Random Oracle

Random Oracle

DefinitionRandom Oracle

SeiF^{n,`</sup>die Menge aller Funktionen{0,1}<sup>n</sup>→ {0,1}<sup>`(n)}. EinRandom Oracleist eine zufällige FunktionH ∈_RF^n,`. Wir besitzen keine Beschreibung vonH. Bei Anfragex liefert das Random OracleH(x).

Anmerkung:Bildliche Darstellung

Ein Random OracleH ist eine Funktion in einer schwarzen Box.

H ist beobachtbar über das Eingabe/Ausgabe-Verhalten der Box.

Alternative Beschreibungeines Random Oracles Oracle erhält Anfragenx₁, . . . ,x_q.

Fallsx_i 6=x_j für allej<i, giby_i ∈_R {0,1}^`(n) aus.

Fallsx_i =x_j für einj <i, giby_jaus.

D.h. wir können uns vorstellen, dass das Orakel die Antworten auf

Random Oracles liefern Einwegfunktionen

Satz

Für polynomielles`(n)sind Random OraclesH Einwegfunktionen.

Beweis:

Seix ∈_R {0,1}ⁿundy =H(x). Wollen ein Urbild vony ermitteln.

Jeder AngreiferA^H stellt oBdA verschiedene Anfragenx₁, . . . ,xq. (Warum sollte jeder Angreifer so verfahren?)

A^H gewinnt offenbar fallsx_i =x für eini∈[q]. Es gilt Ws[x_i =x für eini] =Pq

i=1Ws[x_i =x] = ₂^qn.

A^H gewinnt ebenfalls fürH(x_i) =y für mindestens eini∈[q], d.h.

Ws[H(x_i) =y für mindestens eini]≤Pq

i=1Ws[H(x_i) =y] = ₂`(n)<sup>q</sup> . Damit giltWs[Invert<sub>A</sub>H,H(n) =1]≤ <sub>2</sub><sup>q</sup>n +<sub>2</sub>`(n)^q .

Für polynomiellesq, `(n)ist dies vernachlässigbar inn.

Krypto II - Vorlesung 07 - 16.05.2012 () Random Oracle Modell, ROM-RSA 77 / 10

Random Oracle und kollisionsresistentes Hashen

Satz

Für polynomielles`(n)sind Random Oracles kollisionsresistent.

Beweis:

Jeder AngreiferA^H stellt oBdA verschiedene Anfragenx₁, . . . ,x_q. A^H gewinnt mit

Ws[H(x_i) =H(x_j)für eini 6=j] ≤ P

i6=jWs[H(x_i) =H(x_j)]

= (^q2)

2^`(n) ≤ ^q2

2<sup>`(n)+1</sup>. Dies ist vernachlässigbar für polynomiellesq, `(n).

Random Oracle Methode

DefinitionRandom Oracle Modell / Methode

DasRandom Oracle Modell (ROM)nimmt die Existenz von Random Oracles im Beweis an. DieRandom Oracle Methodebesteht aus 2 Schritten:

1 Konstruiere ein VerfahrenΠmit einer Hash FunktionHund beweise die Sicherheit vonΠ^Him ROM, d.h. wennHals Random Oracle modelliert wird.

2 InstantiiereΠmit einer kryptographischen HashfunktionH⁰ anstelle von H, z.B. mit SHA-1.

Negativ:

Beschreibung vonH⁰spezifiziertH⁰(x)für allex.

Es existieren künstliche Kryptosysteme, die sicher im Random Oracle Modell aber unsicher fürjedeInstantiierung vonH⁰sind.

Positiv:

Ein Beweis im ROM ist besser als kein Beweis.

Erfolgreicher Angriff muss die Instantiierung vonH⁰ attackieren.

H⁰kann leicht durch eine andere Hashfunktion ersetzt werden.

Krypto II - Vorlesung 07 - 16.05.2012 () Random Oracle Modell, ROM-RSA 79 / 10

CPA-sicheres effizientes RSA im ROM

Verschlüsselung Π =ROM-RSA

1 Gen:(N,e,d)←GenRSA(1ⁿ)mitpk = (N,e,H),sk = (N,d)mit Hash FunktionH :Z^∗_N → {0,1}^`(n).

2 Enc:Fürm∈ {0,1}^`(n), wähler ∈_RZ^∗_N. Berechne c←(r^emodN,H(r)⊕m).

3 Dec:Fürc = (c₁,c₂)berechne

r :=c₁^d modN undm:=H(r)⊕c₂.

