riptogra e ˘si securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si...
TRANSCRIPT
![Page 1: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/1.jpg)
riptografie si Securitate
- Prelegerea 13 -Confidentialitate si autentificarea mesajelor
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematica si InformaticaUniversitatea din Bucuresti
![Page 2: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/2.jpg)
Cuprins
1. Transmitere sigura a mesajelor
2. Abordari diferite pentru a combina criptarea si autentificarea
Criptografie si Securitate 2/17 ,
![Page 3: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/3.jpg)
Confidentialitate si integritate
I Am vazut cum putem obtine confidentialitate folosind schemede criptare;
I Am vazut cum putem garanta integritatea datelor folosindMAC-uri;
I In practica avem nevoie de ambele proprietati de securitate:confidentialitate si integritatea datelor;
I Nu orice combinatie de schema de criptare sigura si MACsigur ofera cele doua proprietati de securitate!
Criptografie si Securitate 3/17 ,
![Page 4: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/4.jpg)
Confidentialitate si integritate
I Am vazut cum putem obtine confidentialitate folosind schemede criptare;
I Am vazut cum putem garanta integritatea datelor folosindMAC-uri;
I In practica avem nevoie de ambele proprietati de securitate:confidentialitate si integritatea datelor;
I Nu orice combinatie de schema de criptare sigura si MACsigur ofera cele doua proprietati de securitate!
Criptografie si Securitate 3/17 ,
![Page 5: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/5.jpg)
Confidentialitate si integritate
I Am vazut cum putem obtine confidentialitate folosind schemede criptare;
I Am vazut cum putem garanta integritatea datelor folosindMAC-uri;
I In practica avem nevoie de ambele proprietati de securitate:confidentialitate si integritatea datelor;
I Nu orice combinatie de schema de criptare sigura si MACsigur ofera cele doua proprietati de securitate!
Criptografie si Securitate 3/17 ,
![Page 6: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/6.jpg)
Confidentialitate si integritate
I Am vazut cum putem obtine confidentialitate folosind schemede criptare;
I Am vazut cum putem garanta integritatea datelor folosindMAC-uri;
I In practica avem nevoie de ambele proprietati de securitate:confidentialitate si integritatea datelor;
I Nu orice combinatie de schema de criptare sigura si MACsigur ofera cele doua proprietati de securitate!
Criptografie si Securitate 3/17 ,
![Page 7: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/7.jpg)
Confidentialitate si integritate
I Iata trei abordari uzuale pentru a combina criptarea siautentificarea mesajelor:
1. Criptare-si-autentificare: criptarea si autentifcarea se facindependent. Pentru un mesaj clar m, se transmite mesajulcriptat 〈c , t〉 unde
c ← Enck1 (m) si t ← Mack2 (m)
La receptie, m = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
2. Autentificare-apoi-criptare: ıntai se calculeaza tag-ul t apoimesajul si tag-ul sunt criptate ımpreuna
t ← Mack2 (m) si c ← Enck1 (m||t)
La receptie, m||t = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
Criptografie si Securitate 4/17 ,
![Page 8: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/8.jpg)
Confidentialitate si integritate
I Iata trei abordari uzuale pentru a combina criptarea siautentificarea mesajelor:
1. Criptare-si-autentificare: criptarea si autentifcarea se facindependent. Pentru un mesaj clar m, se transmite mesajulcriptat 〈c , t〉 unde
c ← Enck1 (m) si t ← Mack2 (m)
La receptie, m = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
2. Autentificare-apoi-criptare: ıntai se calculeaza tag-ul t apoimesajul si tag-ul sunt criptate ımpreuna
t ← Mack2 (m) si c ← Enck1 (m||t)
La receptie, m||t = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
Criptografie si Securitate 4/17 ,
![Page 9: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/9.jpg)
Confidentialitate si integritate
I Iata trei abordari uzuale pentru a combina criptarea siautentificarea mesajelor:
1. Criptare-si-autentificare: criptarea si autentifcarea se facindependent. Pentru un mesaj clar m, se transmite mesajulcriptat 〈c , t〉 unde
c ← Enck1 (m) si t ← Mack2 (m)
La receptie, m = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
2. Autentificare-apoi-criptare: ıntai se calculeaza tag-ul t apoimesajul si tag-ul sunt criptate ımpreuna
t ← Mack2 (m) si c ← Enck1 (m||t)
La receptie, m||t = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
Criptografie si Securitate 4/17 ,
![Page 10: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/10.jpg)
Confidentialitate si integritate
3. Criptare-apoi-autentificare: ıntai se cripteaza mesajul si apoi secalculeaza tag-ul
c ← Enck1(m) si t ← Mack2(c)
La receptie, se verifica ıntai t ınainte de a decripta c ; aceasta estechiar constructia pentru schema CCA-sigura.
