Optimális aszimmetrikus titkosítás párnázással

Az OAEP ( Optimal A symmetric Encryption P adding , Optimális aszimmetrikus titkosítás hozzáadással) egy összeadási séma , amelyet általában valamilyen titkos bejáratú egyirányú funkcióval (például RSA vagy Rabin függvényekkel ) együtt használnak a kriptográfiai erősség növelésére . az utóbbiból. Az OAEP-et Mihir Bellare és Phillip Rogaway [1] javasolta, majd az RSA -ra való alkalmazását a PKCS#1 -ben , ill .RFC 2437 .

Történelem

Az OAEP eredeti, Bellare és Rogaway által 1994-ben javasolt verziójáról azt állították, hogy ellenáll a választott rejtjelezett szövegen alapuló támadásoknak , bármilyen egyirányú titkos beviteli funkcióval kombinálva [1] . További vizsgálatok kimutatták, hogy egy ilyen séma csak a nem adaptív választott rejtjelezett szövegen alapuló támadásokkal szemben ellenálló [2] . Ennek ellenére bebizonyosodott, hogy a véletlenszerű orákulummodellben a szabványos RSA titkosítási kitevővel történő használatakor a séma ellenáll az adaptívan választott rejtjelszövegen alapuló támadásoknak is [3] . Az újabb munkák kimutatták, hogy a standard modellben (amikor a hash függvények nem véletlenszerű orákulumként vannak modellezve) RSA használatakor nem lehet bizonyítani az adaptív titkosított szöveges támadásokkal szembeni ellenállást [4] .

OAEP algoritmus

A klasszikus OAEP-séma egy kétcellás Feistel-hálózat , ahol minden cellában az adatokat egy kriptográfiai hash-függvény segítségével alakítják át . Bemenetként a hálózat egy üzenetet kap, amelyhez ellenőrző nullákat adnak, és egy kulcsot - egy véletlenszerű karakterláncot [5] .

A diagram a következő jelölést használja:

$n$ - az aszimmetrikus titkosításra előkészített blokkban lévő bitek száma .
$k_{0}$ és protokoll-rögzített egész számok. $k_{1}$
$m$ — az üzenet egyszerű szövege , -bit karakterlánc. ${\displaystyle n-k_{0}-k_{1))$
$G$ és a protokoll által megadott kriptográfiai hash függvények . $H$

Titkosítás

Az üzenethez nullák kapcsolódnak , ami miatt eléri a bites hosszúságot. $m$ $k_{1}$ $n-k_{0}$
Véletlenszerű bites karakterlánc jön létre . $k_{0}$ $r$
$G$ bitekre bővíti a karakterláncot . $k_{0}$ $r$ $n-k_{0}$
$X=m00..0\bigoplus G(r)$ .
$H$ bitről bitre tömöríti . $n-k_{0}$ $x$ $k_{0}$
$Y=r\bigoplus H(X)$ .
titkosított szöveg . $X||Y$

Dekódolás

A véletlenszerű karakterlánc visszaáll $r=Y\bigoplus H(X)$
Az eredeti üzenet így áll vissza $m00..0=X\bigoplus G(r)$
A visszafejtett üzenet utolsó karaktereit a rendszer nullára ellenőrzi. Ha nullától eltérő karakterek vannak, akkor az üzenetet egy támadó hamisította. $k_{1}$

Alkalmazás

Az OAEP algoritmus az üzenet előfeldolgozására szolgál az RSA használata előtt . Az üzenetet először rögzített hosszúságúra töltik ki az OAEP segítségével, majd RSA segítségével titkosítják. Ezt a titkosítási sémát együttesen RSA-OAEP-nek hívják, és a jelenlegi nyilvános kulcsú titkosítási szabvány ( RFC 3447 ) része. Viktor Boyko azt is bebizonyította, hogy a véletlen orákulumok modelljében a nézetfüggvény egy mindent vagy semmit típusú transzformáció[4] . $g^{G,H}(x)=f(OAEP^{G,H}(x,r))$

Módosítások

Az olyan hiányosságok miatt, mint a választott rejtjelezett szövegen alapuló támadásokkal szembeni kriptográfiai ellenállás bizonyításának lehetetlensége, valamint a séma alacsony sebessége [6] miatt, a későbbiekben olyan OAEP-alapú módosításokat javasoltak, amelyek kiküszöbölik ezeket a hiányosságokat.