Sicherheit von RSA im Random Oracle Modell

SatzCPA-Sicherheit von ROM-RSA

Unter der RSA-Annahme und für ein Random OracleHistΠ^H CPA-sicher.

Beweis:

SeiA^H ein Angreifer mit Erfolgws(n) =Ws[PubK_A^cpa_H,ΠH(n) =1].

A^H darf Orakelanfragen anH stellen, sowohl vor Ausgabe von (m₀,m₁)als auch nach Erhalt vonEnc(m_b).

DefiniereQuery :EreignisA^H stellt Anfrager =c₁^d modN anH.

(n) = Ws[Query]·Ws[PubK_A^cpaH,Π^H(n) =1|Query] + Ws[Query]·Ws[PubK_A^cpa_H,ΠH(n) =1|Query]

≤ Ws[PubK_A^cpaH,Π^H(n) =1|Query] +Ws[Query].

Zeigen

Ws[PubK_A^cpa_H,ΠH(n) =1|Query] = ¹₂ undWs[Query]≤negl(n).

Daraus folgt(n)≤ ¹₂+negl(n).

Krypto II - Vorlesung 07 - 16.05.2012 () Random Oracle Modell, ROM-RSA 81 / 10

Beweis der CPA-Sicherheit von ROM-RSA (1/3)

Beweis:Ws[PubK_A^cpa_H,ΠH(n) =1|Query] = ¹₂

Fallsr nicht anH angefragt wird, istH(r)⊕mnach Eigenschaft des Random Oracles ein perfektes One-Time Pad fürm.

Daraus folgtWs[PubK_A^cpa_H,ΠH(n) =1|Query] = ¹₂.

Beweis der CPA-Sicherheit von ROM-RSA (2/3)

Beweis:Ws[Query]≤negl(n)

Idee: Verwende Anfragen vonA^H, ume-te Wurzeln zu berechnen.

Algorithmus RSA-InvertiererA⁰ EINGABE:N,e,c₁=r^emodN

1 Wählek ∈_R {0,1}^`(n). (Wir setzenH(r) =k, ohner zu kennen.)

2 (m₀,m₁)← A^H(N,e), beantworte Orakelanfragenr_i anH(·) konsistent mit

(k_i =k fürr_i^e=c₁modN k_i ∈_R {0,1}^`(n) sonst .

3 Berechnec←(c₁,k ⊕m_b)für ein b∈_R{0,1}.

4 b⁰← A^H(c), beantworte Anfragen vonA^H anH(·)wie zuvor.

5 Fallsr_i^e=c₁modN für eine der Orakelanfragen, setzer ←r_i. AUSGABE:r

Es giltWs[Query] =Ws[A⁰(N,e,r^e) =r]≤negl(n).

Krypto II - Vorlesung 07 - 16.05.2012 () Random Oracle Modell, ROM-RSA 83 / 10

Beweis der CPA-Sicherheit von ROM-RSA (3/3)

InvertA⁰,ΠRSA(n)

(N, e, d)←GenRSA(1ⁿ) r∈_RZ^∗N

c₁=r^emodN

Ausgabe:

(1 (r⁰)^e=c1

0 sonst

(1ⁿ, N, e, c1)

r⁰

A⁰

pk= (N, e) (1ⁿ, pk) ki, k∈R{0,1}ⁿ

H(r_i) =

(k ifr^e_i =c₁ ki sonst c2 :=k⊕mb

f¨ur b∈_R{0,1}

H(ri)

(c₁, c₂) r⁰ =

(r_i ifr_i^e=c₁

⊥ sonst

A

r_i

(m0, m1)

b⁰

Sicherheit gegenüber CCA

Idee:

Ersetze One-Time Pad durch CCA-sicheres Secret Key Verfahren.

Erinnerung Krypto I:Konstruktion von CPA-sicherem Secret Key Verfahren mittels Pseudozufallsfunktion (und MAC) möglich.