I Vom analiza fiecare abordare la instantierea cu o schema decriptare CPA-sigura si un MAC sigur (cu tag-uri unice).
I Ne vor interesa doar acele abordari care ofera confidentialitatesi integritate pentru orice schema de criptare sigura si oriceMAC sigur.
Criptografie si Securitate 5/17 ,
![Page 11: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/11.jpg)
Confidentialitate si integritate
3. Criptare-apoi-autentificare: ıntai se cripteaza mesajul si apoi secalculeaza tag-ul
c ← Enck1(m) si t ← Mack2(c)
La receptie, se verifica ıntai t ınainte de a decripta c ; aceasta estechiar constructia pentru schema CCA-sigura.
I Vom analiza fiecare abordare la instantierea cu o schema decriptare CPA-sigura si un MAC sigur (cu tag-uri unice).
I Ne vor interesa doar acele abordari care ofera confidentialitatesi integritate pentru orice schema de criptare sigura si oriceMAC sigur.
Criptografie si Securitate 5/17 ,
![Page 12: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/12.jpg)
Confidentialitate si integritate
3. Criptare-apoi-autentificare: ıntai se cripteaza mesajul si apoi secalculeaza tag-ul
c ← Enck1(m) si t ← Mack2(c)
La receptie, se verifica ıntai t ınainte de a decripta c ; aceasta estechiar constructia pentru schema CCA-sigura.
I Vom analiza fiecare abordare la instantierea cu o schema decriptare CPA-sigura si un MAC sigur (cu tag-uri unice).
I Ne vor interesa doar acele abordari care ofera confidentialitatesi integritate pentru orice schema de criptare sigura si oriceMAC sigur.
Criptografie si Securitate 5/17 ,
![Page 13: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/13.jpg)
Securitate
I Pentru a analiza care combinatie de confidentialitate siintegritate este sigura, definim ce ınseamna ”combinatiesigura”;
I Introducem notiunea de schema de transmitere a mesajelor
I Fie ΠE = (Enc,Dec) o schema de criptare arbitrara siΠM = (Mac,Vrfy) un cod de autentificare a mesajelor. Oschema de transmitere a mesajelor Π′ = (EncMac′,Dec′)consta din urmatorii algoritmi:
I EncMac - algoritm de transmitere a mesajelor care pentru ocheie (k1, k2) si un mesaj m, ıntoarce o valoare c derivata prinaplicarea unei combinatii a algoritmilor Enck1 si Mack2 ;
I Dec - algoritm de decriptare care pentru o cheie (k1, k2) si unmesaj transmis c , aplica o combinatie a algoritmilor Deck1 siVrfyk2
, ıntorcand un text clar m sau simbolul ⊥ de eroare.
Criptografie si Securitate 6/17 ,
![Page 14: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/14.jpg)
Securitate
I Pentru a analiza care combinatie de confidentialitate siintegritate este sigura, definim ce ınseamna ”combinatiesigura”;
I Introducem notiunea de schema de transmitere a mesajelor
I Fie ΠE = (Enc,Dec) o schema de criptare arbitrara siΠM = (Mac,Vrfy) un cod de autentificare a mesajelor. Oschema de transmitere a mesajelor Π′ = (EncMac′,Dec′)consta din urmatorii algoritmi:
I EncMac - algoritm de transmitere a mesajelor care pentru ocheie (k1, k2) si un mesaj m, ıntoarce o valoare c derivata prinaplicarea unei combinatii a algoritmilor Enck1 si Mack2 ;
I Dec - algoritm de decriptare care pentru o cheie (k1, k2) si unmesaj transmis c , aplica o combinatie a algoritmilor Deck1 siVrfyk2
, ıntorcand un text clar m sau simbolul ⊥ de eroare.
