Interested Article - Оптимальное асимметричное шифрование с дополнением

OAEP ( англ. O ptimal A symmetric E ncryption P adding , Оптимальное асимметричное шифрование с дополнением) — схема дополнения , обычно используемая совместно с какой-либо односторонней функцией с потайным входом (например RSA или функции Рабина ) для повышения криптостойкости последней. OAEP предложено и , а его применение для RSA впоследствии стандартизировано в PKCS#1 и .

История

Оригинальная версия OAEP, предложенная Белларе и Рогавэем в 1994 году заявлялась как устойчивая к атакам на основе подобранного шифротекста в сочетании с любой односторонней функции с потайным входом . Дальнейшие исследования показали, что такая схема обладает устойчивостью только к атакам на основе неадаптивно подобранного шифротекста . Несмотря на это, было доказано, что в модели случайных оракулов при использовании стандартного RSA с шифрующей экспонентой , схема обладает так же устойчивостью к атакам на основе адаптивно подобранного шифротекста . В более новых работах было доказано, что в стандартной модели (когда хеш-функции не моделируются как случайные оракулы) невозможно доказать устойчивость к атакам на основе адаптивного шифротекста в случае использования RSA .

Алгоритм OAEP

Классическая схема OAEP представляет собой двухъячеечную сеть Фейстеля , где в каждой ячейке данные преобразуются с помощью криптографической хеш-функции . На вход сеть получает сообщение с дописанными к нему проверяющими нулями и ключ — случайную строку .

В схеме используются следующие обозначения:

$n$ — число бит в подготавливаемом для асимметричного шифрования блоке.
$k_{0}$ и $k_{1}$ — фиксированные протоколом целые числа.
$m$ — открытый текст сообщения, $n-k_{0}-k_{1}$ -битная строка.
$G$ и $H$ — криптографические хеш-функции , заданные протоколом.

Шифрование

Сообщению $m$ дописывается $k_{1}$ нулей, благодаря чему оно достигает $n-k_{0}$ бит в длину.
Генерируется случайная $k_{0}$ -битная строка $r$ .
$G$ расширяет $k_{0}$ бит строки $r$ до $n-k_{0}$ бит.
$X=m00..0\bigoplus G(r)$ .
$H$ ужимает $n-k_{0}$ бит $X$ до $k_{0}$ бит.
$Y=r\bigoplus H(X)$ .
Зашифрованный текст $X||Y$ .

Расшифрование

Восстанавливается случайная строка $r=Y\bigoplus H(X)$
Восстанавливается исходное сообщение как $m00..0=X\bigoplus G(r)$
Последние $k_{1}$ символов расшифрованного сообщения проверяются на равенство нулю. Если имеются ненулевые символы, то сообщение подделано злоумышленником.

Применение

Алгоритм OAEP применяется для предварительной обработки сообщения перед использованием RSA . Сначала сообщение дополняется до фиксированной длины с помощью OAEP, затем шифруется с помощью RSA. Совместно, такая схема шифрования получила название RSA-OAEP и является частью действующего стандарта шифрования с открытым ключом ( ). Так же Виктором Бойко было доказано, что функция вида $g^{G,H}(x)=f(OAEP^{G,H}(x,r))$ в модели случайных оракулов является .

Модификации

В силу таких недостатков, как невозможность доказать криптографическую стойкость к атакам на основе подобранного шифротекста , а также низкая скорость работы схемы , впоследствии были предложены модификации на основе OAEP, которые устраняют данные недостатки.

Алгоритм OAEP+

предложил свой вариант схемы дополнения на основе OAEP (называемый OAEP+), который является устойчивым к атакам с адаптивно подобранным шифротекстом в случае комбинирования с любой односторонней функцией с потайным входом .

$n$ — число бит в подготавливаемом для асимметричного шифрования блоке.
$k_{0}$ и $k_{1}$ — фиксированные протоколом целые числа.
$m$ открытый текст сообщения, $n-k_{0}-k_{1}$ -битная строка.
$G$ , $H$ и $H'$ — криптографические хеш-функции , заданные протоколом.

Шифрование

Генерируется случайная $k_{0}$ -битная строка $r$ .
$H'$ преобразует $r||m$ в строку длины $k_{1}$ .
$G$ преобразует $r$ в строку длины $n-k_{0}-k_{1}$ .
Составляется левая часть сообщения $X=(G(r)\bigoplus m)||H'(r||m)$ .
$H$ преобразует $X$ в строку длины $k_{0}$ .
Составляется правая часть сообщения $Y=H(X)\bigoplus r$ .
Зашифрованный текст $X||Y$ .

