Konstruktion CPA-sicherer Verschlüsselung

Konstruktion CPA-sicherer Verschlüsselung

Algorithmus VerschlüsselungΠ_B

SeiF eine längenerhaltende, schlüsselabhängige Funktion aufnBits.

Wir definierenΠB = (Gen,Enc,Dec)für Nachrichtenraum M={0,1}ⁿ.

1 Gen:Wählek ∈_R {0,1}ⁿ.

2 Enc:Fürm∈ {0,1}ⁿwähler ∈_R {0,1}ⁿund berechne c := (r,F_k(r)⊕m).

3 Dec:Fürc = (c₁,c₂)∈ {0,1}ⁿ× {0,1}ⁿ berechne m:=F_k(c₁)⊕c₂.

Sicherheit von Π

SatzSicherheit vonΠB

SeiF eine Pseudozufallsfunktion. Dann istΠ_BCPA-sicher.

Intuition:

F_k(r)ist nicht unterscheidbar vonn-Bit Zufallsstring.

D.h. in der zweiten Komponente ist die Verteilung ununterscheidbar von einem One-Time Pad.

Vorsicht: Benötigen, dassr nicht wiederverwendet wird.

Beweis:

SeiAein CPA-Angreifer mit Vorteil(n).

Konstruieren mittelsAeinen UnterscheiderDfürF_k(·)undf(·).

Unterscheider D

Algorithmus UnterscheiderD

EINGABE: 1ⁿ,O:{0,1}ⁿ← {0,1}ⁿ(mitO=F_k(·)oderO=f(·))

1 Beantworte VerschlüsselungsanfragenEnc_k(m⁰_i)vonAwie folgt:

Wähler_i ∈_R {0,1}ⁿund sende(r_i,O(r_i)⊕m)anA.

2 Beantworte Challenge(m₀,m₁)vonAwie folgt:

Wähler ∈_R{0,1}ⁿ,b∈_R{0,1}und sende(r,O(r)⊕m_b)anA.

3 Erhalte nach weiteren Verschlüsselsanfragen vonABitb⁰. AUSGABE:=

(1 fallsb⁰ =b, Interpretation:O=F_k(·) 0 sonst, Interpretation:O=f(·) .

Fall 1:O=F_k(·), d.h. wir verwenden eine Pseudozufallsfunktion.

Dann ist die Verteilung vonAidentisch zuΠ_B. Damit gilt Ws[D^Fk(·)(1ⁿ) =1] =Ws[PrivK_A,Π^cpa

B(n) =1] = ¹₂+(n).

Unterscheider D

1ⁿ ri

O(ri)

r O(r)

Ausgabe

UnterscheiderD

r_i∈_R{0,1}ⁿ c⁰_i= (r_i,O(ri)⊕m⁰_i)

r∈R{0,1}ⁿ b∈R{0,1}

c= (r,O(r)⊕mb)

Ausgabe:

(1 ifb=b⁰ 0 else

1ⁿ

m⁰_i c⁰_i

(m0, m1) c

m⁰_i c⁰_i

b⁰

A

m⁰_i ∈ M f¨uri= 1, . . . , q

m₀, m₁∈ M

b⁰∈ {0,1}

Verwenden einer echten Zufallsfunktion

Fall 2:O=f(·), d.h. wir verwenden eine echte Zufallsfunktion.

SeiΠ⁰ das ProtokollΠB unter Verwendung vonf(·)stattF_k(·).

SeiRepeatdas Ereignis, dassr in einer der Verschlüsselungs- anfragen verwendet wurde.

Für alle AngreiferAgiltWs[PrivK_A,Π^cpa0(n) =1]

= Ws[PrivK_A,Π^cpa0(n) =1∧Repeat] +Ws[PrivK_A,Π^cpa0(n) =1∧Repeat]

≤ Ws[Repeat] +Ws[PrivK_A,Π^cpa0(n) =1|Repeat]

Ein ppt AngreiferAstelle insgesamt polynomiell viele Anfragen.

