Optimal asymmetrisk kryptering med polstring

OAEP ( engelsk Optimal A symmetric Encryption P adding , Optimal asymmetrisk encryption with addition) er et additionsskema , der normalt bruges sammen med en envejsfunktion med en hemmelig indgang (for eksempel RSA- eller Rabin-funktioner ) for at øge den kryptografiske styrke af sidstnævnte. OAEP blev foreslået af Mihir Bellare og Phillip Rogaway [1] , og dens anvendelse til RSA blev efterfølgende standardiseret i PKCS#1 og RFC 2437 .

Historie

Den originale version af OAEP, foreslået af Bellare og Rogaway i 1994, blev hævdet at være modstandsdygtig over for angreb baseret på valgt chiffertekst i kombination med enhver envejs hemmelig indtastningsfunktion [1] . Yderligere undersøgelser har vist, at en sådan ordning kun er modstandsdygtig over for angreb baseret på ikke-adaptiv valgt chiffertekst [2] . På trods af dette er det blevet bevist, at skemaet i den tilfældige orakelmodel , når man bruger standard RSA med chiffereksponent , også er modstandsdygtigt over for angreb baseret på adaptivt valgt chiffertekst [ 3] . Nyere arbejde har vist, at i standardmodellen (når hash-funktioner ikke er modelleret som tilfældige orakler) er det ikke muligt at bevise modstand mod adaptive chiffertekstangreb ved brug af RSA [4] .

OAEP-algoritme

Det klassiske OAEP-skema er et to -cellet Feistel -netværk , hvor data i hver celle transformeres ved hjælp af en kryptografisk hash-funktion . Som input modtager netværket en besked med kontrolnuller tilføjet og en nøgle - en tilfældig streng [5] .

Diagrammet bruger følgende notation:

$n$ - antallet af bits i blokken forberedt til asymmetrisk kryptering .
$k_{0}$ og er protokol-fikserede heltal. $k_{1}$
$m$ — almindelig tekst af meddelelsen, -bit streng. ${\displaystyle n-k_{0}-k_{1))$
$G$ og er de kryptografiske hash-funktioner givet af protokollen. $H$

Kryptering

Meddelelsen er tilføjet nuller, på grund af hvilke den når bits i længden. $m$ $k_{1}$ ${\displaystyle n-k_{0))$
En tilfældig -bit-streng genereres . $k_{0}$ $r$
$G$ udvider lidt af en streng til bits. $k_{0}$ $r$ ${\displaystyle n-k_{0))$
$X=m00..0\bigoplus G(r)$ .
$H$ komprimerer lidt til lidt. ${\displaystyle n-k_{0))$ $x$ $k_{0}$
$Y=r\bigoplus H(X)$ .
krypteret tekst . $X||Y$

Dekryptering

Tilfældig streng gendannes $r=Y\bigoplus H(X)$
Den oprindelige besked gendannes som $m00..0=X\bigoplus G(r)$
De sidste tegn i den dekrypterede besked kontrolleres for nul. Hvis der er ikke-nul tegn, så er beskeden blevet forfalsket af en angriber. $k_{1}$

Ansøgning

OAEP-algoritmen bruges til at forbehandle meddelelsen, før RSA bruges . Beskeden udfyldes først til en fast længde ved hjælp af OAEP og krypteres derefter med RSA. Samlet kaldes dette krypteringsskema RSA-OAEP og er en del af den nuværende offentlige nøglekrypteringsstandard ( RFC 3447 ). Det blev også bevist af Viktor Boyko, at visningsfunktionen i modellen af tilfældige orakler er en alt-eller-intet-type transformation[4] . $g^{G,H}(x)=f(OAEP^{G,H}(x,r))$

Ændringer

På grund af sådanne mangler som umuligheden af at bevise kryptografisk modstand mod angreb baseret på valgt chiffertekst , samt skemaets lave hastighed [6] , blev der efterfølgende foreslået OAEP-baserede modifikationer, der eliminerer disse mangler.

