Cramer-Shoup kryptosystem

Cramer – Shoup-systemet er en offentlig nøglekrypteringsalgoritme . Den første algoritme, der viste sig modstandsdygtig over for angreb baseret på adaptivt valgt chiffertekst . Designet af Ronald Kramer og Victor Shoup i 1998. Algoritmens sikkerhed er baseret på Diffie-Hellman-diskriminationsantagelsen . Det er en udvidelse af ElGamal-ordningen , men i modsætning til ElGamal-ordningen er denne algoritme uoverskuelig (En hacker kan ikke erstatte chifferteksten med en anden chiffertekst, der ville blive dekrypteret til en tekst relateret til originalen, dvs. være en funktion af den). Denne robusthed opnås ved brug af en universel envejs-hash-funktion og yderligere beregninger, hvilket resulterer i en chiffertekst, der er dobbelt så stor som ElGamal-ordningen.

Valgt chiffertekstangreb

Et kryptografisk angreb, hvor en kryptoanalytiker indsamler information om en chiffer ved at gætte chifferteksten og dekryptere den med en ukendt nøgle. Kryptanalytikeren kan bruge dekryptering flere gange for at få den dekrypterede chiffertekst. Ved hjælp af de modtagne data kan han forsøge at gendanne den hemmelige nøgle til dekryptering. Et chiffertekstangreb kan være adaptivt eller ikke-adaptivt.

Det var velkendt, at mange udbredte kryptosystemer var sårbare over for et sådant angreb, og i mange år mente man, at angrebet var upraktisk og kun af teoretisk interesse. Tingene begyndte at ændre sig i slutningen af 1990'erne, især da Daniel Bleichenbacher demonstrerede et praktisk chiffertekstbaseret angreb på SSL -servere ved hjælp af en form for RSA -kryptering .

Ikke-adaptivt angreb

I et ikke-adaptivt angreb bruger kryptanalytikeren ikke resultaterne af tidligere dekrypteringer, det vil sige, at chiffertekster er valgt på forhånd. Sådanne angreb kaldes frokostangreb (frokosttid eller CCA1).

Adaptivt angreb

I tilfælde af et adaptivt angreb vælger kryptoanalytikeren adaptivt en chiffertekst, der afhænger af resultaterne af tidligere dekrypteringer (CCA2).

Modstandsdygtighed over for adaptive angreb kan ses på eksemplet med spillet:

Nøglegenereringsalgoritmen lanceres i krypteringsskemaet med den tilsvarende nøglelængde leveret som input.
Modstanderen fremsætter en række vilkårlige anmodninger til dekrypteringsoraklet og dekrypterer således de chiffertekster, han selv vælger.
Modstanderen vælger to beskeder og sender dem til krypteringsoraklet. ${\displaystyle {m}_{0},{m}_{1))$
Chifferoraklet vælger tilfældigt en bit og krypterer derefter , som sendes til modstanderen (møntkastet for at vælge bit er skjult for modstanderen). $b\in {0,1}$ ${m}_{b}$ $b$
Modstanderen fremsætter igen en række vilkårlige anmodninger til dekrypteringsoraklet med den eneste begrænsning, at anmodningen skal være forskellig fra den besked, den modtog fra krypteringsoraklet.
Modstanderen giver en bit - den forventede værdi af biten valgt af krypteringsoraklet i trin 4. Hvis , så anses modstanderens overlegenhed for at være lig med . ${b}_{1}\i {0,1}$ $b$ ${P}_{r}({b}_{1}=b)\leq 1/2+E$ $E$

Diffie-Hellman-diskriminationsproblemet

Der er flere tilsvarende formuleringer af Diffie-Hellman-diskriminationsproblemet. Den, vi skal bruge, ser sådan ud.

