Optimal assimetrik shifrlash uchun to'ldirish - Optimal asymmetric encryption padding

Yilda kriptografiya, Optimal assimetrik shifrlashni to'ldirish (OAEP) a to'ldirish sxemasi bilan ko'pincha ishlatiladi RSA shifrlash. OAEP tomonidan kiritilgan Bellare va Rogaway,^[1] va keyinchalik standartlashtirilgan PKCS # 1 v2 va RFC 2437.

OAEP algoritmi - bu shakl Feistel tarmog'i bu juftlikdan foydalanadi tasodifiy oracle Oldin oddiy matnni qayta ishlash uchun G va H assimetrik shifrlash. Har qanday xavfsiz bilan birlashtirilganda trapdoor bir tomonlama almashtirish ${ displaystyle f}$ , bu qayta ishlash isbotlangan tasodifiy oracle modeli natijada birlashtirilgan sxemaga olib keladi semantik jihatdan xavfsiz ostida ochiq matnli hujum (IND-CPA). Muayyan trapdoor permutations (masalan, RSA) bilan amalga oshirilganda, OAEP ham xavfsizligini isbotlaydi shifrlangan matn hujumi. OAEP ni qurish uchun foydalanish mumkin hech narsa yoki hech narsa o'zgarishi.

OAEP quyidagi ikkita maqsadni qondiradi:

A konvertatsiya qilish uchun ishlatilishi mumkin bo'lgan tasodifiy elementni qo'shing deterministik shifrlash sxema (masalan, an'anaviy RSA ) ichiga ehtimoliy sxema.
Shifrlangan matnni qisman parolini hal qilishning oldini olish (yoki boshqa ma'lumotlarning tarqalishi), dushman ochiq matnning biron bir qismini qayta tiklay olmasdan turib uni qayta tiklay olmasligini ta'minlash. trapdoor bir tomonlama almashtirish ${ displaystyle f}$ .

OAEPning asl nusxasi (Bellare / Rogaway, 1994) "shaklini ko'rsatdiochiq matnli xabardorlik "(ular da'vo qilgan narsa, xavfsizlik xavfsizligini anglatadi) shifrlangan matn hujumi ) OAEP har qanday trapdoor permutation bilan ishlatilganda tasodifiy oracle modelida. Keyingi natijalar ushbu da'voga zid bo'lib, OAEP faqat ekanligini ko'rsatdi IND-CCA1 xavfsiz. Biroq, asl sxema tasodifiy oracle modeli bolmoq IND-CCA2 OAEP RSA-OAEP kabi standart shifrlash ko'rsatkichlari yordamida RSA almashtirish bilan ishlatilganda xavfsiz.^[2]Har qanday trapdoor bir tomonlama almashtirish bilan ishlaydigan takomillashtirilgan sxema (OAEP + deb nomlangan) tomonidan taklif qilingan Viktor Shoup bu muammoni hal qilish uchun.^[3]Yaqinda o'tkazilgan ishlar shuni ko'rsatdiki standart model (ya'ni, xash funktsiyalari tasodifiy oracle sifatida modellashtirilmaganida) RSA-OAEP ning IND-CCA2 xavfsizligini, RSA muammosi.^[4]^[5]

Algoritm

OAEP bu a Feistel tarmog'i

Diagrammada,

n RSA modulidagi bitlar soni.
k₀ va k₁ protokol bilan belgilangan butun sonlardir.
m aniq matnli xabar, (n − k₀ − k₁ ) -bit qator
G va H bor tasodifiy oracle kabi kriptografik xash funktsiyalari.
⊕ xor operatsiyasi.

Kodlash uchun,

xabarlar bilan to'ldirilgan k₁ nol bo'lishi n − k₀ uzunlikdagi bitlar.
r tasodifiy hosil bo'ladi k₀-bit mag'lubiyat
G kengaytiradi k₀ bit r ga n − k₀ bitlar.
X = m00...0 ⊕ G(r)
H kamaytiradi n − k₀ bit X ga k₀ bitlar.
Y = r ⊕ H(X)
Chiqish X || Y qayerda X diagrammada eng chap blok sifatida ko'rsatilgan va Y eng o'ng blok sifatida.

RSA-da foydalanish: kodlangan xabarni RSA bilan shifrlash mumkin. RSA ning deterministik xususiyati endi OAEP kodlash yordamida oldini olinadi.

