Криптосистема Крамера – Шоупа

Криптосистема Крамера–Шоупа (Шаблон:Lang-en) — алгоритм шифрования с открытым ключом. Первый алгоритм, доказавший свою устойчивость к атакам на основе адаптивно подобранного шифротекста . Разработан Рональдом Крамером и Виктором Шоупом в 1998 году. Безопасность алгоритма основана предположении Диффи–Хеллмана о различении. Является расширением схемы Эль-Гамаля, но в отличие от схемы Эль-Гамаля данный алгоритм Шаблон:Не переведено 3 (взломщик не может подменить шифротекст на другой шифротекст, который бы расшифровывался в текст, связанный с исходным, т.е. являющийся некоторой функцией от него). Эта устойчивость достигается за счет использования универсальной однонаправленной хеш-функции и дополнительных вычислений, что приводит к получению зашифрованного текста, который в два раза больше, чем в схеме Эль-Гамаля.

Шаблон:Also

Криптографическая атака, при которой криптоаналитик собирает информацию о шифре путем подбора зашифрованного текста и получения его расшифровки при неизвестном ключе. Криптоаналитик может воспользоваться устройством расшифрования несколько раз для получения шифротекста в расшифрованном виде. Используя полученные данные, он может попытаться восстановить секретный ключ для расшифровки. Атака на основе подобранного шифротекста может быть адаптивной и неадаптивной.

Было хорошо известно, что многие широко используемые криптосистемы были уязвимы для такой атаки, и в течение многих лет считалось, что атака нецелесообразна и представляет лишь теоретический интерес. Все начало меняться в конце 1990-х годов, особенно когда Даниэль Блайхенбахер продемонстрировал на практике атаку на основе подобранного шифротекста на серверы SSL с использованием формы шифрования RSA.

При неадаптивной атаке криптоаналитик не использует результаты предыдущих расшифровок, то есть шифротексты подбираются заранее. Такие атаки называют атаками в обеденное время (lunchtime или CCA1).

В случае адаптивной атаки криптоаналитик адаптивно подбирает шифротекст, который зависит от результатов предыдущих расшифровок (CCA2).

Устойчивость к адаптивной атаке можно расммотреть на примере игры:

• Запускается алгоритм генерации ключа в схеме шифрования с соответствующей длиной ключа, подаваемой на вход.
• Противник выполняет серию произвольных запросов к оракулу дешифрования, таким образом дешифровывая шифротексты по его выбору.
• Противник выбирает два сообщения ${\displaystyle m_0,m_1}$ и отправляет их к оракулу шифрования.
• Оракул шифрования случайно выбирает бит ${\displaystyle b\in 0,1}$, затем шифрует ${\displaystyle m_b}$, который передается противнику (подбрасывание монетки для выбора бита ${\displaystyle b}$ скрыто от противника).
• Противник снова выполняет серию произвольных запросов к оракулу дешифрования с одним лишь ограничением, что запрос должен отличаться от сообщения, полученного им от оракула шифрования.
• Противник выдает бит ${\displaystyle b_1\in 0,1}$ - предполагаемое значение бита ${\displaystyle b}$, выбранного оракулом шифрования на шаге 4. Если ${\displaystyle P_r(b_1=b)\le 1/2+E}$, то превосходство противника считается равным ${\displaystyle E}$.

Существует несколько эквивалентных формулировок задачи Диффи-Хеллмана о различении. Та, которую мы будем использовать, выглядит следующим образом.

Пусть ${\displaystyle G}$— группа порядка ${\displaystyle q}$, где ${\displaystyle q}$ — большое простое число. Также ${\displaystyle Z_q}$ — ${\displaystyle \{0,1,\dots ,q-1\}}$. И имеется два распределения:

• Распределение ${\displaystyle R}$ случайных четверок ${\displaystyle (g_1,g_2,u_1,u_2)\in G^4}$.
• Распределение ${\displaystyle D}$ четверок ${\displaystyle (g_1,g_2,u_1,u_2)\in G^4}$ , где ${\displaystyle g_1,g_2}$ - случайны, а ${\displaystyle u_1=g_1^r,u_2=g_2^r}$ для случайного ${\displaystyle r\in Z_q}$.

Алгоритмом, который решает задачу Диффи-Хеллмана, называется такой вероятностный алгоритм ${\displaystyle A}$, который может эффективно различить перечисленные два распределения. То есть алгоритм, принимающий на вход одно из двух распределений, должен выдать 0 или 1, а также ${\displaystyle P(A(x)=1|x\in R)-P(A(x)=1|x\in D)}$ стремится к 0.

Задача Диффи-Хеллмана о различении трудна, если такого полиномиального вероятностного алгоритма не существует.