Lade være en gruppe af orden , hvor er et stort primtal. Også - . Og der er to fordelinger: $G$ $q$ $q$ ${\displaystyle {Z}_{q))$ $\{0,1,\dots ,q-1\}$

Fordeling af tilfældige firdobler . $R$ ${\displaystyle ({g}_{1},{g}_{2},{u}_{1},{u}_{2})\i G^{4))$
Fordelingen af firdobler , hvor - er tilfældige, og for tilfældige . $D$ ${\displaystyle ({g}_{1},{g}_{2},{u}_{1},{u}_{2})\i G^{4))$ ${\displaystyle {g}_{1},{g}_{2))$ ${\displaystyle {u}_{1}={g}_{1}^{r},{u}_{2}={g}_{2}^{r))$ ${\displaystyle r\in {Z}_{q))$

En algoritme, der løser Diffie-Hellman-problemet, er en probabilistisk algoritme , der effektivt kan skelne mellem de anførte to distributioner. Det vil sige, at en algoritme, der tager en af de to fordelinger som input, skal returnere 0 eller 1, og har også en tendens til 0. $EN$ $P(A(x)=1|x\in R)-P(A(x)=1|x\in D)$

Diffie-Hellman-diskriminationsproblemet er svært, hvis der ikke eksisterer en sådan polynomiel probabilistisk algoritme.

Grundlæggende skema

Lad os have en rækkefølge , hvor er et stort primtal. Beskeder er elementer . Vi bruger også en generisk familie af envejs-hash-funktioner, der kortlægger lange bitstrenge til elementer , hvor — . $G$ $q$ $q$ $\in G$ ${\displaystyle {Z}_{q))$ ${\displaystyle {Z}_{q))$ $\{0,1,\dots ,q-1\}$

Nøglegenerering

Nøglegenereringsalgoritmen fungerer som følger:

Alice genererer tilfældige og tilfældige elementer $g_{1},g_{2}\in G$ ${\displaystyle ({x}_{1},{x}_{2},{y}_{1},{y}_{2},z)\i {Z}_{q))$
Alice beregner . $c={g}_{1}^{x_{1}}g_{2}^{x_{2}},d={g}_{1}^{y_{1}}g_{2 }^{y_{2}},h={g}_{1}^{z}$
En hash-funktion vælges fra den universelle familie af envejs-hash-funktioner. Den offentlige nøgle er , den private nøgle er . $H$ $({g}_{1},{g}_{2},{c},{d},{h},{H})$ $({x}_{1},{x}_{2},{y}_{1},{y}_{2},z)$

Kryptering

Meddelelse givet . Krypteringsalgoritmen fungerer som følger $m\in G$

Bob vælger tilfældigt . ${k}\in {Z}_{q}$
Bob beregner følgende værdier:
- ${\displaystyle u_{1}={g}_{1}^{k},u_{2}={g}_{2}^{k))$ ;
- $e=h^{k}m$ ;
- $\alpha =H(u_{1},u_{2},e)$ , hvor er en universel envejs-hash-funktion; $H()$
- ${\displaystyle v=c^{k}d^{k\alpha ))$ ;
Bob sender chifferteksten til Alice. $(u_{1},u_{2},e,v)$

Dekryptering

Efter at have modtaget chifferteksten og brugt den private nøgle : $(u_{1},u_{2},e,v)$ $(x_{1},x_{2},y_{1},y_{2},z)$

Alice beregner . $\alpha =H(u_{1},u_{2},e)\,$
Alice tjekker tilstanden . Hvis betingelsen ikke er opfyldt, afsluttes protokollen med dekrypteringsfejl. Ellers vises en meddelelse . ${u_{1}}^{x_{1}}{u_{2}}^{x_{2}}{u_{1}}^{{y_{1}}\alpha }u_{2} ^{{y_{2}}\alpha }=v$ $m=e/{u}_{1}^{z}$

Protokol korrekthed

Lad os tjekke rigtigheden af krypteringsskemaet (dekryptering af den krypterede besked giver den samme besked). I betragtning af det og , har vi . Også og . Derfor lykkes dekrypteringskontrollen, og den oprindelige meddelelse vises . ${u}_{1}={g}_{1}^{r}$ ${u}_{2}={g}_{2}^{r}$ ${u}_{1}^{x_{1}}u_{2}^{x_{2}}={g}_{1}^{{x}_{1}{r}}{ g}_{2}^{{x}_{2}{r}}={c}^{r}$ ${u}_{1}^{y_{1}}{u}_{2}^{y_{2}}={d}^{r}$ ${\displaystyle {u}_{1}^{z}={h}^{z))$ $m=e/{u}_{1}^{z}$

