Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Зашифрованный текст, созданный с помощью гибридной криптосистемы, имеет два компонента: механизм инкапсуляции ключа (key encapsulation mechanism — КЕМ) и механизм инкапсуляции данных (data encapsulation mechanism — DEM). Зашифрованную пару KEM-DEM можно записать в следующем виде.
КЕМ || DEM = ?**ут (К) || ?%™ {К) (Сообщение).
Получив эту пару, адресат должен расшифровать блок КЕМ, используя свой закрытый ключ, и получить эфемерный симметричный ключ К, а затем применить его для расшифровки блока DEM и извлечь сообщение.
Если блок КЕМ является результатом применения асимметричной схемы шифрования, стойкой к атаке IND-CCA2, то стойкость блока DEM к атаке IND является естественным следствием случайности эфемерного ключа. Нетрудно понять, что гибридная криптосистема, использующая структуру KEM-DEM, может быть стойкой к атаке IND-CCA2. Действительно, гибридные схемы, имеющие структуру KEM-DEM, должны рассматриваться как естественное решение задачи эффективного шифрования с открытым ключом, стойкого к атаке IND-CCA2.
Гибридные системы считаются наиболее естественными, поскольку они могут шифровать сообщения любой длины при небольших накладных расходах. В приложениях длина данных может изменяться, и в большинстве случаев она превышает длину фиксированного параметра безопасности криптосистем с открытым ключом, например, число п в схеме RSA-OAEP или число log2(#G) в схеме Крамера-Шоупа. Поскольку криптосистемы с открытым ключом имеют более высокие накладные расходы, чем симметричные криптосистемы, вполне естественно, что доказуемо стойкие схемы шифрования с открытым ключом, такие как схемы RSA-OAEP и Крамера-Шоупа, используются в гибридных системах только для создания блоков КЕМ, а шифрование данных осуществляется в виде серии блоков DEM.
К гибридным схемам шифрования относятся схемы KEM-DEM, предложенные Шоупом [271], схема FO, изобретенная Фуджисаки и Окамото [113], схема
594
Часть V. Методы формального доказательства стойкости
HD-RSA, разработанная Пойнтшевалем (Pointcheval) [232], схема DHAES, спроектированная Абдаллой (Abdalla), Белларе и Роджуэем [4], вариант схемы Крамера-Шоупа, описанный Шоупом [269], а также схема REACT, созданная Окамото и Пойнтшевалем [223].
Схема Фуджисаки-Окамото имеет следующий вид.
М = КЕМ || DEM = Ща, тп)) || ?%™а) (т)
где G и Н — функции хэширования. В этой схеме результатом расшифровки блока КЕМ является пара о, Н(о, т). Получатель использует число а как начальное значение функции хэширования G для создания симметричного ключа G(a), а затем применяет его при расшифровке блока DEM. В заключение получатель может проверить правильность расшифровки, вычислив значение Н(с, тп) повторно. Итак, эта схема позволяет получателю определить, был ли зашифрованный текст модифицирован или поврежден в ходе сеанса связи. Распознавание изменений зашифрованного текста обеспечивает стойкость криптосистемы против активных атак.
Схема HD-RSA, разработанная Пойнтшевалем, основана на неразрешимости зависимой задачи RSA (dependent RSA) [233]: по заданному тексту А = = re(mod N), зашифрованному схемой RSA, найти число В = (г + l)2/(modAr). Совершенно очевидно, что эта проблема является трудноразрешимой, если невозможно найти корень числа А е-й степени по составному модулю А^ (задача RSA). Следовательно, блоком КЕМ в схеме HD-RSA является просто число А = = re(moo\N), где г € "L*N — случайное число. Получатель, знающий модель А^, может определить число г по значению А и найти число В. В качестве симметричного ключа при шифровании блока DEM эта схема, как и гибридные схемы Шоупа и Фуджисаки-Окамото, использует число К — G(B).
В гибридной схеме DHAES, изобретенной Абдаллой, Белларе и Роджуэем [4], блок DEM сопровождается кодом аутентификации сообщения (MAC), предназначенным для проверки целостности данных. Симметричные ключи (один — для блока DEM, а второй — для блока MAC) создаются с помощью функции хэширования H(gu,guv), где ди — блок КЕМ, ад" - открытый ключ получателя. Совершенно очевидно, что владелец открытого ключа gv может применить закрытый ключ v к КЕМ-блоку ди, чтобы получить число guv и восстановить число H(gu,guv), используемое при создании двух симметричных ключей. Без закрытого ключа v задача расшифровки эквивалентна решению вычислительной задачи Диффи-Хеллмана (определение 8.1). Задача вычисления числа Н(ди,диь) по заданным аргументам ди и guv называется задачей хэширования Диффи-Хеллмана (Hash Diffie-Hellman problem — HDH).
Интересно, что если в схеме DHAES число guv непосредственно используется I в качестве криптографического множителя (как в схемах Эль-Гамаля и Крамера-Шоупа), то семантическая стойкость основывается на следующей задаче: определить, является ли кортеж (g,gu,gv,guv(= е/гпъ)) четверкой Диффи-Хеллмана.
Глава 15. Доказуемо стойкие и эффективные криптосистемы.
595
Применение в этой гибридной схеме функции хэширования затрудняет доступ к четвертому элементу кортежа, и задача принятия решений становится легче, чем вычислительная задача. Напомним, что предположение о неразрешимости задачи, обеспечивающей стойкость криптосистемы, должно быть как можно более слабым. Читатели могут самостоятельно доказать, что по сложности задача HDH лежит между задачей CDH (определение 8.1 в разделе 8.4) и задачей DDH (определение 13.1 в разделе 13.3.4.3). Следует отметить, что "ослабление предположения" задачи HDH по сравнению с задачей DDH не является безусловным: для этого необходимо дополнительно ограничить функцию хэширования (что не было сделано для краткости изложения). К сожалению, неявное ограничение на функцию хэширования очень напоминает предположение о свойствах случайного оракула.
