- Prelegerea 7 - Securitate semantic...
Transcript of - Prelegerea 7 - Securitate semantic...
riptografie si Securitate
- Prelegerea 7 -Securitate semantica
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematica si InformaticaUniversitatea din Bucuresti
Cuprins
1. Securitate - interceptare simpla
2. Securitate - interceptare multipla
Criptografie si Securitate 2/24 ,
Securitate semantica - interceptare simpla
I Reamintim: (Enc ,Dec) peste spatiul (K,M, C) este perfectsigura daca∀m0,m1 ∈M cu |m0| = |m1| are loc egalitatea
{Enck(m0)} = {Enck(m1)}
(distributiile sunt identice)
pentru k ←R K;
I Incercam o relaxare:∀m0,m1 ∈M cu |m0| = |m1| are loc
{Enck(m0)} ≈ {Enck(m1)}
(distributiile sunt indistinctibile computational)
pentru k ←R K;Insa adversarul trebuie sa aleaga m0 si m1 explicit.
Criptografie si Securitate 3/24 ,
Securitate semantica - interceptare simpla
I Reamintim: (Enc ,Dec) peste spatiul (K,M, C) este perfectsigura daca∀m0,m1 ∈M cu |m0| = |m1| are loc egalitatea
{Enck(m0)} = {Enck(m1)}
(distributiile sunt identice)
pentru k ←R K;
I Incercam o relaxare:∀m0,m1 ∈M cu |m0| = |m1| are loc
{Enck(m0)} ≈ {Enck(m1)}
(distributiile sunt indistinctibile computational)
pentru k ←R K;Insa adversarul trebuie sa aleaga m0 si m1 explicit.
Criptografie si Securitate 3/24 ,
Securitate semantica - interceptare simpla
I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate Priv eav
A,π(n) unde π = (Enc ,Dec) este schemade criptare iar n este parametrul de securitate al schemei π
I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).
I Trebuie sa definim capabilitatile adversarului: ın contextulsistemelor de criptare fluide, el poate vedea un singur textcriptat cu o anume cheie, fiind un adversar pasiv care poaterula atacuri ın timp polinomial.
Criptografie si Securitate 4/24 ,
Securitate semantica - interceptare simpla
I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate Priv eav
A,π(n) unde π = (Enc ,Dec) este schemade criptare iar n este parametrul de securitate al schemei π
I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).
I Trebuie sa definim capabilitatile adversarului: ın contextulsistemelor de criptare fluide, el poate vedea un singur textcriptat cu o anume cheie, fiind un adversar pasiv care poaterula atacuri ın timp polinomial.
Criptografie si Securitate 4/24 ,
Securitate semantica - interceptare simpla
I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate Priv eav
A,π(n) unde π = (Enc ,Dec) este schemade criptare iar n este parametrul de securitate al schemei π
I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).
I Trebuie sa definim capabilitatile adversarului: ın contextulsistemelor de criptare fluide, el poate vedea un singur textcriptat cu o anume cheie, fiind un adversar pasiv care poaterula atacuri ın timp polinomial.
Criptografie si Securitate 4/24 ,
Experimentul Priv eavA,π(n)
Criptografie si Securitate 5/24 ,
Experimentul Priv eavA,π(n)
Criptografie si Securitate 6/24 ,
Experimentul Priv eavA,π(n)
Criptografie si Securitate 7/24 ,
Experimentul Priv eavA,π(n)
Criptografie si Securitate 8/24 ,
Experimentul Priv eavA,π(n)
I Output-ul experimentului este 1 daca b′ = b si 0 altfel. DacaPriv eav
A,π(n) = 1, spunem ca A a efectuat experimentul cusucces.
Criptografie si Securitate 9/24 ,
Experimentul Priv eavA,π(n)
I Output-ul experimentului este 1 daca b′ = b si 0 altfel. DacaPriv eav
A,π(n) = 1, spunem ca A a efectuat experimentul cusucces.
Criptografie si Securitate 9/24 ,
Securitate semantica - interceptare simpla
Definitie
O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui atacator pasiv daca pentru orice adversar A exista ofunctie neglijabila negl asa ıncat
Pr[Priv eavA,π(n) = 1] ≤ 1
2 + negl(n).
I Un adversar pasiv nu poate determina care text clar a fostcriptat cu o probabilitate semnificativ mai mare decat daca arfi ghicit (ın sens aleator, dat cu banul).
Criptografie si Securitate 10/24 ,
Securitate semantica - interceptare simpla
Definitie
O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui atacator pasiv daca pentru orice adversar A exista ofunctie neglijabila negl asa ıncat
Pr[Priv eavA,π(n) = 1] ≤ 1
2 + negl(n).
I Un adversar pasiv nu poate determina care text clar a fostcriptat cu o probabilitate semnificativ mai mare decat daca arfi ghicit (ın sens aleator, dat cu banul).
Criptografie si Securitate 10/24 ,
Securitate pentru interceptare multipla
I In definitia precedenta am considerat cazul unui adversar careprimeste un singur text criptat;
I In realitate, ın cadrul unei comunicatii se trimit mai multemesaje pe care adversarul le poate intercepta;
I Definim ce ınseamna o schema sigura chiar si ın acesteconditii.
Criptografie si Securitate 11/24 ,
Securitate pentru interceptare multipla
I In definitia precedenta am considerat cazul unui adversar careprimeste un singur text criptat;
I In realitate, ın cadrul unei comunicatii se trimit mai multemesaje pe care adversarul le poate intercepta;
I Definim ce ınseamna o schema sigura chiar si ın acesteconditii.
