Criptosistem Cramer–Shoup

Sistemul Cramer – Shoup este un algoritm de criptare cu cheie publică . Primul algoritm care s-a dovedit rezistent la atacuri bazat pe text cifrat ales adaptativ . Proiectat de Ronald Kramer și Victor Shoup în 1998. Securitatea algoritmului se bazează pe ipoteza discriminării Diffie-Hellman . Este o extensie a schemei ElGamal , dar spre deosebire de schema ElGamal, acest algoritm este insolubil (Un hacker nu poate înlocui textul cifrat cu un alt text cifrat care ar fi decriptat într-un text legat de original, adică fiind o funcție a acestuia). Această robustețe este obținută prin utilizarea unei funcții hash universale unidirecționale și calcule suplimentare, rezultând un text cifrat care este de două ori mai mare decât schema ElGamal.

Atacul cu text cifrat ales

Un atac criptografic în care un criptoanalist adună informații despre un cifru ghicind textul cifrat și decriptându-l cu o cheie necunoscută. Criptanalistul poate folosi decriptorul de mai multe ori pentru a obține textul cifrat decriptat. Folosind datele primite, el poate încerca să recupereze cheia secretă pentru decriptare. Un atac cu text cifrat poate fi adaptiv sau neadaptativ.

Era bine cunoscut faptul că multe criptosisteme utilizate pe scară largă erau vulnerabile la un astfel de atac și timp de mulți ani s-a crezut că atacul nu era practic și nu prezenta decât interes teoretic. Lucrurile au început să se schimbe la sfârșitul anilor 1990, mai ales când Daniel Bleichenbacher a demonstrat un atac practic bazat pe text cifrat asupra serverelor SSL folosind o formă de criptare RSA .

Atac neadaptativ

Într-un atac neadaptativ, criptoanalistul nu folosește rezultatele decriptărilor anterioare, adică textele cifrate sunt selectate în avans. Astfel de atacuri sunt numite atacuri la ora prânzului (ora prânzului sau CCA1).

Adaptive Attack

În cazul unui atac adaptiv, criptoanalistul selectează adaptiv un text cifrat care depinde de rezultatele decriptărilor anterioare (CCA2).

Reziliența la atacul adaptiv poate fi văzută pe exemplul jocului:

Algoritmul de generare a cheii este lansat în schema de criptare cu lungimea cheii corespunzătoare furnizată ca intrare.
Adversarul face o serie de cereri arbitrare oracolului de decriptare, decriptând astfel textele cifrate alese de el.
Adversarul selectează două mesaje și le trimite la oracolul de criptare. ${\displaystyle {m}_{0},{m}_{1))$
Oracolul de criptare selectează aleatoriu un bit , apoi criptează , care este transmis adversarului (aruncarea monedei pentru a selecta bitul este ascunsă adversarului). $b\in {0,1}$ ${m}_{b}$ $b$
Adversarul face din nou o serie de cereri arbitrare oracolului de decriptare cu singura restricție că cererea trebuie să fie diferită de mesajul primit de la oracolul de criptare.
Adversarul dă un bit - valoarea așteptată a bitului ales de oracolul de criptare la pasul 4. Dacă , atunci superioritatea adversarului este considerată egală cu . ${b}_{1}\in {0,1}$ $b$ ${P}_{r}({b}_{1}=b)\leq 1/2+E$ $E$

Problema discriminării Diffie-Hellman

Există mai multe formulări echivalente ale problemei discriminării Diffie-Hellman. Cel pe care îl vom folosi arată așa.

