Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Transcript

1 Κρυπτοσυστήματα Διακριτού Λογαρίθμου Παναγιώτης Γροντάς - Άρης Παγουρτζής 27/11/2018 ΕΜΠ - Κρυπτογραφία ( ) Κρυπτοσυστήματα Διακριτού Λογαρίθμου 1 / 57

2 Περιεχόμενα Διακριτός Λογάριθμος: Προβλήματα και Αλγόριθμοι Το κρυπτοσύστημα ElGamal (Ορισμός, Ασφάλεια, Παραλλαγές) Σχήματα Δέσμευσης με βάση το DLP Διαμοιρασμός απορρήτων - Shamir Secret Sharing - Threshold ElGamal Κρυπτοσυστήματα Διακριτού Λογαρίθμου 2 / 57

3 DLP

4 Προβλήματα Διακριτού Λογαρίθμου - (Υπενθύμιση) DLP - Το πρόβλημα του Διακριτού Λογαρίθμου Δίνεται μια κυκλική ομάδα G = g τάξης q και ένα τυχαίο στοιχείο y G Να υπολογιστεί x Z q ώστε g x = y δηλ. το log g y Z q CDHP - Το υπολογιστικό πρόβλημα Diffie Hellman Δίνεται μια κυκλική ομάδα G = g, δύο στοιχεία y 1 = g x 1, y 2 = g x 2 Να υπολογιστεί το g x 1 x 2 DDHP - Το πρόβλημα απόφασης Diffie Hellman Δίνεται μια κυκλική ομάδα G = g, δύο στοιχεία y 1 = g x 1, y 2 = g x 2 και κάποιο y G Να εξεταστεί αν y = g x 1 x 2 ή ισοδύναμα μπορούμε να ξεχωρίσουμε τις τριάδες (g x 1, g x 2, g x 1x 2 ) και (g x 1, g x 2, y); Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 3 / 57

5 Σχέσεις Προβλημάτων - (Υπενθύμιση) CDHP DLP Αν μπορούμε να λύσουμε το DLP, τότε μπορούμε να υπολογίζουμε τα x 1, x 2 από τα y 1, y 2 και στην συνέχεια το g x 1 x 2 DDHP CDHP Αν μπορούμε να λύσουμε το CDHP, υπολογίζουμε το g x 1 x 2 και ελέγχουμε ισότητα με το y Δηλαδή: DDHP CDHP DLP Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 4 / 57

6 Random Self - Reducibility Θεώρημα Εστω ομάδα G τάξης q και g G. Έστω A PPT αλγόριθμος με την εξής ιδιότητα: u R G : Pr[A(u) = DL(u)] = ϵ Υπάρχει PPT αλγόριθμος B με την ιδιότητα: u G, B(u) {fail, x} Pr[x = DL(u)] = ϵ Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 5 / 57

7 Random Self - Reducibility Απόδειξη Ο αλγόριθμος B είναι ο εξής: Είσοδος u G σ R Z q u 1 u g σ a 1 A(u 1 ) if g a1 u 1 then return fail else return a 1 σ end Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 6 / 57

8 Random Self - Reducibility (Παρατηρήσεις) Με n 1 ϵ επαναλήψεις η πιθανότητα επιτυχίας είναι: Pr[B(u) = DL(u)] = 1 (1 ϵ) n 1 ϵ 1 e n Συμπέρασμα: Εύκολο DLP για μη αμελητέο ποσοστό τυχαίων στοιχείων, εύκολο για όλα τα στοιχεία της ομάδας Συνέπεια: Κατάλληλα Δύσκολα προβλήματα για κρυπτογραφία: Δύσκολα στη χειρότερη περίπτωση και Random Self - Reducible (δύσκολα στη μέση περίπτωση) Δεν ισχύει για όλα τα NP-hard προβλήματα Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 7 / 57

