Criptare asimetrică optimă cu umplutură

OAEP ( în engleză Optimal A symmetric Encryption P adding , Optimal asymmetric encryption with addition) este o schemă de adăugare , utilizată de obicei împreună cu o funcție unidirecțională cu o intrare secretă (de exemplu , funcții RSA sau Rabin ) pentru a crește puterea criptografică a acestuia din urmă. OAEP a fost propus de Mihir Bellare și Phillip Rogaway [1] , iar aplicarea sa la RSA a fost ulterior standardizată în PKCS#1 și RFC 2437 .

Istorie

Versiunea originală a OAEP, propusă de Bellare și Rogaway în 1994, s-a susținut a fi rezistentă la atacuri bazate pe textul cifrat ales în combinație cu orice funcție de intrare secretă unidirecțională [1] . Studii ulterioare au arătat că o astfel de schemă este rezistentă doar la atacuri bazate pe un text cifru ales neadaptativ [2] . În ciuda acestui fapt, s-a dovedit că în modelul de oracol aleatoriu , atunci când se utilizează RSA standard cu exponent de cifră , schema este, de asemenea, rezistentă la atacuri bazate pe text cifru ales adaptiv [3] . Lucrări mai recente au arătat că în modelul standard (atunci când funcțiile hash nu sunt modelate ca oracole aleatoare) nu este posibil să se dovedească rezistența la atacurile de text cifrat adaptiv atunci când se utilizează RSA [4] .

Algoritmul OAEP

Schema clasică OAEP este o rețea Feistel cu două celule , în care în fiecare celulă datele sunt transformate folosind o funcție hash criptografică . Ca intrare, rețeaua primește un mesaj cu zerouri de verificare adăugate și o cheie - un șir aleator [5] .

Diagrama folosește următoarea notație:

$n$ - numărul de biți din bloc pregătiți pentru criptarea asimetrică .
$k_{0}$ și sunt numere întregi fixate de protocol. $k_{1}$
$m$ — text simplu al mesajului, șir -bit. $n-k_{0}-k_{1)$
$G$ și sunt funcțiile hash criptografice date de protocol. $H$

Criptare

Mesajul este adăugat cu zerouri, datorită cărora ajunge la biți în lungime. $m$ $k_{1}$ $n-k_{0)$
Este generat un șir de biți aleatori . $k_{0}$ $r$
$G$ extinde un pic de șir în biți. $k_{0}$ $r$ $n-k_{0)$
$X=m00..0\bigoplus G(r)$ .
$H$ comprimă bit la bit. $n-k_{0)$ $X$ $k_{0}$
$Y=r\bigoplus H(X)$ .
text criptat . $X||Y$

Decriptare

Șirul aleatoriu este restaurat $r=Y\bigoplus H(X)$
Mesajul original este restaurat ca $m00..0=X\bigoplus G(r)$
Ultimele caractere ale mesajului decriptat sunt verificate pentru zero. Dacă există caractere diferite de zero, atunci mesajul a fost falsificat de către un atacator. $k_{1}$

Aplicație

Algoritmul OAEP este utilizat pentru a preprocesa mesajul înainte de a utiliza RSA . Mesajul este mai întâi completat la o lungime fixă folosind OAEP, apoi criptat folosind RSA. În mod colectiv, această schemă de criptare se numește RSA-OAEP și face parte din standardul actual de criptare a cheii publice ( RFC 3447 ). De asemenea, Viktor Boyko a demonstrat că funcția de vedere în modelul oracolelor aleatoare este o transformare de tip all-or-nothing[4] . $g^{G,H}(x)=f(OAEP^{G,H}(x,r))$

Modificări

Datorită unor neajunsuri precum imposibilitatea de a demonstra rezistența criptografică la atacuri pe baza textului cifru ales , precum și viteza redusă a schemei [6] , au fost propuse ulterior modificări bazate pe OAEP care elimină aceste neajunsuri.

