor Shoup tervezte 1998-ban. Az algoritmus biztonsága a Diffie–Hellman diszkriminációs feltételezésen alapul . Ez az ElGamal séma kiterjesztése , de az ElGamal sémával ellentétben ez az algoritmus kezelhetetlen (A hacker nem tudja lecserélni a rejtjelezett szöveget egy másik rejtjelezett szövegre, amely az eredetihez kapcsolódó szöveggé lenne dekódolva, vagyis annak valamilyen funkciója lenne). Ezt a robusztusságot egy univerzális egyirányú hash-függvény és további számítások használatával érik el, ami az ElGamal-séma kétszeresének megfelelő titkosított szöveget eredményez.

Választott titkosított szöveges támadás

Olyan kriptográfiai támadás, amelyben a kriptoanalizátor információkat gyűjt a rejtjelről úgy, hogy kitalálja a rejtjelszöveget, és egy ismeretlen kulccsal visszafejti. A rejtjelelemző többször is használhatja a visszafejtőt a visszafejtett rejtjelezett szöveg beszerzéséhez. A kapott adatok felhasználásával megpróbálhatja visszaállítani a titkos kulcsot a visszafejtéshez. A titkosított szöveges támadás lehet adaptív vagy nem adaptív.

Köztudott volt, hogy sok széles körben használt kriptorendszer ki van téve egy ilyen támadásnak, és sok éven át azt hitték, hogy a támadás nem praktikus, és csak elméleti jelentőséggel bír. A dolgok az 1990-es évek végén kezdtek megváltozni, különösen akkor, amikor Daniel Bleichenbacher egy gyakorlati rejtjelezett szöveg alapú támadást mutatott be az SSL -kiszolgálók ellen az RSA -titkosítás egy formájával .

Nem adaptív támadás

Nem adaptív támadásnál a kriptoanalizátor nem használja fel a korábbi visszafejtések eredményeit, vagyis a titkosított szövegeket előre kiválasztja. Az ilyen támadásokat ebédidő támadásoknak (lunchtime vagy CCA1) nevezik.

Adaptív támadás

Adaptív támadás esetén a kriptoanalizátor adaptív módon választ ki egy rejtjelezett szöveget, amely a korábbi dekódolások (CCA2) eredményétől függ.

Az adaptív támadásokkal szembeni ellenálló képesség a játék példáján látható:

A kulcsgeneráló algoritmus a titkosítási sémában indul el, a megfelelő kulcshosszúság bemenetként.
Az ellenfél egy sor tetszőleges kérést intéz a visszafejtő orákulumhoz, így dekódolja az általa választott titkosított szövegeket.
Az ellenfél kiválaszt két üzenetet , és elküldi a titkosító orákulumnak. ${\displaystyle {m}_{0},{m}_{1))$
A titkosító orákulum véletlenszerűen kiválaszt egy bitet , majd titkosítja a -t, amelyet továbbít az ellenfélnek (a bit kiválasztásához szükséges érmefeldobás rejtve van az ellenfél elől). $b\in {0,1}$ ${\displaystyle {m}_{b))$ $b$
Az ellenfél ismét egy sor tetszőleges kérést intéz a visszafejtő orákulumhoz, azzal az egyetlen megkötéssel, hogy a kérésnek különböznie kell attól az üzenettől, amelyet a titkosító orákulumtól kapott.
Az ellenfél megad egy bitet - a titkosítási orákulum által a 4. lépésben kiválasztott bit várható értékét . Ha , akkor az ellenfél fölénye egyenlőnek számít . ${b}_{1}\in {0,1}$ $b$ ${P}_{r}({b}_{1}=b)\leq 1/2+E$ $E$

A Diffie-Hellman diszkriminációs probléma

A Diffie-Hellman diszkriminációs problémának több egyenértékű megfogalmazása létezik. Így néz ki az, amit használni fogunk.

