RSA-KEM

RSA-KEM ( RSA Key Encapsulation Method) är en enkelpassage (lagra och vidarebefordra) nyckelkrypteringsmekanism för överföring i kryptosystem med offentliga nyckel . Kombinerar falska permutationer av RSA och KDF (Key Derivation Function). Den har enkelhet och överlägsna skyddsegenskaper jämfört med OAEP eller OAEP+ . Den största nackdelen är att chiffertexten är något större än klartexten.

Beskrivning

Introduktion

RSA-KEM tillhör en klass av metoder för inkapsling av kryptografiska nyckel utformade för att säkert skicka symmetriska krypteringsnycklar med hjälp av algoritmer för offentliga nyckel [1] . I praktiken är krypteringssystem för offentliga nyckel obekväma för överföring av långa meddelanden, istället används de för utbyte av symmetriska nycklar, som i slutändan krypterar texten. Den traditionella metoden för att skicka en symmetrisk nyckel med offentliga nyckelsystem är följande algoritm:

Generering av slumptal.
Kryptering av ett nummer med den valda publika nyckeln. Detta krypterade meddelande skickas till mottagaren.
Mottagaren dekrypterar den med den privata nyckeln och återställer den symmetriska nyckeln.

Den presenterade algoritmen har flera nackdelar [2] . För det första, eftersom den symmetriska nyckeln är liten, måste den förlängas och säkerhetsbeviset för nyckelförlängning är inte starkt. För det andra kan angriparen skicka sitt nummer krypterat med den offentliga nyckeln och utbyta meddelanden med mottagaren. För det tredje övervakas inte dataintegriteten (en generalisering av den andra punkten). Dessutom kan chifferna för liknande meddelanden vara liknande. Uppenbarligen är det presenterade schemat inte tillräckligt bra och tillförlitligt.

Nyckelinkapslingsmetoden visar en annan, mer avancerad metod som löser de identifierade problemen.

Krypteringsprocessen kan sammanfattas enligt följande:

En slumpmässig ingång w genereras .
Krypterad w med RSA för överföring till mottagaren.
Nyckelmaterial y = KDF( w ) genereras för användning i efterföljande kryptering.

Mottagaren kan återhämta w från den mottagna chiffertexten och sedan generera y så att både sändare och mottagare kan komma överens om samma symmetriska nyckel.

Alternativ

Nyckelkrypteringsmekanismen har följande systemparametrar:

RSAKeyGen: RSA-nyckelgenereringsalgoritm.
KDF: En nyckelhärledningsfunktion.
KeyLen: Ett positivt heltal.

Nyckelgenerering

Den publika nyckeln består av RSA-koefficienten , som är produkten av två stora primtal och exponenten , där ( är den största gemensamma delaren ) [3] . Den belyser också nyckelhärledningsfunktionen i KDF. Låt nLen beteckna längden av n i byte. Den hemliga nyckeln består av dekrypteringsexponenten d , där . Nyckelgenereringsalgoritmen tar inget som indata och exekveras enligt följande: $n$ $e$ $gcd(e,\phi (n))=1$ $gcd$ $ed=1mod\phi(n)$

Beräkning ( n , e , d ) = RSAKeyGen().
Skaffa en publik nyckel PK (public key).
Skaffa en privat nyckel pk (privat nyckel).

n , e , d är positiva heltal.

Kryptering

Målet med krypteringsalgoritmen är att producera en pseudo-slumpmässig nyckel K med längden KeyLen och en chiffertext som krypterar K . Krypteringsalgoritmen accepterar följande: $C_{0}$

en publik nyckel som består av ett positivt heltal n och e .
inga krypteringsalternativ.