9 Επιλογή Ομάδας Καθορίζει τη δυσκολία του προβλήματος Δύο επιλογές: (Z p, ) με p πρώτο (σε υποομάδα) Λόγοι: Δυσκολότερο το DLP Τετριμμένη εύρεση γεννήτορα (όλα τα στοιχεία εκτός από το 1) Εύκολη εύρεση αντίστροφου (E(F p ), +) (Ελλειπτικές καμπύλες: Λογάριθμος αφορά πρόσθεση) ίδια επίπεδα ασφάλειας με μικρότερη τιμή παραμέτρου ασφάλειας Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 8 / 57

10 Αλγόριθμοι DL Brute Force Για ομάδα G = g τάξης q λ bits Δοκιμή όλων των x Z q μέχρι να βρεθεί τέτοιο ώστε g x = y Πολυπλοκότητα O(2 λ ) Γενικευμένη μέθοδος - δεν εξαρτάται απο χαρακτηριστικά ομάδας Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 9 / 57

11 Αλγόριθμος Baby step - Giant Step (Shanks) Αλγόριθμος Meet-In-The Middle Στόχος: εύρεση x : y = g x Βασική ιδέα: x Z, k, a, b Z : x = ak + b, y = g x y = g ak g b yg ak = g b Θα υπολογίζουμε g b και yg ak μέχρι να συναντηθούν 1. Ξεκινάμε στη μέση : k = q 2. Baby steps - μέγεθος 1: Υπολογίζουμε g b, b {0, 1,, k 1} και αποθηκεύουμε 3. Giant steps - μέγεθος k: Υπολογίζουμε yg ak, a {0, 1,, k 1} και το αναζητούμε στα αποτελέσματα του Βημ Όταν βρεθεί υπολογίζουμε: x = ak + b Πολυπλοκότητα Χρόνου: O(2 λ 2 ) - Βέλτιστη για γενικευμένο Πολυπλοκότητα Χώρου: O(2 λ 2 ) - Βέλτιστη αυτή του Pollard rho σταθερή Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 10 / 57

12 Παράδειγμα Baby step - Giant Step Θέλουμε το 2 x = 17 (mod 29) στο Z 29 = 2, 29 = 6 b {0 5} 2 0 = 1 (mod 29) 2 1 = 2 (mod 29) 2 2 = 4 (mod 29) 2 3 = 8 (mod 29) 2 4 = 16 (mod 29) 2 5 = 3 (mod 29) a {0 5} = 17 (mod 29) = 37 (mod 29) = 19 (mod 29) = 8 (mod 29) Βρέθηκε Άρα x = = 21 Πράγματι: 2 21 = 17 (mod 29) Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 11 / 57

13 Αλγόριθμος Pohlig-Hellman - Ιδέα Παρατήρηση Η δυσκολία του DLP σε μια ομάδα G εξαρτάται από τη δυσκολία του στις διάφορες υποομάδες της. Συγκεκριμένα Παραγοντοποίηση της τάξης (πχ. στο Z p: p 1 = m i=1 pe i με p i i πρώτο) Επίλυση DLP σε κάθε υποομάδα και συνδυασμός με CRT Smooth Number Μπορεί να παραγοντοποιηθεί σε μικρούς πρώτους - Αν ισχύει για την τάξη επιταχύνει σημαντικά τον αλγόριθμο Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 12 / 57

14 Αλγόριθμος Pohlig-Hellman Παραγοντοποιούμε την τάξη: p 1 = m i=1 pe i i Για κάθε p i γράφουμε x = a 0 + a 1 p i + + a ei 1p e i 1 i με a j {0,, p i 1} (mod p e i i ) Θα υπολογίσουμε τους συντελεστές ως εξής: Για το a 0 ισχύει: y p 1 p i p 1 a0 p = g i (mod p) (1) επειδή: y p 1 p i = (g x ) p 1 p i = g (a0+a1p i+ +a ei 1p e i 1 ) p 1 i p i = g (a0+kp i) p 1 p i = g p 1 a0 p i g Kp i p 1 p i = p 1 a0 p g i (mod p) Υπολογισμός a 0 (πχ. με αλγόριθμο Shanks) Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 13 / 57

