Existenz von Einwegfunktionen

Einwegfunktionen

Ziel:CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später:CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm.

SpielInvertierenInvertA,f(n)

Seif :{0,1}^∗→ {0,1}^∗ effizient berechenbar,Aein Invertierer fürf.

1 Wählex ∈_R {0,1}ⁿ. Berechney ←f(x).

2 x⁰ ← A(1ⁿ,y)

3 Invert_A,f(n) =

(1 fallsf(x⁰) =y

0 sonst .

DefinitionEinwegfunktion

Eine Funktionf :{0,1}^∗ → {0,1}^∗heißtEinwegfunktion, falls

1 Es existiert ein deterministischer pt AlgBmitf(x)← B(x).

2 Für alle ppt AlgorithmenAgiltWs[Invert_A,f(n) =1]≤negl(n).

Spiel Invertieren

InvertA,f(n) W¨ahle: x∈R{0,1}ⁿ

Berechne: y←f(x) (1ⁿ, y)

Ausgabe:

(1 fallsf(x⁰) =y 0 sonst

A

Berechne:

x⁰ ∈ {0,1}ⁿ x⁰

Existenz von Einwegfunktionen

Problem:Existenz von Einwegfunktionen ist ein offenes Problem.

Satz(Levin)

Wenn Einwegfunktionen existieren, dann kann man auch explizit eine angeben.

Beweis (Idee). Konstruktion vonf_Levin mit Eingabex.

1 Interpretierex =M||z, mit|M|=log|z|.

2 FühreM auf Eingabez aus.

3 Definieref_Levin(x)=

M(z): M terminiert nach|z|³Schritten

⊥ : sonst Mann kann zeigen:

Falls Einwegfunktionen existieren, dann gilt für alle pptA:

Ws[Invert_A,fLevin(n) =1]≤1−1/q(n), für ein Polynomq.

Durch "Hardness amplification" kann ausf_Levin eine Einwegfunktionf_Levin⁰ konstruiert werden.

Die Faktorisierungsannahme

Konstruktion eine Einwegfunktion unter Komplexitätsannahme (z.B. Faktorisierung)

Verwenden dazu(N,p,q)←GenModulus(1ⁿ)von RSA.

SpielFaktorisierungsspielFactorA,GenModulus(n)

1 (N,p,q)←GenModulus(1ⁿ)

2 (p⁰,q⁰)← A(N)mitp⁰,q⁰ >1.

3 FactorA,GenModulus(n) =

(1 fallsp⁰q⁰ =N

0 sonst .

Spiel Faktorisieren

FactorA,GenModulus(n)

(N, p, q)←GenModulus(1ⁿ) (1ⁿ, N)

Ausgabe:

(1 fallsp⁰q⁰=N 0 sonst

A

Berechne:

p⁰, q⁰>1 (p⁰, q⁰)

DefinitionFaktorisierungsannahme

Faktorisieren ist hart bezüglichGenModulusfalls für alle ppt AlgorithmenAgiltWs[FactorA,GenModulus(n) =1]≤negl(n).

Faktorisierungsannahme:Faktorisieren ist hart bezüglichGenModulus.

Konstruktion aus Faktorisierungsannahme

Seip(n)ein Polynom, so dassGenModulus(1ⁿ)höchstensp(n) Zufallsbits verwendet.

OBdA seip(n) :N→Nmonoton wachsend.

Algorithmus F^ACTOR-O^NEWAYfFO

Eingabe:x ∈ {0,1}^∗

1 Berechnenmitp(n)≤ |x|<p(n+1).

2 (N,p,q) :=GenModulus(1ⁿ,x), wobeiGenModulusdie Eingabex als internen Zufallsstring verwendet.

Ausgabe:N Bemerkung:

GenModulus(1ⁿ,x)ist deterministisch. (Derandomisierung)

Existenz von Einwegfunktionen

SatzEinweg-Eigenschaft vonfFO

Unter der Faktorisierungsannahme istf_FOeine Einwegfunktion.

Beweis:

SeiAein Invertierer fürf_FOmit Erfolgsws(n).

Konstruieren mitAFaktorisiererA⁰im SpielFactor_A⁰,GenModulus(n).

Algorithmus FaktorisiererA⁰ EINGABE: 1ⁿ, N

1 x⁰ ← A(1ⁿ,N).

2 (N⁰,p⁰,q⁰)←GenModulus(1ⁿ,x⁰).

AUSGABE:p⁰,q⁰

Unter der Faktorisierungsannahme gilt

negl(n)≥Ws[Factor_A⁰,GenModulus(n) =1] =Ws[Invert_A,fFO(n) =1] =(n).

Faktorisieren mit Invertierer für f

Factor_A⁰,GenM odulus

(N, p, q)←GenModu−

lus(1ⁿ)

(1ⁿ, N)

Ausgabe:

=

(1 fallsN =p⁰q⁰ 0 sonst

FaktorisiererA⁰

(1ⁿ, N)

(N⁰, p⁰, q⁰) :=

GenModulus(1ⁿ, x⁰) p⁰, q⁰

A

x⁰

Trapdoor-Funktionsfamilie

DefinitionFunktionsfamilie

EineFunktionsfamilieΠ_f = (Gen,Samp,f)besteht aus 3 ppt Alg:

1 I←Gen(1ⁿ), wobeiIeine UrbildmengeDfürf definiert.

2 x ←Samp(I), wobeix ∈_R D.

3 y :=f_I(x)undf_I :D →D ist bijektiv.

DefinitionTrapdoor-Funktionsfamilie

Trapdoor-FunktionsfamilieΠ_f = (Gen,Samp,f,Inv)besteht aus

1 (I,td)←Gen(1ⁿ)mittd als Trapdoor-Information.