Det görs på följande sätt [2] :

1) Ett slumptal genereras . $z\in [0..n)$

2) Krypterad med mottagarens publika nyckel $z$ $(n,e)$

c=z^{e}modn

3) Numret konverteras till en krypterad sträng och till en sträng $c$ $C$ $z$ $Z$

C=intToStr(c,nLen),

Z=intToStr(z,nLen)

4) En så kallad nyckelkrypterande nyckel (KEK) skapas, med längden , med hjälp av Key Derivation Function (KDF): $kekLen$

KEK=KDF(z,kekLen)

5) Den överförda informationen lindas in (i den engelska litteraturen WRAP) med en KEK-nyckel, med hjälp av ett nyckelomslagsschema. Vid utgången får vi den krypterade texten $WK$

WK=Wrap(KEK,K)

6) Kombinera och chiffertext $C$

EK=C||WK

$EK$ är utdata från algoritmen

Key Generation Function (KDF)

KDF tar en bytesträng och ett heltal som indata . Till exempel funktionen KDF1. Den parametriseras av någon hashfunktion och definieras enligt följande [2] : argument går till ingången , vid utgången får vi de första byten av uttrycket: $L>0$ $(Z,L)$ $L$

Hash(Z

|| || ... || ||

I2OSP(0,4))

Hash

(Z

I2OSP(k-1,

4)),

var

k=L/Hash.outputLen.

Tvillingen till KDF1 är KDF2. Den skiljer sig från KDF1 endast genom att räknaren går från till , inte från till . Det är dock svårt för dessa funktioner att fastställa hur "bra" pseudo-slumptalsgeneratorer de är. På grund av denna potentiella sårbarhet är det önskvärt att använda KDF3-funktionen, t.ex. Det tar som parametrar Hash och De första byten av uttrycket matas ut: $ett$ $k$ $0$ $k-1$ $padding\geqslant 4.$ $L$

Hash(I2OSP(0,padding)

|| || · · · || , ||

Z)

Hash(I2OSP(k-1

padding)

Z),

var .

k=L/Hash.outputLen

Rekommenderade hashfunktioner SHA1 och RIPMD-160. Rekommenderas . Tillförlitligheten hos KDF3 kan redan bedömas ganska säkert. Funktionen , som beskrivs i IEEE P1363-standarden, konverterar ett tal till en sträng. Dess arbete är baserat på funktionen , som tvärtom tar emot ett nummer från en sträng. $padding=4$ $I2OSP$ $OS2IP$

Key Wrapping Schema

RFC 5990- specifikationen kräver att något av följande används som omslagsschema:

AES nyckelomslag
Trippel-DES nyckelomslag
Camillia nyckelomslag

Det vanligaste omslagsschemat är AES [4] . Den fungerar i block om 64 bitar och kräver ett meddelande som är längre än ett sådant block som indata. Om meddelandelängden är 64 bitar eller mindre bildar den specifikationsdefinierade konstanten och nyckelinformationen ett enda 128-bitars block, vilket är meningslöst.

Dekryptering

Dekrypteringsalgoritmen tar följande som indata:

en privat nyckel som består av ett positivt heltal n och d .
chiffertext . $C_{0}$

Det utförs enligt följande:

Separering av krypterad nyckelinformation i byte- längd chiffertext och omslagen nyckelinformation: Om längden på krypterad nyckelinformation skiljer sig från , misslyckas dekrypteringen. $EK$ $C$ $nLen$

$C||WK=EK$

$nLen$
Konvertera chiffertexten till ett heltal och dekryptera den med mottagarens privata nyckel: Om inte inom , misslyckas dekrypteringen. $C$ $c$

$c=StrToInt(C)$
$z=c^{d}modn$

$c$ $0\leqslant c\leqslant n-1$
Konvertera heltal till längdbytesträng $z$ $Z$ $nLen.$

$Z=IntToStr(z,nLen)$
Generera längdbytes från en sträng med KDF: $KEK$ $kekLen$ $Z$

$KEK=KDF(Z,kekLen)$
Packa upp nyckelinformation med : Om uppackningen misslyckas, misslyckas hela algoritmen. $WK$ $KEK$

$K=Unwrap(KEK,WK)$
Få utdata från algoritmen. $K$

Tillförlitlighetsbedömning

Säkerheten för RSA-KEM kan analyseras i en slumpmässig orakelmodell (Random Oracle Model, nedan kallad RO) [2] . Kärnan i modellen är som följer. Anta att det finns någon offentlig funktion som har följande egenskaper:

Funktionen svarar på varje nytt argument med ett nytt värde och skriver paret (argument, värde) till tabellen.
Om argumentet redan har uppfyllts, kommer funktionen att vända sig till sin tabell och returnera värdet som motsvarar detta argument.