Criptografie si Securitate 6/17 ,
![Page 15: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/15.jpg)
Securitate
I Pentru a analiza care combinatie de confidentialitate siintegritate este sigura, definim ce ınseamna ”combinatiesigura”;
I Introducem notiunea de schema de transmitere a mesajelor
I Fie ΠE = (Enc,Dec) o schema de criptare arbitrara siΠM = (Mac,Vrfy) un cod de autentificare a mesajelor. Oschema de transmitere a mesajelor Π′ = (EncMac′,Dec′)consta din urmatorii algoritmi:
I EncMac - algoritm de transmitere a mesajelor care pentru ocheie (k1, k2) si un mesaj m, ıntoarce o valoare c derivata prinaplicarea unei combinatii a algoritmilor Enck1 si Mack2 ;
I Dec - algoritm de decriptare care pentru o cheie (k1, k2) si unmesaj transmis c , aplica o combinatie a algoritmilor Deck1 siVrfyk2
, ıntorcand un text clar m sau simbolul ⊥ de eroare.
Criptografie si Securitate 6/17 ,
![Page 16: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/16.jpg)
Securitate
I Pentru a analiza care combinatie de confidentialitate siintegritate este sigura, definim ce ınseamna ”combinatiesigura”;
I Introducem notiunea de schema de transmitere a mesajelor
I Fie ΠE = (Enc,Dec) o schema de criptare arbitrara siΠM = (Mac,Vrfy) un cod de autentificare a mesajelor. Oschema de transmitere a mesajelor Π′ = (EncMac′,Dec′)consta din urmatorii algoritmi:
I EncMac - algoritm de transmitere a mesajelor care pentru ocheie (k1, k2) si un mesaj m, ıntoarce o valoare c derivata prinaplicarea unei combinatii a algoritmilor Enck1 si Mack2 ;
I Dec - algoritm de decriptare care pentru o cheie (k1, k2) si unmesaj transmis c , aplica o combinatie a algoritmilor Deck1 siVrfyk2
, ıntorcand un text clar m sau simbolul ⊥ de eroare.
Criptografie si Securitate 6/17 ,
![Page 17: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/17.jpg)
Securitate
I Corectitudinea schemei cere ca ∀n ∀(k1, k2) ∀m ∈ {0, 1}∗
Dec′k1,k2(EncMac ′k1,k2(m)) = m
I Pentru a defini securitatea unei astfel de scheme, folosim unexperiment AuthA,Π(n) :
I Output-ul experimentului este 1 daca si numai daca:(1) m 6=⊥ si (2) m /∈ {m1, ...,mq} unde m = Dec′k(c);
Criptografie si Securitate 7/17 ,
![Page 18: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/18.jpg)
Securitate
I Corectitudinea schemei cere ca ∀n ∀(k1, k2) ∀m ∈ {0, 1}∗
Dec′k1,k2(EncMac ′k1,k2(m)) = m
I Pentru a defini securitatea unei astfel de scheme, folosim unexperiment AuthA,Π(n) :
I Output-ul experimentului este 1 daca si numai daca:(1) m 6=⊥ si (2) m /∈ {m1, ...,mq} unde m = Dec′k(c);
Criptografie si Securitate 7/17 ,
![Page 19: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/19.jpg)
Securitate
Definitie
O schema de transmitere a mesajelor Π′ ofera comunicareautentificata daca pentru orice adversar polinomial A exista ofunctie neglijabila negl asa ıncat
Pr[AuthA,Π(n) = 1] ≤ negl(n).
Definitie
O schema de transmitere a mesajelor Π′ este sigura daca este oschema de criptare CCA-sigura si ofera comunicare autentificata.
Criptografie si Securitate 8/17 ,
![Page 20: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/20.jpg)
Securitate
Definitie
O schema de transmitere a mesajelor Π′ ofera comunicareautentificata daca pentru orice adversar polinomial A exista ofunctie neglijabila negl asa ıncat
Pr[AuthA,Π(n) = 1] ≤ negl(n).
Definitie
O schema de transmitere a mesajelor Π′ este sigura daca este oschema de criptare CCA-sigura si ofera comunicare autentificata.