Fie un grup de ordin , unde este un număr prim mare. De asemenea - . Și există două distribuții: $G$ $q$ $q$ ${Z}_{q)$ $\{0,1,\dots ,q-1\}$

Distribuția cvadruplelor aleatoare . $R$ $({g}_{1}, {g}_{2}, {u}_{1}, {u}_{2})\în G^{4)$
Distribuția cvadruplelor , unde - sunt aleatoare și pentru aleatoriu . $D$ $({g}_{1}, {g}_{2}, {u}_{1}, {u}_{2})\în G^{4)$ ${g}_{1}, {g}_{2)$ ${\displaystyle {u}_{1}={g}_{1}^{r}, {u}_{2}={g}_{2}^{r))$ $r\in {Z}_{q)$

Un algoritm care rezolvă problema Diffie-Hellman este un algoritm probabilistic care poate distinge efectiv între cele două distribuții enumerate. Adică, un algoritm care ia una dintre cele două distribuții ca intrare ar trebui să returneze 0 sau 1 și, de asemenea, tinde spre 0. $A$ $P(A(x)=1|x\in R)-P(A(x)=1|x\in D)$

Problema discriminării Diffie-Hellman este grea dacă nu există un astfel de algoritm probabilistic polinomial.

Schema de bază

Să avem un grup de ordin , unde este un număr prim mare. Mesajele sunt elemente . De asemenea, folosim o familie generică de funcții hash unidirecționale care mapează șiruri lungi de biți la elemente , unde — . $G$ $q$ $q$ $\in G$ ${Z}_{q)$ ${Z}_{q)$ $\{0,1,\dots ,q-1\}$

Generare cheie

Algoritmul de generare a cheilor funcționează după cum urmează:

Alice generează elemente aleatorii și aleatorii $g_{1},g_{2}\în G$ $({x}_{1}, {x}_{2}, {y}_{1}, {y}_{2},z)\în {Z}_{q)$
calculează Alice . $c={g}_{1}^{x_{1}}g_{2}^{x_{2}},d={g}_{1}^{y_{1}}g_{2 }^{y_{2}},h={g}_{1}^{z}$
O funcție hash este selectată din familia universală de funcții hash unidirecționale. Cheia publică este , cheia privată este . $H$ $({g}_{1}, {g}_{2}, {c}, {d}, {h}, {H})$ $({x}_{1}, {x}_{2}, {y}_{1}, {y}_{2},z)$

Criptare

Mesaj dat . Algoritmul de criptare funcționează după cum urmează $m\în G$

Bob alege la întâmplare . ${k}\in {Z}_{q}$
Bob calculează următoarele valori:
- ${\displaystyle u_{1}={g}_{1}^{k},u_{2}={g}_{2}^{k))$ ;
- $e=h^{k}m$ ;
- $\alpha =H(u_{1},u_{2},e)$ , unde este o funcție hash universală unidirecțională; $H()$
- $v=c^{k}d^{k\alpha }$ ;
Bob îi trimite textul cifrat Alicei. $(u_{1},u_{2},e,v)$

Decriptare

După primirea textului cifrat și utilizarea cheii private : $(u_{1},u_{2},e,v)$ $(x_{1},x_{2},y_{1},y_{2},z)$

calculează Alice . $\alpha =H(u_{1},u_{2},e)\,$
Alice verifică starea . Dacă condiția nu este îndeplinită, atunci protocolul se încheie cu eșec de decriptare. În caz contrar, este afișat un mesaj . ${u_{1}}^{x_{1}}{u_{2}}^{x_{2}}{u_{1}}^{{y_{1}}\alpha }u_{2} ^{{y_{2}}\alpha }=v$ $m=e/{u}_{1}^{z)$

Corectitudinea protocolului

Să verificăm corectitudinea schemei de criptare (decriptarea mesajului criptat dă același mesaj). Având în vedere că și , avem . De asemenea și . Prin urmare, verificarea decriptării reușește și este afișat mesajul original . ${u}_{1}={g}_{1}^{r)$ ${u}_{2}={g}_{2}^{r)$ ${u}_{1}^{x_{1}}u_{2}^{x_{2}}={g}_{1}^{{x}_{1}{r}}{ g}_{2}^{{x}_{2}{r}}={c}^{r}$ ${u}_{1}^{y_{1}}{u}_{2}^{y_{2}}={d}^{r}$ ${u}_{1}^{z}={h}^{z)$ $m=e/{u}_{1}^{z)$