Beviset är baserat på antagandet att KDF är ett slumpmässigt orakel och att det är omöjligt att lösa det omvända RSA-problemet (med andra ord, RSA kan inte hackas). För alla nyckelgenereringsalgoritmer för RSA (det vill säga en algoritm som returnerar n, e och d), gäller alltid n >= nBound (det vill säga nBound är den minsta lagliga gränsen för n tal), och för varje angripare A, följande är sant:

Advantage_{RSA-KEM}(A)\leq Advantage_{RSA}(A')

qD/nBound(*),

var är det maximala antalet förfrågningar till oraklet som en angripare kan göra för att försöka lösa chiffret , AdvantageRSA-KEM(A) = |Pr[b*-b] - 1/2| — prediktiv förmåga A, AdvantageRSA(A') anger sannolikheten för att framgångsrikt lösa det omvända RSA-problemet. Det bör noteras att ovanstående ojämlikhet inte tar hänsyn till det faktum att den i verkligheten returnerar "dåliga" nycklar med en sannolikhet som inte är noll. För att ta hänsyn till det behöver du bara lägga till denna sannolikhet till höger sida av ojämlikheten. $qD$ $A$ $RSAKeyGen$

Vi ger beviset genom att överväga spelsekvensen , och i varje spel gör motståndare A en attack. Vart och ett av dessa spel utspelar sig i samma sannolikhetsutrymme – bara reglerna för hur slumpvariabler beräknas ändras. Varje spel kommer att ha en händelse kopplad till en händelse . Låt oss bevisa att skillnaden är liten, och dessutom kommer det att indikera att i det senaste spelet . Låt - det första spelet, - en händelse som anger att biten i spelet är korrekt gissad . Låt beteckna en slumpmässig orakelförutsägelse som placerar element i längdbitsträngar i sin tabell. Låt vara den attackerade chiffertexten, och . Därefter kommer vi att definiera följande spel , exakt samma som spelet . Om det visar sig att oraklet kallades för att dekryptera med ett argument tidigare, och samtalet lyckades, så stannar spelet. Låt vara en händelse i spelet som motsvarar händelsen . Låt vara en händelse som signalerar att spelet har stoppats. Det är tydligt att $G_{{i}}$ ${\displaystyle S_{i))$ ${\displaystyle S_{0))$ $|Pr[S_{i}]-Pr[S_{i-1}]|$ $Pr[S_{k}]=1/2$ $G0$ $S0$ $A$ $b$ $G0$ $H$ $Z_{n}$ $keyLen$ $y^{*}\in Z_{n}$ ${\displaystyle r^{*}=(y^{*})^{1/e}\in Z_{n))$ $G1$ $G0$ $y^{*}$ $S1$ $G1$ $S0$ $F1$ $G1$

Pr[F1]\leq qD/nBound,

och i tidsintervallet när spelen och passerar på samma sätt, nämligen innan ögonblicket då händer , är följande lemma sant: $G0$ $G1$ $F1$

Låta och vara händelser definierade på utrymmet av slumpmässiga händelser på ett sådant sätt att $E,E'$ $F$

Pr[E

\landa

\neg

F]=Pr[E'

\landa

\neg

F]

Sedan körs:

|Pr[E]

-Pr[

E']|

\leq Pr[F].

I vårt fall Next definierar vi ett spel , samma som , förutom att den attackerade chiffertexten genereras i början av spelet, och om motståndaren begär , stoppar spelet. Låt &mdash vara händelsen som motsvarar händelsen . Det är uppenbart $|Pr[S0]$ $-Pr[S1]|$ $\leq$ $qD/nBound.$ $G2$ $G1$ $H$ $r^{*}$ $S2$ $G2$ $S0$

Pr[S2]=1/2

på grund av det faktum att nyckeln är oberoende av allt tillgängligt för motståndaren i spelet . I det här spelet anropas v endast i krypteringssyfte. $H(r^{*})$ $G2$ $H$ $r^{*}$

Låt vara en händelse som signalerar att det föregående spelet avbröts. Det är tydligt att spelen fortsätter på samma sätt tills , och därför får vi genom lemma: $F2$ $G1$ $G2$ $F2$

|Pr[S1]-Pr[S2]|

\leq Pr[F2]

