Optimální asymetrické šifrování - Optimal asymmetric encryption padding

v kryptografie, Optimální asymetrické šifrování (OAEP) je schéma polstrování často se používá společně s Šifrování RSA. OAEP představil Bellare a Rogaway,^[1] a následně standardizováno v PKCS # 1 v2 a RFC 2437.

Algoritmus OAEP je formou Síť Feistel který používá pár náhodné věštby G a H zpracovat holý text před asymetrické šifrování. V kombinaci s jakýmkoli bezpečným jednosměrná permutace padacích dveří ${ displaystyle f}$ , toto zpracování je prokázáno v náhodný věštecký model vést k kombinovanému schématu, které je sémanticky bezpečné pod zvolený útok prostého textu (IND-CPA). Při implementaci s určitými permutacemi padacích dveří (např. RSA) se OAEP také osvědčuje proti zvolený útok šifrovaného textu. OAEP lze použít k vytvoření transformace vše nebo nic.

OAEP splňuje následující dva cíle:

Přidejte prvek náhodnosti, kterým lze převést a deterministické šifrování schéma (např. tradiční RSA ) do pravděpodobnostní systém.
Zabraňte částečnému dešifrování šifrových textů (nebo úniku jiných informací) tím, že zajistíte, že protivník nemůže obnovit žádnou část prostého textu bez možnosti invertovat jednosměrná permutace padacích dveří ${ displaystyle f}$ .

Původní verze OAEP (Bellare / Rogaway, 1994) vykazovala formu „prostý text "(což tvrdili, znamená zabezpečení proti zvolený útok šifrovaného textu ) v modelu náhodného věštce, když je OAEP použit s jakoukoli permutací padacích dveří. Následné výsledky popíraly toto tvrzení a ukazovaly, že OAEP byl pouze IND-CCA1 zajistit. Původní schéma však bylo prokázáno v EU náhodný věštecký model být IND-CCA2 zabezpečeno, když je OAEP použit s permutací RSA pomocí standardních exponentů šifrování, jako v případě RSA-OAEP.^[2]Vylepšené schéma (zvané OAEP +), které pracuje s jakoukoli jednosměrnou permutací padacích dveří, nabízí Victor Shoup k vyřešení tohoto problému.^[3]Novější práce ukázaly, že v EU standardní model (to znamená, že když hashovací funkce nejsou modelovány jako náhodné věštce) je nemožné prokázat zabezpečení IND-CCA2 RSA-OAEP za předpokládané tvrdosti Problém RSA.^[4]^[5]

Algoritmus

OAEP je Síť Feistel

V diagramu

n je počet bitů v modulu RSA.
k₀ a k₁ jsou celá čísla stanovená protokolem.
m je prostá zpráva, (n − k₀ − k₁ ) -bitový řetězec
G a H jsou náhodné věštby jako kryptografické hashovací funkce.
⊕ je operace xor.

Kódovat,

zprávy jsou vyplněny k₁ nuly být n − k₀ bity na délku.
r je náhodně generovaný k₀-bitový řetězec
G rozšiřuje k₀ kousky r na n − k₀ bity.
X = m00...0 ⊕ G(r)
H snižuje n − k₀ kousky X na k₀ bity.
Y = r ⊕ H(X)
Výstup je X || Y kde X je v diagramu zobrazen jako blok úplně vlevo a Y jako blok úplně vpravo.

Použití v RSA: Zakódovanou zprávu lze poté zašifrovat pomocí RSA. Pomocí kódování OAEP je nyní zabráněno deterministické vlastnosti RSA.

Dekódovat,

obnovit náhodný řetězec jako r = Y ⊕ H(X)
obnovit zprávu jako m00...0 = X ⊕ G(r)

Bezpečnostní

„všechno nebo nic „bezpečnost spočívá v tom, že se má zotavit m, jeden musí obnovit celý X a celý Y; X je nutné se zotavit r z Y, a r je nutné se zotavit m z X. Jelikož jakýkoli změněný bit kryptografického hashu zcela změní výsledek, celý Xa celé Y musí být oba úplně uzdraveni.

Implementace

Ve standardu PKCS # 1 náhodné věštci G a H jsou identické. Standard PKCS # 1 dále vyžaduje, aby byla náhodná věštkyně MGF1 s příslušnou hashovací funkcí.^[6]

Viz také

Klíčové zapouzdření

Reference

^ M. Bellare, P. Rogaway. Optimální asymetrické šifrování - Jak šifrovat pomocí RSA. Rozšířený abstrakt v Pokrokech v kryptologii - Eurokrypt '94 řízení, Přednášky z informatiky Sv. 950, A. De Santis ed, Springer-Verlag, 1995. plná verze (pdf)
^ Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval a Jacques Stern. RSA-- OAEP je bezpečný za předpokladu RSA. In J. Kilian, ed., Advances in Cryptology - CRYPTO 2001, roč. 2139 of Lecture Notes in Computer Science, SpringerVerlag, 2001. plná verze (pdf)
^ Victor Shoup. OAEP znovu zváženo. IBM Zurich Research Lab, Saumerstr. 4, 8803 Ruschlikon, Švýcarsko. 18. září 2001. plná verze (pdf)
^ P. Paillier a J. Villar, Jednosměrné obchodování s vybraným šifrovacím zabezpečením při šifrování založeném na faktoringuPokroky v kryptologii - Asiacrypt 2006.
^ D. Brown, Díky čemu je RSA-OAEP bezpečný?, IACR ePrint 2006/233.
^ Brown, Daniel R. L. (2006). „Díky čemu je RSA-OAEP bezpečný?“ (PDF). Archiv ePrint kryptologie IACR. Citováno 2019-04-03.

[1] M. Bellare, P. Rogaway. Optimální asymetrické šifrování - Jak šifrovat pomocí RSA. Rozšířený abstrakt v Pokrokech v kryptologii - Eurokrypt '94 řízení, Přednášky z informatiky Sv. 950, A. De Santis ed, Springer-Verlag, 1995. plná verze (pdf)

[2] Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval a Jacques Stern. RSA-- OAEP je bezpečný za předpokladu RSA. In J. Kilian, ed., Advances in Cryptology - CRYPTO 2001, roč. 2139 of Lecture Notes in Computer Science, SpringerVerlag, 2001. plná verze (pdf)

[3] Victor Shoup. OAEP znovu zváženo. IBM Zurich Research Lab, Saumerstr. 4, 8803 Ruschlikon, Švýcarsko. 18. září 2001. plná verze (pdf)

[4] P. Paillier a J. Villar, Jednosměrné obchodování s vybraným šifrovacím zabezpečením při šifrování založeném na faktoringuPokroky v kryptologii - Asiacrypt 2006.

[5] D. Brown, Díky čemu je RSA-OAEP bezpečný?, IACR ePrint 2006/233.

[6] Brown, Daniel R. L. (2006). „Díky čemu je RSA-OAEP bezpečný?“ (PDF). Archiv ePrint kryptologie IACR. Citováno 2019-04-03.

[1]

[2]

[3]

[4]

[5]

[6]