riptografie si Securitate

- Prelegerea 7 -Securitate semantica

Adela Georgescu, Ruxandra F. Olimid

Facultatea de Matematica si InformaticaUniversitatea din Bucuresti

Cuprins

1. Securitate - interceptare simpla

2. Securitate - interceptare multipla

Criptografie si Securitate 2/24 ,

Securitate semantica - interceptare simpla

I Reamintim: (Enc ,Dec) peste spatiul (K,M, C) este perfectsigura daca∀m0,m1 ∈M cu |m0| = |m1| are loc egalitatea

{Enck(m0)} = {Enck(m1)}

(distributiile sunt identice)

pentru k ←R K;

I Incercam o relaxare:∀m0,m1 ∈M cu |m0| = |m1| are loc

{Enck(m0)} ≈ {Enck(m1)}

(distributiile sunt indistinctibile computational)

pentru k ←R K;Insa adversarul trebuie sa aleaga m0 si m1 explicit.

Criptografie si Securitate 3/24 ,

Securitate semantica - interceptare simpla

I Reamintim: (Enc ,Dec) peste spatiul (K,M, C) este perfectsigura daca∀m0,m1 ∈M cu |m0| = |m1| are loc egalitatea

{Enck(m0)} = {Enck(m1)}

(distributiile sunt identice)

pentru k ←R K;

I Incercam o relaxare:∀m0,m1 ∈M cu |m0| = |m1| are loc

{Enck(m0)} ≈ {Enck(m1)}

(distributiile sunt indistinctibile computational)

pentru k ←R K;Insa adversarul trebuie sa aleaga m0 si m1 explicit.

Criptografie si Securitate 3/24 ,

Securitate semantica - interceptare simpla

I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate Priv eav

A,π(n) unde π = (Enc ,Dec) este schemade criptare iar n este parametrul de securitate al schemei π

I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).

I Trebuie sa definim capabilitatile adversarului: ın contextulsistemelor de criptare fluide, el poate vedea un singur textcriptat cu o anume cheie, fiind un adversar pasiv care poaterula atacuri ın timp polinomial.

Criptografie si Securitate 4/24 ,

Securitate semantica - interceptare simpla

I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate Priv eav

A,π(n) unde π = (Enc ,Dec) este schemade criptare iar n este parametrul de securitate al schemei π

I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).

I Trebuie sa definim capabilitatile adversarului: ın contextulsistemelor de criptare fluide, el poate vedea un singur textcriptat cu o anume cheie, fiind un adversar pasiv care poaterula atacuri ın timp polinomial.

Criptografie si Securitate 4/24 ,

Securitate semantica - interceptare simpla

I Vom defini securitatea semantica pe baza unui experiment deindistinctibilitate Priv eav

A,π(n) unde π = (Enc ,Dec) este schemade criptare iar n este parametrul de securitate al schemei π

I Personaje participante: adversarul A care ıncearca sa spargaschema si un provocator (challenger).

I Trebuie sa definim capabilitatile adversarului: ın contextulsistemelor de criptare fluide, el poate vedea un singur textcriptat cu o anume cheie, fiind un adversar pasiv care poaterula atacuri ın timp polinomial.

Criptografie si Securitate 4/24 ,

Experimentul Priv eavA,π(n)

Criptografie si Securitate 5/24 ,

Experimentul Priv eavA,π(n)

Criptografie si Securitate 6/24 ,

Experimentul Priv eavA,π(n)

Criptografie si Securitate 7/24 ,

Experimentul Priv eavA,π(n)

Criptografie si Securitate 8/24 ,

Experimentul Priv eavA,π(n)

I Output-ul experimentului este 1 daca b′ = b si 0 altfel. DacaPriv eav

A,π(n) = 1, spunem ca A a efectuat experimentul cusucces.

Criptografie si Securitate 9/24 ,

Experimentul Priv eavA,π(n)

I Output-ul experimentului este 1 daca b′ = b si 0 altfel. DacaPriv eav

A,π(n) = 1, spunem ca A a efectuat experimentul cusucces.

Criptografie si Securitate 9/24 ,

Securitate semantica - interceptare simpla

Definitie

O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui atacator pasiv daca pentru orice adversar A exista ofunctie neglijabila negl asa ıncat

Pr[Priv eavA,π(n) = 1] ≤ 1

2 + negl(n).

I Un adversar pasiv nu poate determina care text clar a fostcriptat cu o probabilitate semnificativ mai mare decat daca arfi ghicit (ın sens aleator, dat cu banul).

Criptografie si Securitate 10/24 ,

Securitate semantica - interceptare simpla

Definitie

O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui atacator pasiv daca pentru orice adversar A exista ofunctie neglijabila negl asa ıncat

Pr[Priv eavA,π(n) = 1] ≤ 1

2 + negl(n).

I Un adversar pasiv nu poate determina care text clar a fostcriptat cu o probabilitate semnificativ mai mare decat daca arfi ghicit (ın sens aleator, dat cu banul).

Criptografie si Securitate 10/24 ,

Securitate pentru interceptare multipla

I In definitia precedenta am considerat cazul unui adversar careprimeste un singur text criptat;

I In realitate, ın cadrul unei comunicatii se trimit mai multemesaje pe care adversarul le poate intercepta;

I Definim ce ınseamna o schema sigura chiar si ın acesteconditii.

Criptografie si Securitate 11/24 ,

Securitate pentru interceptare multipla

I In definitia precedenta am considerat cazul unui adversar careprimeste un singur text criptat;

I In realitate, ın cadrul unei comunicatii se trimit mai multemesaje pe care adversarul le poate intercepta;

I Definim ce ınseamna o schema sigura chiar si ın acesteconditii.