Verschlüsselung Π =ROM-RSA-2

SeiΠ⁰ = (Gen⁰,Enc⁰,Dec⁰)ein CPA-sicheres Secret Key Verschlüsselungsverfahren.

1 Gen:(N,e,d)←GenRSA(1ⁿ)mitpk = (N,e,H),sk = (N,d)mit Hash FunktionH :Z^∗_N → {0,1}^`(n).

2 Enc:Fürm∈ {0,1}^`(n), wähler ∈_RZ^∗_N. Berechnek =H(r)und c←(r^emodN,Enc_k⁰(m)).

3 Dec:Fürc = (c₁,c₂)berechne

r ←c₁^d modN,k ←H(r)undm←Dec_k⁰(c₂).

Krypto II - Vorlesung 07 - 16.05.2012 () Random Oracle Modell, ROM-RSA 85 / 10

Sicherheit von ROM-RSA-2

SatzSicherheit von ROM-RSA-2

Unter der RSA-Annahme, für ein Random OracleH und ein

CPA-sicheresΠ⁰liefert ROM-RSA-2 CCA-sichere Verschlüsselung.

Beweis:

SeiA^H ein Angreifer mit Erfolgws(n) =Ws[PubK_A^cca_H,ΠH(n) =1].

A^H darf Orakelanfragen anH(·)undDec_sk(·)stellen, sowohl vor Ausgabe von(m₀,m₁)als auch nach Erhalt vonEnc(m_b).

DefiniereQuery :EreignisA^H stellt Anfrager =c₁^d modN anH.

(n) = Ws[PubK_A^ccaH,Π^H(n) =1|Query] +Ws[Query].

ZeigenWs[PubK_A^ccaH,Π^H(n) =1|Query] = ¹₂+negl(n)und

Beweis der CCA-Sicherheit von ROM-RSA

Beweis:

Fallsr nicht anH angefragt wird, lernt AngreiferA^H nur durch AnfragenDec_sk(c₁,·)Informationen überk =H(r)

Sonst istk =H(r)uniform.

Ohne Beweis: es existiert ein AngreiferBmit:

Ws[PubK_A^ccaH,Π^H(n) =1|Query]≤Ws[PrivK_B,Π^cca0 =1] = ¹₂+negl(n).

Zeigen:Ws[Query]≤negl(n)

Problem: Müssen OrakelDec_sk(·)simulieren, ohnesk zu kennen.

Verwende dazu geschicktes Simulieren des Random OraclesH(·) und des Dec OraclesDec_sk(·).

Krypto II - Vorlesung 07 - 16.05.2012 () Random Oracle Modell, ROM-RSA 87 / 10

Algorithmus RSA-InvertiererA⁰

EINGABE:N,e,c1=r^emodN

1 Wählek ∈_R{0,1}^`(n). (Wir setzenH(r) =k, ohner zu kennen.)

2 (m0,m1)← A^H(N,e)beantworte Hash Anfragenri anH(·)

konsistent mit







ki =k fürr_i^e=c1modN kˆ_j ∃j :r_i^e= ˆc_j,1 ki ∈_R{0,1}^`(n) sonst

.

3 Beantworte Anfragenˆcj = (ˆcj,1,ˆcj,2)anDecsk(·) =

konsistent mit







Dec_k⁰(ˆcj,2) fürˆcj,1=c1

Dec_k⁰

i(ˆc_j,2) ∃i : ˆc_j^e_,1=r_i

Dec_ˆ⁰

kj

(ˆc_j,2)fürkˆ_j ∈_R{0,1}^`(n) sonst

.

4 Berechnec ←(c1,Enc_k⁰(mb))für einb∈_R{0,1}.

5 b⁰← A^H(c), beantworte Anfragen anH(·)undDecsk(·)wie zuvor.

Beweis: Ws[Query ] ≤ negl(n)

Die Simulation vonA⁰ist perfekt

Es giltWs[Query] =Ws[A⁰(N,e,r^e) =r]≤negl(n).

Krypto II - Vorlesung 07 - 16.05.2012 () Random Oracle Modell, ROM-RSA 89 / 10