riptografie si Securitate
- Prelegerea 18 -Notiuni de securitate ın criptografia asimetrica
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematica si InformaticaUniversitatea din Bucuresti
Cuprins
1. Securitate perfecta
2. Securitate semantica = Securitate CPA
Criptografie si Securitate 2/26 ,
Securitate perfecta
I Incepem studiul securitatii ın acelasi mod ın care am ınceputla criptografia simetrica: cu securitatea perfecta;
I Definitia e analoaga cu diferenta ca adversarul cunoaste, ınafara textului criptat, si cheia publica;
Definitie
O schema de criptare peste un spatiu al mesajelor M este perfectsigura daca pentru orice probabilitate de distributie peste M,pentru orice mesaj m ∈M si orice text criptat c cu cheia publicapk pentru care Pr [C = c] > 0, urmatoarea egalitate esteındeplinita:
Pr [M = m|C = c] = Pr [M = m]
Criptografie si Securitate 3/26 ,
Securitate perfecta
I Incepem studiul securitatii ın acelasi mod ın care am ınceputla criptografia simetrica: cu securitatea perfecta;
I Definitia e analoaga cu diferenta ca adversarul cunoaste, ınafara textului criptat, si cheia publica;
Definitie
O schema de criptare peste un spatiu al mesajelor M este perfectsigura daca pentru orice probabilitate de distributie peste M,pentru orice mesaj m ∈M si orice text criptat c cu cheia publicapk pentru care Pr [C = c] > 0, urmatoarea egalitate esteındeplinita:
Pr [M = m|C = c] = Pr [M = m]
Criptografie si Securitate 3/26 ,
Securitate perfecta
I Incepem studiul securitatii ın acelasi mod ın care am ınceputla criptografia simetrica: cu securitatea perfecta;
I Definitia e analoaga cu diferenta ca adversarul cunoaste, ınafara textului criptat, si cheia publica;
Definitie
O schema de criptare peste un spatiu al mesajelor M este perfectsigura daca pentru orice probabilitate de distributie peste M,pentru orice mesaj m ∈M si orice text criptat c cu cheia publicapk pentru care Pr [C = c] > 0, urmatoarea egalitate esteındeplinita:
Pr [M = m|C = c] = Pr [M = m]
Criptografie si Securitate 3/26 ,
Securitate perfecta
I Intrebare: Securitatea perfecta este posibila ın cadrulcriptografiei cu cheie publica?
I Raspuns: NU! Indiferent lungimea cheilor si a mesajelor;
I Avand pk si un text criptat c = Encpk(m), un adversarnelimitat computational poate determina mesajul m cuprobabilitate 1.
Criptografie si Securitate 4/26 ,
Securitate perfecta
I Intrebare: Securitatea perfecta este posibila ın cadrulcriptografiei cu cheie publica?
I Raspuns: NU! Indiferent lungimea cheilor si a mesajelor;
I Avand pk si un text criptat c = Encpk(m), un adversarnelimitat computational poate determina mesajul m cuprobabilitate 1.
Criptografie si Securitate 4/26 ,
Securitate perfecta
I Intrebare: Securitatea perfecta este posibila ın cadrulcriptografiei cu cheie publica?
I Raspuns: NU! Indiferent lungimea cheilor si a mesajelor;
I Avand pk si un text criptat c = Encpk(m), un adversarnelimitat computational poate determina mesajul m cuprobabilitate 1.
Criptografie si Securitate 4/26 ,
Securitate semantica
I Securitatea semantica ın criptografia cu cheie publica estecorespondenta notiunii similare din criptografia cu cheiesecreta;
I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate PubK eav
A,π(n) unde π = (Enc,Dec) esteschema de criptare iar n este parametrul de securitate alschemei π;
I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).
Criptografie si Securitate 5/26 ,
Securitate semantica
I Securitatea semantica ın criptografia cu cheie publica estecorespondenta notiunii similare din criptografia cu cheiesecreta;
I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate PubK eav
A,π(n) unde π = (Enc ,Dec) esteschema de criptare iar n este parametrul de securitate alschemei π;
I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).
Criptografie si Securitate 5/26 ,
Securitate semantica
I Securitatea semantica ın criptografia cu cheie publica estecorespondenta notiunii similare din criptografia cu cheiesecreta;
I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate PubK eav
A,π(n) unde π = (Enc ,Dec) esteschema de criptare iar n este parametrul de securitate alschemei π;
I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).