Criptografie si Securitate 11/24 ,
Securitate pentru interceptare multipla
I In definitia precedenta am considerat cazul unui adversar careprimeste un singur text criptat;
I In realitate, ın cadrul unei comunicatii se trimit mai multemesaje pe care adversarul le poate intercepta;
I Definim ce ınseamna o schema sigura chiar si ın acesteconditii.
Criptografie si Securitate 11/24 ,
Experimentul PrivmultA,π (n)
Criptografie si Securitate 12/24 ,
Experimentul PrivmultA,π (n)
Criptografie si Securitate 13/24 ,
Experimentul PrivmultA,π (n)
Criptografie si Securitate 14/24 ,
Experimentul PrivmultA,π (n)
Criptografie si Securitate 15/24 ,
Experimentul PrivmultA,π (n)
I Output-ul experimentului este 1 daca b′ = b si 0 altfel;
I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.
I Securitatea pentru interceptare simpla nu implica securitatepentru interceptare multipla!
Criptografie si Securitate 16/24 ,
Experimentul PrivmultA,π (n)
I Output-ul experimentului este 1 daca b′ = b si 0 altfel;
I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.
I Securitatea pentru interceptare simpla nu implica securitatepentru interceptare multipla!
Criptografie si Securitate 16/24 ,
Experimentul PrivmultA,π (n)
I Output-ul experimentului este 1 daca b′ = b si 0 altfel;
I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.
I Securitatea pentru interceptare simpla nu implica securitatepentru interceptare multipla!
Criptografie si Securitate 16/24 ,
Experimentul PrivmultA,π (n)
I Output-ul experimentului este 1 daca b′ = b si 0 altfel;
I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.
I Securitatea pentru interceptare simpla nu implica securitatepentru interceptare multipla!
Criptografie si Securitate 16/24 ,
Securitate pentru interceptare multipla
Definitie
O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui atacator pasiv daca pentru orice adversar A exista ofunctie neglijabila negl asa ıncat
Pr[PrivmultA,π (n) = 1] ≤ 1
2 + negl(n).
Teorema
O schema de criptare (Enc ,Dec) unde functia Enc estedeterminista nu are proprietatea de securitate la interceptaremultipla conform cu definitia de mai sus.
Criptografie si Securitate 17/24 ,
Securitate pentru interceptare multipla
Definitie
O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui atacator pasiv daca pentru orice adversar A exista ofunctie neglijabila negl asa ıncat
Pr[PrivmultA,π (n) = 1] ≤ 1
2 + negl(n).
Teorema
O schema de criptare (Enc ,Dec) unde functia Enc estedeterminista nu are proprietatea de securitate la interceptaremultipla conform cu definitia de mai sus.
Criptografie si Securitate 17/24 ,
Demonstratie
I Intuitiv, am vazut ca schema OTP este sigura doar cand ocheie este folosita o singura data;
I La sistemele fluide se ıntampla acelasi lucru;
I Vom considera un adversar A care ataca schema (ın sensulexperimentului Privmult
A,π (n)
Criptografie si Securitate 18/24 ,
Demonstratie
Criptografie si Securitate 19/24 ,
Demonstratie
Criptografie si Securitate 20/24 ,
Demonstratie
Criptografie si Securitate 21/24 ,
Demonstratie
Criptografie si Securitate 22/24 ,
Demonstratie
I Daca c1 = c2, atunci A ıntoarce 0, altfel A ıntoarce 1.
I Analizam probabilitatea ca A sa ghiceasca b: daca b = 0,acelasi mesaj este criptat mereu (m1
0 = m20) iar c1 = c2 si deci
A ıntoarce mereu 0;
I Daca b = 1, atunci (m11 6= m2
1) iar c1 6= c2 si deci A ıntoarcemereu 1.
Criptografie si Securitate 23/24 ,
Demonstratie
I Daca c1 = c2, atunci A ıntoarce 0, altfel A ıntoarce 1.
I Analizam probabilitatea ca A sa ghiceasca b: daca b = 0,acelasi mesaj este criptat mereu (m1
0 = m20) iar c1 = c2 si deci
A ıntoarce mereu 0;
I Daca b = 1, atunci (m11 6= m2
1) iar c1 6= c2 si deci A ıntoarcemereu 1.
Criptografie si Securitate 23/24 ,
Demonstratie
I Daca c1 = c2, atunci A ıntoarce 0, altfel A ıntoarce 1.
I Analizam probabilitatea ca A sa ghiceasca b: daca b = 0,acelasi mesaj este criptat mereu (m1
0 = m20) iar c1 = c2 si deci
A ıntoarce mereu 0;
I Daca b = 1, atunci (m11 6= m2
1) iar c1 6= c2 si deci A ıntoarcemereu 1.
Criptografie si Securitate 23/24 ,
Demonstratie
I Daca c1 = c2, atunci A ıntoarce 0, altfel A ıntoarce 1.
I Analizam probabilitatea ca A sa ghiceasca b: daca b = 0,acelasi mesaj este criptat mereu (m1
0 = m20) iar c1 = c2 si deci
A ıntoarce mereu 0;
I Daca b = 1, atunci (m11 6= m2
1) iar c1 6= c2 si deci A ıntoarcemereu 1.
Criptografie si Securitate 23/24 ,
Important de retinut!
I Securitate - interceptare simpla ; securitate - interceptaremultipla
I Schemele deterministe nu sunt sigure la interceptare multipla
Criptografie si Securitate 24/24 ,