Algoritmul OAEP+

Victor Shoup a care este rezistentă la atacurile de text cifrat adaptiv atunci când este combinată cu orice funcție backdoor unidirecțională [2] .

$n$ - numărul de biți din bloc pregătiți pentru criptarea asimetrică .
$k_{0}$ și sunt numere întregi fixate de protocol. $k_{1}$
$m$ mesaj text simplu, șir -bit. $n-k_{0}-k_{1)$
$G$ și sunt funcții hash criptografice definite de protocol. $H$ $H'$

Criptare

Este generat un șir de biți aleatori . $k_{0}$ $r$
$H'$ se convertește într-un șir de lungime . $r||m$ $k_{1}$
$G$ se convertește într-un șir de lungime . $r$ $n-k_{0}-k_{1)$
Partea stângă a mesajului este compusă . $X=(G(r)\bigoplus m)||H'(r||m)$
$H$ se convertește într-un șir de lungime . $X$ $k_{0}$
Partea dreaptă a mesajului este în curs de redactare . $Y=H(X)\bigoplus r$
text criptat . $X||Y$

Decriptare

Șirul aleatoriu este restaurat . $r=Y\bigoplus H(X)$
$X$ este împărțit în două părți și , cu dimensiuni și , respectiv, biți. $X_{1}$ $X_{2}$ $n-k_{1}-k_{0)$ $k_{1}$
Mesajul original este restaurat ca . $m=G(r)\bigoplus X_{1)$
Dacă nu este îndeplinită , atunci mesajul este falsificat. $H'(r||m)=X_{2}$

Algoritm SAEP/SAEP+

Dan Bonet a propus două implementări simplificate ale OAEP, denumite SAEP și respectiv SAEP+. Ideea principală a simplificării criptării este absența ultimului pas - mesajul a fost „lipit” cu șirul aleator generat inițial . Astfel, circuitele constau dintr-o singură celulă Feistel , datorită căreia se realizează o creștere a vitezei de funcționare [7] . Diferența dintre algoritmi unul față de celălalt este exprimată în înregistrarea biților de verificare. În cazul SAEP, acestea sunt zerouri, în timp ce pentru SAEP+, acesta este un hash de la (respectiv, ca în OAEP și OAEP+) [5] . Dezavantajul algoritmilor este o reducere puternică a lungimii mesajului. Fiabilitatea schemelor în cazul utilizării funcției Rabin și RSA a fost dovedită numai cu următoarea restricție privind lungimea textului transmis: pentru SAEP + și suplimentar pentru SAEP [8] . Este de remarcat faptul că la aproximativ aceeași viteză, SAEP+ are mai puține restricții privind lungimea mesajului decât SAEP [8] , datorită căruia este recunoscut ca fiind mai preferabil [8] . $r$ $m||r$ $m\leqslant n/2+k_{0)$ $m\leqslant n/4$

Diagrama folosește următoarea notație:

$n$ - numărul de biți din blocul RSA sau criptosistemul lui Rabin .
$k_{0}$ și sunt numere întregi fixate de protocol. $k_{1}$
$m$ mesaj text simplu, șir -bit. $n-k_{0}-k_{1)$
$G$ și sunt funcțiile hash criptografice date de protocol. $H$

Criptare SAEP+

Este generat un șir de biți aleatori . $k_{0}$ $r$
$G$ se convertește într-un șir de lungime . $m||r$ $k_{1}$
$H$ se convertește într-un șir de lungime . $r$ $n-k_{0)$
Calculat . $X=(m||G(m||r))\bigoplus H(r)$
text criptat . $X||r$

Decriptare SAEP+

Calculat , unde și sunt șiruri de dimensiune și, respectiv. $X_{1}||X_{2}=X\bigoplus H(r)$ $X_{1}$ $X_{2}$ $n-k_{0}-k_{1)$ $k_{0}$
Egalitatea este verificată . Dacă egalitatea este adevărată, atunci mesajul original , dacă nu, atunci mesajul este falsificat de către un atacator. $X_{2}=G(X_{1}||r)$ $X_{1}$