Criptografie si Securitate 8/17 ,
![Page 21: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/21.jpg)
Securitate Criptare-si-autentificare
I Revenim la cele trei combinatii de criptare si autentificare:
1. Criptare-si-autentificare
I Combinatia aceasta nu este neaparat sigura; un MAC sigur nuimplica nici un fel de confidentialitate;
I Daca (Mac,Vrfy) este un MAC sigur atunci si schemadefinita de Mac′k(m) = (m,Mack(m)) este un MAC sigur dardezvaluie mesajul m
Criptografie si Securitate 9/17 ,
![Page 22: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/22.jpg)
Securitate Criptare-si-autentificare
I Revenim la cele trei combinatii de criptare si autentificare:
1. Criptare-si-autentificare
I Combinatia aceasta nu este neaparat sigura; un MAC sigur nuimplica nici un fel de confidentialitate;
I Daca (Mac,Vrfy) este un MAC sigur atunci si schemadefinita de Mac′k(m) = (m,Mack(m)) este un MAC sigur dardezvaluie mesajul m
Criptografie si Securitate 9/17 ,
![Page 23: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/23.jpg)
Securitate Criptare-si-autentificare
I Revenim la cele trei combinatii de criptare si autentificare:
1. Criptare-si-autentificare
I Combinatia aceasta nu este neaparat sigura; un MAC sigur nuimplica nici un fel de confidentialitate;
I Daca (Mac,Vrfy) este un MAC sigur atunci si schemadefinita de Mac′k(m) = (m,Mack(m)) este un MAC sigur dardezvaluie mesajul m
Criptografie si Securitate 9/17 ,
![Page 24: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/24.jpg)
Securitate Autentificare-apoi-criptare
2. Autentificare-apoi-criptare
I Combinatia aceasta nu este neaparat sigura;
I Se poate construi o schema de criptare CPA-sigura careımpreuna cu orice MAC sigur nu poate fi CCA-sigura;
I Definim Transform(m) astfel:
I orice 0 din m se transforma ın 00;I orice 1 din m se transforma arbitrar ın 01 sau 10;
Criptografie si Securitate 10/17 ,
![Page 25: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/25.jpg)
Securitate Autentificare-apoi-criptare
2. Autentificare-apoi-criptare
I Combinatia aceasta nu este neaparat sigura;
I Se poate construi o schema de criptare CPA-sigura careımpreuna cu orice MAC sigur nu poate fi CCA-sigura;
I Definim Transform(m) astfel:
I orice 0 din m se transforma ın 00;I orice 1 din m se transforma arbitrar ın 01 sau 10;
Criptografie si Securitate 10/17 ,
![Page 26: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/26.jpg)
Securitate Autentificare-apoi-criptare
2. Autentificare-apoi-criptare
I Combinatia aceasta nu este neaparat sigura;
I Se poate construi o schema de criptare CPA-sigura careımpreuna cu orice MAC sigur nu poate fi CCA-sigura;
I Definim Transform(m) astfel:
I orice 0 din m se transforma ın 00;I orice 1 din m se transforma arbitrar ın 01 sau 10;
Criptografie si Securitate 10/17 ,
![Page 27: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/27.jpg)
Securitate Autentificare-apoi-criptare
2. Autentificare-apoi-criptare
I Combinatia aceasta nu este neaparat sigura;
I Se poate construi o schema de criptare CPA-sigura careımpreuna cu orice MAC sigur nu poate fi CCA-sigura;
I Definim Transform(m) astfel:
I orice 0 din m se transforma ın 00;I orice 1 din m se transforma arbitrar ın 01 sau 10;
Criptografie si Securitate 10/17 ,
![Page 28: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/28.jpg)
Securitate Autentificare-apoi-criptare
I Definim Enck(m) = Enc′k(Transform(m)) unde Enc′
reprezinta criptare ın modul CTR folosind o functiepseudoaleatoare;
Criptografie si Securitate 11/17 ,
![Page 29: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/29.jpg)
Securitate Autentificare-apoi-criptare
I Aratam ca o combinatie de tipul autentificare-apoi-criptare aschemei de criptare de mai sus cu orice MAC nu este sigura laun atac de tip CCA.
I Atacul functioneaza atata timp cat un adversar poate verificadaca un text criptat dat este valid;
I Fiind data o provocare c = Enc′k1(Transform(m||Mack2(m))),
atacatorul modifica primii doi biti din al 2-lea bloc al lui c siverifica daca rezultatul este valid;
I Daca primul bit al mesajului clar m este 1, atunci c modificateste valid;
I Intrebare: De ce?