Kod hal qilish uchun,

sifatida tasodifiy mag'lubiyatni tiklang r = Y ⊕ H(X)
xabarni quyidagicha tiklang m00...0 = X ⊕ G(r)

Xavfsizlik

"hech narsa yoki hech narsa "xavfsizlikni tiklash haqiqatdir m, barchasini tiklash kerak X va butun Y; X tiklash uchun talab qilinadi r dan Yva r tiklash uchun talab qilinadi m dan X. Kriptografik xashning har qanday o'zgargan qismi natijani butunlay o'zgartirishi sababli Xva butun Y ikkalasi ham to'liq tiklanishi kerak.

Amalga oshirish

PKCS №1 standartida tasodifiy oracle G va H bir xil. Bundan tashqari, PKCS №1 standarti tasodifiy oracle bo'lishi kerakligini talab qiladi MGF1 tegishli xesh funktsiyasi bilan.^[6]

Shuningdek qarang

Kalit kapsulasi

Adabiyotlar

^ M. Bellare, P. Rogavey. Optimal assimetrik shifrlash - RSA bilan qanday shifrlash kerak. Kriptologiya yutuqlari bo'yicha kengaytirilgan referat - Evrokript '94 ish yuritish, Kompyuter fanidan ma'ruza matnlari Vol. 950, A. De Santis ed, Springer-Verlag, 1995. to'liq versiyasi (pdf)
^ Eiichiro Fujisaki, Tatsuaki Okamoto, Devid Pointcheval va Jak Stern. RSA - OAEP RSA taxminiga binoan xavfsizdir. J. Kilian, ed., Kriptologiyaning yutuqlari - CRYPTO 2001, jild 2139 Informatika fanidan ma'ruza eslatmalari, SpringerVerlag, 2001 y. to'liq versiyasi (pdf)
^ Viktor Shoup. OAEP qayta ko'rib chiqildi. IBM Zurich tadqiqot laboratoriyasi, Saumerstr. 4, 8803 Ruschlikon, Shveytsariya. 2001 yil 18 sentyabr. to'liq versiyasi (pdf)
^ P. Paillier va J. Villar, Faktoring asosida shifrlashda tanlangan shifrlangan matn xavfsizligiga qarshi bir tomonlama savdo-sotiq, Kriptologiyaning yutuqlari - Asiakript 2006.
^ D. Braun, RSA-OAEP-ni qanday xavfsizlikni ta'minlaydi?, IACR ePrint 2006/233.
^ Brown, Daniel R. L. (2006). "Xashlar RSA-OAEPni qanday xavfsiz qiladi?" (PDF). IACR Cryptology ePrint arxivi. Olingan 2019-04-03.

[1] M. Bellare, P. Rogavey. Optimal assimetrik shifrlash - RSA bilan qanday shifrlash kerak. Kriptologiya yutuqlari bo'yicha kengaytirilgan referat - Evrokript '94 ish yuritish, Kompyuter fanidan ma'ruza matnlari Vol. 950, A. De Santis ed, Springer-Verlag, 1995. to'liq versiyasi (pdf)

[2] Eiichiro Fujisaki, Tatsuaki Okamoto, Devid Pointcheval va Jak Stern. RSA - OAEP RSA taxminiga binoan xavfsizdir. J. Kilian, ed., Kriptologiyaning yutuqlari - CRYPTO 2001, jild 2139 Informatika fanidan ma'ruza eslatmalari, SpringerVerlag, 2001 y. to'liq versiyasi (pdf)

[3] Viktor Shoup. OAEP qayta ko'rib chiqildi. IBM Zurich tadqiqot laboratoriyasi, Saumerstr. 4, 8803 Ruschlikon, Shveytsariya. 2001 yil 18 sentyabr. to'liq versiyasi (pdf)

[4] P. Paillier va J. Villar, Faktoring asosida shifrlashda tanlangan shifrlangan matn xavfsizligiga qarshi bir tomonlama savdo-sotiq, Kriptologiyaning yutuqlari - Asiakript 2006.

[5] D. Braun, RSA-OAEP-ni qanday xavfsizlikni ta'minlaydi?, IACR ePrint 2006/233.

[6] Brown, Daniel R. L. (2006). "Xashlar RSA-OAEPni qanday xavfsiz qiladi?" (PDF). IACR Cryptology ePrint arxivi. Olingan 2019-04-03.

[1]

[2]

[3]

[4]

[5]

[6]