Optimální asymetrické šifrování s odsazením
OAEP ( anglicky O optimal A symmetric Encryption P added, Optimal asymetrické šifrování s přidáním) je schéma sčítání , které se obvykle používá ve spojení s nějakou jednosměrnou funkcí s tajným vstupem (například funkce RSA nebo Rabin ) ke zvýšení šifrovací síly . toho druhého. OAEP navrhli Mihir Bellare a Phillip Rogaway [1] a jeho aplikace na RSA byla následně standardizována v PKCS#1 a RFC 2437 .
Historie
Původní verze OAEP, navržená Bellare a Rogaway v roce 1994, byla prohlašována za odolná vůči útokům založeným na zvoleném šifrovém textu v kombinaci s jakoukoli jednosměrnou funkcí tajného vstupu [1] . Další studie ukázaly, že takové schéma je odolné pouze vůči útokům založeným na neadaptivním zvoleném šifrovém textu [2] . Navzdory tomu bylo prokázáno, že v modelu náhodného orákula při použití standardního RSA s exponentem šifry je schéma také odolné vůči útokům založeným na adaptivně zvoleném šifrovém textu [3] . Novější práce ukázaly, že ve standardním modelu (když hašovací funkce nejsou modelovány jako náhodná orákula) není možné prokázat odolnost vůči útokům adaptivních šifrových textů při použití RSA [4] .
Algoritmus OAEP
Klasické schéma OAEP je dvoubuněčná síť Feistel , kde jsou v každé buňce data transformována pomocí kryptografické hašovací funkce . Jako vstup síť obdrží zprávu s přidanými kontrolními nulami a klíčem - náhodným řetězcem [5] .
Diagram používá následující zápis:
- - počet bitů v bloku připraveném pro asymetrické šifrování .
- a jsou protokolově pevná celá čísla.
- — prostý text zprávy, -bitový řetězec.
- a jsou kryptografické hashovací funkce dané protokolem.
Šifrování
- Zpráva je připojena nulami, díky čemuž dosahuje délky bitů.
- Vygeneruje se náhodný bitový řetězec .
- rozšíří kousek řetězce na bity.
- .
- komprimuje bit na bit.
- .
- zašifrovaný text .
Dešifrování
- Náhodný řetězec je obnoven
- Původní zpráva je obnovena jako
- Poslední znaky dešifrované zprávy jsou kontrolovány na nulu. Pokud obsahuje nenulové znaky, pak byla zpráva zfalšována útočníkem.
Aplikace
Algoritmus OAEP se používá k předběžnému zpracování zprávy před použitím RSA . Zpráva je nejprve doplněna na pevnou délku pomocí OAEP a poté zašifrována pomocí RSA. Souhrnně se toto schéma šifrování nazývá RSA-OAEP a je součástí současného standardu šifrování veřejného klíče ( RFC 3447 ). Viktor Bojko také dokázal, že funkce zobrazení v modelu náhodných orakulů je transformací typu vše nebo nic[4] .
Úpravy
Kvůli takovým nedostatkům, jako je nemožnost prokázat kryptografickou odolnost vůči útokům na základě zvoleného šifrového textu , a také nízká rychlost schématu [6] , byly následně navrženy úpravy na bázi OAEP, které tyto nedostatky eliminují.
Algoritmus OAEP+
Victor Shoup , které je odolné vůči adaptivním útokům šifrovaným textem v kombinaci s jakoukoli jednosměrnou funkcí zadních vrátek [2] .
- - počet bitů v bloku připraveném pro asymetrické šifrování .
- a jsou protokolově pevná celá čísla.
- textová zpráva, -bitový řetězec.
- a jsou kryptografické hashovací funkce definované protokolem.
Šifrování
- Vygeneruje se náhodný bitový řetězec .
- převede na řetězec délky .
- převede na řetězec délky .
- Levá strana zprávy se skládá .
- převede na řetězec délky .
- Pravá strana zprávy se skládá .
- zašifrovaný text .
Dešifrování
- Náhodný řetězec je obnoven .
- je rozdělena na dvě části a , s velikostmi a bity, v tomto pořadí.
- Původní zpráva je obnovena jako .
- Pokud není splněna , je zpráva zfalšována.