OAEP+ algoritme

Victor Shoup har , der er modstandsdygtigt over for adaptive chiffertekstangreb, når det kombineres med enhver envejs bagdørsfunktion [2] .

$n$ - antallet af bits i blokken forberedt til asymmetrisk kryptering .
$k_{0}$ og er protokol-fikserede heltal. $k_{1}$
$m$ almindelig tekstbesked, -bit streng. ${\displaystyle n-k_{0}-k_{1))$
$G$ , og er kryptografiske hash-funktioner defineret af protokollen. $H$ $H'$

Kryptering

En tilfældig -bit-streng genereres . $k_{0}$ $r$
$H'$ konverteres til en længdestreng . $r||m$ $k_{1}$
$G$ konverteres til en længdestreng . $r$ ${\displaystyle n-k_{0}-k_{1))$
Venstre side af beskeden er sammensat . $X=(G(r)\bigoplus m)||H'(r||m)$
$H$ konverteres til en længdestreng . $x$ $k_{0}$
Den højre side af beskeden er ved at blive skrevet . $Y=H(X)\bigoplus r$
krypteret tekst . $X||Y$

Dekryptering

Den tilfældige streng gendannes . $r=Y\bigoplus H(X)$
$x$ er opdelt i to dele og , med henholdsvis størrelser og bits. $X_{1}$ $X_{2}$ ${\displaystyle n-k_{1}-k_{0))$ $k_{1}$
Den oprindelige besked gendannes som . ${\displaystyle m=G(r)\bigoplus X_{1))$
Hvis den ikke er opfyldt , er meddelelsen forfalsket. $H'(r||m)=X_{2}$

SAEP/SAEP+ algoritme

Dan Bonet har foreslået to forenklede implementeringer af OAEP, navngivet henholdsvis SAEP og SAEP+. Hovedideen med at forenkle kryptering er fraværet af det sidste trin - beskeden blev "limet" med den oprindeligt genererede tilfældige streng . Kredsløbene består således kun af én Feistel-celle , på grund af hvilken en stigning i driftshastigheden opnås [7] . Forskellen mellem algoritmerne fra hinanden kommer til udtryk i registreringen af kontrolbittene. I tilfælde af SAEP er disse nuller, mens dette for SAEP+ er en hash fra (henholdsvis som i OAEP og OAEP+) [5] . Ulempen ved algoritmerne er en kraftig reduktion af beskedens længde. Pålideligheden af skemaer i tilfælde af brug af Rabin-funktionen og RSA er kun blevet bevist med følgende begrænsning på længden af den transmitterede tekst: for SAEP + og desuden for SAEP [8] . Det er værd at bemærke, at ved omtrent samme hastighed har SAEP+ færre begrænsninger på meddelelseslængden end SAEP [8] , på grund af hvilket det er anerkendt som mere at foretrække [8] . $r$ $m||r$ ${\displaystyle m\leqslant n/2+k_{0))$ $m\leqslant n/4$

Diagrammet bruger følgende notation:

$n$ - antallet af bits i blokken RSA eller Rabins kryptosystem .
$k_{0}$ og er protokol-fikserede heltal. $k_{1}$
$m$ almindelig tekstbesked, -bit streng. ${\displaystyle n-k_{0}-k_{1))$
$G$ og er de kryptografiske hash-funktioner givet af protokollen. $H$

SAEP+ kryptering

En tilfældig -bit-streng genereres . $k_{0}$ $r$
$G$ konverteres til en længdestreng . $m||r$ $k_{1}$
$H$ konverteres til en længdestreng . $r$ ${\displaystyle n-k_{0))$
Beregnet . $X=(m||G(m||r))\bigoplus H(r)$
krypteret tekst . $X||r$

