Cramer–Shoup kryptosystém

Systém Cramer – Shoup je šifrovací algoritmus veřejného klíče . První algoritmus, který se ukázal jako odolný vůči útokům na základě adaptivně zvoleného šifrovaného textu . Navrhli Ronald Kramer a Victor Shoup v roce 1998. Zabezpečení algoritmu je založeno na diskriminačním předpokladu Diffie–Hellman . Jedná se o rozšíření schématu ElGamal , ale na rozdíl od schématu ElGamal je tento algoritmus neovladatelný (Hacker nemůže nahradit šifrovaný text jiným šifrovaným textem, který by byl dešifrován na text související s originálem, tj. byl by nějakou jeho funkcí). Této robustnosti je dosaženo použitím univerzální jednosměrné hashovací funkce a dodatečných výpočtů, jejichž výsledkem je šifrovaný text, který je dvakrát větší než schéma ElGamal.

Zvolený útok šifrovaného textu

Kryptografický útok, při kterém kryptoanalytik shromažďuje informace o šifře uhodnutím šifrového textu a jeho dešifrováním pomocí neznámého klíče. Kryptanalytik může použít dešifrovač několikrát, aby získal dešifrovaný šifrovaný text. Pomocí přijatých dat se může pokusit obnovit tajný klíč pro dešifrování. Útok pomocí šifrovaného textu může být adaptivní nebo neadaptivní.

Bylo dobře známo, že mnoho široce používaných kryptosystémů bylo vůči takovému útoku zranitelné, a po mnoho let se věřilo, že útok je nepraktický a má pouze teoretický význam. Věci se začaly měnit na konci 90. let, zvláště když Daniel Bleichenbacher předvedl praktický útok na SSL servery založený na šifrovaném textu pomocí formy šifrování RSA .

Neadaptivní útok

Při neadaptivním útoku kryptoanalytik nepoužívá výsledky předchozích dešifrování, to znamená, že šifrované texty jsou vybrány předem. Takové útoky se nazývají útoky v době oběda (polední čas nebo CCA1).

Adaptivní útok

V případě adaptivního útoku kryptoanalytik adaptivně vybere šifrovaný text, který závisí na výsledcích předchozích dešifrování (CCA2).

Odolnost vůči adaptivnímu útoku je vidět na příkladu hry:

Algoritmus generování klíče se spouští v šifrovacím schématu s odpovídající délkou klíče zadanou jako vstup.
Protivník předá dešifrovacímu orákulu řadu libovolných požadavků, čímž dešifruje šifrované texty podle svého výběru.
Protivník vybere dvě zprávy a pošle je šifrovacímu orákulu. ${\displaystyle {m}_{0},{m}_{1))$
Šifrovací orákulum náhodně vybere bit , poté zašifruje , který je předán protivníkovi (hod mincí pro výběr bitu je protivníkovi skrytý). $b\in {0,1}$ ${m}_{b}$ $b$
Protivník opět zadává řadu libovolných požadavků na dešifrovací orákulum s jediným omezením, že požadavek se musí lišit od zprávy, kterou obdržel od šifrovacího orákula.
Protivník udává bit – očekávanou hodnotu bitu zvoleného šifrovacím orákulem v kroku 4. Jestliže , pak se převaha protivníka považuje za rovna . ${b}_{1}\in {0,1}$ $b$ ${P}_{r}({b}_{1}=b)\leq 1/2+E$ $E$

Problém diskriminace Diffie-Hellmana

Existuje několik ekvivalentních formulací problému diskriminace Diffie-Hellman. Ten, který budeme používat, vypadá takto.

