Cifrari asimmetrici. Cifratura. Cifratura. Crittosistema ElGamal. file pubblico utente chiave pubblica. Alice. file pubblico utente chiave pubblica

Transcript

1 Crittosistema ElGamal lfredo De Santis Dipartimento di Informatica ed pplicazioni Università di Salerno Marzo Cifrari asimmetrici kpriv kpub 1 Cifratura Cifratura kpriv kpub canale insicuro kpriv kpub canale insicuro C Devo cifrare il messaggio M ed inviarlo ad Bob Cifratura di M per C CIFR (kpub, M) Bob 2 3

2 Decifratura Decifratura Devo decifrare il messaggio cifrato C kpub?? C? kpriv kpub Decifratura di C M DECIFR (kpriv, C) C 4 5 Crittosistema di ElGamal! Taher Elgamal! Sicurezza basata sull intrattabilità del problema del logaritmo discreto Crittosistema di ElGamal! Utilizza il concetto di generatore di Z p *! p primo! g è generatore di Z p * se {g i 1 i p-1} = Z p * Taher El Gamal, Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms IEEE Transactions and Information Theory, vol. IT-31, No. 4, Jul

3 Chiavi ElGamal Cifratura ElGamal α Zp (p, g, β) (p, g, β=gα) p primo g generatore di Zp* Devo cifrare il messaggio M (comuni a tutti) ed inviarlo ad β =gα Bob 8 Cifratura ElGamal C Cifratura di M per Decifratura ElGamal (p, g, β=gα) Devo decifrare il messaggio cifrato C (p, g, β=gα) k Zp y1 gk y2 M βk C (y1,y2) 9 C?? C? Bob 10 11

4 Decifratura ElGamal Piccolo esempio: Chiavi ElGamal α (p, g, β=g α ) α=765 utente chiave pubblica (p=2579,g=2, β=949) Decifratura di C = (y 1,y 2 ) z" "y 1 α M z -1 y 2 Cifratura di M per y 1 g k y 2 M β k C (y 1,y 2 ) 12 β = mod 2579 = Piccolo esempio: Cifratura ElGamal Piccolo esempio: Decifratura ElGamal (435, 2396) utente chiave pubblica (p=2579,g=2, β=949) α=765 utente chiave pubblica (p=2579,g=2, β=949) Cifratura di M = 1299 per y mod 2579 = 435 y mod 2579 = 2396 C (435, 2396) 853 Decifratura di C = (435, 2396) ( ) mod 2579 (435, 2396) Bob 14 15

5 Decifratura ElGamal Esempio: Chiavi ElGamal Correttezza z -1 y 2 = (y 1α ) -1 y 2 z=y α 1 = (g kα ) -1 y 2 y 1 =g α = (g kα ) -1 M β k y 2 =M β k = (g kα ) -1 M g αk β=g α = M (p, g, β=g α ) Decifratura di C = (y 1,y 2 ) z" "y 1 α M z -1 y 2 Cifratura di M per y 1 g k y 2 M β k C (y 1,y 2 ) 16 Primo p di 155 bit p g α β=g α 17 Esempio: Cifratura ElGamal Esempio: Decifratura ElGamal M k y 1 =g k M k y 1 =g k y 2 =M β k y 2 =M β k y 1 -α y

6 Sicurezza di ElGamal Sicurezza Sicurezza della Conoscendo (p, g, β) e sapendo che β = g α (y 1,y 2 ) Sicurezza del testo in chiaro! Decifrazione! Indistinguibilità di due testi in chiaro vuole calcolare α Cioè il logaritmo discreto di β = g α Sicurezza di ElGamal Sicurezza testo in chiaro decifrazione Sicurezza della Conoscendo (p, g, β), dove β = g α, e C=(y 1, y 2 ), dove y 1 g k e y 2 M β k (y 1,y 2 ) Sicurezza del testo in chiaro! Decifrazione! Indistinguibilità di due testi in chiaro vuole calcolare M Equivalente a risolvere il problema di Diffie-Hellman 22 23