Forenklet diagram

Forskelle fra grundskemaet

For at opnå sikkerhed mod ikke-adaptive angreb (og kun dem), kan du forenkle protokollen betydeligt uden at bruge . Ved kryptering bruger vi , og ved dekryptering tjekker vi at . $d,{y_{1}},{y_{2}},H()$ ${\displaystyle v={c}^{k))$ $v={u_{1}}^{x_{1}}{u_{2}}^{x_{2}}$

Et eksempel på et forenklet kredsløb

Lad os sige, at vi har en rækkefølge . Følgelig - . $G$ $q=13$ ${Z}_{13}$ $\{0,1,\dots ,12\}$

Nøglegenerering

Nøglegenereringsalgoritmen fungerer som følger:

Alice genererer tilfældige og tilfældige elementer $g_{1}=5,g_{2}=7\i G$ ${\displaystyle ({x}_{1}=8,{x}_{2}=4,z=9)\i {Z}_{q))$
Alice beregner . ${\displaystyle c=5^{8}*7^{4},h=5^{9))$
Den offentlige nøgle er , den private nøgle er . $({g}_{1},{g}_{2},{c},{h})=(5,7,5^{8}*7^{4},5^{9 })$ $({x}_{1},{x}_{2},z)=(8,4,9)$

Kryptering

Meddelelse givet . Krypteringsalgoritmen fungerer som følger $3\in G$

Bob vælger tilfældigt . ${5}\in {Z}_{q}$
Bob beregner følgende værdier:
- $u_{1}=5^{5},u_{2}=7^{5}$ ;
- $e=(5^{9})^{5}*3$ ;
- $v=(5^{8}*7^{4})^{5}$ ;
Bob sender chifferteksten til Alice. $(u_{1},u_{2},e,v)=(5^{5},7^{5},(5^{9})^{5}*3,(5^{ 8}*7^{4})^{5}$

Dekryptering

Efter at have modtaget chifferteksten og brugt den private nøgle : $(5^{5},7^{5},(5^{9})^{5}*3,(5^{9})^{5}*3)$ $(8,4,9)$

Alice tjekker tilstanden . $(5^{5})^{8}*(7^{5})^{4}=(5^{5})^{8}*(7^{5})^{4}$
Betingelsen er opfyldt, så meddelelsen krypteret af Bob vises . $3=((5^{9})^{5}*3)/(5^{5})^{9}$

Bevis for sikkerhed

Sætning

Cramer-Shope-kryptosystemet er modstandsdygtigt over for angreb baseret på adaptivt valgt chiffertekst under følgende forhold:

Hash-funktionen er valgt fra den universelle familie af envejs-hash-funktioner. ${H}$
Diffie-Hellman-diskriminationsproblemet er svært for gruppen . ${G}$

Bevis : For at bevise sætningen vil vi antage, at der er en modstander, der kan bryde protokollen, og vi vil vise, at hvis betingelsen om hashfunktionen er opfyldt, får vi en modsigelse med betingelsen om Diffie-Hellman-problemet. Input til vores probabilistiske algoritme er givet fra fordelingen eller . På et overfladisk niveau vil konstruktionen se sådan ud: vi vil bygge en simulator, der vil producere en fælles distribution bestående af crackerens vision af kryptosystemet efter en række angreb og den skjulte bit b genereret af generationsoraklet (ikke inkluderet i kikserens syn, skjult for ham). Idé med beviset: vi vil vise, at hvis inputtet er en fordeling af , så vil simuleringen lykkes, og modstanderen vil have en ikke-triviel fordel ved at gætte den tilfældige bit b. Vi vil også vise, at hvis inputtet er en fordeling fra , så afhænger fjendens vision ikke af og , og derfor vil fjendens overlegenhed være ubetydelig (mindre end det omvendte polynomium). Herfra kan vi konstruere distributionsforskellen og : vi kører kryptosystemsimulatoren (prints ) og crackeren (prints ) på samme tid og udskriver hvis og andet. $({g}_{1},{g}_{2},{u}_{1},{u}_{2})$ $R$ $D$ $D$ $R$ $b$ $-en$ $R$ $D$ $b$ ${b}_{1}$ $en$ ${\displaystyle b={b}_{1))$ $0$