2 x ←Samp(I)wie zuvor.

3 y :=f_I(x)wie zuvor.

4 x ←Inv_td(y)mitInv_td(f_I(x)) =x für allex ∈D.

Π_f is eine(Trapdoor-)Permutationsfamilie, fallsR=Dundf_I :D→D bijektiv ist.

SpielInvertieren einer FunktionInvertA,Π_f(n) SeiAein Invertierer für die FamilieΠ_f.

1 I←Gen(1ⁿ),x ←Samp(I)undy :=f_I(x).

2 x⁰ ← A(I,y).

3 InvertA,Π(n) =

(1 fallsf_I(x⁰) =y

0 sonst .

InvertA,Π_f(n)

I←Gen(1ⁿ) x←Samp(I)

y←f_I(x) (1ⁿ, I, y)

Ausgabe:

(1 fallsf(x⁰) =y 0 sonst

A

Berechnex⁰. x⁰

Konstruktion einer Trapdoor-Einwegfunktion

DefinitionEinweg-Funktion

Eine (Trapdoor-)Funktionsfamilie heißt(Td-)Einwegfunktionfalls für alle ppt AlgorithmenAgiltWs[InvertA,Π_f(n) =1]≤negl(n).

Bsp:Trapdoor-Einwegpermutation unter RSA-Annahme Gen(1ⁿ):

(N,e,d)←GenRSA(1ⁿ), AusgabeI= (N,e)undtd = (N,d).

Samp(I):

Wählex ∈_R ZN. f_I(x):

Berechney :=x^emodN.

Inv_td(y):

Berechnex :=y^dmodN.

Hardcore-Prädikat

Ziel:Destilliere Komplexität des Invertierens auf ein Bit.

DefinitionHardcore-Prädikat

SeiΠ_f eine Einwegfunktion. Seihc ein deterministischer pt Alg mit Ausgabe eines Bitshc(x)bei Eingabex ∈D.hc heißt

Hardcore-Prädikatfürf falls für alle ppt AlgorithmenAgilt:

Ws[A(1ⁿ,I,f(x)) =hc(x)]]≤ ¹₂+negl(n).

Intuition:Bildf(x)hilft nicht beim Berechnen vonhc(x).

Spiel zum Berechnen des Hardcore-Prädikats

CompHC_A,Πf(n)

I←Gen(1ⁿ) x←Samp(I)

y←f_I(x) (1ⁿ, I, y)

Ausgabe:

(1 fallshc(x) =b⁰ 0 sonst

A

Berechneb⁰. b⁰

Fallshcein Hardcoreprädikat ist, so gilt für alle pptA

Ws[CompHCA,Π_f(n) =1]=Ws[A(1ⁿ,I,f(x)) =hc(x)]]≤ ¹₂+negl(n).

Hardcore-Prädikate

hc(x) :=lsb(x)(least significant bit) ist ein Hardcoreprädikat für die RSA EinwegpermutationΠ_RSA(unter der RSA Annahme).

Es kann kein festes Hardcoreprädikathcfür alle Einwegfunktionen geben.

Warum? SeiΠ_f Einwegfunktion mit Hardcoreprädikathc. Dann ist Πgmitg(x) :=f(x)||hc(x)auch eine Einwegfunktion, aberhckein Hardcoreprädikat vonΠ_g.

Aber: Man kann jede EinwegfunktionΠ_f zu einer Einwegfunktion Πgmit einem festen Hardcoreprädikat verändern.

Goldreich-Levin Hardcore-Prädikat

Satzvon Goldreich-Levin

SeiΠ_f eine Einwegpermutation. Dann existiert eine EinwegpermutationΠ_gmit Hardcoreprädikathc.

Konstruktion:(ohne Beweis)

Seif eine Einwegpermutation mit Definitionsbereich{0,1}ⁿ. Seix =x₁. . .xn∈ {0,1}ⁿ. Konstruiere

g(x,r) := (f(x),r)mitr ∈_R{0,1}ⁿ. Offenbar istgebenfalls eine Einwegpermutation.

Wir konstruieren ein Hardcore-Prädikathc fürgmittels hc(x,r) =hx,ri=Pn

i=1x_ir_i mod2.

Beweis der Hardcore-Eigenschaft ist nicht-trivial.

Verschlüsselung aus Trapdoor-Einwegpermutation

Algorithmus Πcpa

SeiΠ_f eine Td-Einwegpermutation mit Hardcore-Prädikathc.

1 Gen:(I,td)←Gen(1ⁿ). Ausgabepk =Iundsk =td.

2 Enc:Fürm∈ {0,1}setzex ←Sample(I)und berechne c ←(f(x),hc(x)⊕m).

3 Dec:Für Chiffretextc= (c₁,c₂)berechnex :=Inv_td(c₁)und m:=c₂⊕hc(x).

Intuition:

hc(x)ist “pseudozufällig” gegebenf(x).

D.h.hc(x)⊕mist ununterscheidbar von 1-Bit One-Time Pad.

Bsp: Verschlüsselung mit RSA-Td-Einwegpermutation

Algorithmus Π^rsa_cpa

SeiΠrsadie RSA Td-Einwegpermutation mit Hardcore-Prädikathc.

1 Gen:(N,e,d)←GenRSA(1ⁿ). Ausgabepk = (N,e)und sk = (N,d).

2 Enc:Fürm∈ {0,1}wähler ∈_RZ^∗_N und berechne c ←(r^emodN,hc(r)⊕m).

3 Dec:Für Chiffretextc= (c₁,c₂)berechner :=c₁^d modN und m←c₂⊕hc(r).