Diagrama simplificată

Diferențele față de schema de bază

Pentru a obține securitatea împotriva atacurilor neadaptative (și numai a acestora), puteți simplifica semnificativ protocolul fără a utiliza . Când criptăm, folosim , iar când decriptăm, verificăm că . $d,{y_{1}},{y_{2}},H()$ $v={c}^{k)$ $v={u_{1}}^{x_{1}}{u_{2}}^{x_{2}}$

Un exemplu de circuit simplificat

Să presupunem că avem un grup de ordine . În consecință - . $G$ $q=13$ ${Z}_{13}$ $\{0,1,\dots ,12\}$

Generare cheie

Algoritmul de generare a cheilor funcționează după cum urmează:

Alice generează elemente aleatorii și aleatorii $g_{1}=5,g_{2}=7\în G$ $({x}_{1}=8, {x}_{2}=4,z=9)\in {Z}_{q)$
calculează Alice . ${\displaystyle c=5^{8}*7^{4},h=5^{9))$
Cheia publică este , cheia privată este . $({g}_{1}, {g}_{2}, {c}, {h})=(5,7,5^{8}*7^{4},5^{9 })$ $({x}_{1}, {x}_{2},z)=(8,4,9)$

Criptare

Mesaj dat . Algoritmul de criptare funcționează după cum urmează $3\în G$

Bob alege la întâmplare . ${5}\in {Z}_{q}$
Bob calculează următoarele valori:
- $u_{1}=5^{5},u_{2}=7^{5}$ ;
- $e=(5^{9})^{5}*3$ ;
- $v=(5^{8}*7^{4})^{5}$ ;
Bob îi trimite textul cifrat Alicei. $(u_{1},u_{2},e,v)=(5^{5},7^{5},(5^{9})^{5}*3,(5^{ 8}*7^{4})^{5}$

Decriptare

După primirea textului cifrat și utilizarea cheii private : $(5^{5},7^{5},(5^{9})^{5}*3,(5^{9})^{5}*3)$ $(8,4,9)$

Alice verifică starea . $(5^{5})^{8}*(7^{5})^{4}=(5^{5})^{8}*(7^{5})^{4}$
Condiția este îndeplinită, așa că este afișat mesajul criptat de Bob . $3=((5^{9})^{5}*3)/(5^{5})^{9}$

Dovada de securitate

Teorema

Criptosistemul Cramer-Shope este rezistent la atacuri bazate pe text cifrat ales adaptativ în următoarele condiții:

Funcția hash este selectată din familia universală de funcții hash unidirecționale. ${H}$
Problema discriminării Diffie-Hellman este grea pentru grup . ${G}$

Demonstrație : Pentru a demonstra teorema, vom presupune că există un adversar care poate rupe protocolul și vom arăta că dacă este îndeplinită condiția de pe funcția hash, obținem o contradicție cu condiția din problema Diffie-Hellman. Intrarea în algoritmul nostru probabilist este dată din distribuția sau . La nivel superficial, construcția va arăta astfel: vom construi un simulator care va produce o distribuție comună constând din viziunea crackerului asupra criptosistemului după o serie de atacuri și bitul ascuns b generat de oracolul generației (neinclus în viziunea crackerului, ascunsă de el). Ideea dovezii: vom arăta că dacă intrarea este o distribuție a , atunci simularea va reuși, iar adversarul va avea un avantaj nebanal în a ghici bitul aleator b. Vom mai arăta că dacă intrarea este o distribuție din , atunci viziunea inamicului nu depinde de și , și, prin urmare, superioritatea inamicului va fi neglijabilă (mai mică decât polinomul invers). De aici, putem construi distincția de distribuție și : rulăm simulatorul de criptosistem (prints ) și cracker (prints ) în același timp și imprimăm dacă și altfel. $({g}_{1}, {g}_{2}, {u}_{1}, {u}_{2})$ $R$ $D$ $D$ $R$ $b$ $A$ $R$ $D$ $b$ ${b}_{1}$ $unu$ $b={b}_{1)$ $0$

Construirea unui simulator

Schema de simulare a generării cheilor este următoarea:

