riptografie si Securitate

- Prelegerea 18 -Notiuni de securitate ın criptografia asimetrica

Adela Georgescu, Ruxandra F. Olimid

Facultatea de Matematica si InformaticaUniversitatea din Bucuresti

Cuprins

1. Securitate perfecta

2. Securitate semantica = Securitate CPA

Criptografie si Securitate 2/26 ,

Securitate perfecta

I Incepem studiul securitatii ın acelasi mod ın care am ınceputla criptografia simetrica: cu securitatea perfecta;

I Definitia e analoaga cu diferenta ca adversarul cunoaste, ınafara textului criptat, si cheia publica;

Definitie

O schema de criptare peste un spatiu al mesajelor M este perfectsigura daca pentru orice probabilitate de distributie peste M,pentru orice mesaj m ∈M si orice text criptat c cu cheia publicapk pentru care Pr [C = c] > 0, urmatoarea egalitate esteındeplinita:

Pr [M = m|C = c] = Pr [M = m]

Criptografie si Securitate 3/26 ,

Securitate perfecta

I Incepem studiul securitatii ın acelasi mod ın care am ınceputla criptografia simetrica: cu securitatea perfecta;

I Definitia e analoaga cu diferenta ca adversarul cunoaste, ınafara textului criptat, si cheia publica;

Definitie

O schema de criptare peste un spatiu al mesajelor M este perfectsigura daca pentru orice probabilitate de distributie peste M,pentru orice mesaj m ∈M si orice text criptat c cu cheia publicapk pentru care Pr [C = c] > 0, urmatoarea egalitate esteındeplinita:

Pr [M = m|C = c] = Pr [M = m]

Criptografie si Securitate 3/26 ,

Securitate perfecta

I Incepem studiul securitatii ın acelasi mod ın care am ınceputla criptografia simetrica: cu securitatea perfecta;

I Definitia e analoaga cu diferenta ca adversarul cunoaste, ınafara textului criptat, si cheia publica;

Definitie

O schema de criptare peste un spatiu al mesajelor M este perfectsigura daca pentru orice probabilitate de distributie peste M,pentru orice mesaj m ∈M si orice text criptat c cu cheia publicapk pentru care Pr [C = c] > 0, urmatoarea egalitate esteındeplinita:

Pr [M = m|C = c] = Pr [M = m]

Criptografie si Securitate 3/26 ,

Securitate perfecta

I Intrebare: Securitatea perfecta este posibila ın cadrulcriptografiei cu cheie publica?

I Raspuns: NU! Indiferent lungimea cheilor si a mesajelor;

I Avand pk si un text criptat c = Encpk(m), un adversarnelimitat computational poate determina mesajul m cuprobabilitate 1.

Criptografie si Securitate 4/26 ,

Securitate perfecta

I Intrebare: Securitatea perfecta este posibila ın cadrulcriptografiei cu cheie publica?

I Raspuns: NU! Indiferent lungimea cheilor si a mesajelor;

I Avand pk si un text criptat c = Encpk(m), un adversarnelimitat computational poate determina mesajul m cuprobabilitate 1.

Criptografie si Securitate 4/26 ,

Securitate perfecta

I Intrebare: Securitatea perfecta este posibila ın cadrulcriptografiei cu cheie publica?

I Raspuns: NU! Indiferent lungimea cheilor si a mesajelor;

I Avand pk si un text criptat c = Encpk(m), un adversarnelimitat computational poate determina mesajul m cuprobabilitate 1.

Criptografie si Securitate 4/26 ,

Securitate semantica

I Securitatea semantica ın criptografia cu cheie publica estecorespondenta notiunii similare din criptografia cu cheiesecreta;

I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate PubK eav

A,π(n) unde π = (Enc,Dec) esteschema de criptare iar n este parametrul de securitate alschemei π;

I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).

Criptografie si Securitate 5/26 ,

Securitate semantica

I Securitatea semantica ın criptografia cu cheie publica estecorespondenta notiunii similare din criptografia cu cheiesecreta;

I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate PubK eav

A,π(n) unde π = (Enc ,Dec) esteschema de criptare iar n este parametrul de securitate alschemei π;

I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).

Criptografie si Securitate 5/26 ,

Securitate semantica

I Securitatea semantica ın criptografia cu cheie publica estecorespondenta notiunii similare din criptografia cu cheiesecreta;

I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate PubK eav

A,π(n) unde π = (Enc ,Dec) esteschema de criptare iar n este parametrul de securitate alschemei π;

I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).

