Optimal asymmetrisk kryptering med stoppning

OAEP ( engelska Optimal A symmetric Encryption P adding , Optimal asymmetric encryption with addition) är ett tilläggsschema , vanligtvis använt i kombination med någon enkelriktad funktion med en hemlig ingång (till exempel RSA- eller Rabin-funktioner ) för att öka den kryptografiska styrkan av den senare. OAEP föreslogs av Mihir Bellare och Phillip Rogaway [1] , och dess tillämpning på RSA standardiserades därefter i PKCS#1 och RFC 2437 .

Historik

Den ursprungliga versionen av OAEP, som föreslagits av Bellare och Rogaway 1994, påstods vara resistent mot attacker baserade på vald chiffertext i kombination med valfri enkelriktad hemlig ingångsfunktion [1] . Ytterligare studier har visat att ett sådant schema endast är resistent mot attacker baserade på icke-adaptiv vald chiffertext [2] . Trots detta har det bevisats att i den slumpmässiga orakelmodellen , när man använder standard RSA med chifferexponent , är schemat också motståndskraftigt mot attacker baserade på adaptivt vald chiffertext [3] . Nyare arbete har visat att i standardmodellen (när hashfunktioner inte modelleras som slumpmässiga orakel) är det inte möjligt att bevisa motstånd mot adaptiva chiffertextattacker när man använder RSA [4] .

OAEP-algoritm

Det klassiska OAEP-schemat är ett Feistel-nätverk med två celler , där data i varje cell transformeras med hjälp av en kryptografisk hashfunktion . Som indata får nätverket ett meddelande med kontrollnollor som lagts till och en nyckel - en slumpmässig sträng [5] .

Diagrammet använder följande notation:

$n$ - antalet bitar i blocket förberett för asymmetrisk kryptering .
$k_{0}$ och är protokollfixerade heltal. $k_{1}$
$m$ — vanlig text av meddelandet, -bit sträng. ${\displaystyle n-k_{0}-k_{1))$
$G$ och är de kryptografiska hashfunktionerna som ges av protokollet. $H$

Kryptering

Meddelandet läggs till med nollor, vilket gör att det når bitar i längd. $m$ $k_{1}$ ${\displaystyle n-k_{0))$
En slumpmässig bitsträng genereras . $k_{0}$ $r$
$G$ expanderar lite av en sträng till bitar. $k_{0}$ $r$ ${\displaystyle n-k_{0))$
$X=m00..0\bigoplus G(r)$ .
$H$ komprimerar bit för bit. ${\displaystyle n-k_{0))$ $X$ $k_{0}$
$Y=r\bigoplus H(X)$ .
krypterad text . $X||Y$

Dekryptering

Slumpmässig sträng återställs $r=Y\bigoplus H(X)$
Det ursprungliga meddelandet återställs som $m00..0=X\bigoplus G(r)$
De sista tecknen i det dekrypterade meddelandet kontrolleras för noll. Om det finns tecken som inte är noll, har meddelandet förfalskats av en angripare. $k_{1}$

Applikation

OAEP-algoritmen används för att förbehandla meddelandet innan RSA används . Meddelandet utfylls först till en fast längd med OAEP och krypteras sedan med RSA. Tillsammans kallas detta krypteringsschema RSA-OAEP och är en del av den nuvarande krypteringsstandarden för publika nyckel ( RFC 3447 ). Det bevisades också av Viktor Boyko att synfunktionen i modellen av slumpmässiga orakel är en transformation av typ allt-eller-inget[4] . $g^{G,H}(x)=f(OAEP^{G,H}(x,r))$

Ändringar

På grund av sådana brister som omöjligheten att bevisa kryptografiskt motstånd mot attacker baserat på vald chiffertext , samt den låga hastigheten i schemat [6] , föreslogs därefter OAEP-baserade modifieringar som eliminerar dessa brister.

