Изменения

Устойчивое к утечкам шифрование Эль-Гамаля

108 байтов добавлено, 3 года назад
Полученные результаты.
Попробуем первую попытку (безуспешную) сделать шифрование Эль-Гамаля устойчивым к утечке. К концу мы сделали описание состояния и разделили его на две части Dec1<sup>*</sup> и Dec2<sup>*</sup>. Секретный ключ аддитивно поделен на x = σ<sub>0</sub> + σ<sup>'</sup><sub>0</sub> устанавливая σ<sub>0</sub> = x − r<sub>0</sub> и σ<sup>'</sup><sub>0</sub>= x + r<sub>0</sub>. Дешифровка работает следующим образом :Dec1<sup>*</sup> вычисляет σ<sub>i</sub> = σ<sub>i-1</sub>+ r<sub>i</sub> mod p, K<sup>'</sup>=C<sup>'σ<sub>i</sub></sup> и проходит K<sup>'</sup> к следующей части. Dec2<sup>*</sup> вычисляет σ<sub>i</sub> = σ<sub>i-1</sub>- r<sub>i</sub> mod p, а затем K=K<sup>'</sup>*C<sup>'σ<sub>i</sub></sup>. Отметим, что информация о состоянии - случайно перераспределяемый субъект к σ<sub>i</sub> + σ<sup>'</sup><sub>i</sub>=x. Однако эта схема неустойчива к утечкам так как атакующий может адаптивно изучить определенное количество битов из σ<sub>i</sub>=x+R<sub>i</sub> и σ<sup>'</sup><sub>i</sub>=x-R<sub>i</sub>(где R<sub>i</sub><math>\sum_{i}^{j=0}\cdot r_{j}</math>) которая позволяет ему полностью реконструировать секретный ключ x.
===Полученные результаты.===
Предположительно устойчивое к утечкам шифрование Эль-Гамаля. Мы предполагаем метод практической рандомизации для создание PKE схеме Эль-Гамаля, устойчивой к утечкам под выбранными шифротекстовыми атакам в вышеобозначенном смысле. В контексте устойчивости к утечкам этот метод был уже предложен. Центральная идея использовать мультипликативного обмена секретами для обмена секртеными ключами x т.е., x обменива.т как <math>\sigma_i = xR_i^-1\mod p</math> и <math>\sigma_i = R_i\: mod \: p</math> для случайных <math>R_i\in Z_p^*</math>. Точнее, первая часть дешифровки высчитывает <math>\sigma_i = \sigma_{i-1}r_i^{-1}\: mod \: p</math> и <math>K'=C^{\sigma_i}</math>. Вторая часть считает<math>\sigma'_i = \sigma'_{i-1}r_i\: mod \: p</math>, а затем <math>K=K'^{\sigma'_i}</math>. Опять же заметим, что информации о состоянии случайно перераспределяется объектами к <math>\sigma_i\cdot \sigma'_i=x</math>.Мы отмечаем что наш метод не модифицирует алгоритм шифрования Эль-Гамаля, только лишь модифицирует способ которым шифротекст зашифрован.В частности, публичные ключи и шифротексты такие же как в шифровании Эль-Гамаля и потому наши методы предлагают привлекательный путь обновления существующих систем Эль-Гамаля с алгоритмом защиты против атак по сторонним каналам. К несчастью мы не можем доказать, что метод изложенный выше устойчив к утечкам, и потому мы можем лишь предполагать, что схема защищена.
Доказано устойчивое к утечкам шифрование Эль-Гамаля. Мы также предлагаем применение мультипликативного обмена секретами для схемы шифрования Эль-Гамаля над билинейными группами. Наша основная теорема (Теорема 1) утверждает, что схема устойчива к утечкам против атак CCA1 в модели generic group.Обсервация Наблюдение ключа состоит в том, что секретный ключ - элемент группы X и дешифровка проводит парные операции с элементами группы X как с одной фиксированной базойоснованием. Это позволяет нам мультипликативно обмениваться секретными ключами как элементами группы, то есть <math>X=\sigma_{i}\sigma_i'\in \mathrm{G}</math>. Интуитивно мы используем тот факт, что в модели generic group некоторые бит репрезентующие <math>\sigma_i</math> и <math>\sigma'_i</math> выглядят случайными и потому бесполезны для утечек противника. Формально мы доказываем это, однакоОднако, оказывается, что формально доказать это внезапно утверждение на удивление сложно.
Мы также отмечаем доказательства того, что модель generic group имеет свои очевидные слабости. В частности в связи с атаками по сторонним каналам модель generic group может "абстрактно отдать" слишком важную информацию и противник получат реальную имплементацию схемы. Это должно быть принято во внимание когда описывается наше формальное утверждение защиты. Однако наш результат кажется является первой PKE схемой, которая устойчива к утечкой. К тому же, схема весьма практична. Другой возможной интерпретацией нашего результата является то, что защита экспоненциальной функции против атак по сторонним каналам мультипликативной техникой раздачи секретов лучше, чем аддитивной техникой.
Устойчивая к утечкам эскпонентация и операция спаривания. Говоря о наших вышеобозначенных методах защиты Эль-Гамаля против атак по сторонним каналам, можно отметить, что возможно сделать дискретную экспонентацию и операцию спаривания устойчивой к утечкам. Пусть <math>G</math> будет группой порядка <math>p </math>, и <math>g </math> будет генератором <math>G</math>. В дискретной эскпонентации требуется взять публичные элементы группы <math>Y_{i}</math> чтобы обнаружить фиксированную секретную силу степень <math>x </math> (которая утекает только через <math>g^{x}</math>). Мы предлагаем раздавать x как <math>x={x}'\times{x}'' \: mod </math> <math>\: p</math> и подсчитывать значения <math>K_i=Y_i^x</math> за два шага итерации <math>{K_i}{'}=Y_i^{x'}</math> и <math> K_i=({K_i}^{'})^}{x}''}</math>. После таких вычислений <math>{x}^'</math> и <math>{x}^'' </math> получают случайно cозданный созданный субъект<math> x={x}'*{x}''\: mod\: p</math>
=== Сопутствующая работа===
Editors
105
правок