Dovolit být skupina pořadí , kde je velké prvočíslo. Také - . A existují dvě distribuce: $G$ $q$ $q$ ${\displaystyle {Z}_{q))$ $\{0,1,\tečky ,q-1\}$

Rozdělení náhodných čtveřic . $R$ $({g}_{1},{g}_{2},{u}_{1},{u}_{2})\v G^{4}$
Rozdělení čtyřnásobků , kde - jsou náhodné, a pro náhodné . $D$ $({g}_{1},{g}_{2},{u}_{1},{u}_{2})\v G^{4}$ ${\displaystyle {g}_{1},{g}_{2))$ ${\displaystyle {u}_{1}={g}_{1}^{r},{u}_{2}={g}_{2}^{r))$ ${\displaystyle r\in {Z}_{q))$

Algoritmus, který řeší problém Diffie-Hellman, je pravděpodobnostní algoritmus , který dokáže efektivně rozlišovat mezi dvěma uvedenými distribucemi. To znamená, že algoritmus, který bere jedno ze dvou rozdělení jako vstup, by měl vrátit 0 nebo 1 a také má tendenci k 0. $A$ $P(A(x)=1|x\v R)-P(A(x)=1|x\v D)$

Problém diskriminace Diffie-Hellman je obtížný, pokud žádný takový polynomiální pravděpodobnostní algoritmus neexistuje.

Základní schéma

Mějme skupinu pořadí , kde je velké prvočíslo. Zprávy jsou prvky . Používáme také obecnou rodinu jednosměrných hašovacích funkcí, které mapují dlouhé bitové řetězce na prvky , kde — . $G$ $q$ $q$ $\in G$ ${\displaystyle {Z}_{q))$ ${\displaystyle {Z}_{q))$ $\{0,1,\tečky ,q-1\}$

Generování klíčů

Algoritmus generování klíčů funguje následovně:

Alice generuje náhodné a náhodné prvky $g_{1},g_{2}\in G$ ${\displaystyle ({x}_{1},{x}_{2},{y}_{1},{y}_{2},z)\in {Z}_{q))$
Alice počítá . $c={g}_{1}^{x_{1}}g_{2}^{x_{2}},d={g}_{1}^{y_{1}}g_{2 }^{y_{2}},h={g}_{1}^{z}$
Hašovací funkce je vybrána z univerzální rodiny jednosměrných hašovacích funkcí. Veřejný klíč je , soukromý klíč je . $H$ $({g}_{1},{g}_{2},{c},{d},{h},{H})$ $({x}_{1},{x}_{2},{y}_{1},{y}_{2},z)$

Šifrování

Zpráva dána . Šifrovací algoritmus funguje následovně $m\in G$

Bob si náhodně vybere . ${k}\in {Z}_{q}$
Bob vypočítá následující hodnoty:
- ${\displaystyle u_{1}={g}_{1}^{k},u_{2}={g}_{2}^{k))$ ;
- $e=h^{k}m$ ;
- $\alpha =H(u_{1},u_{2},e)$ , kde je univerzální jednosměrná hašovací funkce; $H()$
- ${\displaystyle v=c^{k}d^{k\alpha ))$ ;
Bob pošle šifrovaný text Alici. $(u_{1},u_{2},e,v)$

Dešifrování

Po obdržení šifrovaného textu a použití soukromého klíče : $(u_{1},u_{2},e,v)$ $(x_{1},x_{2},y_{1},y_{2},z)$

Alice počítá . $\alpha =H(u_{1},u_{2},e)\,$
Alice zkontroluje stav . Pokud podmínka není splněna, protokol se ukončí selháním dešifrování. V opačném případě se zobrazí zpráva . ${u_{1}}^{x_{1}}{u_{2}}^{x_{2}}{u_{1}}^{{y_{1}}\alpha }u_{2} ^{{y_{2}}\alpha }=v$ $m=e/{u}_{1}^{z}$

Správnost protokolu

Zkontrolujme si správnost šifrovacího schématu (dešifrování zašifrované zprávy dává stejnou zprávu). Vzhledem k tomu a máme . Také a . Proto je kontrola dešifrování úspěšná a zobrazí se původní zpráva . ${\displaystyle {u}_{1}={g}_{1}^{r))$ ${\displaystyle {u}_{2}={g}_{2}^{r))$ ${u}_{1}^{x_{1}}u_{2}^{x_{2}}={g}_{1}^{{x}_{1}{r}}{ g}_{2}^{{x}_{2}{r}}={c}^{r}$ ${u}_{1}^{y_{1}}{u}_{2}^{y_{2}}={d}^{r}$ ${\displaystyle {u}_{1}^{z}={h}^{z))$ $m=e/{u}_{1}^{z}$