Пусть у нас есть группа ${\displaystyle G}$ порядка ${\displaystyle q}$, где ${\displaystyle q}$ — большое простое число. Сообщения — это элементы ${\displaystyle \in G}$. Также мы используем универсальное семейство односторонних хеш-функций, которое отображает длинные битовые строчки в элементы ${\displaystyle Z_q}$, где ${\displaystyle Z_q}$ — ${\displaystyle \{0,1,\dots ,q-1\}}$.

Алгоритм генерации ключей работает следующим образом:

• Алиса генерирует случайные ${\displaystyle g_1,g_2\in G}$ и случайные элементы ${\displaystyle (x_1,x_2,y_1,y_2,z)\in Z_q}$
• Алиса вычисляет ${\displaystyle c=g_1^{x_1}{g}_2^{x_2},d=g_1^{y_1}{g}_2^{y_2},h=g_1^z}$.
• Выбирается хеш-функция ${\displaystyle H}$ из универсального семейства односторонних хеш-функций. Публичный ключ - ${\displaystyle (g_1,g_2,c,d,h,H)}$, скрытый ключ - ${\displaystyle (x_1,x_2,y_1,y_2,z)}$ .

Дано сообщение ${\displaystyle m\in G}$. Алгоритм шифрования работает следующим образом

• Боб случайно выбирает ${\displaystyle k\in Z_q}$.
• Боб вычисляет следующие значения:
  • ${\displaystyle u_1=g_1^k,u_2=g_2^k}$;
  • ${\displaystyle e=h^{k}m}$;
  • ${\displaystyle \alpha =H(u_1,u_2,e)}$, где ${\displaystyle H()}$ - это универсальная односторонняя хеш-функция;
  • ${\displaystyle v=c^k{d}^{k\alpha }}$;
• Боб отправляет зашифрованный текст ${\displaystyle (u_1,u_2,e,v)}$ Алисе.

Получив зашифрованный текст ${\displaystyle (u_1,u_2,e,v)}$ и используя закрытый ключ ${\displaystyle (x_1,x_2,y_1,y_2,z)}$:

• Алиса вычисляет ${\displaystyle \alpha =H(u_1,u_2,e)}$.
• Алиса проверяет условие ${\displaystyle {u_1}^{x_1}{u_2}^{x_2}{u_1}^{y_1\alpha }{u}_2^{y_2\alpha }=v}$. Если условие не выполняется, то протокол завершается с отказом дешифрования. Иначе выводится сообщение ${\displaystyle m=e/u_1^z}$.

Проверим корректность шифровальной схемы (расшифровка зашифрованного сообщения выдает это самое сообщение). Учитывая, что ${\displaystyle u_1=g_1^r}$ и ${\displaystyle u_2=g_2^r}$, имеем ${\displaystyle u_1^{x_1}{u}_2^{x_2}=g_1^{x_{1}r}{g}_2^{x_{2}r}=c^r}$. Также ${\displaystyle u_1^{y_1}{u}_2^{y_2}=d^r}$ и ${\displaystyle u_1^z=h^z}$. Поэтому проверка дешифрования проходит успешно и выводится исходное сообщение ${\displaystyle m=e/u_1^z}$.

Для достижения безопасности к неадаптивным атакам (и только им) можно значительно упростить протокол, не использовав ${\displaystyle d,y_1,y_2,H()}$. При шифровании мы используем ${\displaystyle v=c^k}$, а при дешифровании проверяем, что ${\displaystyle v={u_1}^{x_1}{u_2}^{x_2}}$.

Пусть у нас есть группа ${\displaystyle G}$ порядка ${\displaystyle q=13}$. Соответственно ${\displaystyle Z_{13}}$ — ${\displaystyle \{0,1,\dots ,12\}}$.

Алгоритм генерации ключей работает следующим образом:

• Алиса генерирует случайные ${\displaystyle g_1=5,g_2=7\in G}$ и случайные элементы ${\displaystyle (x_1=8,x_2=4,z=9)\in Z_q}$
• Алиса вычисляет ${\displaystyle c=5^8*7^4,h=5^9}$.
• Публичный ключ - ${\displaystyle (g_1,g_2,c,h)=(5,7,5^8*7^4,5^9)}$ , скрытый ключ - ${\displaystyle (x_1,x_2,z)=(8,4,9)}$.

Дано сообщение ${\displaystyle 3\in G}$. Алгоритм шифрования работает следующим образом

• Боб случайно выбирает ${\displaystyle 5\in Z_q}$.
• Боб вычисляет следующие значения:
  • ${\displaystyle u_1=5^5,u_2=7^5}$;
  • ${\displaystyle e=(5^9{)}^5*3}$;
  • ${\displaystyle v=(5^8*7^4{)}^5}$;
• Боб отправляет зашифрованный текст ${\displaystyle (u_1,u_2,e,v)=(5^5,7^5,(5^9{)}^5*3,(5^8*7^4{)}^5}$ Алисе.