7 Problema di Diffie-Hellman Sicurezza testo in chiaro decifrazione g x, g y Calcolare: g xy Il miglior algoritmo conosciuto calcola prima il logaritmo discreto x log g,p (g x ) ssumiamo che esiste un algoritmo efficiente p primo, g generatore β = g α y 1 g k y 2 M β k M ma non si sa se sono equivalenti! Posso usarlo per risolvere il problema di Diffie Hellman! Sicurezza testo in chiaro decifrazione Sicurezza testo in chiaro decifrazione Voglio risolvere: g x, g y Calcolare: g xy Voglio risolvere: g x, g y Calcolare: g xy p primo, g generatore β = g α y 1 g k y 2 M β k M p primo, g generatore β = g x y 1 g y y 2 M g xy M Posso usarlo per risolvere il problema di Diffie Hellman! 26 Posso usarlo per risolvere il problema di Diffie Hellman! 27

8 Sicurezza testo in chiaro decifrazione Sicurezza testo in chiaro decifrazione Voglio risolvere: g x, g y Calcolare: g xy Voglio risolvere: g x, g y Calcolare: g xy p primo, g generatore β = g x y 1 g y y 2 M g xy M y 2 / g xy p primo, g generatore β = g x y 1 g y y 2 valore a caso in Z p * M y 2 / g xy Posso usarlo per risolvere il problema di Diffie Hellman! 28 Posso usarlo per risolvere il problema di Diffie Hellman! 29 Sicurezza testo in chiaro decifrazione Sicurezza di ElGamal Voglio risolvere: g x, g y Calcolare: g xy Sicurezza della p primo, g generatore β = g x y 1 g y y 2 valore a caso in Z p * M y 2 / g xy Sicurezza del testo in chiaro Posso usarlo per risolvere il problema di Diffie Hellman!! Calcolo l inverso dell output dell algoritmo (ottengo g xy / y 2 )! Moltiplico per y 2 (ottengo g xy ) 30 (y 1,y 2 )! Decifrazione! Indistinguibilità di due testi in chiaro (sicurezza semantica) 31

9 Sicurezza semantica Generazione (PK,SK) b {0,1} vince se b=. PK C=E PK (m b ) (m 0,m 1 ) Il crittosistema è sicuro semanticamente se ogni efficiente vince con probabilità <1/2+ε Problema decisionale di Diffie-Hellman g x, g y Distinguere tra: g xy e g c Il miglior algoritmo conosciuto calcola prima il logaritmo discreto x log g,p (g x ) 33 Problema decisionale di Diffie-Hellman g x, g y Distinguere tra: g xy e g c Problema decisionale di Diffie-Hellman g x, g y Distinguere tra: g xy e g c Decisional Diffie-Hellman (DDH) ssumption Le due variabili casuali (g, g x, g y, g xy ) (g, g x, g y, g c ) sono indistinguibili da algoritmi efficienti 34 Decisional Diffie-Hellman (DDH) ssumption Le due variabili casuali (g, g x, g y, g xy Per ogni algoritmo efficiente ) (g, g x, g y, g c Prob[(DH)=1]-Prob[(rand)=1] <ε ) sono indistinguibili da algoritmi efficienti 35

10 Sicurezza di ElGamal Il crittosistema di ElGamal è semanticamente sicuro, se vale la DDH. Prova. Se esistesse un algoritmo efficiente che rompe la sicurezza semantica allora lo posso usare per risolvere la DDH Sicurezza semantica ElGamal Generazione ( (p,g,g α ), α ) b {0,1} vince se b=. p, g, g α g k, m b (g α ) k (m 0,m 1 ) Il crittosistema è sicuro semanticamente se ogni efficiente vince con probabilità <1/2+ε 36 Sicurezza di ElGamal Il crittosistema di ElGamal è semanticamente sicuro, se vale la DDH. Prova. Se esistesse un algoritmo efficiente che rompe la sicurezza semantica allora lo posso usare per risolvere la DDH! Voglio risolvere il problema: dato (g, g x, g y, γ) è γ=g xy oppure γ=g c! Uso l algoritmo efficiente che rompe la sic sem per risolvere DDH 38 Sicurezza semantica ElGamal lgoritmo per decidere DDH (g, g x, g y, γ) Generazione ( (p,g,g x ), x ) p, g, g x (m 0,m 1 ) b {0,1} g y, m b γ If b= then output DH else output rand