Criptografie si Securitate 5/26 ,
Experimentul PubK eavA,π(n)
Criptografie si Securitate 6/26 ,
Experimentul PubK eavA,π(n)
Criptografie si Securitate 7/26 ,
Experimentul PubK eavA,π(n)
Criptografie si Securitate 8/26 ,
Experimentul PubK eavA,π(n)
Criptografie si Securitate 9/26 ,
Experimentul PubK eavA,π(n)
Criptografie si Securitate 10/26 ,
Experimentul PubK eavA,π(n)
I Output-ul experimentului este 1 daca b′ = b si 0 altfel. DacaPubK eav
A,π(n) = 1, spunem ca A a efectuat experimentul cusucces.
Criptografie si Securitate 11/26 ,
Experimentul PubK eavA,π(n)
I Output-ul experimentului este 1 daca b′ = b si 0 altfel. DacaPubK eav
A,π(n) = 1, spunem ca A a efectuat experimentul cusucces.
Criptografie si Securitate 11/26 ,
Securitate pentru interceptare simpla
Definitie
O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui atacator pasiv daca pentru orice adversar A exista ofunctie neglijabila negl asa ıncat
Pr[PubK eavA,π(n) = 1] ≤ 1
2 + negl(n).
Criptografie si Securitate 12/26 ,
Securitate pentru interceptare simpla
I Principala diferenta fata de definitia similara studiata lacriptografia cu cheie secreta este ca A primeste cheia publicapk;
I Adica A primeste acces gratuit la un oracol de criptare, ceeace ınseamna ca el poate calcula Encpk(m) pentru orice m;
I Prin urmare, definitia este echivalenta cu cea pentrusecuritate CPA (nu mai este necesar oracolul de criptarepentru ca A isi poate cripta singur mesajele);
I Reamintim ca ın criptografia simetrica exista scheme sigure lasecuritate semantica dar care nu sunt CPA-sigure .
Criptografie si Securitate 13/26 ,
Securitate pentru interceptare simpla
I Principala diferenta fata de definitia similara studiata lacriptografia cu cheie secreta este ca A primeste cheia publicapk;
I Adica A primeste acces gratuit la un oracol de criptare, ceeace ınseamna ca el poate calcula Encpk(m) pentru orice m;
I Prin urmare, definitia este echivalenta cu cea pentrusecuritate CPA (nu mai este necesar oracolul de criptarepentru ca A isi poate cripta singur mesajele);
I Reamintim ca ın criptografia simetrica exista scheme sigure lasecuritate semantica dar care nu sunt CPA-sigure .
Criptografie si Securitate 13/26 ,
Securitate pentru interceptare simpla
I Principala diferenta fata de definitia similara studiata lacriptografia cu cheie secreta este ca A primeste cheia publicapk;
I Adica A primeste acces gratuit la un oracol de criptare, ceeace ınseamna ca el poate calcula Encpk(m) pentru orice m;
I Prin urmare, definitia este echivalenta cu cea pentrusecuritate CPA (nu mai este necesar oracolul de criptarepentru ca A isi poate cripta singur mesajele);
I Reamintim ca ın criptografia simetrica exista scheme sigure lasecuritate semantica dar care nu sunt CPA-sigure .
Criptografie si Securitate 13/26 ,
Securitate pentru interceptare simpla
I Principala diferenta fata de definitia similara studiata lacriptografia cu cheie secreta este ca A primeste cheia publicapk;
I Adica A primeste acces gratuit la un oracol de criptare, ceeace ınseamna ca el poate calcula Encpk(m) pentru orice m;
I Prin urmare, definitia este echivalenta cu cea pentrusecuritate CPA (nu mai este necesar oracolul de criptarepentru ca A isi poate cripta singur mesajele);
I Reamintim ca ın criptografia simetrica exista scheme sigure lasecuritate semantica dar care nu sunt CPA-sigure .
Criptografie si Securitate 13/26 ,
Insecuritatea schemelor deterministe
I Dupa cum am vazut la criptografia simetrica, nici o schemadeterminista nu poate fi CPA sigura;
I Datorita echivalentei ıntre notiunile de securitate CPA sisecuritate semantica pentru interceptare simpla (ıncriptografia asimetrica) concluzionam ca:
Teorema
Nici o schema de criptare cu cheie publica determinista nu poate fisemantic sigura pentru interceptarea simpla.
Criptografie si Securitate 14/26 ,
Insecuritatea schemelor deterministe
I Dupa cum am vazut la criptografia simetrica, nici o schemadeterminista nu poate fi CPA sigura;
I Datorita echivalentei ıntre notiunile de securitate CPA sisecuritate semantica pentru interceptare simpla (ıncriptografia asimetrica) concluzionam ca:
Teorema
Nici o schema de criptare cu cheie publica determinista nu poate fisemantic sigura pentru interceptarea simpla.