OAEP+ algoritm

Victor Shoup har som är resistent mot adaptiva chiffertextattacker när det kombineras med valfri envägsbakdörrsfunktion [2] .

$n$ - antalet bitar i blocket förberett för asymmetrisk kryptering .
$k_{0}$ och är protokollfixerade heltal. $k_{1}$
$m$ vanlig textmeddelande, -bit sträng. ${\displaystyle n-k_{0}-k_{1))$
$G$ , och är kryptografiska hashfunktioner som definieras av protokollet. $H$ $H'$

Kryptering

En slumpmässig bitsträng genereras . $k_{0}$ $r$
$H'$ konverteras till en längdsträng . $r||m$ $k_{1}$
$G$ konverteras till en längdsträng . $r$ ${\displaystyle n-k_{0}-k_{1))$
Den vänstra sidan av meddelandet är sammansatt . $X=(G(r)\bigoplus m)||H'(r||m)$
$H$ konverteras till en längdsträng . $X$ $k_{0}$
Den högra sidan av meddelandet komponeras . $Y=H(X)\bigoplus r$
krypterad text . $X||Y$

Dekryptering

Den slumpmässiga strängen återställs . $r=Y\bigoplus H(X)$
$X$ är uppdelad i två delar och , med storlekar respektive bitar. $X_{1}$ $X_{2}$ ${\displaystyle n-k_{1}-k_{0))$ $k_{1}$
Det ursprungliga meddelandet återställs som . ${\displaystyle m=G(r)\bigoplus X_{1))$
Om inte uppfyllt är meddelandet förfalskat. $H'(r||m)=X_{2}$

SAEP/SAEP+ algoritm

Dan Bonet har föreslagit två förenklade implementeringar av OAEP, namngivna SAEP respektive SAEP+. Huvudidén med att förenkla kryptering är frånvaron av det sista steget - meddelandet "limmades" med den ursprungligen genererade slumpmässiga strängen . Således består kretsarna av endast en Feistel-cell , på grund av vilken en ökning av drifthastigheten uppnås [7] . Skillnaden mellan algoritmerna från varandra uttrycks i registreringen av kontrollbitarna. När det gäller SAEP är dessa nollor, medan för SAEP+ är detta en hash från (respektive som i OAEP och OAEP+) [5] . Nackdelen med algoritmerna är en kraftig minskning av meddelandets längd. Tillförlitligheten hos scheman vid användning av Rabin-funktionen och RSA har endast bevisats med följande begränsning av längden på den överförda texten: för SAEP + och dessutom för SAEP [8] . Det är värt att notera att vid ungefär samma hastighet har SAEP+ färre begränsningar för meddelandelängden än SAEP [8] , på grund av vilket det anses vara mer föredraget [8] . $r$ $m||r$ ${\displaystyle m\leqslant n/2+k_{0))$ $m\leqslant n/4$

Diagrammet använder följande notation:

$n$ - antalet bitar i blocket RSA eller Rabins kryptosystem .
$k_{0}$ och är protokollfixerade heltal. $k_{1}$
$m$ vanlig textmeddelande, -bit sträng. ${\displaystyle n-k_{0}-k_{1))$
$G$ och är de kryptografiska hashfunktionerna som ges av protokollet. $H$

SAEP+-kryptering

En slumpmässig bitsträng genereras . $k_{0}$ $r$
$G$ konverteras till en längdsträng . $m||r$ $k_{1}$
$H$ konverteras till en längdsträng . $r$ ${\displaystyle n-k_{0))$
Beräknat . $X=(m||G(m||r))\bigoplus H(r)$
krypterad text . $X||r$

SAEP+-dekryptering

Beräknat , där och är strängar av storlek respektive . $X_{1}||X_{2}=X\bigoplus H(r)$ $X_{1}$ $X_{2}$ ${\displaystyle n-k_{0}-k_{1))$ $k_{0}$
Jämställdheten kontrolleras . Om jämlikhet är sant, då är det ursprungliga meddelandet , om inte, då är meddelandet förfalskat av en angripare. $X_{2}=G(X_{1}||r)$ $X_{1}$

