Optimal asimetrik şifreleme dolgusu - Optimal asymmetric encryption padding

İçinde kriptografi, Optimal Asimetrik Şifreleme Dolgusu (OAEP) bir dolgu şeması sıklıkla birlikte kullanılır RSA şifreleme. OAEP, Bellare ve Rogaway,^[1] ve daha sonra standartlaştırıldı PKCS # 1 v2 ve RFC 2437.

OAEP algoritması bir tür Feistel ağı bir çift kullanan rastgele oracle'lar G ve H'den önce düz metni işlemek için asimetrik şifreleme. Herhangi bir güvenli ile birleştirildiğinde trapdoor tek yönlü permütasyon ${ displaystyle f}$ bu işlem, rastgele oracle modeli birleşik bir şema oluşturmak için anlamsal olarak güvenli altında düz metin saldırısı seçildi (IND-CPA). Belirli trapdoor permütasyonlarıyla (ör. RSA) uygulandığında, OAEP'in de güvenli olduğu kanıtlanmıştır. seçilen şifreli metin saldırısı. OAEP, bir ya hep ya hiç dönüşümü.

OAEP aşağıdaki iki hedefi karşılar:

Bir rasgele unsuru dönüştürmek için kullanılabilecek bir rastgelelik öğesi ekleyin deterministik şifreleme şema (ör. geleneksel RSA ) içine olasılığa dayalı düzeni.
Bir rakibin şifresiz metnin herhangi bir bölümünü tersine çeviremeden kurtaramamasını sağlayarak şifreli metinlerin (veya diğer bilgi sızıntılarının) kısmen çözülmesini önleyin. trapdoor tek yönlü permütasyon ${ displaystyle f}$ .

OAEP'in orijinal versiyonu (Bellare / Rogaway, 1994) bir "düz metin farkındalığı "(iddia ettikleri, seçilen şifreli metin saldırısı ) rastgele oracle modelinde OAEP herhangi bir trapdoor permütasyonu ile kullanıldığında. Daha sonraki sonuçlar bu iddiayla çelişerek OAEP'in yalnızca IND-CCA1 güvenli. Bununla birlikte, orijinal şema rastgele oracle modeli olmak IND-CCA2 OAEP, RSA-OAEP durumunda olduğu gibi standart şifreleme üsleri kullanılarak RSA permütasyonu ile kullanıldığında güvenlidir.^[2]Herhangi bir trapdoor tek yönlü permütasyon ile çalışan geliştirilmiş bir şema (OAEP + olarak adlandırılır) tarafından Victor Shoup bu problemi çözmek için.^[3]Daha yeni çalışmalar göstermiştir ki, standart Model (yani, hash fonksiyonları rastgele oracle'lar olarak modellenmediğinde), RSA-OAEP'in IND-CCA2 güvenliğini, varsayılan sertlik altında kanıtlamak imkansızdır. RSA sorunu.^[4]^[5]

Algoritma

OAEP bir Feistel ağı

Diyagramda,

n RSA modülündeki bit sayısıdır.
k₀ ve k₁ protokol tarafından sabitlenmiş tam sayılardır.
m düz metin mesajıdır, bir (n − k₀ − k₁ ) bit dizesi
G ve H vardır rastgele oracle'lar gibi kriptografik hash fonksiyonları.
⊕ bir xor işlemidir.

Kodlamak için

mesajlar ile doldurulur k₁ sıfır olmak n − k₀ bit uzunluğunda.
r rastgele oluşturulmuş k₀-bit dizge
G genişletir k₀ bitleri r -e n − k₀ bitler.
X = m00...0 ⊕ G(r)
H azaltır n − k₀ bitleri X -e k₀ bitler.
Y = r ⊕ H(X)
Çıktı X || Y nerede X diyagramda en soldaki blok olarak gösterilir ve Y en sağdaki blok olarak.

RSA'da kullanım: Kodlanmış mesaj daha sonra RSA ile şifrelenebilir. RSA'nın deterministik özelliği artık OAEP kodlaması kullanılarak engellenmektedir.

