Crittografia a chiave pubblica

Transcript

1 Crittografia a chiave pubblica Barbara Masucci Dipartimento di Informatica Università di Salerno bmasucci@unisa.it Sicurezza CCA In un attacco CCA, è capace di ottenere la decifratura di cifrati (usando pk) di sua scelta Equivale all accesso ad un oracolo di decifratura Dec sk () Su input un cifrato c (query), l oracolo restituisce Dec sk (c) può accedere all oracolo quante volte vuole 1 Sicurezza CCA: Scenario 1 Alice fa login alla sua banca Invia c=enc pk-banca (pwd) La banca controlla se pwd corrisponde con quella memorizzata Se non è corretta, risponde Pwd scorretta monta un attacco CCA Invia un cifrato modificato c alla banca e vede che risposta ottiene In alcuni casi queste info possono consentirgli di determinare la pwd di Alice 2 1

2 Sicurezza CCA: Scenario 2 Alice manda una cifrata a Bob Invia c=enc pk-bob (m) monta un attacco CCA Invia, a suo nome, una cifrata modificata c a Bob Bob potrebbe rispondergli, quotando la decifratura m di c Bob agisce come un oracolo di decifratura per 3 Sicurezza CCA: Scenario 3 Bob fa un asta pubblica su un bene Alice invia la sua offerta c=enc pk-bob (m) Se lo schema di cifratura usato è malleabile (data la cifratura c di un messaggio ignoto m, è possibile calcolare la cifratura c di un messaggio m legato ad m), può vincere l asta Pur non conoscendo m, calcola c =Enc pk-bob (2m) e la invia a Bob 4 Esperimento PubK,Π cca (n) (pk,sk)ßgen(1 n ) Su input pk ed accesso all oracolo Dec sk (), dà in output due messaggi m 0,m 1 di ugual lunghezza Sia b un bit scelto a caso e cßenc pk (m b ) continua ad accedere a Dec sk (), a cui può fare qualsiasi query tranne c Su input (pk,c), dà in output un bit b L output dell esperimento è 1 se b =b 0 altrimenti 5 2

3 Sicurezza CCA ha successo se l output di PubK,Π cca (n) è 1 -determina quale dei due messaggi è stato cifrato Il vantaggio di è definito come Adv,Π PubK,cca (n) = Pr[PubK,Π cca (n) = 1]-1/2 6 Sicurezza CCA Lo schema Π=(Gen, Enc, Dec) è CCA-sicuro se per ogni avversario polinomiale esiste una funzione trascurabile negl tale che Adv,Π PubK,cca (n) negl(n) 7 Sicurezza CCA e cifrature multiple Se Π=(Gen, Enc, Dec) è CCA-sicuro allora fornisce cifrature multiple indistinguibili (rispetto a un attacco CCA) 8 3

4 Sicurezza CCA e non malleabilità Se Π=(Gen, Enc, Dec) è non malleabile allora è CCA-sicuro 9 Cifrari ibridi Utilizzano cifratura a chiave pubblica e cifratura simmetrica Sfruttano i vantaggi di entrambe le tecnologie Chiavi private mai trasmesse in chiaro Efficienza 10 chiave privata sk Cifrari ibridi file pubblico utente chiave pubblica Alice pk Alice canale insicuro C 1 C 2 Cifratura di m per Alice k genera chiave sessione C 1 CIFRA (pk, k) C 2 E (k, m) Bob 11 4

5 Cifrari ibridi chiave privata sk file pubblico utente chiave pubblica Alice pk Decifratura di C 1,C 2 k DECIFRA (sk, C 1 ) m D (k, C 2 ) Alice C 1,C 2 12 Key Encapsulation Mechanism (KEM) E una tripla di algoritmi ppt (Gen, Encaps, Decaps): Gen: algoritmo di generazione delle chiavi (pk,sk) ß Gen (1 n ) Encaps: algoritmo di incapsulamento (c,k) ß Encaps pk (1 n ), k {0,1} l(n) (con l(n) lungh. chiave) Decaps: algoritmo di decapsulamento (deterministico) k ß Decaps sk (c) Correttezza: Se (c,k) ß Encaps pk (1 n ), allora Decaps sk (c) = k 13 Cifrari ibridi con KEM chiave privata sk file pubblico utente chiave pubblica Alice pk Alice canale insicuro C 1 C 2 Cifratura di m per Alice (C 1, k) ENCAPS (pk, 1 n ) C 2 E (k, m) Bob 14 5

6 Cifrari ibridi con KEM chiave privata sk file pubblico utente chiave pubblica Alice pk Decifratura di C 1,C 2 k DECAPS (sk, C 1 ) m D (k, C 2 ) Alice C 1,C 2 15 Cifrari ibridi con KEM: Sicurezza Dipende dalle proprietà delle componenti usate KEM Cifratura simmetrica Vedremo varie definizioni per un KEM Sicurezza rispetto a Chosen Plaintext Attack (CPA) Sicurezza rispetto a Chosen Ciphertext Attack (CCA) 16 KEM: Sicurezza CPA Siano Π=(Gen, Encaps, Decaps) uno schema KEM un avversario passivo che intercetta un singolo testo cifrato ottenuto con Encaps Definiamo l esperimento KEM,Π cpa (n) 17 6