Получив зашифрованный текст ${\displaystyle (5^5,7^5,(5^9{)}^5*3,(5^9{)}^5*3)}$ и используя закрытый ключ ${\displaystyle (8,4,9)}$:

• Алиса проверяет условие ${\displaystyle (5^5{)}^8*(7^5{)}^4=(5^5{)}^8*(7^5{)}^4}$.
• Условие выполняется, поэтому выводится зашифрованное Бобом сообщение ${\displaystyle 3=((5^9{)}^5*3)/(5^5{)}^9}$.

Криптосистема Крамера-Шоупа устойчива к атакам на основе адаптивно подобранного шифротекста при выполнении следующих условий:

• Хеш-функция ${\displaystyle H}$ выбирается из универсального семейства односторонних хеш-функций.
• Задача Диффи-Хеллмана о различении трудна для группы ${\displaystyle G}$.

Доказательство: чтобы доказать теорему, мы предположим, что существует противник, который может взломать протокол, и покажем, что при выполнении условия на хеш-функцию получается противоречие с условием на задачу Диффи-Хеллмана. На вход нашему вероятностному алгоритму подается ${\displaystyle (g_1,g_2,u_1,u_2)}$ из распределения ${\displaystyle R}$ или ${\displaystyle D}$. На поверхностном уровне конструкция будет выглядеть следующим образом: мы построим симулятор, который будет выдавать совместное распределение, состоящее из видения взломщиком криптосистемы после серии атак и скрытого бита b, генерируемого оракулом генерации (не входит в видение взломщика, скрыто от него). Идея доказательства: мы покажем, что если на вход подается распределение из ${\displaystyle D}$, то симуляция пройдет успешно, а противник будет иметь нетривиальное превосходство в угадывании случайного бита b. Также мы покажем, что если на вход подается распределение из ${\displaystyle R}$, то видение противника не зависит от ${\displaystyle b}$и ${\displaystyle a}$, и, значит, превосходство противника будет ничтожно мало (меньше обратного полинома). Отсюда можно построить различитель распределений ${\displaystyle R}$ и ${\displaystyle D}$: запускаем симулятор криптосистемы (выводит ${\displaystyle b}$) и взломщика (выводит ${\displaystyle b_1}$) одновременно и выдаем ${\displaystyle 1}$, если ${\displaystyle b=b_1}$ и ${\displaystyle 0}$в противном случае.

Схема симуляции генерации ключа выглядит следующим образом:

• На вход симулятору поступает ${\displaystyle (g_1,g_2,u_1,u_2)}$.
• Симулятор использует заданные ${\displaystyle (g_1,g_2)}$.
• Симулятор выбирает случайные величины ${\displaystyle (x_1,x_2,y_1,y_2,z_1,z_2)\in Z_q}$.
• Симулятор вычисляет ${\displaystyle c=g_1^{x_1}{g}_2^{x_2},d=g_1^{y_1}{g}_2^{y_2},h=g_1^{z_1}{g}_2^{z_2}}$.
• Симулятор выбирает случайную хеш-функцию ${\displaystyle H}$ и выдает публичный ключ ${\displaystyle (g_1,g_2,c,d,h,H)}$. Скрытый ключ симулятора: ${\displaystyle (x_1,x_2,y_1,y_2,z_1,z_2)}$.

Можно заметить, что генерация ключа симулятора отличается от генерации ключа в протоколе (там ${\displaystyle z_2=0}$).

Симуляция дешифрования. Происходит так же, как и в протоколе, с той разницей, что ${\displaystyle m=e/(u_1^{z_1}+u_2^{z_2})}$

Симуляция шифрования. Получая на вход ${\displaystyle m_0,m_1}$, симулятор выбирает случайное значение ${\displaystyle b\in 0,1}$, вычисляет ${\displaystyle e=u_1^{z_1}{u}_2^{z_2}{m}_b,\alpha =H(u_1,u_2,e,v),v=u_1^{x_1+y_1\alpha }{u}_2^{x_2+y_2\alpha }}$и выводит ${\displaystyle (u_1,u_2,v,e)}$. Теперь доказательство теоремы будет следовать из следующих двух лемм.

Лемма 1. Если на вход симулятору подается распределение из ${\displaystyle D}$, то совместное распределение видения взломщиком криптосистемы и скрытого бита ${\displaystyle b}$ статистически неразличимо от настоящей атаки криптосистемы.

Лемма 2. Если на вход симулятору подается распределение из ${\displaystyle R}$, то распределение скрытого бита ${\displaystyle b}$ не зависит от распределения видения взломщика.

• Cramer–Shoup cryptosystem
• Ronald Cramer and Victor Shoup. "A practical public key cryptosystem provably secure against adaptive chosen ciphertext attack." in proceedings of Crypto 1998, LNCS 1462, p. 13ff (ps,pdf)
• Протокол Камеру-Шоупа

Шаблон:Криптосистемы с открытым ключом