Расшифрование

Восстанавливается случайная строка $r=Y\bigoplus H(X)$ .
$X$ разбивается на две части $X_{1}$ и $X_{2}$ , размерами $n-k_{1}-k_{0}$ и $k_{1}$ бит соответственно.
Восстанавливается исходное сообщение как $m=G(r)\bigoplus X_{1}$ .
Если не выполняется $H'(r||m)=X_{2}$ , то сообщение подделано.

Алгоритм SAEP/SAEP+

Дэн Боне предложил две упрощённые реализации OAEP, названные SAEP и SAEP+ соответственно. Основная идея упрощения шифрования заключается в отсутствии последнего шага — сообщение «склеивалось» с изначально сгенерированной случайной строкой $r$ . Таким образом, схемы состоят только из одной ячейки Фейстеля , благодаря чему достигается прирост к скорости работы . Отличием алгоритмов друг от друга выражается в записи проверяющих битов. В случае SAEP это нули, в то время как для SAEP+ — это хеш от $m||r$ (соответственно как у OAEP и OAEP+) . Недостатком алгоритмов является сильное уменьшение длины сообщения. Надёжность схем в случае использования функции Рабина и RSA была доказана только при следующем ограничении на длину передаваемого текста: $m\leqslant n/2+k_{0}$ для SAEP+ и дополнительно $m\leqslant n/4$ для SAEP . Стоит отметить, что при примерно одинаковой скорости работы, SAEP+ имеет меньше ограничений на длину сообщения чем SAEP , благодаря чему признан более предпочтительным .

В схеме используются следующие обозначения:

$n$ — число бит в блоке RSA или криптосистемы Рабина .
$k_{0}$ и $k_{1}$ — фиксированные протоколом целые числа.
$m$ открытый текст сообщения, $n-k_{0}-k_{1}$ -битная строка.
$G$ и $H$ — криптографические хеш-функции , заданные протоколом.

Шифрование SAEP+

Генерируется случайная $k_{0}$ -битная строка $r$ .
$G$ преобразует $m||r$ в строку длины $k_{1}$ .
$H$ преобразует $r$ в строку длины $n-k_{0}$ .
Вычисляется $X=(m||G(m||r))\bigoplus H(r)$ .
Зашифрованный текст $X||r$ .

Дешифрование SAEP+

Вычисляется $X_{1}||X_{2}=X\bigoplus H(r)$ , где $X_{1}$ и $X_{2}$ — строки размерами $n-k_{0}-k_{1}$ и $k_{0}$ соответственно.
Проверяется равенство $X_{2}=G(X_{1}||r)$ . Если равенство выполняется, то исходное сообщение $X_{1}$ , если нет — то сообщение подделано злоумышленником.

См. также

RSA-KEM

Примечания

↑ , p. 1.
↑ , p. 1.
, p. 1.
↑ , p. 1.
↑ , p. 277.
, p. 1.
, p. 275.
↑ , p. 290.

Литература

M. Bellare, P. Rogaway. (англ.) . — Springer Berlin Heidelberg, 1995. — Vol. 950. — P. 92—111. — ISBN 978-3-540-60176-0 . — ISSN . — doi : .
Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval, and Jacques Stern. (англ.) . — Springer Berlin Heidelberg, 2001. — Vol. 2139. — P. 260—274. — ISBN 978-3-540-42456-7 . — ISSN . — doi : .
P. Paillier and J. Villar. (англ.) . — Springer Berlin Heidelberg, 2006. — Vol. 4284. — P. 252—266. — ISBN 978-3-540-49475-1 . — ISSN . — doi : .
Peter Schartner. (англ.) . — 2001. — ISBN 978-1-4503-0882-3 . — doi : .
Victor Shoup. (англ.) . — Springer Berlin Heidelberg, 2001. — Vol. 2139. — P. 239—259. — ISBN 978-3-540-42456-7 . — ISSN . — doi : .
D. Boneh. (англ.) . — Springer Berlin Heidelberg, 2001. — Vol. 2139. — P. 275—291. — ISBN 978-3-540-42456-7 . — ISSN . — doi : .
Victor Boyko. (англ.) . — Springer Berlin Heidelberg, 1999. — Vol. 1666. — P. 503—518. — ISBN 978-3-540-66347-8 . — ISSN . — doi : .