Криптосистема Крамера – Шоупа

См. также: Атака на основе подобранного шифротекста

Криптографическая атака, при которой криптоаналитик собирает информацию о шифре путем подбора зашифрованного текста и получения его расшифровки при неизвестном ключе. Криптоаналитик может воспользоваться устройством расшифрования несколько раз для получения шифротекста в расшифрованном виде. Используя полученные данные, он может попытаться восстановить секретный ключ для расшифровки. Атака на основе подобранного шифротекста может быть адаптивной и неадаптивной.

Было хорошо известно, что многие широко используемые криптосистемы были уязвимы для такой атаки, и в течение многих лет считалось, что атака нецелесообразна и представляет лишь теоретический интерес. Все начало меняться в конце 1990-х годов, особенно когда Даниэль Блайхенбахер продемонстрировал на практике атаку на основе подобранного шифротекста на серверы SSL с использованием формы шифрования RSA.

Неадаптивная атакаПравить

При неадаптивной атаке криптоаналитик не использует результаты предыдущих расшифровок, то есть шифротексты подбираются заранее. Такие атаки называют атаками в обеденное время (lunchtime или CCA1).

Адаптивная атакаПравить

В случае адаптивной атаки криптоаналитик адаптивно подбирает шифротекст, который зависит от результатов предыдущих расшифровок (CCA2).

Устойчивость к адаптивной атаке можно расммотреть на примере игры:

• Запускается алгоритм генерации ключа в схеме шифрования с соответствующей длиной ключа, подаваемой на вход.
• Противник выполняет серию произвольных запросов к оракулу дешифрования, таким образом дешифровывая шифротексты по его выбору.
• Противник выбирает два сообщения ${\displaystyle m_0,m_1}$  и отправляет их к оракулу шифрования.
• Оракул шифрования случайно выбирает бит ${\displaystyle b\in <!--\; \in \; -->0,1}$ , затем шифрует ${\displaystyle m_b}$ , который передается противнику (подбрасывание монетки для выбора бита ${\displaystyle b}$  скрыто от противника).
• Противник снова выполняет серию произвольных запросов к оракулу дешифрования с одним лишь ограничением, что запрос должен отличаться от сообщения, полученного им от оракула шифрования.
• Противник выдает бит ${\displaystyle b_1\in <!--\; \in \; -->0,1}$  - предполагаемое значение бита ${\displaystyle b}$ , выбранного оракулом шифрования на шаге 4. Если ${\displaystyle P_r(b_1=b)\le <!--\; \le \; -->1/2+E}$ , то превосходство противника считается равным ${\displaystyle E}$ .

Существует несколько эквивалентных формулировок задачи Диффи-Хеллмана о различении. Та, которую мы будем использовать, выглядит следующим образом.

Пусть ${\displaystyle G}$ — группа порядка ${\displaystyle q}$ , где ${\displaystyle q}$  — большое простое число. Также ${\displaystyle Z_q}$  — ${\displaystyle \{0,1,\dots <!--\; \dots \; -->,q-<!--\; -\; -->1\}}$ . И имеется два распределения:

• Распределение ${\displaystyle R}$  случайных четверок ${\displaystyle (g_1,g_2,u_1,u_2)\in <!--\; \in \; -->G^4}$ .
• Распределение ${\displaystyle D}$  четверок ${\displaystyle (g_1,g_2,u_1,u_2)\in <!--\; \in \; -->G^4}$  , где ${\displaystyle g_1,g_2}$  - случайны, а ${\displaystyle u_1=g_1^r,u_2=g_2^r}$  для случайного ${\displaystyle r\in <!--\; \in \; -->Z_q}$ .

Алгоритмом, который решает задачу Диффи-Хеллмана, называется такой вероятностный алгоритм ${\displaystyle A}$ , который может эффективно различить перечисленные два распределения. То есть алгоритм, принимающий на вход одно из двух рапределений, должен выдать 0 или 1, а также ${\displaystyle P(A(x)=1|x\in <!--\; \in \; -->R)-<!--\; -\; -->P(A(x)=1|x\in <!--\; \in \; -->D)}$  стремится к 0.