Intrarea în simulator este . $({g}_{1}, {g}_{2}, {u}_{1}, {u}_{2})$
Simulatorul folosește . $({g}_{1}, {g}_{2})$
Simulatorul selectează variabile aleatorii . $({x}_{1}, {x}_{2}, {y}_{1}, {y}_{2}, {z}_{1}, {z}_{2 })\în {Z}_{q}$
Simulatorul calculează . $c={g}_{1}^{{x}_{1}}{g}_{2}^{{x}_{2}},d={g}_{1}^ {{y}_{1}}{g}_{2}^{{y}_{2}},h={g}_{1}^{{z}_{1}}{g}_ {2}^{{z}_{2}}$
Simulatorul alege o funcție hash aleatorie și generează o cheie publică . Tasta ascunsă a simulatorului: . $H$ $({g}_{1}, {g}_{2},c,d,h,H)$ $({x}_{1}, {x}_{2}, {y}_{1}, {y}_{2}, {z}_{1}, {z}_{2 })$

Se poate observa că generarea cheii simulatorului este diferită de generarea cheii în protocol (acolo ). ${z}_{2}=0$

Simulare de decriptare . Se procedează la fel ca în protocol, cu diferența că $m=e/({u}_{1}^{{z}_{1}}+{u}_{2}^{{z}_{2}})$

Simulare de criptare . Având în vedere o intrare , simulatorul selectează o valoare aleatorie , calculează și emite . Acum, demonstrarea teoremei va decurge din următoarele două leme. ${\displaystyle {m}_{0},{m}_{1))$ $b\in {0,1}$ $e={u}_{1}^{{z}_{1}}{u}_{2}^{{z}_{2}}{m}_{b},\alpha = H({u}_{1},{u}_{2},e,v),v={u}_{1}^{{x}_{1}+{y}_{1}\ alfa {u}_{2}^{{x}_{2}+{y}_{2}\alpha }$ $({u}_{1}, {u}_{2},v,e)$

Leme

Lema 1. Dacă simulatorului i se dă o distribuție de la , atunci distribuția comună a viziunii atacatorului asupra criptosistemului și a bitului ascuns nu se distinge statistic de un atac real asupra criptosistemului. $D$ $b$

Lema 2. Dacă simulatorului i se dă o distribuție din , atunci distribuția bitului ascuns nu depinde de distribuția viziunii crackerului. $R$ $b$

Link -uri

Criptosistem Cramer–Shoup
Ronald Cramer și Victor Shoup . „Un criptosistem practic cu cheie publică, care se dovedește sigur împotriva atacurilor adaptive ale textului cifrat.” în procedurile Crypto 1998, LNCS 1462, p. 13 și urm. ( ps , pdf )
Protocolul magazinului de camere

Criptosisteme cu cheie publică

Algoritmi

Factorizarea numerelor întregi	Criptosistemul Benalo Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Pupa paye Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Logaritm discret	BLS Cramer - Shoup Protocolul Diffie-Hellman DSA ECDH Curba25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Schimb de chei criptate Schema lui ElGamal schema de semnătură MQV Schema Schnorr VORBIȚI SRP STS
Criptografia pe zăbrele	NTRUEncrypt NTRUSign Schimb de chei bazat pe învățare cu erori Antrenament bazat pe semnătură cu erori în ring FERICIRE Speranța nouă
Alte	AE CEILIDH EPOC Ecuații de câmp ascunse IES Semnătura lui Lampport McEliece Criptosistem de rucsac Merkle-Hellman Criptosistem de rucsac Naccache–Stern Protocol în trei etape XTR

Teorie

Logaritm discret pe o curbă eliptică
Criptografia eliptică
Criptografia bazată pe hash
Criptografia necomutativă
Problema RSA
Funcție unidirecțională cu intrare secretă

Standarde

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Criptografie post cuantică

Subiecte

Semnatura electronica
OAEP
Amprenta
PKI
rețea de încredere
Dimensiunea cheii
Criptografia bazată pe identitate
Criptografia post-cuantică
Card OpenPGP