Çözmek için

rastgele dizeyi kurtar r = Y ⊕ H(X)
mesajı olarak kurtar m00...0 = X ⊕ G(r)

Güvenlik

"Ya hep ya hiç "güvenlik, kurtarmak için m, tüm kurtarılmalı X ve tamamı Y; X kurtarmak için gerekli r itibaren Y, ve r kurtarmak için gerekli m itibaren X. Değiştirilmiş herhangi bir şifreleme hash biti sonucu tamamen değiştirdiğinden, Xve tamamı Y her ikisi de tamamen kurtarılmalıdır.

Uygulama

PKCS # 1 standardında, rastgele oracle'lar G ve H Özdeş. PKCS # 1 standardı ayrıca rastgele oracle'ların MGF1 uygun bir hash işlevi ile.^[6]

Ayrıca bakınız

Anahtar kapsülleme

Referanslar

^ M. Bellare, P. Rogaway. Optimal Asimetrik Şifreleme - RSA ile nasıl şifrelenir. Kriptolojideki Gelişmelerde genişletilmiş özet - Eurocrypt '94 Tutanakları, Bilgisayar Bilimlerinde Ders Notları Cilt 950, A. De Santis ed, Springer-Verlag, 1995. tam sürüm (pdf)
^ Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval ve Jacques Stern. RSA - OAEP, RSA varsayımı altında güvenlidir. J. Kilian, ed., Advances in Cryptology - KRİPTO 2001, cilt. Bilgisayar Bilimlerinde Ders Notları 2139, SpringerVerlag, 2001. tam sürüm (pdf)
^ Victor Shoup. OAEP Yeniden Değerlendirildi. IBM Zurich Research Lab, Saumerstr. 4, 8803 Ruschlikon, İsviçre. 18 Eylül 2001. tam sürüm (pdf)
^ P. Paillier ve J. Villar, Faktoring Tabanlı Şifrelemede Seçilmiş Şifreli Metin Güvenliğine Karşı Tek Yönlü İşlem Yapma, Kriptolojideki Gelişmeler - Asiakript 2006.
^ D. Brown, RSA-OAEP'i Güvenli Hale Getiren Neler Var?, IACR ePrint 2006/233.
^ Brown, Daniel R.L. (2006). "RSA-OAEP'i Güvenli Hale Getiren Neler?" (PDF). IACR Cryptology ePrint Arşivi. Alındı 2019-04-03.

[1] M. Bellare, P. Rogaway. Optimal Asimetrik Şifreleme - RSA ile nasıl şifrelenir. Kriptolojideki Gelişmelerde genişletilmiş özet - Eurocrypt '94 Tutanakları, Bilgisayar Bilimlerinde Ders Notları Cilt 950, A. De Santis ed, Springer-Verlag, 1995. tam sürüm (pdf)

[2] Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval ve Jacques Stern. RSA - OAEP, RSA varsayımı altında güvenlidir. J. Kilian, ed., Advances in Cryptology - KRİPTO 2001, cilt. Bilgisayar Bilimlerinde Ders Notları 2139, SpringerVerlag, 2001. tam sürüm (pdf)

[3] Victor Shoup. OAEP Yeniden Değerlendirildi. IBM Zurich Research Lab, Saumerstr. 4, 8803 Ruschlikon, İsviçre. 18 Eylül 2001. tam sürüm (pdf)

[4] P. Paillier ve J. Villar, Faktoring Tabanlı Şifrelemede Seçilmiş Şifreli Metin Güvenliğine Karşı Tek Yönlü İşlem Yapma, Kriptolojideki Gelişmeler - Asiakript 2006.

[5] D. Brown, RSA-OAEP'i Güvenli Hale Getiren Neler Var?, IACR ePrint 2006/233.

[6] Brown, Daniel R.L. (2006). "RSA-OAEP'i Güvenli Hale Getiren Neler?" (PDF). IACR Cryptology ePrint Arşivi. Alındı 2019-04-03.

[1]

[2]

[3]

[4]

[5]

[6]