Задача Диффи-Хеллмана о различении трудна, если такого полиномиального вероятностного алгоритма не существует.

Пусть у нас есть группа ${\displaystyle G}$  порядка ${\displaystyle q}$ , где ${\displaystyle q}$  — большое простое число. Сообщения — это элементы ${\displaystyle \in <!--\; \in \; -->G}$ . Также мы используем универсальное семейство односторонних хеш-функций, которое отображает длинные битовые строчки в элементы ${\displaystyle Z_q}$ , где ${\displaystyle Z_q}$  — ${\displaystyle \{0,1,\dots <!--\; \dots \; -->,q-<!--\; -\; -->1\}}$ .

Генерация ключаПравить

Алгоритм генерации ключей работает следующим образом:

• Алиса генерирует случайные ${\displaystyle g_1,g_2\in <!--\; \in \; -->G}$  и случайные элементы ${\displaystyle (x_1,x_2,y_1,y_2,z)\in <!--\; \in \; -->Z_q}$ 
• Алиса вычисляет ${\displaystyle c=g_1^{x_1}{g}_2^{x_2},d=g_1^{y_1}{g}_2^{y_2},h=g_1^z}$ .
• Выбирается хеш-функция ${\displaystyle H}$  из универсального семейства односторонних хеш-функций. Публичный ключ - ${\displaystyle (g_1,g_2,c,d,h,H)}$ , скрытый ключ - ${\displaystyle (x_1,x_2,y_1,y_2,z)}$  .

ШифрованиеПравить

Дано сообщение ${\displaystyle m\in <!--\; \in \; -->G}$ . Алгоритм шифрования работает следующим образом

• Боб случайно выбирает ${\displaystyle k\in <!--\; \in \; -->Z_q}$ .
• Боб вычисляет следующие значения:
  • ${\displaystyle u_1=g_1^k,u_2=g_2^k}$ ;
  • ${\displaystyle e=h^{k}m}$ ;
  • ${\displaystyle \mathrm{\alpha <!--\; \alpha \; -->}=H(u_1,u_2,e)}$ , где ${\displaystyle H()}$  - это универсальная односторонняя хеш-функция;
  • ${\displaystyle v=c^k{d}^{k\mathrm{\alpha <!--\; \alpha \; -->}}}$ ;
• Боб отправляет зашифрованный текст ${\displaystyle (u_1,u_2,e,v)}$  Алисе.

ДешифрованиеПравить

Получив зашифрованный текст ${\displaystyle (u_1,u_2,e,v)}$  и используя закрытый ключ ${\displaystyle (x_1,x_2,y_1,y_2,z)}$ :

• Алиса вычисляет ${\displaystyle \mathrm{\alpha <!--\; \alpha \; -->}=H(u_1,u_2,e)}$ .
• Алиса проверяет условие ${\displaystyle {u_1}^{x_1}{u_2}^{x_2}{u_1}^{y_1\mathrm{\alpha <!--\; \alpha \; -->}}{u}_2^{y_2\mathrm{\alpha <!--\; \alpha \; -->}}=v}$ . Если условие не выполняется, то протокол завершается с отказом дешифрования. Иначе выводится сообщение ${\displaystyle m=e/u_1^z}$ .

Корректность протоколаПравить

Проверим корректность шифровальной схемы (расшифровка зашифрованного сообщения выдает это самое сообщение). Учитывая, что ${\displaystyle u_1=g_1^r}$  и ${\displaystyle u_2=g_2^r}$ , имеем ${\displaystyle u_1^{x_1}{u}_2^{x_2}=g_1^{x_{1}r}{g}_2^{x_{2}r}=c^r}$ . Также ${\displaystyle u_1^{y_1}{u}_2^{y_2}=d^r}$  и ${\displaystyle u_1^z=h^z}$ . Поэтому проверка дешифрования проходит успешно и выводится исходное сообщение ${\displaystyle m=e/u_1^z}$ .