Zjednodušený diagram

Rozdíly od základního schématu

Chcete-li dosáhnout zabezpečení proti neadaptivním útokům (a pouze jim), můžete výrazně zjednodušit protokol bez použití . Při šifrování používáme a při dešifrování kontrolujeme, že . $d,{y_{1}},{y_{2}},H()$ ${\displaystyle v={c}^{k))$ $v={u_{1}}^{x_{1}}{u_{2}}^{x_{2}}$

Příklad zjednodušeného obvodu

Řekněme, že máme skupinu objednávek . V souladu s tím - . $G$ $q=13$ ${Z}_{13}$ $\{0,1,\tečky ,12\}$

Generování klíčů

Algoritmus generování klíčů funguje následovně:

Alice generuje náhodné a náhodné položky $g_{1}=5,g_{2}=7\in G$ ${\displaystyle ({x}_{1}=8,{x}_{2}=4,z=9)\in {Z}_{q))$
Alice počítá . $c=5^{8}*7^{4},h=5^{9}$
Veřejný klíč je , soukromý klíč je . $({g}_{1},{g}_{2},{c},{h})=(5,7,5^{8}*7^{4},5^{9 })$ $({x}_{1},{x}_{2},z)=(8,4,9)$

Šifrování

Zpráva dána . Šifrovací algoritmus funguje následovně $3\in G$

Bob si náhodně vybere . ${5}\in {Z}_{q}$
Bob vypočítá následující hodnoty:
- $u_{1}=5^{5},u_{2}=7^{5}$ ;
- $e=(5^{9})^{5}*3$ ;
- $v=(5^{8}*7^{4})^{5}$ ;
Bob pošle šifrovaný text Alici. $(u_{1},u_{2},e,v)=(5^{5},7^{5},(5^{9})^{5}*3,(5^{ 8}*7^{4})^{5}$

Dešifrování

Po obdržení šifrovaného textu a použití soukromého klíče : $(5^{5},7^{5},(5^{9})^{5}*3,(5^{9})^{5}*3)$ $(8,4,9)$

Alice zkontroluje stav . $(5^{5})^{8}*(7^{5})^{4}=(5^{5})^{8}*(7^{5})^{4}$
Podmínka je splněna, takže se zobrazí zpráva zašifrovaná Bobem . $3=((5^{9})^{5}*3)/(5^{5})^{9}$

Doklad o bezpečnosti

Věta

Kryptosystém Cramer-Shope je odolný vůči útokům založeným na adaptivně zvoleném šifrovém textu za následujících podmínek:

Hašovací funkce je vybrána z univerzální rodiny jednosměrných hašovacích funkcí. ${H}$
Problém diskriminace Diffie-Hellman je pro skupinu těžký . ${G}$

Důkaz : Abychom dokázali větu, budeme předpokládat, že existuje protivník, který může porušit protokol, a ukážeme, že pokud je splněna podmínka hashovací funkce, dostaneme rozpor s podmínkou v Diffie-Hellmanově problému. Vstup do našeho pravděpodobnostního algoritmu je dán z rozdělení nebo . Na povrchní úrovni bude konstrukce vypadat takto: postavíme simulátor, který vytvoří společnou distribuci skládající se z crackerovy vize kryptosystému po sérii útoků a skrytého bitu b generovaného generačním orákulem (není součástí crackerovo vidění, před ním skryté). Myšlenka důkazu: ukážeme, že pokud je vstup distribucí , pak bude simulace úspěšná a protivník bude mít netriviální výhodu v uhodnutí náhodného bitu b. Ukážeme také, že pokud je vstup distribucí z , pak vize nepřítele nezávisí na a , a proto bude převaha nepřítele zanedbatelná (menší než inverzní polynom). Odtud můžeme sestavit rozlišovací znak distribuce a : spustíme simulátor kryptosystému (tisky ) a cracker (tisky ) současně a tiskne , pokud a jinak. $({g}_{1},{g}_{2},{u}_{1},{u}_{2})$ $R$ $D$ $D$ $R$ $b$ $A$ $R$ $D$ $b$ ${b}_{1}$ $jeden$ ${\displaystyle b={b}_{1))$ $0$