11 Sicurezza di ElGamal Sicurezza di ElGamal Esercizio! Prob[ (DH)=1]-Prob[ (rand)=1] <ε (assunzione DDH)! Prob[ output DH DH] = Prob[ rompe sem sec ElGamal]! Prob[ output DH rand] < 1/2+ε Supponiamo che:! venga usato lo stesso k per 2 messaggi diversi! Si conosce una coppia testo in chiaro/testo cifrato per k Quindi: Prob[ rompe sem sec ElGamal] = Prob[ output DH DH] Prob[ output DH rand] +ε 1/2+ε+ε 40 Mostrare che si può decifrare l altro testo cifrato! 41 Sicurezza di ElGamal Esercizio Crittosistema Cramer-Shoup Supponiamo che:! venga usato lo stesso k per 2 messaggi diversi! Si conosce una coppia testo in chiaro/testo cifrato per k C=(y 1,y 2 ) dove y 1 g k e y 2 M β k C =(y 1,y 2 ) dove y 1 g k e y 2 M β k Conosco M,C,C M? Mostrare che si può decifrare l altro testo cifrato! 42 R. Cramer e V. Shoup, practical public key cryptosystem provably secure against adaptive chosen ciphertext attack, Crypto 1998! lgoritmo a chiave pubblica asimmetrico! Estensione di Elgamal! Testo cifrato ha lunghezza doppia rispetto ad Elgamal! Sicuro contro adaptive chosen-ciphertext attacks, se vale DDH! Vediamo prima una versione semplificata Cramer- Shoup lite, sicuro contro non-adaptively chosenciphertext attacks, se vale DDH

12 Sicurezza CC1 Generazione (PK,SK) PK b {0,1} vince se b=. D SK (c 1 ) D SK (c p ) C=E PK (m b ) c 1 c p (m 0,m 1 ) non-adaptive chosen-ciphertext attacks Il crittosistema è CC1 sicuro se ogni efficiente vince con probabilità <1/2+ε Chiavi Cramer-Shoup Lite x,y,a,b Z p (p, g 1, g 2, h, c) p primo g 1 g 2 generatori di Z p * (comuni a tutti) h = g 1x g 2 y c = g 1a g 2 b 45 Chiavi Cramer-Shoup Lite Cifratura Cramer-Shoup Lite x,y,a,b Z p (p, g 1, g 2, h=g 1x g 2y, c=g 1a g 2b ) p primo g 1 g 2 generatori di Z p * (comuni a tutti) h = g 1x g 2 y c = g 1a g 2 b 46 C Cifratura di M per C (g 1k, g 2k, M h k, c k ) computazioni (p, g 1, g 2, h=g 1x g 2y, c=g 1a g 2b ) Bob k Z p 47

13 Decifratura Cramer-Shoup Lite x,y,a,b Z p (p, g 1, g 2, h=g 1x g 2y, c=g 1a g 2b ) Decifratura di M per Sia C = (u,v,w,e) If e u a v b then output invalid else output w/(u x u y ) computazioni Sicurezza di Cramer-Shoup Lite Il crittosistema di Cramer-Shoup Lite è CC1 sicuro, se vale la DDH. Prova. Se esistesse un algoritmo efficiente che rompe la sicurezza CC1 allora lo posso usare per risolvere la DDH! Voglio risolvere il problema: dato (g, g x, g y, γ) è γ=g xy oppure γ=g c! Uso l algoritmo efficiente che rompe CC1 per risolvere DDH Cifratura di M per C (g 1k, g 2k, M h k, c k ) Sicurezza CC1 Generazione (PK,SK) PK non-adaptive chosen-ciphertext attacks Sicurezza CC1 Generazione ( (p, g 1, g 2, g 1x g 2y, g 1a g 2b ), (x,y,a,b ) ) (p, g 1, g 2, g 1x g 2y, g 1a g 2b ) D SK (c 1 ) c 1 D SK (c 1 ) c 1 D SK (c p ) c p (m 0,m 1 ) D SK (c p ) c p (m 0,m 1 ) b {0,1} C=E PK (m b ) b {0,1} g 1k, g 2k, m b (g 1x g 2y ) k, (g 1a g 2b ) k vince se b=. Il crittosistema è CC1 sicuro se ogni efficiente vince con probabilità <1/2+ε vince se b=. Il crittosistema è CC1 sicuro se ogni efficiente vince con probabilità <1/2+ε