Отличия от базовой схемыПравить

Для достижения безопасности к неадаптивным атакам (и только им) можно значительно упростить протокол, не использовав ${\displaystyle d,y_1,y_2,H()}$ . При шифровании мы используем ${\displaystyle v=c^k}$ , а при дешифровании проверяем, что ${\displaystyle v={u_1}^{x_1}{u_2}^{x_2}}$ .

Пример упрощенной схемыПравить

Пусть у нас есть группа ${\displaystyle G}$  порядка ${\displaystyle q=13}$ . Соответственно ${\displaystyle Z_{13}}$  — ${\displaystyle \{0,1,\dots <!--\; \dots \; -->,12\}}$ .

Генерация ключаПравить

Алгоритм генерации ключей работает следующим образом:

• Алиса генерирует случайные ${\displaystyle g_1=5,g_2=7\in <!--\; \in \; -->G}$  и случайные элементы ${\displaystyle (x_1=8,x_2=4,z=9)\in <!--\; \in \; -->Z_q}$ 
• Алиса вычисляет ${\displaystyle c=5^8\ast <!--\; \ast \; -->7^4,h=5^9}$ .
• Публичный ключ - ${\displaystyle (g_1,g_2,c,h)=(5,7,5^8\ast <!--\; \ast \; -->7^4,5^9)}$  , скрытый ключ - ${\displaystyle (x_1,x_2,z)=(8,4,9)}$ .

ШифрованиеПравить

Дано сообщение ${\displaystyle 3\in <!--\; \in \; -->G}$ . Алгоритм шифрования работает следующим образом

• Боб случайно выбирает ${\displaystyle 5\in <!--\; \in \; -->Z_q}$ .
• Боб вычисляет следующие значения:
  • ${\displaystyle u_1=5^5,u_2=7^5}$ ;
  • ${\displaystyle e=(5^9{)}^5\ast <!--\; \ast \; -->3}$ ;
  • ${\displaystyle v=(5^8\ast <!--\; \ast \; -->7^4{)}^5}$ ;
• Боб отправляет зашифрованный текст ${\displaystyle (u_1,u_2,e,v)=(5^5,7^5,(5^9{)}^5\ast <!--\; \ast \; -->3,(5^8\ast <!--\; \ast \; -->7^4{)}^5}$  Алисе.

ДешифрованиеПравить

Получив зашифрованный текст ${\displaystyle (5^5,7^5,(5^9{)}^5\ast <!--\; \ast \; -->3,(5^9{)}^5\ast <!--\; \ast \; -->3)}$  и используя закрытый ключ ${\displaystyle (8,4,9)}$ :

• Алиса проверяет условие ${\displaystyle (5^5{)}^8\ast <!--\; \ast \; -->(7^5{)}^4=(5^5{)}^8\ast <!--\; \ast \; -->(7^5{)}^4}$ .
• Условие выполняется, поэтому выводится зашифрованное Бобом сообщение ${\displaystyle 3=((5^9{)}^5\ast <!--\; \ast \; -->3)/(5^5{)}^9}$ .

ТеоремаПравить

Криптосистема Крамера-Шоупа устойчива к атакам на основе адаптивно подобранного шифротекста при выполнении следующих условий:

• Хеш-функция ${\displaystyle H}$  выбирается из универсального семейства односторонних хеш-функций.
• Задача Диффи-Хеллмана о различении трудна для группы ${\displaystyle G}$ .