SAEP+ dekryptering

Beregnet , hvor og er strenge af henholdsvis størrelse og . $X_{1}||X_{2}=X\bigoplus H(r)$ $X_{1}$ $X_{2}$ ${\displaystyle n-k_{0}-k_{1))$ $k_{0}$
Ligestillingen kontrolleres . Hvis lighed er sand, så er den oprindelige besked , hvis ikke, så er beskeden forfalsket af en angriber. $X_{2}=G(X_{1}||r)$ $X_{1}$

Se også

RSA-KEM

Noter

↑ 1 2 Optimal asymmetrisk kryptering Sådan krypteres med RSA, 1995 , s. en.
↑ 1 2 OAEP Reconsidered, 2001 , s. en.
↑ RSA–OAEP er sikkert under RSA Assumption, 2001 , s. en.
↑ 1 2 Envejshandel mod udvalgt chiffertekstsikkerhed i faktorbaseret kryptering, 2006 , s. en.
↑ 1 2 Forenklet OAEP for RSA- og Rabin-funktionerne, 2001 , s. 277.
↑ Et billigt alternativ til OAEP, 2001 , s. en.
↑ Forenklet OAEP for RSA- og Rabin-funktionerne, 2001 , s. 275.
↑ 1 2 3 Forenklet OAEP for RSA- og Rabin-funktionerne, 2001 , s. 290.

Litteratur

M. Bellare, P. Rogaway. Optimal asymmetrisk kryptering - Sådan krypteres med RSA . - Springer Berlin Heidelberg, 1995. - Vol. 950.-S. 92-111. - ISBN 978-3-540-60176-0 . — ISSN 0302-9743 . - doi : 10.1007/BFb0053428 .
Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval og Jacques Stern. RSA–OAEP er sikkert under RSA-antagelsen . - Springer Berlin Heidelberg, 2001. - Vol. 2139. - S. 260-274. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_16 .
P. Paillier og J. Villar. Envejshandel mod valgt kodetekstsikkerhed i faktorbaseret kryptering . - Springer Berlin Heidelberg, 2006. - Vol. 4284. - S. 252-266. - ISBN 978-3-540-49475-1 . — ISSN 0302-9743 . - doi : 10.1007/11935230_17 .
Peter Schartner. Et billigt alternativ til OAEP . - 2001. - ISBN 978-1-4503-0882-3 . - doi : 10.1145/2349913.2349914 .
Victor butik. OAEP genovervejet . - Springer Berlin Heidelberg, 2001. - Vol. 2139. - S. 239-259. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_15 .
D. Boneh. Forenklet OAEP for RSA- og Rabin- funktionerne . - Springer Berlin Heidelberg, 2001. - Vol. 2139. - S. 275-291. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_17 .
Victor Boyko. Om sikkerhedsegenskaberne for OAEP som en alt-eller-intet- transformation . - Springer Berlin Heidelberg, 1999. - Vol. 1666. - S. 503-518. — ISBN 978-3-540-66347-8 . — ISSN 0302-9743 . - doi : 10.1007/3-540-48405-1_32 .

Offentlig nøgle kryptosystemer

Algoritmer

Faktorisering af heltal	Benalo kryptosystem Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern betalingsmodtager Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskret logaritme	BLS Cramer - Shoup Diffie-Hellman protokol DSA ECDH Kurve25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Krypteret nøgleudveksling Ordning af ElGamal underskriftsordning MQV Schnorr ordning SPEKE SRP STS
Kryptografi på gitter	NTRUEncrypt NTRUSign Læringsbaseret nøgleudveksling med fejl Signaturbaseret træning med fejl i ringen LYKKELIGHED Nyt håb
Andet	AE CEILIDH EPOC Skjulte feltligninger IES Lamports underskrift McEliece Merkle-Hellman rygsæk kryptosystem Naccache-Stern rygsæk kryptosystem Tre trins protokol XTR

Teori

Standarder

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Post kvantekryptering

Emner

Elektronisk signatur
OAEP
Fingeraftryk
PKI
web af tillid
Nøglestørrelse
Identitetsbaseret kryptografi
Postkvantekryptografi
OpenPGP-kort