Seiq(n)die Anzahl der Anfragen. Dann gilt Ws[Repeat] = Ws[r =r₁∨. . .∨r =r_q]

≤ Ws[r =r₁] +. . .+Ws[r =r_q] = ₂^qn =negl(n).

Fall 2:(Fortsetzung)

Aufgrund der perfekten Sicherheit des One-Time Pads gilt Ws[PrivK_A,Π^cpa0(n) =1|Repeat] = ¹₂.

Es folgtWs[D^f(·)(1ⁿ) =1] =Ws[PrivK_A,Π^cpa0(n) =1]≤ ¹₂+negl(n).

Aus der Pseudozufälligkeit vonF folgt insgesamt negl(n)≥

Ws[D^Fk(·)(1ⁿ) =1]

| {z }

1 2+(n)

−Ws[D^f(·)(1ⁿ) =1]

| {z }

≤¹₂+negl(n)

. Es folgt≤negl(n)für alle polynomiellen AngreiferA.

Nachrichten beliebiger Länge

Algorithmus VerschlüsselungΠ⁰_B

SeiF eine längenerhaltende, schlüsselabhängige Funktion aufnBits.

Wir definierenΠ⁰_B = (Gen,Enc,Dec)für Nachrichtenraum M={0,1}^∗.

1 Gen:Wählek ∈_R {0,1}ⁿ.

2 Enc:Fürm=m₁. . .m_{`</sub> mitm<sub>i</sub> ∈ {0,1}<sup>n</sup>wähler<sub>1</sub>, . . .r<sub>`}mit r_i ∈_R {0,1}ⁿund berechne

c := (r₁, . . . ,r_{`</sub>,F<sub>k</sub>(r<sub>1</sub>)⊕m<sub>1</sub>, . . . ,F<sub>k</sub>(r<sub>`})⊕m_`).

3 Dec:Fürc = (c₁, ...,c<sub>2`</sub>)∈({0,1}<sup>n</sup>)<sup>2`</sup> berechne m:=F_k(c₁)⊕c_{`+1</sub>. . .F<sub>k</sub>(c<sub>`})⊕F_k(c_2`).

CPA-Sicherheit von Π

SatzCPA-Sicherheit vonΠ⁰_B

SeiF eine Pseudozufallsfunktion. Dann istΠ⁰_BCPA-sicher.

Beweis:

Aus der CPA-Sicherheit vonΠ_B folgt die mult-CPA Sicherheit von Π_Bund damit die CPA-Sicherheit vonΠ⁰_B.

Nachteil:Chiffretexte sind doppelt so lang wie Klartexte (Nachrichtenexpansion 2).

Pseudozufallspermutationen

Definitionschlüsselabhängige Permutation

SeienF,F⁻¹pt Algorithmen.F heißtschlüsselabhängige Permutation aufnBits falls

1 F berechnet eine Funktion{0,1}^m× {0,1}ⁿ → {0,1}ⁿ, so dass für allek ∈ {0,1}^m die FunktionF_k(·)eine Bijektion ist.

2 F_k⁻¹(·)berechnet die Umkehrfunktion vonF_k(·).

DefinitionPseudozufallspermutation

SeiF eine schlüsselabhängige Permutation aufnBits. Wir bezeichnen F alsPseudozufallspermutation, falls für alle pptDgilt

Ws[D^Fk(·)(1ⁿ) =1]−Ws[D^f(·)(1ⁿ) =1]

≤negl(n), mitk ∈_R {0,1}^m undf ∈_RPerm_n, wobeiPerm_ndie Menge aller Permutationen aufnBits ist.

Starke Pseudozufallspermutationen

SatzPseudozufallspermutationen und Pseudozufallsfunktionen Jede Pseudozufallspermutation ist eine Pseudozufallsfunktion.

Beweis:Übung.

DefinitionStarke Pseudozufallspermutation (Blockchiffre)

SeiF eine schlüsselabhängige Permutation aufnBits. Wir bezeichnen F alsstarke Pseudozufallspermutation (Blockchiffre), falls für alle ppt Dgilt

Ws[D^{Fk(·),Fk−1(·)}(1ⁿ) =1]−Ws[D^{f(·),f−1(·)}(1ⁿ) =1]

≤negl(n), mitk ∈_R {0,1}ⁿ undf ∈_RPerm_n.