Доказательство: чтобы доказать теорему, мы предположим, что существует противник, который может взломать протокол, и покажем, что при выполнении условия на хеш-функцию получается противоречие с условием на задачу Диффи-Хеллмана. На вход нашему вероятностному алгоритму подается ${\displaystyle (g_1,g_2,u_1,u_2)}$  из распределения ${\displaystyle R}$  или ${\displaystyle D}$ . На поверхностном уровне конструкция будет выглядеть следующим образом: мы построим симулятор, который будет выдавать совместное распределение, состоящее из видения взломщиком криптосистемы после серии атак и скрытого бита b, генерируемого оракулом генерации (не входит в видение взломщика, скрыто от него). Идея доказательства: мы покажем, что если на вход подается распределение из ${\displaystyle D}$ , то симуляция пройдет успешно, а противник будет иметь нетривиальное превосходство в угадывании случайного бита b. Также мы покажем, что если на вход подается распределение из ${\displaystyle R}$ , то видение противника не зависит от ${\displaystyle b}$ и ${\displaystyle a}$ , и, значит, превосходство противника будет ничтожно мало (меньше обратного полинома). Отсюда можно построить различитель распределений ${\displaystyle R}$  и ${\displaystyle D}$ : запускаем симулятор криптосистемы (выводит ${\displaystyle b}$ ) и взломщика (выводит ${\displaystyle b_1}$ ) одновременно и выдаем ${\displaystyle 1}$ , если ${\displaystyle b=b_1}$  и ${\displaystyle 0}$ в противном случае.

Построение симулятораПравить

Схема симуляции генерации ключа выглядит следующим образом:

• На вход симулятору поступает ${\displaystyle (g_1,g_2,u_1,u_2)}$ .
• Симулятор использует заданные ${\displaystyle (g_1,g_2)}$ .
• Симулятор выбирает случайные величины ${\displaystyle (x_1,x_2,y_1,y_2,z_1,z_2)\in <!--\; \in \; -->Z_q}$ .
• Симулятор вычисляет ${\displaystyle c=g_1^{x_1}{g}_2^{x_2},d=g_1^{y_1}{g}_2^{y_2},h=g_1^{z_1}{g}_2^{z_2}}$ .
• Симулятор выбирает случайную хеш-функцию ${\displaystyle H}$  и выдает публичный ключ ${\displaystyle (g_1,g_2,c,d,h,H)}$ . Скрытый ключ симулятора: ${\displaystyle (x_1,x_2,y_1,y_2,z_1,z_2)}$ .

Можно заметить, что генерация ключа симулятора отличается от генерации ключа в протоколе (там ${\displaystyle z_2=0}$ ).

Симуляция дешифрования. Происходит так же, как и в протоколе, с той разницей, что ${\displaystyle m=e/(u_1^{z_1}+u_2^{z_2})}$ 

Симуляция шифрования. Получая на вход ${\displaystyle m_0,m_1}$ , симулятор выбирает случайное значение ${\displaystyle b\in <!--\; \in \; -->0,1}$ , вычисляет ${\displaystyle e=u_1^{z_1}{u}_2^{z_2}{m}_b,\mathrm{\alpha <!--\; \alpha \; -->}=H(u_1,u_2,e,v),v=u_1^{x_1+y_1\mathrm{\alpha <!--\; \alpha \; -->}}{u}_2^{x_2+y_2\mathrm{\alpha <!--\; \alpha \; -->}}}$ и выводит ${\displaystyle (u_1,u_2,v,e)}$ . Теперь доказательство теоремы будет следовать из следующих двух лемм.

ЛеммыПравить

Лемма 1. Если на вход симулятору подается распределение из ${\displaystyle D}$ , то совместное распределение видения взломщиком криптосистемы и скрытого бита ${\displaystyle b}$  статистически неразличимо от настоящей атаки криптосистемы.

Лемма 2. Если на вход симулятору подается распределение из ${\displaystyle R}$ , то распределение скрытого бита ${\displaystyle b}$  не зависит от распределения видения взломщика.

• Cramer–Shoup cryptosystem
• Ronald Cramer and Victor Shoup. "A practical public key cryptosystem provably secure against adaptive chosen ciphertext attack." in proceedings of Crypto 1998, LNCS 1462, p. 13ff (ps,pdf)
• Протокол Камеру-Шоупа