Stavba simulátoru

Schéma simulace generování klíčů je následující:

Vstup do simulátoru je . $({g}_{1},{g}_{2},{u}_{1},{u}_{2})$
Simulátor používá daný . $({g}_{1},{g}_{2})$
Simulátor vybírá náhodné veličiny . $({x}_{1},{x}_{2},{y}_{1},{y}_{2},{z}_{1},{z}_{2 })\v {Z}_{q}$
Simulátor počítá . $c={g}_{1}^{{x}_{1}}{g}_{2}^{{x}_{2}},d={g}_{1}^ {{y}_{1}}{g}_{2}^{{y}_{2}},h={g}_{1}^{{z}_{1}}{g}_ {2}^{{z}_{2}}$
Simulátor vybere náhodnou hashovací funkci a vygeneruje veřejný klíč . Skrytý klíč simulátoru: . $H$ $({g}_{1},{g}_{2},c,d,h,H)$ $({x}_{1},{x}_{2},{y}_{1},{y}_{2},{z}_{1},{z}_{2 })$

Je vidět, že generování klíče simulátoru se liší od generování klíče v protokolu (tam ). ${z}_{2}=0$

Simulace dešifrování . Postupuje se stejně jako v protokolu, s tím rozdílem, že $m=e/({u}_{1}^{{z}_{1}}+{u}_{2}^{{z}_{2}})$

Simulace šifrování . Zadaným vstupem simulátor vybere náhodnou hodnotu , vypočítá a odešle výstup . Důkaz věty nyní vyplyne z následujících dvou lemmat. ${\displaystyle {m}_{0},{m}_{1))$ $b\in {0,1}$ $e={u}_{1}^{{z}_{1}}{u}_{2}^{{z}_{2}}{m}_{b},\alpha = H({u}_{1},{u}_{2},e,v),v={u}_{1}^{{x}_{1}+{y}_{1}\ alfa }{u}_{2}^{{x}_{2}+{y}_{2}\alpha }$ $({u}_{1},{u}_{2},v,e)$

Lemmy

Lemma 1. Pokud je simulátoru přiděleno rozdělení od , pak společné rozdělení útočníkovy vize kryptosystému a skrytého bitu je statisticky nerozeznatelné od skutečného útoku na kryptosystém. $D$ $b$

Lemma 2. Pokud simulátor dostane distribuci od , pak distribuce skrytého bitu nezávisí na distribuci crackerova vidění. $R$ $b$

Odkazy

Cramer–Shoup kryptosystém
Ronald Cramer a Victor Shoup . "Praktický šifrovací systém s veřejným klíčem prokazatelně zabezpečený proti adaptivnímu útoku pomocí šifrovaného textu." ve sborníku Crypto 1998, LNCS 1462, str. 13ff ( ps , pdf )
Protokol obchodu s fotoaparáty

Kryptosystémy s veřejným klíčem

Algoritmy

Faktorizace celých čísel	kryptosystém Benalo Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern zaplatit Rabin RSA Okamoto – Uchijama Schmidt-Samoa
Diskrétní logaritmus	BLS Cramer - Shoup protokol Diffie-Hellman DSA ECDH Křivka25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Výměna šifrovaných klíčů Schéma ElGamal podpisové schéma MQV Schnorrovo schéma SPEKE SRP STS
Kryptografie na mřížkách	NTRUEncrypt NTRUSsign Výměna klíčů založená na učení s chybami Trénink založený na podpisu s chybami v kruhu BLAHO Nová naděje
jiný	AE CEILIDH EPOC Rovnice skrytého pole IES Lamportův podpis McEliece Zádový kryptosystém Merkle-Hellman Zádový kryptosystém Naccache–Stern Tříkrokový protokol XTR

Teorie

Diskrétní logaritmus na eliptické křivce
Eliptická kryptografie
Kryptografie založená na hash
Nekomutativní kryptografie
Problém RSA
Jednosměrná funkce s tajným vstupem

Normy

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Post kvantová kryptografie

Témata

Elektronický podpis
OAEP
Otisk prstu
PKI
síť důvěry
Velikost klíče
Kryptografie založená na identitě
Postkvantová kryptografie
OpenPGP karta