Opbygning af en simulator

Nøglegenereringssimuleringsskemaet er som følger:

Indgangen til simulatoren er . $({g}_{1},{g}_{2},{u}_{1},{u}_{2})$
Simulatoren bruger den givne . $({g}_{1},{g}_{2})$
Simulatoren vælger tilfældige variabler . $({x}_{1},{x}_{2},{y}_{1},{y}_{2},{z}_{1},{z}_{2 })\i {Z}_{q}$
Simulatoren beregner . $c={g}_{1}^{{x}_{1}}{g}_{2}^{{x}_{2}},d={g}_{1}^ {{y}_{1}}{g}_{2}^{{y}_{2}},h={g}_{1}^{{z}_{1}}{g}_ {2}^{{z}_{2}}$
Simulatoren vælger en tilfældig hashfunktion og genererer en offentlig nøgle . Simulator skjult nøgle: . $H$ $({g}_{1},{g}_{2},c,d,h,H)$ $({x}_{1},{x}_{2},{y}_{1},{y}_{2},{z}_{1},{z}_{2 })$

Det kan ses, at genereringen af simulatornøglen er forskellig fra genereringen af nøglen i protokollen (der ). ${z}_{2}=0$

Dekrypteringssimulering . Fortsætter på samme måde som i protokollen, med den forskel at $m=e/({u}_{1}^{{z}_{1}}+{u}_{2}^{{z}_{2}})$

Krypteringssimulering . Givet et input , vælger simulatoren en tilfældig værdi , beregner og udlæser . Nu vil beviset for sætningen følge af de følgende to lemmaer. ${\displaystyle {m}_{0},{m}_{1))$ $b\in {0,1}$ $e={u}_{1}^{{z}_{1}}{u}_{2}^{{z}_{2}}{m}_{b},\alpha = H({u}_{1},{u}_{2},e,v),v={u}_{1}^{{x}_{1}+{y}_{1}\ alfa }{u}_{2}^{{x}_{2}+{y}_{2}\alpha }$ $({u}_{1},{u}_{2},v,e)$

Lemmaer

Lemma 1. Hvis simulatoren får en fordeling fra , så er den fælles fordeling af angriberens vision af kryptosystemet og den skjulte bit statistisk set ikke til at skelne fra et rigtigt angreb på kryptosystemet. $D$ $b$

Lemma 2. Hvis simulatoren gives en fordeling fra , så afhænger fordelingen af den skjulte bit ikke af fordelingen af kikserens syn. $R$ $b$

Links

Cramer-Shoup kryptosystem
Ronald Cramer og Victor Shoup . "Et praktisk kryptosystem med offentlig nøgle, der beviseligt er sikkert mod adaptivt valgt chiffertekstangreb." i proceduren for Crypto 1998, LNCS 1462, s. 13ff ( ps , pdf )
Camera Shop Protocol

Offentlig nøgle kryptosystemer

Algoritmer

Faktorisering af heltal	Benalo kryptosystem Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern betalingsmodtager Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskret logaritme	BLS Cramer - Shoup Diffie-Hellman protokol DSA ECDH Kurve25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Krypteret nøgleudveksling Ordning af ElGamal underskriftsordning MQV Schnorr ordning SPEKE SRP STS
Kryptografi på gitter	NTRUEncrypt NTRUSign Læringsbaseret nøgleudveksling med fejl Signaturbaseret træning med fejl i ringen LYKKELIGHED Nyt håb
Andet	AE CEILIDH EPOC Skjulte feltligninger IES Lamports underskrift McEliece Merkle-Hellman rygsæk kryptosystem Naccache-Stern rygsæk kryptosystem Tre trins protokol XTR

Teori

Standarder

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Post kvantekryptering

Emner

Elektronisk signatur
OAEP
Fingeraftryk
PKI
web af tillid
Nøglestørrelse
Identitetsbaseret kryptografi
Postkvantekryptografi
OpenPGP-kort