Vi kräver det för algoritmen A', vars körtid är begränsad av den tid som beskrivs ovan. Då kommer ojämlikheten (*) att vara uppfylld. Algoritm A' börjar enligt följande. Den får en slumpmässig RSA-modul , en RSA-exponent och ett slumpmässigt element som indata . A' genererar en offentlig nyckel med hjälp av och , och låter sedan motståndare A starta spelet. När A anropar oraklet för att kryptera, svarar A' på A med ett par av , där är en slumpmässig bit av en längdsträng , och ges som indata till A. Algoritm A' simulerar en slumpmässig förutsägelse , som dekryptering RO, som följer. För varje slumpmässig förutsägelseinmatning beräknar A' , och placerar , och ett slumpmässigt värde i tabellen. Men om A' istället skrivs ut och avslutas. När motståndare A tillhandahåller chiffertexten till dekrypteringsförutsägelsen, slår A' upp värdet i den beskrivna tabellen för att bestämma om det slumpmässiga förutsägelsevärdet har beräknats till . Om ja, så motsvarar A' avkodningsförutsägelsen med värdet lagrat i tabellen. Annars skapar algoritmen en ny slumpmässig nyckel och placerar paret i den andra tabellen. Dessutom, om motståndare A i framtiden måste beräkna en slumpmässig förutsägelse givet att , då kommer nyckeln som genereras ovan att användas som värdet på . Det är tydligt att A' perfekt simulerar A och ger lösningen för detta fall RSA med sannolikhet . Detta bevisar algoritmens säkerhet. Kvantitativt kan det verifieras att RSA-KEM ger bättre skydd än RSA-OAEP+ och RSA-OAEP. Denna fördel uttrycks ju fler desto fler meddelanden krypterade med en publik nyckel (modellerad i BBM00). Detta kan visas genom att dra fördel av det faktum att det är mycket arbetsintensivt att lösa RSA-inversionsproblemet. Säkerheten för RSA-KEM minskar alltså inte alls när antalet chiffertexter ökar. Det bör noteras att detta uttalande är sant endast om talet r i krypteringsalgoritmen för Simple RSA väljs enhetligt modulo n, eller åtminstone dess fördelning bör vara omöjlig att skilja från enhetlig ur beräkningssynpunkt. Bland annat kan RSA-KEM, till skillnad från RSA-OAEP eller RSA-OAEP +, inte kallas en "bräcklig" algoritm, det vill säga inga möjligheter till attacker på dess implementeringar har hittats. $Pr[F2]\leq Advantage_{RSA}(A')$ $n$ $e$ $y*\leq Zn$ $n$ $e$ $(K^{*},y^{*})$ $K^{*}$ $keyLen$ $y^{*}$ $H$ ${\displaystyle r\leq Z_{n))$ $y=r^{e}\in Z_{n}$ $r$ $y$ $K=H(r)$ $y=y^{*}$ $r$ ${\displaystyle y\in Z_{n))$ $y$ ${\displaystyle r=y^{(1/e)}\in Z_{n))$ $K=H(r)$ $K$ $(y,K)$ ${\displaystyle r\leq Z_{n))$ $r^{e}=y$ $K$ $H(r)$ $Pr[F2]$

Anteckningar

↑ Användning av RSA-KEM Key Transport Algorithm
↑ 1 2 3 4 V. Shopp. Ett förslag till ISO-standard för kryptering av offentlig nyckel
↑ FCD 18033-2 Krypteringsalgoritmer - Del 2: Asymmetriska chiffer
↑ AES Key Wrap Specifikation

Länkar

V Shoup. Ett förslag till ISO-standard för kryptering av offentlig nyckel. Förtryck, december 2001. Arkiverad 5 juli 2008 på Wayback Machine
FCD 18033-2 Krypteringsalgoritmer - Del 2: Asymmetriska chiffer. Arkiverad 24 december 2010 på Wayback Machine
Säkra RSA-KEM via AES (inte tillgänglig länk)
RSA Algorithm Arkiverad 22 november 2010 på Wayback Machine
The Random Oracle Methodology Arkiverad 3 mars 2016 på Wayback Machine
Användning av RSA-KEM Key Transport Algorithm Arkiverad 26 oktober 2014 på Wayback Machine
AES Key Wrap Specification Arkiverad 17 september 2008 på Wayback Machine