Criptografie si Securitate 14/26 ,
Insecuritatea schemelor deterministe
I In realitate, schemele de criptare cu cheie publica deterministesunt vulnerabile la atacuri practice;
I Acestea permit unui adversar sa determine cand un mesaj estetrimis de doua ori;
I Mai mult, ıi permit sa gaseasca mesajul m cu probabilitate 1,daca spatiul mesajelor este mic.
Criptografie si Securitate 15/26 ,
Insecuritatea schemelor deterministe
I In realitate, schemele de criptare cu cheie publica deterministesunt vulnerabile la atacuri practice;
I Acestea permit unui adversar sa determine cand un mesaj estetrimis de doua ori;
I Mai mult, ıi permit sa gaseasca mesajul m cu probabilitate 1,daca spatiul mesajelor este mic.
Criptografie si Securitate 15/26 ,
Insecuritatea schemelor deterministe
I In realitate, schemele de criptare cu cheie publica deterministesunt vulnerabile la atacuri practice;
I Acestea permit unui adversar sa determine cand un mesaj estetrimis de doua ori;
I Mai mult, ıi permit sa gaseasca mesajul m cu probabilitate 1,daca spatiul mesajelor este mic.
Criptografie si Securitate 15/26 ,
Criptare multipla
I Definim notiunea de securitate la interceptare multipla analogcu definitia similara din criptografia simetrica, pe baza unuiexperiment;
I Este clar ca ea e echivalenta cu o definitie ın care suntconsiderate atacuri CPA;
I De remarcat ca securitatea la interceptare simpla implicasecuritate la interceptare multipla;
Criptografie si Securitate 16/26 ,
Criptare multipla
I Definim notiunea de securitate la interceptare multipla analogcu definitia similara din criptografia simetrica, pe baza unuiexperiment;
I Este clar ca ea e echivalenta cu o definitie ın care suntconsiderate atacuri CPA;
I De remarcat ca securitatea la interceptare simpla implicasecuritate la interceptare multipla;
Criptografie si Securitate 16/26 ,
Criptare multipla
I Definim notiunea de securitate la interceptare multipla analogcu definitia similara din criptografia simetrica, pe baza unuiexperiment;
I Este clar ca ea e echivalenta cu o definitie ın care suntconsiderate atacuri CPA;
I De remarcat ca securitatea la interceptare simpla implicasecuritate la interceptare multipla;
Criptografie si Securitate 16/26 ,
Experimentul PubKmultA,π (n)
Criptografie si Securitate 17/26 ,
Experimentul PubKmultA,π (n)
Criptografie si Securitate 18/26 ,
Experimentul PubKmultA,π (n)
Criptografie si Securitate 19/26 ,
Experimentul PubKmultA,π (n)
Criptografie si Securitate 20/26 ,
Experimentul PubKmultA,π (n)
Criptografie si Securitate 21/26 ,
Experimentul PubKmultA,π (n)
I Output-ul experimentului este 1 daca b′ = b si 0 altfel;
I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.
Criptografie si Securitate 22/26 ,
Experimentul PubKmultA,π (n)
I Output-ul experimentului este 1 daca b′ = b si 0 altfel;
I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.
Criptografie si Securitate 22/26 ,
Experimentul PubKmultA,π (n)
I Output-ul experimentului este 1 daca b′ = b si 0 altfel;
I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.
Criptografie si Securitate 22/26 ,
Securitate pentru interceptare multipla
Definitie
O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui adversar (este semantic sigura) daca pentru oriceadversar A exista o functie neglijabila negl asa ıncat
Pr[PrivmultA,π (n) = 1] ≤ 1
2 + negl(n).
Teorema
Daca o schema de criptare cu cheie publica este sigura lainterceptare simpla, atunci ea este sigura si la interceptare multipla.
Criptografie si Securitate 23/26 ,
Securitate pentru interceptare multipla
Definitie
O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui adversar (este semantic sigura) daca pentru oriceadversar A exista o functie neglijabila negl asa ıncat
Pr[PrivmultA,π (n) = 1] ≤ 1
2 + negl(n).
Teorema
Daca o schema de criptare cu cheie publica este sigura lainterceptare simpla, atunci ea este sigura si la interceptare multipla.