Algoritmus SAEP/SAEP+
Dan Bonet navrhl dvě zjednodušené implementace OAEP, pojmenované SAEP a SAEP+. Hlavní myšlenkou zjednodušení šifrování je absence posledního kroku – zpráva byla „přilepena“ původně vygenerovaným náhodným řetězcem . Obvody se tedy skládají pouze z jednoho Feistelova článku , díky čemuž je dosaženo zvýšení rychlosti provozu [7] . Vzájemný rozdíl mezi algoritmy je vyjádřen v záznamu kontrolních bitů. V případě SAEP se jedná o nuly, zatímco u SAEP+ se jedná o hash z (respektive jako v OAEP a OAEP+) [5] . Nevýhodou algoritmů je výrazné zkrácení délky zprávy. Spolehlivost schémat v případě použití Rabinovy funkce a RSA byla prokázána pouze s následujícím omezením délky přenášeného textu: pro SAEP + a navíc pro SAEP [8] . Stojí za zmínku, že při přibližně stejné rychlosti má SAEP+ méně omezení na délku zprávy než SAEP [8] , díky čemuž je uznáván jako výhodnější [8] .
Diagram používá následující zápis:
- - počet bitů v bloku RSA nebo Rabinově kryptosystému .
- a jsou protokolově pevná celá čísla.
- textová zpráva, -bitový řetězec.
- a jsou kryptografické hashovací funkce dané protokolem.
SAEP+ šifrování
- Vygeneruje se náhodný bitový řetězec .
- převede na řetězec délky .
- převede na řetězec délky .
- Vypočteno .
- zašifrovaný text .
SAEP+ dešifrování
- Vypočteno , kde a jsou řetězce velikosti a , resp.
- Rovnost je kontrolována . Pokud je rovnost pravdivá, pak původní zpráva , pokud ne, pak je zpráva podvržena útočníkem.
Viz také
Poznámky
- ↑ 1 2 Optimální asymetrické šifrování Jak šifrovat pomocí RSA, 1995 , str. jeden.
- ↑ 1 2 OAEP Reconsidered, 2001 , str. jeden.
- ↑ RSA–OAEP je bezpečný za předpokladu RSA, 2001 , str. jeden.
- ↑ 1 2 Jednosměrné obchodování proti bezpečnosti vybraného šifrovaného textu v šifrování založeném na faktoringu, 2006 , str. jeden.
- ↑ 1 2 Zjednodušený OAEP pro funkce RSA a Rabin, 2001 , str. 277.
- ↑ Nízkonákladová alternativa pro OAEP, 2001 , str. jeden.
- ↑ Zjednodušený OAEP pro funkce RSA a Rabin, 2001 , str. 275.
- ↑ 1 2 3 Zjednodušený OAEP pro funkce RSA a Rabin, 2001 , str. 290.
Literatura
- M. Bellare, P. Rogaway. Optimální asymetrické šifrování – Jak šifrovat pomocí RSA . - Springer Berlin Heidelberg, 1995. - Sv. 950.-P. 92-111. - ISBN 978-3-540-60176-0 . — ISSN 0302-9743 . - doi : 10.1007/BFb0053428 .
- Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval a Jacques Stern. RSA–OAEP je zabezpečený za předpokladu RSA . - Springer Berlin Heidelberg, 2001. - Sv. 2139. - S. 260-274. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_16 .
- P. Paillier a J. Villar. Jednosměrné obchodování proti zabezpečení vybraného šifrovaného textu v šifrování založeném na faktoringu . - Springer Berlin Heidelberg, 2006. - Sv. 4284. - S. 252-266. - ISBN 978-3-540-49475-1 . — ISSN 0302-9743 . - doi : 10.1007/11935230_17 .
- Petr Schartner. Nízkonákladová alternativa pro OAEP . - 2001. - ISBN 978-1-4503-0882-3 . - doi : 10.1145/2349913.2349914 .
- Obchod Victor. Přehodnoceno OAEP . - Springer Berlin Heidelberg, 2001. - Sv. 2139. - S. 239-259. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_15 .
- D. Boneh. Zjednodušené OAEP pro funkce RSA a Rabin . - Springer Berlin Heidelberg, 2001. - Sv. 2139. - S. 275-291. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_17 .
- Viktor Bojko. O bezpečnostních vlastnostech OAEP jako transformace typu vše nebo nic . - Springer Berlin Heidelberg, 1999. - Sv. 1666. - S. 503-518. — ISBN 978-3-540-66347-8 . — ISSN 0302-9743 . - doi : 10.1007/3-540-48405-1_32 .