Konstruktion von (starken) PRPs

Algorithmus FeistelnetzwerkF^(r) mitr Runden EINGABE:n,r ≥0,x ∈ {0,1}ⁿ,k ∈({0,1}ⁿ)^r

1 Seik =k₁, . . . ,k_r mitk_i ∈ {0,1}ⁿ.

2 Setze(L₀||R₀) :=x mitL₀,R₀∈ {0,1}ⁿ².

3 Fori=1 tor

I SetzeLi :=Ri−1undRi :=Li−1⊕Fki(Ri−1).

AUSGABE:F_k^(r)(x) := (L_r||R_r)

Invertierung einer Feisteliteration:Ri−1:=L_i undLi−1:=R_i⊕F_ki(L_i).

Fakt

SeiF eine Pseudozufallsfunktion. Dann istF⁽³⁾eine Pseudozufallspermutations undF⁽⁴⁾eine starke Pseudozufallspermutation (Blockchiffre).

Blockchiffren als kryptographische Primitive

Anmerkungen:Blockchiffren

Praktische Realisierungen von starken Pseudozufalls- permutationen bezeichnet man alsBlockchiffren.

Wir haben gesehen, dass BlockchiffrenF_k(·)zur Konstruktion CPA-sicherer Verschlüsselung verwendet werden können.

Vorsicht: Blockchiffren selbst sind keine sicheren Verschlüs- selungsverfahren.

c :=F_k(m)ist eine deterministische, unsichere Verschlüsselung.

D.h. wir benötigen einen Randomisierungsprozess bei Enc.

Bsp:DES (Data Encryption Standard, 1976) F :{0,1}⁵⁶× {0,1}⁶⁴ → {0,1}⁶⁴

Problem des zu kleinen Schlüsselraums

bester bekannter KPA Angriff mit 2⁴³ Klartexten AES (Advanced Encryption Standard, 2002)

{0,1}^k× {0,1}¹²⁸ → {0,1}¹²⁸ ∈ {128, 256}

Modes of Operation – Electronic Code Book (ECB)

Ziel:Verschlüsseln von Nachrichtenm=m₁. . .m<sub>`</sub> ∈({0,1}<sup>n</sup>)<sup>`</sup> mittels Blockchiffre unter Verwendung kleiner Nachrichtenexpansion.

Algorithmus Electronic Code Book (ECB) Modus

1 Enc:c := (F_k(m₁), . . . ,F_k(m_`))

2 Dec:m:=F_k⁻¹(c₁), . . . ,F_k⁻¹(m_`)

Nachteil:

Enc ist deterministisch, d.h. ECB ist nicht mult-KPA sicher.

Daher sollte der ECB Modus nie verwendet werden.

ECB

m1

F_k

c₁

F_k⁻¹

m₁

m2

F_k

c₂

F_k⁻¹

m₂

· · ·

· · ·

· · · m`

F_k

c_`

F_k⁻¹

m_`

Modes of Operation – Cipher Block Chaining (CBC)

Algorithmus Cipher Block Chaining (CBC) Modus

1 Enc:Wähle Initialisierungsvektorc₀:=IV ∈_R{0,1}ⁿ. Berechne c_i :=F_k(c_i−1⊕m_i) füri =1, . . . , `.

2 Dec:Fürc = (c₀,c₁, . . . ,c_`)berechne

m_i :=F_k⁻¹(c_i)⊕ci−1 füri =1, . . . , `.

Vorteile:

CPA-Sicherheit von CBC kann gezeigt werden.

Nachrichtenexpansion ist <sup>`+1</sup><sub>`</sub> . Nachteil:

Verschlüsselung muss sequentiell durchgeführt werden.

CBC

IV

m1

F_k

c₁

F_k⁻¹

m2

F_k

c₂

F_k⁻¹

m`

F_k

c_`

F_k⁻¹ . . .