Criptografie si Securitate 5/26 ,

Experimentul PubK eavA,π(n)

Criptografie si Securitate 6/26 ,

Experimentul PubK eavA,π(n)

Criptografie si Securitate 7/26 ,

Experimentul PubK eavA,π(n)

Criptografie si Securitate 8/26 ,

Experimentul PubK eavA,π(n)

Criptografie si Securitate 9/26 ,

Experimentul PubK eavA,π(n)

Criptografie si Securitate 10/26 ,

Experimentul PubK eavA,π(n)

I Output-ul experimentului este 1 daca b′ = b si 0 altfel. DacaPubK eav

A,π(n) = 1, spunem ca A a efectuat experimentul cusucces.

Criptografie si Securitate 11/26 ,

Experimentul PubK eavA,π(n)

I Output-ul experimentului este 1 daca b′ = b si 0 altfel. DacaPubK eav

A,π(n) = 1, spunem ca A a efectuat experimentul cusucces.

Criptografie si Securitate 11/26 ,

Securitate pentru interceptare simpla

Definitie

O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui atacator pasiv daca pentru orice adversar A exista ofunctie neglijabila negl asa ıncat

Pr[PubK eavA,π(n) = 1] ≤ 1

2 + negl(n).

Criptografie si Securitate 12/26 ,

Securitate pentru interceptare simpla

I Principala diferenta fata de definitia similara studiata lacriptografia cu cheie secreta este ca A primeste cheia publicapk;

I Adica A primeste acces gratuit la un oracol de criptare, ceeace ınseamna ca el poate calcula Encpk(m) pentru orice m;

I Prin urmare, definitia este echivalenta cu cea pentrusecuritate CPA (nu mai este necesar oracolul de criptarepentru ca A isi poate cripta singur mesajele);

I Reamintim ca ın criptografia simetrica exista scheme sigure lasecuritate semantica dar care nu sunt CPA-sigure .

Criptografie si Securitate 13/26 ,

Securitate pentru interceptare simpla

I Principala diferenta fata de definitia similara studiata lacriptografia cu cheie secreta este ca A primeste cheia publicapk;

I Adica A primeste acces gratuit la un oracol de criptare, ceeace ınseamna ca el poate calcula Encpk(m) pentru orice m;

I Prin urmare, definitia este echivalenta cu cea pentrusecuritate CPA (nu mai este necesar oracolul de criptarepentru ca A isi poate cripta singur mesajele);

I Reamintim ca ın criptografia simetrica exista scheme sigure lasecuritate semantica dar care nu sunt CPA-sigure .

Criptografie si Securitate 13/26 ,

Securitate pentru interceptare simpla

I Principala diferenta fata de definitia similara studiata lacriptografia cu cheie secreta este ca A primeste cheia publicapk;

I Adica A primeste acces gratuit la un oracol de criptare, ceeace ınseamna ca el poate calcula Encpk(m) pentru orice m;

I Prin urmare, definitia este echivalenta cu cea pentrusecuritate CPA (nu mai este necesar oracolul de criptarepentru ca A isi poate cripta singur mesajele);

I Reamintim ca ın criptografia simetrica exista scheme sigure lasecuritate semantica dar care nu sunt CPA-sigure .

Criptografie si Securitate 13/26 ,

Securitate pentru interceptare simpla

I Principala diferenta fata de definitia similara studiata lacriptografia cu cheie secreta este ca A primeste cheia publicapk;

I Adica A primeste acces gratuit la un oracol de criptare, ceeace ınseamna ca el poate calcula Encpk(m) pentru orice m;

I Prin urmare, definitia este echivalenta cu cea pentrusecuritate CPA (nu mai este necesar oracolul de criptarepentru ca A isi poate cripta singur mesajele);

I Reamintim ca ın criptografia simetrica exista scheme sigure lasecuritate semantica dar care nu sunt CPA-sigure .

Criptografie si Securitate 13/26 ,

Insecuritatea schemelor deterministe

I Dupa cum am vazut la criptografia simetrica, nici o schemadeterminista nu poate fi CPA sigura;

I Datorita echivalentei ıntre notiunile de securitate CPA sisecuritate semantica pentru interceptare simpla (ıncriptografia asimetrica) concluzionam ca:

Teorema

Nici o schema de criptare cu cheie publica determinista nu poate fisemantic sigura pentru interceptarea simpla.

Criptografie si Securitate 14/26 ,

Insecuritatea schemelor deterministe

I Dupa cum am vazut la criptografia simetrica, nici o schemadeterminista nu poate fi CPA sigura;

I Datorita echivalentei ıntre notiunile de securitate CPA sisecuritate semantica pentru interceptare simpla (ıncriptografia asimetrica) concluzionam ca:

Teorema

Nici o schema de criptare cu cheie publica determinista nu poate fisemantic sigura pentru interceptarea simpla.