Criptografie si Securitate 12/17 ,
![Page 30: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/30.jpg)
Securitate Autentificare-apoi-criptare
I Aratam ca o combinatie de tipul autentificare-apoi-criptare aschemei de criptare de mai sus cu orice MAC nu este sigura laun atac de tip CCA.
I Atacul functioneaza atata timp cat un adversar poate verificadaca un text criptat dat este valid;
I Fiind data o provocare c = Enc′k1(Transform(m||Mack2(m))),
atacatorul modifica primii doi biti din al 2-lea bloc al lui c siverifica daca rezultatul este valid;
I Daca primul bit al mesajului clar m este 1, atunci c modificateste valid;
I Intrebare: De ce?
Criptografie si Securitate 12/17 ,
![Page 31: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/31.jpg)
Securitate Autentificare-apoi-criptare
I Aratam ca o combinatie de tipul autentificare-apoi-criptare aschemei de criptare de mai sus cu orice MAC nu este sigura laun atac de tip CCA.
I Atacul functioneaza atata timp cat un adversar poate verificadaca un text criptat dat este valid;
I Fiind data o provocare c = Enc′k1(Transform(m||Mack2(m))),
atacatorul modifica primii doi biti din al 2-lea bloc al lui c siverifica daca rezultatul este valid;
I Daca primul bit al mesajului clar m este 1, atunci c modificateste valid;
I Intrebare: De ce?
Criptografie si Securitate 12/17 ,
![Page 32: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/32.jpg)
Securitate Autentificare-apoi-criptare
I Aratam ca o combinatie de tipul autentificare-apoi-criptare aschemei de criptare de mai sus cu orice MAC nu este sigura laun atac de tip CCA.
I Atacul functioneaza atata timp cat un adversar poate verificadaca un text criptat dat este valid;
I Fiind data o provocare c = Enc′k1(Transform(m||Mack2(m))),
atacatorul modifica primii doi biti din al 2-lea bloc al lui c siverifica daca rezultatul este valid;
I Daca primul bit al mesajului clar m este 1, atunci c modificateste valid;
I Intrebare: De ce?
Criptografie si Securitate 12/17 ,
![Page 33: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/33.jpg)
Securitate Autentificare-apoi-criptare
I Aratam ca o combinatie de tipul autentificare-apoi-criptare aschemei de criptare de mai sus cu orice MAC nu este sigura laun atac de tip CCA.
I Atacul functioneaza atata timp cat un adversar poate verificadaca un text criptat dat este valid;
I Fiind data o provocare c = Enc′k1(Transform(m||Mack2(m))),
atacatorul modifica primii doi biti din al 2-lea bloc al lui c siverifica daca rezultatul este valid;
I Daca primul bit al mesajului clar m este 1, atunci c modificateste valid;
I Intrebare: De ce?
Criptografie si Securitate 12/17 ,
![Page 34: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/34.jpg)
Securitate Autentificare-apoi-criptare
I Pentru ca ın acest caz, primii doi biti ai lui Transform(m)sunt 01 sau 10 si o modificare a lor ofera o codificare valida alui m.
I Tag-ul ramane valid pentru ca este aplicat pe m;
I Daca ınsa primul bit al lui m este 0, c modificat nu estevalid...
I ... pentru ca primii doi biti din Transform(m) sunt 00 si princomplementare devin 11;
I Atacul poate fi aplicat pe fiecare bit din m, recuperand astfelıntreg mesajul m.
Criptografie si Securitate 13/17 ,
![Page 35: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/35.jpg)
Securitate Autentificare-apoi-criptare
I Pentru ca ın acest caz, primii doi biti ai lui Transform(m)sunt 01 sau 10 si o modificare a lor ofera o codificare valida alui m.
I Tag-ul ramane valid pentru ca este aplicat pe m;
I Daca ınsa primul bit al lui m este 0, c modificat nu estevalid...
I ... pentru ca primii doi biti din Transform(m) sunt 00 si princomplementare devin 11;
I Atacul poate fi aplicat pe fiecare bit din m, recuperand astfelıntreg mesajul m.