14 Cramer-Shoup Lite: Sicurezza CC1 lgoritmo per decidere DDH (g, g x, g y, γ) Generazione ( (p, g 1, g 2, g 1x g 2y, g 1a g 2b ), (x,y,a,b ) ) (p, g 1, g 2, g 1x g 2y, g 1a g 2b ) Cramer-Shoup Lite: Sicurezza CC1! Prob[ (DH)=1]-Prob[ (rand)=1] <ε (assunzione DDH) D SK (c 1 ) c 1! Prob[ output DH DH] = Prob[ rompe CC1] D SK (c p ) c p! Prob[ output DH rand] < 1/2+ε b {0,1} (g y ) k, γ k, m b (g y ) x γ y, (g y ) a γ b (m 0,m 1 ) La dimostrazione è più complessa che nel caso di ElGamal! If b= then output DH else output rand 53 Cramer-Shoup Lite: Sicurezza CC1 Chiavi Cramer-Shoup! Prob[ (DH)=1]-Prob[ (rand)=1] <ε (assunzione DDH)! Prob[ output DH DH] = Prob[ rompe CC1]! Prob[ output DH rand] < 1/2+ε Quindi: x,y,a,b,a, Z p (p, g 1, g 2, h, c, d, H) p primo g 1 g 2 generatori di Z p * (comuni a tutti) H funzione hash Prob[ rompe CC1] = Prob[ output DH DH] Prob[ output DH rand] +ε 1/2+ε+ε 54 h = g 1x g 2 y c = g 1a g 2 b d = g 1 a g 2 55

15 Chiavi Cramer-Shoup x,y,a,b,a, Zp Cifratura Cramer-Shoup utente chiave pubblica (p, g1, g2, h=g1xg2y,c=g1ag2b,d=g1a g2,h) p primo g1 g2 generatori di Zp* (comuni a tutti) h = g1xg2y c = g1ag2b d = g1a g2 H funzione hash utente g1, g2, h=g1xg2y,c=g1ag2b,d=g1a g2,h) k Zp computazioni Bob Sicurezza CC2 Generazione (PK,SK) chiave pubblica DSK(cp) b {0,1} Sia C = (u,v,w,e) If e ua+za vb+z then output invalid else output w/(uxuy) computazioni Cifratura di M per z H(g1k, g2k, M hk) C (g1k, g2k, M hk, (cdz)k)58 adaptive chosen-ciphertext attacks PK DSK(c1) (p, g1, g2, h=g1xg2y,c=g1ag2b,d=g1a g2,h) Decifratura di M per chiave pubblica (p, Cifratura di M per utente z H(g1k, g2k, M hk) C (g1k, g2k, M hk, (cdz)k) Decifratura Cramer-Shoup x,y,a,b,a, Zp C c1 cp (m0,m1) C*=EPK(mb) DSK(c1) DSK(cp) c 1 c* c p c* vince se b=. Il crittosistema è CC2 sicuro se ogni efficiente vince con probabilità <1/2+ε

16 Bibliografia Domande?! Cryptography and Network Security by W. Stallings (2010)! cap. 9 (Public-Key Cryptography and RS)! Cryptography: Theory and Practice (I ed.) by D.R. Stinson (1995)! cap 5 (The RS System and Factoring) 60 61