Legyen egy sorrendi csoport , ahol egy nagy prímszám. Szintén - . És két disztribúció van: $G$ $q$ $q$ ${\displaystyle {Z}_{q))$ $\{0,1,\dots ,q-1\}$

A véletlenszerű négyesek eloszlása . $R$ ${\displaystyle ({g}_{1},{g}_{2},{u}_{1},{u}_{2})\in G^{4))$
A négyesek eloszlása , ahol - véletlenszerűek, és véletlenszerűek . $D$ ${\displaystyle ({g}_{1},{g}_{2},{u}_{1},{u}_{2})\in G^{4))$ ${\displaystyle {g}_{1},{g}_{2))$ ${\displaystyle {u}_{1}={g}_{1}^{r},{u}_{2}={g}_{2}^{r))$ ${\displaystyle r\in {Z}_{q))$

A Diffie-Hellman problémát megoldó algoritmus egy valószínűségi algoritmus , amely hatékonyan képes megkülönböztetni a felsorolt két eloszlást. Vagyis annak az algoritmusnak, amely a két eloszlás egyikét veszi bemenetként, 0-t vagy 1-et kell visszaadnia, és szintén 0- ra kell törekednie . $A$ $P(A(x)=1|x\in R)-P(A(x)=1|x\in D)$

A Diffie-Hellman diszkriminációs probléma nehéz, ha nem létezik ilyen polinomiális valószínűségi algoritmus.

Alapséma

Legyen egy sorrendi csoportunk , ahol egy nagy prímszám. Az üzenetek elemek . Használjuk az egyirányú hash függvények általános családját is, amelyek a hosszú bitláncokat elemekre képezik le , ahol — . $G$ $q$ $q$ $\in G$ ${\displaystyle {Z}_{q))$ ${\displaystyle {Z}_{q))$ $\{0,1,\dots ,q-1\}$

Kulcsgenerálás

A kulcsgeneráló algoritmus a következőképpen működik:

Alice véletlenszerű és véletlenszerű elemeket generál $g_{1},g_{2}\in G$ ${\displaystyle ({x}_{1},{x}_{2},{y}_{1},{y}_{2},z)\in {Z}_{q))$
Alice kiszámolja . $c={g}_{1}^{x_{1}}g_{2}^{x_{2}},d={g}_{1}^{y_{1}}g_{2 }^{y_{2}},h={g}_{1}^{z}$
A hash függvényt az egyirányú hash függvények univerzális családjából választják ki. A nyilvános kulcs , a privát kulcs pedig . $H$ $({g}_{1},{g}_{2},{c},{d},{h},{H})$ $({x}_{1},{x}_{2},{y}_{1},{y}_{2},z)$

Titkosítás

Üzenet adott . A titkosítási algoritmus a következőképpen működik $m\in G$

Bob véletlenszerűen választ . ${k}\in {Z}_{q}$
Bob a következő értékeket számítja ki:
- ${\displaystyle u_{1}={g}_{1}^{k},u_{2}={g}_{2}^{k))$ ;
- $e=h^{k}m$ ;
- $\alpha =H(u_{1},u_{2},e)$ , ahol egy univerzális egyirányú hash függvény; $H()$
- $v=c^{k}d^{k\alpha }$ ;
Bob elküldi a titkosított szöveget Alice-nek. $(u_{1},u_{2},e,v)$

Dekódolás

A titkosított szöveg vétele és a privát kulcs használata után : $(u_{1},u_{2},e,v)$ ${\megjelenítési stílus (x_{1},x_{2},y_{1},y_{2},z)}$

Alice kiszámolja . $\alpha =H(u_{1},u_{2},e)\,$
Alice ellenőrzi az állapotot . Ha a feltétel nem teljesül, akkor a protokoll visszafejtési sikertelenséggel fejeződik be. Ellenkező esetben egy üzenet jelenik meg . ${u_{1}}^{x_{1}}{u_{2}}^{x_{2}}{u_{1}}^{{y_{1}}\alpha }u_{2} ^{{y_{2}}\alpha }=v$ $m=e/{u}_{1}^{z}$

Protokoll helyesség

Ellenőrizzük a titkosítási séma helyességét (a titkosított üzenet visszafejtése ugyanazt az üzenetet adja). Figyelembe véve ezt és , van . Szintén és . Ezért a visszafejtési ellenőrzés sikeres, és megjelenik az eredeti üzenet . ${\displaystyle {u}_{1}={g}_{1}^{r))$ ${\displaystyle {u}_{2}={g}_{2}^{r))$ ${u}_{1}^{x_{1}}u_{2}^{x_{2}}={g}_{1}^{{x}_{1}{r}}{ g}_{2}^{{x}_{2}{r}}={c}^{r}$ ${u}_{1}^{y_{1}}{u}_{2}^{y_{2}}={d}^{r}$ ${\displaystyle {u}_{1}^{z}={h}^{z))$ $m=e/{u}_{1}^{z}$