7 Esperimento KEM,Π cpa (n) (pk,sk)ßgen(1 n ) (c,k)ßencaps pk (1 n ), k {0,1} n Sia b un bit scelto a caso Se b=0, sia k =k Se b=1, sia k {0,1} n scelta a caso uniformemente Ø Su input (pk,c, k ), dà in output un bit b Ø L output dell esperimento è Ø 1 se b =b Ø 0 altrimenti 18 KEM: Sicurezza CPA ha successo se l output di KEM,Π cpa (n) è 1 -determina se k è la chiave reale o una chiave casuale Il vantaggio di è definito come Adv,Π KEM,cpa (n) = Pr[KEM,Π cpa (n) = 1]-1/2 19 KEM: Sicurezza CPA Lo schema Π=(Gen, Encaps, Decaps) è CPA-sicuro se per ogni avversario polinomiale esiste una funzione trascurabile negl tale che Adv,Π KEM,cpa (n) negl(n) 20 7

8 Cifrari ibridi con KEM: Sicurezza Teorema Se Π è uno schema KEM CPA-sicuro e Π è uno schema di cifratura simmetrico EAV-sicuro allora lo schema ibrido risultante Π hy è CPA-sicuro 21 Dato che Π=(Gen, Encaps, Decaps) è uno schema KEM CPA-sicuro, le due distribuzioni (pk, Encaps (1) pk(1 n ), Encaps (2) pk(1 n )) e (pk, Encaps (1) pk(1 n ), k ) sono indistinguibili 22 Dato che Π =(Gen,Enc,Dec ) è uno schema di cifratura simmetrico EAV-sicuro, le due distribuzioni Enc k (m 0 ) Enc k (m 1 ) sono indistinguibili 23 8

9 Mostriamo che lo schema ibrido Π hy è EAV-sicuro cioè che le due distribuzioni (pk, Encaps (1) pk (1n ), Enc k (m 0 )) e (pk, Encaps (1) pk (1n ), Enc k (m 1 )) sono indistinguibili Di conseguenza, Π hy è anche CPA-sicuro 24 La prova che le due distribuzioni (pk, Encaps (1) pk(1 n ), Enc k (m 0 )) e (pk, Encaps (1) pk(1 n ), Enc k (m 1 )) sono indistinguibili funziona in tre passi, usando due distribuzioni intermedie 25 Passo 1: Mostrare che le due distribuzioni (pk, Encaps (1) pk (1n ), Enc k (m 0 )) (pk, Encaps (1) pk (1n ), Enc k (m 0 )) sono indistinguibili (k output di Encaps (2) pk (1n ), k scelta a caso uniformemente) (segue dal fatto che Π è CPA-sicuro) 26 9

10 Passo 2: Mostrare che le due distribuzioni (pk, Encaps (1) pk (1n ), Enc k (m 0 )) (pk, Encaps (1) pk (1n ), Enc k (m 1 )) sono indistinguibili (k scelta a caso uniformemente) (segue dal fatto che Π è EAV-sicuro) 27 Passo 3: Mostrare che le due distribuzioni (pk, Encaps (1) pk(1 n ), Enc k (m 1 )) (pk, Encaps (1) pk(1 n ), Enc k (m 1 )) sono indistinguibili (k output di Encaps (2) pk(1 n ), k scelta a caso uniformemente) (segue dal fatto che Π è CPA-sicuro) 28 Per transitività, le due distribuzioni (pk, Encaps (1) pk (1n ), Enc k (m 0 )) e (pk, Encaps (1) pk (1n ), Enc k (m 1 )) sono indistinguibili Π hy è EAV-sicuro e quindi CPA-sicuro 29 10

11 Cifrari ibridi con KEM: Sicurezza Indipendentemente dalle proprietà di sicurezza dello schema KEM, se Π è uno schema di cifratura simmetrico non CPA-sicuro allora lo schema ibrido risultante non è CPA-sicuro 30 KEM: Sicurezza CCA In un attacco CCA, è capace di ottenere il decapsulamento di cifrati di sua scelta Equivale all accesso ad un oracolo di decapsulamento Decaps sk () Su input un cifrato c (query), l oracolo restituisce Decaps sk (c) può accedere all oracolo quante volte vuole 31 Esperimento KEM,Π cca (n) (pk,sk)ßgen(1 n ) (c,k)ßencaps pk (1 n ), k {0,1} n Sia b un bit scelto a caso Se b=0, sia k =k Se b=1, sia k {0,1} n scelta a caso uniformemente Su input (pk,c, k ) ed accesso all oracolo Decaps sk () (a cui può fare qualsiasi query, tranne c), dà in output un bit b L output dell esperimento è 1 se b =b 0 altrimenti 32 11

12 KEM: Sicurezza CCA ha successo se l output di KEM,Π cca (n) è 1 -determina se k è la chiave reale o una chiave casuale Il vantaggio di è definito come Adv,Π KEM,cca (n) = Pr[KEM,Π cca (n) = 1]-1/2 33 KEM: Sicurezza CCA Lo schema Π=(Gen, Encaps, Decaps) è CCA-sicuro se per ogni avversario polinomiale esiste una funzione trascurabile negl tale che Adv,Π KEM,cca (n) negl(n) 34 Cifrari ibridi con KEM: Sicurezza Teorema Se Π è uno schema KEM CCA-sicuro e Π è uno schema di cifratura simmetrico CCA-sicuro allora lo schema ibrido risultante è CCA-sicuro 35 12

13 Bibliografia Introduction to Modern Cryptography by J. Katz e Y. Lindell (2nd ed.) cap. 11 (11.2.3, 11.3, , ) 36 13