15 Αλγόριθμος Pohlig-Hellman Για τον υπολογισμό των υπόλοιπων συντελεστών: Δημιουργούμε ακολουθία {y j } με y 0 = y και y j = y j 1 g (a0+a1p i+ +a j 1 p j 1) i (mod p) Γενικεύοντας την (1) έχουμε: yj Yπολογίζουμε το a j Συνδυασμός λύσεων με CRT p 1 p j+1 i = g a p 1 j p i Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 14 / 57

16 Pohlig-Hellman - παράδειγμα Θέλουμε το 2 x = 17 (mod 29) στο Z 29 = 2 Παραγοντοποιούμε την τάξη: 28 = x 2 = a 0 + 2a 1 (mod 4) και x 7 = a 0 (mod 7) Υπολογισμός a 0 για το x 2 y p 1 2 = g a 0 p = 2 14a a 0 = 28 = 1 (mod 29) Άρα a 0 = 1 Υπολογισμός y 1 για το x 2 y 1 = yg a 0 = = = 23 (mod 29) Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 15 / 57

17 Pohlig-Hellman - παράδειγμα Υπολογισμός a 1 για το x 2 y p = g a 1 p = 2 14a a 1 = 1 (mod 29) Άρα a 1 = 0 Άρα x 2 = = 1 (mod 4) Υπολογισμός a 0 για το x 7 y p 1 7 = g a 0 p = 2 4a 0 2 4a 0 = 1 (mod 29) Άρα a 0 = 0 Άρα x 7 = 0 (mod 7) Από x 2 = = 1 (mod 4) και x 7 = 0 (mod 7) με CRT προκύπτει x = 21 Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 16 / 57

18 Δυσκολία DDHP Θεώρημα To DDHP δεν είναι δύσκολο στην Z p Μπορεί να κατασκευαστεί αποδοτικός αλγόριθμος διαχωρισμού τριάδας DH g a, g b, g ab από μια τυχαία τριάδα g a, g b, g c. Πώς: Χρησιμοποιώντας το σύμβολο Legendre. To σύμβολο Legendre διαρρέει το DLP parity Από τον ορισμό: ( gx p ) = (gx ) p 1 2 Όμως: g p 1 = 1 (mod p) Άρα: g p 1 2 = 1 (mod p) Δηλαδή: ( gx p ) = ( 1)x Αν x μονός τότε ( gx p ) = 1 Αν x ζυγός τότε ( gx p ) = 1 Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 17 / 57

19 Δυσκολία DDHP Για τυχαία τριάδα: Prob[( gc p ) = 1] = 1 2 Για τριάδα DH: Prob[( gab p ) = 1] = 3 4 Algorithm 1 Ο αλγόριθμος διαχωρισμού Υπολόγισε ( ga p gb gc ), ( p ), ( p ) if ( gc ga p ) = 1 (( p ) = 1 ( gb p ) = 1)) then Επιστροφή Τριάδα Diffie Hellman else Επιστροφή Τυχαία Τριάδα end Πλεονέκτημα: 3 8 (γιατί;) ΜΗ ΑΜΕΛΗΤΕΟ Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 18 / 57

20 Επιλογή του G Συνέπειες Δουλεύουμε σε μεγάλη υποομάδα του Z p με τάξη πρώτο q Για παράδειγμα: Επιλογή safe prime: p = 2q + 1 με q πρώτο Δουλεύουμε στην υποομάδα τετραγωνικών υπολοίπων τάξης q Επιλογή schnorr primes p = k q + 1 με q πρώτο Παρ όλα αυτά: Yποεκθετικοί αλγόριθμοι (index calculus) Μεγέθη Symmetric Security p q 80 bits bits bits bits bits Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP 19 / 57