Egyszerűsített diagram

Eltérések az alapsémától

A nem adaptív támadások (és csak azok) elleni biztonság érdekében a protokoll használata nélkül jelentősen leegyszerűsíthető . A titkosításnál a -t használjuk , a visszafejtésnél pedig azt ellenőrizzük . $d,{y_{1}},{y_{2}},H()$ ${\displaystyle v={c}^{k))$ $v={u_{1}}^{x_{1}}{u_{2}}^{x_{2}}$

Példa egy egyszerűsített áramkörre

Tegyük fel, hogy van egy csoportunk . Ennek megfelelően - . $G$ $q=13$ ${Z}_{13}$ $\{0,1,\dots ,12\}$

Kulcsgenerálás

A kulcsgeneráló algoritmus a következőképpen működik:

Alice véletlenszerű és véletlenszerű elemeket generál $g_{1}=5,g_{2}=7\in G$ ${\displaystyle ({x}_{1}=8,{x}_{2}=4,z=9)\in {Z}_{q))$
Alice kiszámolja . ${\displaystyle c=5^{8}*7^{4},h=5^{9))$
A nyilvános kulcs , a privát kulcs pedig . $({g}_{1},{g}_{2},{c},{h})=(5,7,5^{8}*7^{4},5^{9 })$ $({x}_{1},{x}_{2},z)=(8,4,9)$

Titkosítás

Üzenet adott . A titkosítási algoritmus a következőképpen működik $3\in G$

Bob véletlenszerűen választ . ${5}\in {Z}_{q}$
Bob a következő értékeket számítja ki:
- $u_{1}=5^{5},u_{2}=7^{5}$ ;
- $e=(5^{9})^{5}*3$ ;
- $v=(5^{8}*7^{4})^{5}$ ;
Bob elküldi a titkosított szöveget Alice-nek. $(u_{1},u_{2},e,v)=(5^{5},7^{5},(5^{9})^{5}*3,(5^{ 8}*7^{4})^{5}$

Dekódolás

A titkosított szöveg vétele és a privát kulcs használata után : $(5^{5},7^{5},(5^{9})^{5}*3,(5^{9})^{5}*3)$ $(8,4,9)$

Alice ellenőrzi az állapotot . $(5^{5})^{8}*(7^{5})^{4}=(5^{5})^{8}*(7^{5})^{4}$
A feltétel teljesül, így megjelenik a Bob által titkosított üzenet . $3=((5^{9})^{5}*3)/(5^{5})^{9}$

Biztonsági igazolás

Tétel

A Cramer-Shope kriptorendszer ellenáll az adaptívan választott rejtjelezett szövegen alapuló támadásoknak a következő feltételek mellett:

A hash függvényt az egyirányú hash függvények univerzális családjából választjuk ki. ${H}$
A Diffie-Hellman diszkriminációs probléma nehéz a csoport számára . ${G}$

Bizonyítás : A tétel bizonyításához feltételezzük, hogy van egy ellenfél, aki meg tudja törni a protokollt, és megmutatjuk, hogy ha a hash függvény feltétele teljesül, akkor ellentmondást kapunk a Diffie-Hellman probléma feltételével. A valószínűségi algoritmusunk bemenetét a vagy eloszlásból adjuk meg . Felületes szinten a konstrukció a következőképpen fog kinézni: építünk egy szimulátort, amely egy közös disztribúciót fog készíteni, amely a támadássorozatot követően a cracker által a kriptorendszerről alkotott vízióból és a generáló orákulum által generált rejtett b bitből áll (nem tartalmazza a cracker látomása, rejtve előtte). A bizonyítás ötlete: megmutatjuk, hogy ha a bemenet eloszlása , akkor a szimuláció sikeres lesz, és az ellenfélnek nem triviális előnye lesz a b véletlenszerű bit kitalálásában. Megmutatjuk azt is, hogy ha a bemenet a -ból származó eloszlás , akkor az ellenség látása nem függ és -től, és ezért az ellenség fölénye elhanyagolható lesz (kisebb, mint az inverz polinom). Innen megszerkeszthetjük a disztribúciós megkülönböztetőt és : egyszerre futtatjuk a kriptorendszer-szimulátort (prints ) és a crackert (prints ), és kinyomtatja , ha és nem. $({g}_{1},{g}_{2},{u}_{1},{u}_{2})$ $R$ $D$ $D$ $R$ $b$ $a$ $R$ $D$ $b$ ${b}_{1}$ $egy$ ${\displaystyle b={b}_{1))$ $0$