Criptografie si Securitate 23/26 ,
Criptarea mesajelor de lungime arbitrara
I Consecinta a rezultatului anterior: o schema de criptare sigurapentru mesaje de lungime fixa este sigura si pentru mesaje delungime arbitrara;
I Daca π = (Enc,Dec) este o schema de criptare cu spatiulmesajelor M = {0, 1}, putem construi o schema sigura pestespatiul mesajelor M = {0, 1}∗ definind Enc ′:
Enc ′pk(m) = Encpk(m1), ...,Encpk(mt)
unde m = m1...mt
I Rezultatul este adevarat pentru atacuri CPA dar nu esteadevarat pentru atacuri CCA.
Criptografie si Securitate 24/26 ,
Criptarea mesajelor de lungime arbitrara
I Consecinta a rezultatului anterior: o schema de criptare sigurapentru mesaje de lungime fixa este sigura si pentru mesaje delungime arbitrara;
I Daca π = (Enc,Dec) este o schema de criptare cu spatiulmesajelor M = {0, 1}, putem construi o schema sigura pestespatiul mesajelor M = {0, 1}∗ definind Enc ′:
Enc ′pk(m) = Encpk(m1), ...,Encpk(mt)
unde m = m1...mt
I Rezultatul este adevarat pentru atacuri CPA dar nu esteadevarat pentru atacuri CCA.
Criptografie si Securitate 24/26 ,
Criptarea mesajelor de lungime arbitrara
I Consecinta a rezultatului anterior: o schema de criptare sigurapentru mesaje de lungime fixa este sigura si pentru mesaje delungime arbitrara;
I Daca π = (Enc,Dec) este o schema de criptare cu spatiulmesajelor M = {0, 1}, putem construi o schema sigura pestespatiul mesajelor M = {0, 1}∗ definind Enc ′:
Enc ′pk(m) = Encpk(m1), ...,Encpk(mt)
unde m = m1...mt
I Rezultatul este adevarat pentru atacuri CPA dar nu esteadevarat pentru atacuri CCA.
Criptografie si Securitate 24/26 ,
Securitate CCA
I Notiunea de securitate CCA ramane identica cu cea de lasistemele simetrice;
I Capabilitatile adversarului: el poate interactiona cu un oracolde decriptare, fiind un adversar activ care poate rula atacuriın timp polinomial;
I Adversarul poate transmite catre oracolul de decriptareanumite mesaje c si primeste ınapoi mesajul clarcorespunzator;
I Ca si ın cazul securitatii CPA, adversarul nu mai necesitaacces la oracolul de criptare pentru ca detine cheia publica pksi poate realiza singur criptarea oricarui mesaj m.
Criptografie si Securitate 25/26 ,
Securitate CCA
I Notiunea de securitate CCA ramane identica cu cea de lasistemele simetrice;
I Capabilitatile adversarului: el poate interactiona cu un oracolde decriptare, fiind un adversar activ care poate rula atacuriın timp polinomial;
I Adversarul poate transmite catre oracolul de decriptareanumite mesaje c si primeste ınapoi mesajul clarcorespunzator;
I Ca si ın cazul securitatii CPA, adversarul nu mai necesitaacces la oracolul de criptare pentru ca detine cheia publica pksi poate realiza singur criptarea oricarui mesaj m.
Criptografie si Securitate 25/26 ,
Securitate CCA
I Notiunea de securitate CCA ramane identica cu cea de lasistemele simetrice;
I Capabilitatile adversarului: el poate interactiona cu un oracolde decriptare, fiind un adversar activ care poate rula atacuriın timp polinomial;
I Adversarul poate transmite catre oracolul de decriptareanumite mesaje c si primeste ınapoi mesajul clarcorespunzator;
I Ca si ın cazul securitatii CPA, adversarul nu mai necesitaacces la oracolul de criptare pentru ca detine cheia publica pksi poate realiza singur criptarea oricarui mesaj m.
Criptografie si Securitate 25/26 ,
Securitate CCA
I Notiunea de securitate CCA ramane identica cu cea de lasistemele simetrice;
I Capabilitatile adversarului: el poate interactiona cu un oracolde decriptare, fiind un adversar activ care poate rula atacuriın timp polinomial;
I Adversarul poate transmite catre oracolul de decriptareanumite mesaje c si primeste ınapoi mesajul clarcorespunzator;
I Ca si ın cazul securitatii CPA, adversarul nu mai necesitaacces la oracolul de criptare pentru ca detine cheia publica pksi poate realiza singur criptarea oricarui mesaj m.
Criptografie si Securitate 25/26 ,
Important de retinut!
I In criptografia cu cheie publica:
I NU exista securitate perfecta
I securitate semantica = securitate CPA
Criptografie si Securitate 26/26 ,