Criptografie si Securitate 14/26 ,

Insecuritatea schemelor deterministe

I In realitate, schemele de criptare cu cheie publica deterministesunt vulnerabile la atacuri practice;

I Acestea permit unui adversar sa determine cand un mesaj estetrimis de doua ori;

I Mai mult, ıi permit sa gaseasca mesajul m cu probabilitate 1,daca spatiul mesajelor este mic.

Criptografie si Securitate 15/26 ,

Insecuritatea schemelor deterministe

I In realitate, schemele de criptare cu cheie publica deterministesunt vulnerabile la atacuri practice;

I Acestea permit unui adversar sa determine cand un mesaj estetrimis de doua ori;

I Mai mult, ıi permit sa gaseasca mesajul m cu probabilitate 1,daca spatiul mesajelor este mic.

Criptografie si Securitate 15/26 ,

Insecuritatea schemelor deterministe

I In realitate, schemele de criptare cu cheie publica deterministesunt vulnerabile la atacuri practice;

I Acestea permit unui adversar sa determine cand un mesaj estetrimis de doua ori;

I Mai mult, ıi permit sa gaseasca mesajul m cu probabilitate 1,daca spatiul mesajelor este mic.

Criptografie si Securitate 15/26 ,

Criptare multipla

I Definim notiunea de securitate la interceptare multipla analogcu definitia similara din criptografia simetrica, pe baza unuiexperiment;

I Este clar ca ea e echivalenta cu o definitie ın care suntconsiderate atacuri CPA;

I De remarcat ca securitatea la interceptare simpla implicasecuritate la interceptare multipla;

Criptografie si Securitate 16/26 ,

Criptare multipla

I Definim notiunea de securitate la interceptare multipla analogcu definitia similara din criptografia simetrica, pe baza unuiexperiment;

I Este clar ca ea e echivalenta cu o definitie ın care suntconsiderate atacuri CPA;

I De remarcat ca securitatea la interceptare simpla implicasecuritate la interceptare multipla;

Criptografie si Securitate 16/26 ,

Criptare multipla

I Definim notiunea de securitate la interceptare multipla analogcu definitia similara din criptografia simetrica, pe baza unuiexperiment;

I Este clar ca ea e echivalenta cu o definitie ın care suntconsiderate atacuri CPA;

I De remarcat ca securitatea la interceptare simpla implicasecuritate la interceptare multipla;

Criptografie si Securitate 16/26 ,

Experimentul PubKmultA,π (n)

Criptografie si Securitate 17/26 ,

Experimentul PubKmultA,π (n)

Criptografie si Securitate 18/26 ,

Experimentul PubKmultA,π (n)

Criptografie si Securitate 19/26 ,

Experimentul PubKmultA,π (n)

Criptografie si Securitate 20/26 ,

Experimentul PubKmultA,π (n)

Criptografie si Securitate 21/26 ,

Experimentul PubKmultA,π (n)

I Output-ul experimentului este 1 daca b′ = b si 0 altfel;

I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.

Criptografie si Securitate 22/26 ,

Experimentul PubKmultA,π (n)

I Output-ul experimentului este 1 daca b′ = b si 0 altfel;

I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.

Criptografie si Securitate 22/26 ,

Experimentul PubKmultA,π (n)

I Output-ul experimentului este 1 daca b′ = b si 0 altfel;

I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.

Criptografie si Securitate 22/26 ,

Securitate pentru interceptare multipla

Definitie

O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui adversar (este semantic sigura) daca pentru oriceadversar A exista o functie neglijabila negl asa ıncat

Pr[PrivmultA,π (n) = 1] ≤ 1

2 + negl(n).

Teorema

Daca o schema de criptare cu cheie publica este sigura lainterceptare simpla, atunci ea este sigura si la interceptare multipla.

Criptografie si Securitate 23/26 ,

Securitate pentru interceptare multipla

Definitie

O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui adversar (este semantic sigura) daca pentru oriceadversar A exista o functie neglijabila negl asa ıncat

Pr[PrivmultA,π (n) = 1] ≤ 1

2 + negl(n).

Teorema

Daca o schema de criptare cu cheie publica este sigura lainterceptare simpla, atunci ea este sigura si la interceptare multipla.