Criptografie si Securitate 11/24 ,

Securitate pentru interceptare multipla

I In definitia precedenta am considerat cazul unui adversar careprimeste un singur text criptat;

I In realitate, ın cadrul unei comunicatii se trimit mai multemesaje pe care adversarul le poate intercepta;

I Definim ce ınseamna o schema sigura chiar si ın acesteconditii.

Criptografie si Securitate 11/24 ,

Experimentul PrivmultA,π (n)

Criptografie si Securitate 12/24 ,

Experimentul PrivmultA,π (n)

Criptografie si Securitate 13/24 ,

Experimentul PrivmultA,π (n)

Criptografie si Securitate 14/24 ,

Experimentul PrivmultA,π (n)

Criptografie si Securitate 15/24 ,

Experimentul PrivmultA,π (n)

I Output-ul experimentului este 1 daca b′ = b si 0 altfel;

I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.

I Securitatea pentru interceptare simpla nu implica securitatepentru interceptare multipla!

Criptografie si Securitate 16/24 ,

Experimentul PrivmultA,π (n)

I Output-ul experimentului este 1 daca b′ = b si 0 altfel;

I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.

I Securitatea pentru interceptare simpla nu implica securitatepentru interceptare multipla!

Criptografie si Securitate 16/24 ,

Experimentul PrivmultA,π (n)

I Output-ul experimentului este 1 daca b′ = b si 0 altfel;

I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.

I Securitatea pentru interceptare simpla nu implica securitatepentru interceptare multipla!

Criptografie si Securitate 16/24 ,

Experimentul PrivmultA,π (n)

I Output-ul experimentului este 1 daca b′ = b si 0 altfel;

I Definitia de securitate este aceeasi, doar ca se refera laexperimentul de mai sus.

I Securitatea pentru interceptare simpla nu implica securitatepentru interceptare multipla!

Criptografie si Securitate 16/24 ,

Securitate pentru interceptare multipla

Definitie

O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui atacator pasiv daca pentru orice adversar A exista ofunctie neglijabila negl asa ıncat

Pr[PrivmultA,π (n) = 1] ≤ 1

2 + negl(n).

Teorema

O schema de criptare (Enc ,Dec) unde functia Enc estedeterminista nu are proprietatea de securitate la interceptaremultipla conform cu definitia de mai sus.

Criptografie si Securitate 17/24 ,

Securitate pentru interceptare multipla

Definitie

O schema de criptare π = (Enc ,Dec) este indistinctibila ınprezenta unui atacator pasiv daca pentru orice adversar A exista ofunctie neglijabila negl asa ıncat

Pr[PrivmultA,π (n) = 1] ≤ 1

2 + negl(n).

Teorema

O schema de criptare (Enc ,Dec) unde functia Enc estedeterminista nu are proprietatea de securitate la interceptaremultipla conform cu definitia de mai sus.

Criptografie si Securitate 17/24 ,

Demonstratie

I Intuitiv, am vazut ca schema OTP este sigura doar cand ocheie este folosita o singura data;

I La sistemele fluide se ıntampla acelasi lucru;

I Vom considera un adversar A care ataca schema (ın sensulexperimentului Privmult

A,π (n)

Criptografie si Securitate 18/24 ,

Demonstratie

Criptografie si Securitate 19/24 ,

Demonstratie

Criptografie si Securitate 20/24 ,

Demonstratie

Criptografie si Securitate 21/24 ,

Demonstratie

Criptografie si Securitate 22/24 ,

Demonstratie

I Daca c1 = c2, atunci A ıntoarce 0, altfel A ıntoarce 1.

I Analizam probabilitatea ca A sa ghiceasca b: daca b = 0,acelasi mesaj este criptat mereu (m1

0 = m20) iar c1 = c2 si deci

A ıntoarce mereu 0;

I Daca b = 1, atunci (m11 6= m2

1) iar c1 6= c2 si deci A ıntoarcemereu 1.

Criptografie si Securitate 23/24 ,

Demonstratie

I Daca c1 = c2, atunci A ıntoarce 0, altfel A ıntoarce 1.

I Analizam probabilitatea ca A sa ghiceasca b: daca b = 0,acelasi mesaj este criptat mereu (m1

0 = m20) iar c1 = c2 si deci

A ıntoarce mereu 0;

I Daca b = 1, atunci (m11 6= m2

1) iar c1 6= c2 si deci A ıntoarcemereu 1.

Criptografie si Securitate 23/24 ,

Demonstratie

I Daca c1 = c2, atunci A ıntoarce 0, altfel A ıntoarce 1.

I Analizam probabilitatea ca A sa ghiceasca b: daca b = 0,acelasi mesaj este criptat mereu (m1

0 = m20) iar c1 = c2 si deci

A ıntoarce mereu 0;

I Daca b = 1, atunci (m11 6= m2

1) iar c1 6= c2 si deci A ıntoarcemereu 1.

Criptografie si Securitate 23/24 ,

Demonstratie

I Daca c1 = c2, atunci A ıntoarce 0, altfel A ıntoarce 1.

I Analizam probabilitatea ca A sa ghiceasca b: daca b = 0,acelasi mesaj este criptat mereu (m1

0 = m20) iar c1 = c2 si deci

A ıntoarce mereu 0;

I Daca b = 1, atunci (m11 6= m2

1) iar c1 6= c2 si deci A ıntoarcemereu 1.

Criptografie si Securitate 23/24 ,

Important de retinut!

I Securitate - interceptare simpla ; securitate - interceptaremultipla

I Schemele deterministe nu sunt sigure la interceptare multipla

Criptografie si Securitate 24/24 ,