OAEP+ algoritmus

Victor Shoup változatát , amely ellenáll az adaptív titkosított szöveges támadásoknak, ha bármilyen egyirányú hátsó ajtó funkcióval kombinálják [2] .

$n$ - az aszimmetrikus titkosításra előkészített blokkban lévő bitek száma .
$k_{0}$ és protokoll-rögzített egész számok. $k_{1}$
$m$ egyszerű szöveges üzenet, -bit karakterlánc. ${\displaystyle n-k_{0}-k_{1))$
$G$ , és a protokoll által meghatározott kriptográfiai hash függvények . $H$ $H'$

Titkosítás

Véletlenszerű bites karakterlánc jön létre . $k_{0}$ $r$
$H'$ hosszúságú karakterláncra alakítja át . $r||m$ $k_{1}$
$G$ hosszúságú karakterláncra alakítja át . $r$ ${\displaystyle n-k_{0}-k_{1))$
Az üzenet bal oldala összeállításra kerül . $X=(G(r)\bigoplus m)||H'(r||m)$
$H$ hosszúságú karakterláncra alakítja át . $x$ $k_{0}$
Az üzenet jobb oldala készül . $Y=H(X)\bigoplus r$
titkosított szöveg . $X||Y$

Dekódolás

A véletlenszerű karakterlánc visszaáll . $r=Y\bigoplus H(X)$
$x$ két részre van osztva és , méretekkel és bitekkel, ill. $X_{1}$ $X_{2}$ ${\displaystyle n-k_{1}-k_{0))$ $k_{1}$
Az eredeti üzenet így áll vissza . ${\displaystyle m=G(r)\bigoplus X_{1))$
Ha nem teljesül , akkor az üzenet hamisított. $H'(r||m)=X_{2}$

SAEP/SAEP+ algoritmus

Dan Bonet az OAEP két egyszerűsített megvalósítását javasolta, SAEP és SAEP+ néven. A titkosítás egyszerűsítésének fő ötlete az utolsó lépés hiánya - az üzenetet "ragasztják" az eredetileg generált véletlenszerű karakterlánccal . Így az áramkörök csak egy Feistel cellából állnak , aminek köszönhetően a működési sebesség növekedése érhető el [7] . Az algoritmusok közötti különbséget az ellenőrző bitek rögzítése fejezi ki. SAEP esetén ezek nullák, míg SAEP+ esetén ez egy hash from (illetve, mint az OAEP és az OAEP+ esetében is) [5] . Az algoritmusok hátránya az üzenet hosszának erős csökkentése. A sémák megbízhatósága a Rabin függvény és az RSA használata esetén csak a továbbított szöveg hosszának következő megszorításával igazolódott: SAEP + és emellett SAEP esetén [8] . Érdemes megjegyezni, hogy megközelítőleg azonos sebesség mellett a SAEP+-nak kevesebb korlátozása van az üzenethosszra vonatkozóan, mint a SAEP-nek [8] , ami miatt előnyösebbnek ismerik el [8] . $r$ $m||r$ ${\displaystyle m\leqslant n/2+k_{0))$ $m\leqslant n/4$

A diagram a következő jelölést használja:

$n$ - a bitek száma az RSA blokkban vagy a Rabin-féle titkosítási rendszerben .
$k_{0}$ és protokoll-rögzített egész számok. $k_{1}$
$m$ egyszerű szöveges üzenet, -bit karakterlánc. ${\displaystyle n-k_{0}-k_{1))$
$G$ és a protokoll által megadott kriptográfiai hash függvények . $H$

SAEP+ titkosítás

Véletlenszerű bites karakterlánc jön létre . $k_{0}$ $r$
$G$ hosszúságú karakterláncra alakítja át . $m||r$ $k_{1}$
$H$ hosszúságú karakterláncra alakítja át . $r$ $n-k_{0}$
Kiszámolva . $X=(m||G(m||r))\bigoplus H(r)$
titkosított szöveg . $X||r$

SAEP+ visszafejtés

Kiszámított , ahol és a méretű és a karakterláncok . $X_{1}||X_{2}=X\bigoplus H(r)$ $X_{1}$ $X_{2}$ ${\displaystyle n-k_{0}-k_{1))$ $k_{0}$
Az egyenlőséget ellenőrzik . Ha az egyenlőség igaz, akkor az eredeti üzenetet , ha nem, akkor az üzenetet egy támadó hamisította. $X_{2}=G(X_{1}||r)$ $X_{1}$