Criptografie si Securitate 23/26 ,

Criptarea mesajelor de lungime arbitrara

I Consecinta a rezultatului anterior: o schema de criptare sigurapentru mesaje de lungime fixa este sigura si pentru mesaje delungime arbitrara;

I Daca π = (Enc,Dec) este o schema de criptare cu spatiulmesajelor M = {0, 1}, putem construi o schema sigura pestespatiul mesajelor M = {0, 1}∗ definind Enc ′:

Enc ′pk(m) = Encpk(m1), ...,Encpk(mt)

unde m = m1...mt

I Rezultatul este adevarat pentru atacuri CPA dar nu esteadevarat pentru atacuri CCA.

Criptografie si Securitate 24/26 ,

Criptarea mesajelor de lungime arbitrara

I Consecinta a rezultatului anterior: o schema de criptare sigurapentru mesaje de lungime fixa este sigura si pentru mesaje delungime arbitrara;

I Daca π = (Enc,Dec) este o schema de criptare cu spatiulmesajelor M = {0, 1}, putem construi o schema sigura pestespatiul mesajelor M = {0, 1}∗ definind Enc ′:

Enc ′pk(m) = Encpk(m1), ...,Encpk(mt)

unde m = m1...mt

I Rezultatul este adevarat pentru atacuri CPA dar nu esteadevarat pentru atacuri CCA.

Criptografie si Securitate 24/26 ,

Criptarea mesajelor de lungime arbitrara

I Consecinta a rezultatului anterior: o schema de criptare sigurapentru mesaje de lungime fixa este sigura si pentru mesaje delungime arbitrara;

I Daca π = (Enc,Dec) este o schema de criptare cu spatiulmesajelor M = {0, 1}, putem construi o schema sigura pestespatiul mesajelor M = {0, 1}∗ definind Enc ′:

Enc ′pk(m) = Encpk(m1), ...,Encpk(mt)

unde m = m1...mt

I Rezultatul este adevarat pentru atacuri CPA dar nu esteadevarat pentru atacuri CCA.

Criptografie si Securitate 24/26 ,

Securitate CCA

I Notiunea de securitate CCA ramane identica cu cea de lasistemele simetrice;

I Capabilitatile adversarului: el poate interactiona cu un oracolde decriptare, fiind un adversar activ care poate rula atacuriın timp polinomial;

I Adversarul poate transmite catre oracolul de decriptareanumite mesaje c si primeste ınapoi mesajul clarcorespunzator;

I Ca si ın cazul securitatii CPA, adversarul nu mai necesitaacces la oracolul de criptare pentru ca detine cheia publica pksi poate realiza singur criptarea oricarui mesaj m.

Criptografie si Securitate 25/26 ,

Securitate CCA

I Notiunea de securitate CCA ramane identica cu cea de lasistemele simetrice;

I Capabilitatile adversarului: el poate interactiona cu un oracolde decriptare, fiind un adversar activ care poate rula atacuriın timp polinomial;

I Adversarul poate transmite catre oracolul de decriptareanumite mesaje c si primeste ınapoi mesajul clarcorespunzator;

I Ca si ın cazul securitatii CPA, adversarul nu mai necesitaacces la oracolul de criptare pentru ca detine cheia publica pksi poate realiza singur criptarea oricarui mesaj m.

Criptografie si Securitate 25/26 ,

Securitate CCA

I Notiunea de securitate CCA ramane identica cu cea de lasistemele simetrice;

I Capabilitatile adversarului: el poate interactiona cu un oracolde decriptare, fiind un adversar activ care poate rula atacuriın timp polinomial;

I Adversarul poate transmite catre oracolul de decriptareanumite mesaje c si primeste ınapoi mesajul clarcorespunzator;

I Ca si ın cazul securitatii CPA, adversarul nu mai necesitaacces la oracolul de criptare pentru ca detine cheia publica pksi poate realiza singur criptarea oricarui mesaj m.

Criptografie si Securitate 25/26 ,

Securitate CCA

I Notiunea de securitate CCA ramane identica cu cea de lasistemele simetrice;

I Capabilitatile adversarului: el poate interactiona cu un oracolde decriptare, fiind un adversar activ care poate rula atacuriın timp polinomial;

I Adversarul poate transmite catre oracolul de decriptareanumite mesaje c si primeste ınapoi mesajul clarcorespunzator;

I Ca si ın cazul securitatii CPA, adversarul nu mai necesitaacces la oracolul de criptare pentru ca detine cheia publica pksi poate realiza singur criptarea oricarui mesaj m.

Criptografie si Securitate 25/26 ,

Important de retinut!

I In criptografia cu cheie publica:

I NU exista securitate perfecta

I securitate semantica = securitate CPA

Criptografie si Securitate 26/26 ,