Criptografie si Securitate 13/17 ,
![Page 36: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/36.jpg)
Securitate Autentificare-apoi-criptare
I Pentru ca ın acest caz, primii doi biti ai lui Transform(m)sunt 01 sau 10 si o modificare a lor ofera o codificare valida alui m.
I Tag-ul ramane valid pentru ca este aplicat pe m;
I Daca ınsa primul bit al lui m este 0, c modificat nu estevalid...
I ... pentru ca primii doi biti din Transform(m) sunt 00 si princomplementare devin 11;
I Atacul poate fi aplicat pe fiecare bit din m, recuperand astfelıntreg mesajul m.
Criptografie si Securitate 13/17 ,
![Page 37: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/37.jpg)
Securitate Autentificare-apoi-criptare
I Pentru ca ın acest caz, primii doi biti ai lui Transform(m)sunt 01 sau 10 si o modificare a lor ofera o codificare valida alui m.
I Tag-ul ramane valid pentru ca este aplicat pe m;
I Daca ınsa primul bit al lui m este 0, c modificat nu estevalid...
I ... pentru ca primii doi biti din Transform(m) sunt 00 si princomplementare devin 11;
I Atacul poate fi aplicat pe fiecare bit din m, recuperand astfelıntreg mesajul m.
Criptografie si Securitate 13/17 ,
![Page 38: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/38.jpg)
Securitate Autentificare-apoi-criptare
I Pentru ca ın acest caz, primii doi biti ai lui Transform(m)sunt 01 sau 10 si o modificare a lor ofera o codificare valida alui m.
I Tag-ul ramane valid pentru ca este aplicat pe m;
I Daca ınsa primul bit al lui m este 0, c modificat nu estevalid...
I ... pentru ca primii doi biti din Transform(m) sunt 00 si princomplementare devin 11;
I Atacul poate fi aplicat pe fiecare bit din m, recuperand astfelıntreg mesajul m.
Criptografie si Securitate 13/17 ,
![Page 39: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/39.jpg)
I Totusi, anumite instantieri ale acestei combinatii pot fi sigure;
I O astfel de combinatie este folosita si ın SSL.
Criptografie si Securitate 14/17 ,
![Page 40: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/40.jpg)
Securitate Criptare-apoi-autentificare
3. Criptare-apoi-autentificare
I Combinatia aceasta este ıntotdeauna sigura; se foloseste ınIPsec;
I Desi folosim aceeasi constructie pentru a obtine securitateCCA si transmitere sigura a mesajelor, scopurile urmarite suntdiferite ın fiecare caz;
Criptografie si Securitate 15/17 ,
![Page 41: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/41.jpg)
Securitate Criptare-apoi-autentificare
3. Criptare-apoi-autentificare
I Combinatia aceasta este ıntotdeauna sigura; se foloseste ınIPsec;
I Desi folosim aceeasi constructie pentru a obtine securitateCCA si transmitere sigura a mesajelor, scopurile urmarite suntdiferite ın fiecare caz;
Criptografie si Securitate 15/17 ,
![Page 42: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/42.jpg)
Securitate Criptare-apoi-autentificare
3. Criptare-apoi-autentificare
I Combinatia aceasta este ıntotdeauna sigura; se foloseste ınIPsec;
I Desi folosim aceeasi constructie pentru a obtine securitateCCA si transmitere sigura a mesajelor, scopurile urmarite suntdiferite ın fiecare caz;
Criptografie si Securitate 15/17 ,
![Page 43: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/43.jpg)
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
![Page 44: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/44.jpg)
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
![Page 45: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/45.jpg)
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
![Page 46: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/46.jpg)
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
![Page 47: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/47.jpg)
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
![Page 48: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/48.jpg)
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
![Page 49: riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si Securitate - Prelegerea 13 - Con dent˘ialitate ˘si autenti carea mesajelor Adela Georgescu,](https://reader030.vdocuments.net/reader030/viewer/2022040513/5e6635c6ea3bbd77cf70982e/html5/thumbnails/49.jpg)
Important de retinut!
I Metoda sigura de a combina criptarea si autentificarea estecriptare-apoi-autentificare;
I Este important sa se foloseasca chei simetrice diferite pentru aatinge scopuri diferite (criptare si autentificare).
Criptografie si Securitate 17/17 ,