Se även

RSA-KEM

Anteckningar

↑ 1 2 Optimal asymmetrisk kryptering Hur man krypterar med RSA, 1995 , sid. ett.
↑ 1 2 OAEP Reconsidered, 2001 , sid. ett.
↑ RSA–OAEP är säkert under RSA-antagandet, 2001 , sid. ett.
↑ 1 2 Trading One-Wayness against Chosen-Ciphertext Security in Factoring-Based Encryption, 2006 , sid. ett.
↑ 1 2 Förenklad OAEP för RSA- och Rabin-funktionerna, 2001 , sid. 277.
↑ Ett billigt alternativ för OAEP, 2001 , sid. ett.
↑ Förenklad OAEP för RSA- och Rabin-funktionerna, 2001 , sid. 275.
↑ 1 2 3 Förenklad OAEP för RSA- och Rabin-funktionerna, 2001 , sid. 290.

Litteratur

M. Bellare, P. Rogaway. Optimal asymmetrisk kryptering – hur man krypterar med RSA . - Springer Berlin Heidelberg, 1995. - Vol. 950.-P. 92-111. - ISBN 978-3-540-60176-0 . — ISSN 0302-9743 . - doi : 10.1007/BFb0053428 .
Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval och Jacques Stern. RSA–OAEP är säkert under RSA-antagandet . - Springer Berlin Heidelberg, 2001. - Vol. 2139. - S. 260-274. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_16 .
P. Paillier och J. Villar. Envägshandel mot vald chiffertextsäkerhet i faktorbaserad kryptering . - Springer Berlin Heidelberg, 2006. - Vol. 4284. - S. 252-266. - ISBN 978-3-540-49475-1 . — ISSN 0302-9743 . - doi : 10.1007/11935230_17 .
Peter Schartner. Ett billigt alternativ för OAEP . - 2001. - ISBN 978-1-4503-0882-3 . - doi : 10.1145/2349913.2349914 .
Victor butik. OAEP omprövat . - Springer Berlin Heidelberg, 2001. - Vol. 2139. - S. 239-259. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_15 .
D. Boneh. Förenklad OAEP för RSA- och Rabin- funktionerna . - Springer Berlin Heidelberg, 2001. - Vol. 2139. - S. 275-291. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . - doi : 10.1007/3-540-44647-8_17 .
Victor Boyko. Om säkerhetsegenskaperna för OAEP som en allt-eller-inget- transform . - Springer Berlin Heidelberg, 1999. - Vol. 1666. - S. 503-518. — ISBN 978-3-540-66347-8 . — ISSN 0302-9743 . - doi : 10.1007/3-540-48405-1_32 .

Public key kryptosystem

Algoritmer

Faktorisering av heltal	Benalo kryptosystem Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern betalare Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskret logaritm	BLS Cramer - Shoup Diffie-Hellman-protokollet DSA ECDH Kurva25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Krypterad nyckelutbyte Schema för ElGamal signaturschema MQV Schnorr-schema SPEKE SRP STS
Kryptografi på galler	NTRUEncrypt NTRUSign Inlärningsbaserat nyckelutbyte med fel Signaturbaserad träning med fel i ringen SALIGHET Nytt hopp
Övrig	AE CEILIDH EPOC Dolda fältekvationer IES Lamports signatur McEliece Merkle-Hellman ryggsäckskryptosystem Naccache–Stern ryggsäckskryptosystem Trestegsprotokoll XTR

Teori

Standarder

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Postkvantkryptering

Ämnen

Elektronisk signatur
OAEP
Fingeravtryck
PKI
nät av förtroende
Nyckelstorlek
Identitetsbaserad kryptografi
Postkvantkryptografi
OpenPGP-kort