Szimulátor építése

A kulcsgenerációs szimulációs séma a következő:

A szimulátor bemenete . $({g}_{1},{g}_{2},{u}_{1},{u}_{2})$
A szimulátor a megadott . $({g}_{1},{g}_{2})$
A szimulátor véletlen változókat választ ki . $({x}_{1},{x}_{2},{y}_{1},{y}_{2},{z}_{1},{z}_{2 })\in {Z}_{q}$
A szimulátor kiszámítja . $c={g}_{1}^{{x}_{1}}{g}_{2}^{{x}_{2}},d={g}_{1}^ {{y}_{1}}{g}_{2}^{{y}_{2}},h={g}_{1}^{{z}_{1}}{g}_ {2}^{{z}_{2}}$
A szimulátor véletlenszerű hash függvényt választ, és létrehoz egy nyilvános kulcsot . Szimulátor rejtett kulcsa: . $H$ $({g}_{1},{g}_{2},c,d,h,H)$ $({x}_{1},{x}_{2},{y}_{1},{y}_{2},{z}_{1},{z}_{2 })$

Látható, hogy a szimulátor kulcs generálása eltér a protokollban lévő kulcs generálásától (ott ). ${z}_{2}=0$

Dekódolási szimuláció . Ugyanúgy jár el, mint a jegyzőkönyvben, azzal a különbséggel, hogy $m=e/({u}_{1}^{{z}_{1}}+{u}_{2}^{{z}_{2}})$

Titkosítási szimuláció . Adott bemenettel a szimulátor kiválaszt egy véletlenszerű értéket , kiszámítja és kiadja . Most a következő két lemmából következik a tétel bizonyítása. ${\displaystyle {m}_{0},{m}_{1))$ $b\in {0,1}$ $e={u}_{1}^{{z}_{1}}{u}_{2}^{{z}_{2}}{m}_{b},\alpha = H({u}_{1},{u}_{2},e,v),v={u}_{1}^{{x}_{1}+{y}_{1}\ alfa }{u}_{2}^{{x}_{2}+{y}_{2}\alpha }$ $({u}_{1},{u}_{2},v,e)$

Lemmák

1. lemma. Ha a szimulátor terjesztést kap , akkor a támadó kriptorendszerről alkotott elképzelésének és a rejtett bitnek a közös eloszlása statisztikailag megkülönböztethetetlen a kriptorendszer elleni valós támadástól. $D$ $b$

2. lemma. Ha a szimulátor eloszlást kap -ból , akkor a rejtett bit eloszlása nem függ a cracker látásmódjának eloszlásától. $R$ $b$

Linkek

Cramer–Shoup kriptorendszer
Ronald Cramer és Victor Shoup "Egy gyakorlati nyilvános kulcsú kriptorendszer bizonyíthatóan biztonságos az adaptív választott titkosítási támadások ellen." Crypto 1998, LNCS 1462, p. 13ff ( ps , pdf )
Kamerabolt protokoll

Nyilvános kulcsú kriptorendszerek

Algoritmusok

Egész számok faktorizálása	Benalo kriptorendszer Bluma – Goldwasser Cayley Purser Damgorda – Eureka GMR Goldwasser – Micali Nakasha – Stern paye Rabin RSA Okamoto – Uchiyama Schmidt-Szamoa
Diszkrét logaritmus	BLS Cramer – Shoup Diffie-Hellman protokoll DSA ECDH Görbe 25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Titkosított kulcscsere ElGamal séma aláírási séma MQV Schnorr-séma SPEKE SRP STS
Kriptográfia rácsokon	NTRUEncrypt NTRUSign Tanulás alapú kulcscsere hibákkal Aláírás alapú edzés hibákkal a ringben BOLDOGSÁG Új remény
Egyéb	AE CEILIDH EPOC Rejtett mező egyenletek IES Lamport aláírása McEliece Merkle-Hellman háti kriptorendszer Naccache–Stern háti kriptorendszer Három lépéses protokoll XTR

Elmélet

Szabványok

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Posztkvantum kriptográfia

Témák

Elektronikus aláírás
OAEP
Ujjlenyomat
PKI
a bizalom hálója
Kulcsméret
Identitás alapú kriptográfia
Posztkvantum kriptográfia
OpenPGP kártya