Vezi și

RSA-KEM

Note

↑ 1 2 Criptare asimetrică optimă Cum se criptează cu RSA, 1995 , p. unu.
↑ 1 2 OAEP Reconsiderat, 2001 , p. unu.
↑ RSA–OAEP este Securizat în conformitate cu ipoteza RSA, 2001 , p. unu.
↑ 1 2 Tranzacționarea unidirecțională împotriva securității textului criptat ales în criptarea bazată pe factoring, 2006 , p. unu.
↑ 1 2 OAEP simplificat pentru funcțiile RSA și Rabin, 2001 , p. 277.
↑ O alternativă low-cost pentru OAEP, 2001 , p. unu.
↑ OAEP simplificat pentru funcțiile RSA și Rabin, 2001 , p. 275.
↑ 1 2 3 OAEP simplificat pentru funcțiile RSA și Rabin, 2001 , p. 290.

Literatură

M. Bellare, P. Rogaway. Criptare asimetrică optimă - Cum se criptează cu RSA . - Springer Berlin Heidelberg, 1995. - Vol. 950.-P. 92-111. - ISBN 978-3-540-60176-0 . — ISSN 0302-9743 . - doi : 10.1007/BFb0053428 .
Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval și Jacques Stern. RSA–OAEP este Securizat în conformitate cu ipoteza RSA . - Springer Berlin Heidelberg, 2001. - Vol. 2139. - P. 260-274. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_16 .
P. Paillier şi J. Villar. Tranzacționarea unidirecțională împotriva Securității Ciphertext alese în criptarea bazată pe factoring . - Springer Berlin Heidelberg, 2006. - Vol. 4284. - P. 252-266. - ISBN 978-3-540-49475-1 . — ISSN 0302-9743 . - doi : 10.1007/11935230_17 .
Peter Schartner. O alternativă ieftină pentru OAEP . - 2001. - ISBN 978-1-4503-0882-3 . - doi : 10.1145/2349913.2349914 .
Victor Shop. OAEP Reconsiderat . - Springer Berlin Heidelberg, 2001. - Vol. 2139. - P. 239-259. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_15 .
D. Boneh. OAEP simplificat pentru funcțiile RSA și Rabin . - Springer Berlin Heidelberg, 2001. - Vol. 2139. - P. 275-291. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_17 .
Victor Boyko. Despre proprietățile de securitate ale OAEP ca o transformare totul sau nimic . - Springer Berlin Heidelberg, 1999. - Vol. 1666. - P. 503-518. — ISBN 978-3-540-66347-8 . — ISSN 0302-9743 . - doi : 10.1007/3-540-48405-1_32 .

Criptosisteme cu cheie publică

Algoritmi

Factorizarea numerelor întregi	Criptosistemul Benalo Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Pupa paye Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Logaritm discret	BLS Cramer - Shoup Protocolul Diffie-Hellman DSA ECDH Curba25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Schimb de chei criptate Schema lui ElGamal schema de semnătură MQV Schema Schnorr VORBIȚI SRP STS
Criptografia pe zăbrele	NTRUEncrypt NTRUSign Schimb de chei bazat pe învățare cu erori Antrenament bazat pe semnătură cu erori în ring FERICIRE Speranța nouă
Alte	AE CEILIDH EPOC Ecuații de câmp ascunse IES Semnătura lui Lampport McEliece Criptosistem de rucsac Merkle-Hellman Criptosistem de rucsac Naccache–Stern Protocol în trei etape XTR

Teorie

Logaritm discret pe o curbă eliptică
Criptografia eliptică
Criptografia bazată pe hash
Criptografia necomutativă
Problema RSA
Funcție unidirecțională cu intrare secretă

Standarde

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Criptografie post cuantică

Subiecte

Semnatura electronica
OAEP
Amprenta
PKI
rețea de încredere
Dimensiunea cheii
Criptografia bazată pe identitate
Criptografia post-cuantică
Card OpenPGP