Lásd még

RSA-KEM

Jegyzetek

↑ 1 2 Optimális aszimmetrikus titkosítás Hogyan titkosítsunk RSA-val, 1995 , p. egy.
↑ 1 2 OAEP Reconsidered, 2001 , p. egy.
↑ Az RSA–OAEP az RSA Feltételezése szerint biztonságos, 2001 , p. egy.
↑ 1 2 Egyirányú kereskedés a választott titkosított szöveg biztonsága ellen a faktoring-alapú titkosításban, 2006 , 1. o. egy.
↑ 1 2 Egyszerűsített OAEP az RSA és Rabin funkciókhoz, 2001 , 1. o. 277.
↑ Olcsó alternatíva az OAEP számára, 2001 , p. egy.
↑ Egyszerűsített OAEP az RSA és a Rabin funkciókhoz, 2001 , 1. o. 275.
↑ 1 2 3 Egyszerűsített OAEP az RSA és Rabin funkciókhoz, 2001 , 1. o. 290.

Irodalom

M. Bellare, P. Rogaway. Optimális aszimmetrikus titkosítás – Hogyan titkosítsunk RSA -val . - Springer Berlin Heidelberg, 1995. - 1. évf. 950.-P. 92-111. - ISBN 978-3-540-60176-0 . — ISSN 0302-9743 . - doi : 10.1007/BFb0053428 .
Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval és Jacques Stern. Az RSA–OAEP az RSA Feltételezés értelmében biztonságos . - Springer Berlin Heidelberg, 2001. - 20. évf. 2139. - P. 260-274. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_16 .
P. Paillier és J. Villar. Egyirányú kereskedés a választott titkosított szöveg biztonsága ellen a faktoring alapú titkosításban . - Springer Berlin Heidelberg, 2006. - 20. évf. 4284. - P. 252-266. - ISBN 978-3-540-49475-1 . — ISSN 0302-9743 . - doi : 10.1007/11935230_17 .
Schartner Péter. Olcsó alternatíva az OAEP számára . - 2001. - ISBN 978-1-4503-0882-3 . - doi : 10.1145/2349913.2349914 .
Victor Shop. Az OAEP újragondolása . - Springer Berlin Heidelberg, 2001. - 20. évf. 2139. - P. 239-259. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_15 .
D. Boneh. Egyszerűsített OAEP az RSA és Rabin funkciókhoz . - Springer Berlin Heidelberg, 2001. - 20. évf. 2139. - P. 275-291. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_17 .
Viktor Boyko. Az OAEP mint mindent vagy semmit átalakítás biztonsági tulajdonságairól . - Springer Berlin Heidelberg, 1999. - 20. évf. 1666. - P. 503-518. — ISBN 978-3-540-66347-8 . — ISSN 0302-9743 . - doi : 10.1007/3-540-48405-1_32 .

Nyilvános kulcsú kriptorendszerek

Algoritmusok

Egész számok faktorizálása	Benalo kriptorendszer Bluma – Goldwasser Cayley Purser Damgorda – Eureka GMR Goldwasser – Micali Nakasha – Stern paye Rabin RSA Okamoto – Uchiyama Schmidt-Szamoa
Diszkrét logaritmus	BLS Cramer – Shoup Diffie-Hellman protokoll DSA ECDH Görbe 25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Titkosított kulcscsere ElGamal séma aláírási séma MQV Schnorr-séma SPEKE SRP STS
Kriptográfia rácsokon	NTRUEncrypt NTRUSign Tanulás alapú kulcscsere hibákkal Aláírás alapú edzés hibákkal a ringben BOLDOGSÁG Új remény
Egyéb	AE CEILIDH EPOC Rejtett mező egyenletek IES Lamport aláírása McEliece Merkle-Hellman háti kriptorendszer Naccache–Stern háti kriptorendszer Három lépéses protokoll XTR

Elmélet

Szabványok

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Posztkvantum kriptográfia

Témák

Elektronikus aláírás
OAEP
Ujjlenyomat
PKI
a bizalom hálója
Kulcsméret
Identitás alapú kriptográfia
Posztkvantum kriptográfia
OpenPGP kártya