Documente Academic
Documente Profesional
Documente Cultură
Spring 2018
Outline
Hash functions
Authenticated encryption
Outline
Hash functions
Authenticated encryption
Functii Hash
O funcție hash emite un șir de bit-lungime fixă (de exemplu, 128 sau
160) atunci când este aplicată unui șir de bituri cu lungime arbitrară.
Hash functions
Definitia 1
Definitia 2
Definitia 3
O cheie functie hash H este universala (UHR) daca Adv u (λ) este
A,H
One-way functions
kka
Experiment OWHF A,H (λ)
1: Chalanger genereaza o cheie K ← G (λ) si y in gama lui HK ,
si o da lui A
2: Adversarul A(K , y ) genereaza m
3: Daca H (K , m) = y atunci return 1, altfel return 0.
Definitia 4
Definitia 5
Teorema 6
Fie H o functie hash. Atunci:
1. Pentru orice adversar A exista un adversar B care are acelasi
timp de rulare ca A astfel incat
uow cr -kka
AdvA,H (λ) ≤ (λ)
2. Pentru orice adversar A exista un adversar B care are acelasi
Adv
timp de rulare ca A astfel incat
B,H
u uow
AdvA,H(λ) ≤ AdvB,H (λ)
Corolar 7
Teorema 8
Fie H o functie hash. Atunci pentru orice adversar A exista un
adversar B astfel incat
ow -kka
Adv A,H (λ) ≤ Advuow -kka
B,H(λ)+
P (|H (K , y )−1 | = 1 : y = H (K , x ), K ← K, x ← X )
Mai mult, timpul de rulare al lui B este cel al lui A plus timpul de test al
elementului din X si calculeaza H o data.
Corolar 9
Orice UOWHF este si OWHF, atâta timp cât domeniul funcției hash
este semnificativ mai mare decât domeniul său.
Exemplul 11
√
1 − pm,r > 1 − e −c ≥ 1
2
for c ≥ ln 2 ∼ 0.693 and m > r > l 2cmJ.
Exemplul 12
√
Fie m = 240 si r astfel incat 240 > r > l220 2 ln 2J ≈ 1.200.000.
Probabilitatea de a face o coliziune este mai mare de 1/2. Prin
urmare, 40-bit mesaje testate nu asigura securitatea.
Construction of CRHF
Cateva tehnici generale:
2. Construcția bureților
The MD transform
Principii de baza:
• Utilizați o funcție de compresie
+k
h : K × {0, 1} → {0,
1}
£
Utilizati un MD-complaint padding pad din X ⊆ {0, 1}<2 in
• \j
n≥1 {0, 1}n , cu urmatoarele proprietati:
1. m este un prefix al pad (m)
2. if |m1 | = |m2 | atunci |pad (m1 )| = |pad (m2 )|
3. if m1 /= m2 , apoi ultimul bloc din pad (m1 ) este diferit de ultimul
bloc din pad (m2 )
• Iterate h la mesajele m dupa cum urmeaza:
1. pad (m) = m1 · · · mn cu |mi | = £ pentru toate i
2. V := IV , unde IV ∈ {0, 1}k
3. for i := 1 to n do V := h(K , mi V )
4. return V
Proof.
Este arătat că
cr q(q − 1) q(q + 1)
AdvA,H(λ) ≤ + ,
2 2c
pt orice x1 , x2 ∈ Zq .
Teorema 15
Dacă o coliziune de h poate fi calculată eficient, atunci c poate fi
calculată eficient.
Conform Teoremei 15, h este rezistentă la coliziune dacă DLP este intractabil.
Hash functions
Authenticated encryption
mac -forge
P (MACA,S (λ)), numit avantajul lui A si numit AdvA,S (λ), este probabilitatea
ca A sa castige jocul de mai sus (i.e., t este eticheta valabila pentru m).
mac -forge
S este un sistem securizat MAC daca Adv A,S (λ) este neglijabil, pt toti
adversarii
PPT A.
2. V (K , m, t ) = accept iff F (K , m) = t
Teorema 17
1. CBC-MAC
1.1 Acesta este modul de operare CBC cu IV = 0.e , unde blocul
de ieșire final este eticheta;
2. Cascade-MAC
2.1 t := K ;
2.2 For i := 1 to n do t := F (t , mi );
2.3 Output t
Theorem 18
Dacă F este un PRF, atunci schemele MAC de mai sus sunt sigure
în clasa de mesaje cu lungimea n • £, unde n este o valoare poli-
delimitată arbitrară.
2. NMAC
2.1 Ca NMAC, dar încă o iterație este adăugată la sfârșit, cu alta
cheie. Dacă este necesar, blocul de ieșire al Cascade-MAC este
acoperit pentru ultima iterație
Theorem 19
Dacă F este un PRF, atunci schemele MAC de mai sus sunt sigure
în clasa de mesaje de lungime n • £ pentru unele poli-delimitate n.
Theorem 20
If F is a PRF, then the MAC schemes above are secure in the class of
messages of length n · £ for some poly-bounded n.
CMAC fits the randomized prefix-free encoding paradigm and its security
follows from it.
Theorem 21
If H is a UHF and F is a PRF, then FH is a PRF.
Theorem 22
Daca h si h h dat de h h (K , m) = h(m, K ) sunt PRF, atunci FH este un PRF.
Hash functions
Authenticated encryption
Ciphertext integrity
Definitia 23
Un cifru S furnizeaza ciphertext integrity (CI) daca Adv ci (λ) este
A,S
neglijabil pentru toate PPT algorithms A.
Definitia 24
Un cifru S furnizeaza authenticated encryption (AE) if:
1. S este IND-CPA securizat
2. S furnizeaza CI.
Teorema 25
1. Encrypt-then-MAC (EtM)
1.1 c ← E (K , m), t ← T g (K , c ), output (c , t )
2. MAC-then-Encrypt (MtE)
2.1 t ← T g (K , m), c ← E (K , (m, t )), output c
2.2 Folosit in SSL 3.0, TLS 1.0, si in 802.11i WiFi encryption protocol
Encrypt-then-MAC
Teorema 26
Daca S este un cifru sigur IND-CPA si S h este un MAC sigur, atunci
constuctia EtM este AE secure.
MAC-apoi-Encrypt