21 Το κρυπτοσύστημα ElGamal

22 Ορισμός ElGamal Δημιουργία Κλειδιών: KeyGen(1 λ ) = (y = g x, x) Επιλογή δύο μεγάλων πρώτων p, q ώστε q (p 1) G: υποομάδα τάξης q του Z p - g γεννήτορας Ιδιωτικό κλειδί: τυχαίο x Z q Δημόσιο κλειδί: y = g x mod p Επιστροφή (y, x) Κρυπτογράφηση Επιλογή τυχαίου r Z q Encrypt y (r, m) = (g r mod p, m y r mod p) Αποκρυπτογράφηση Decrypt x (a, b) = b a x Ορθότητα Decrypt x (Encrypt y (r, m)) = myr (g r ) x = m Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 20 / 57

23 Πρακτικά Θέματα Πιθανοτική Κρυπτογράφηση: Ένα μήνυμα έχει πολλά πιθανά κρυπτοκείμενα Message expansion Κρυπτοκείμενο διπλάσιο του μηνύματος Επιτάχυνση Κρυπτογράφησης Κόστος: 2 υψώσεις σε δύναμη - 1 πολλαπλασιασμός Ύψωση σε δύναμη:δεν εξαρτάται από το μήνυμα (precomputation) Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 21 / 57

24 Ασφάλεια Κρυπτογράφησης Μυστικότητα ElGamal CDHP Αντιστοιχία δημοσίων στοιχείων g x 1 g r g x 2 y = g x g x 1x 2 y r EG CDHP: CDHP Υπολογισμός g x 1x 2 = y r αποκρυπτογράφηση (με εύρεση αντιστρόφου του y r ) CDHP EG: EG Για οποιοδήποτε c G: εύρεση m που αντιστοιχεί στο g x 2, (g x 1, c) (χρήση EG ως oracle αποκρυπτογράφησης με δημόσιο κλειδί g x 2 ) Yπολογισμός g x 1x 2 = c m Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 22 / 57

25 Επανάληψη τυχαιότητας Επίθεση KPA KPA: Γνωρίζουμε ζεύγη μηνυμάτων - κρυπτοκειμένου για τα οποία έχει χρησιμοποιηθεί η ίδια τυχαιότητα Επίθεση (c r, c 1 ) = Encrypt y (r, m 1 ) = (g r mod p, m 1 y r mod p) (c r, c 2 ) = Encrypt y (r, m 2 ) = (g r mod p, m 2 y r mod p) Αν γνωρίζω το (m 1, c 1 ): c 1 = m 1 y r mod p y r = c 1 m 1 1 Μπορώ να υπολογίσω το m 2 ως: m 2 = c 2 y r = c 2 c 1 m 1 1 Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 23 / 57

26 Ασφάλεια σε επιθέσεις CPA Θεώρημα Αν το DDHP είναι δύσκολο, τότε το κρυπτοσύστημα El Gamal διαθέτει ασφάλεια IND-CPA. Απόδειξη: Έστω ότι το ElGamal δεν διαθέτει ασφάλεια IND-CPA. Άρα A, ο οποίος μπορεί να νικήσει στο παιχνίδι CPA με μη αμελητέα πιθανότητα. Κατασκευή B : Είσοδος: τριάδα στοιχείων Εσωτερικά: Προσομοίωση του C στο παιχνίδι CPA και χρήση A Αποτέλεσμα: Ξεχωρίζει DH τριάδα από τυχαία Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 24 / 57

27 Ασφάλεια σε επιθέσεις CPA Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 25 / 57

28 Ασφάλεια σε επιθέσεις CPA Είσοδος: g α, g β, g c Στο CPA-GAME δημόσιο κλειδί y = g α Ο B απαντά στις κρυπτογραφήσεις του A Όταν ο A προκαλέσει με δύο μηνύματα o C διαλέγει τυχαίο bit {0, 1}, κρυπτογραφεί το M b με τυχαιότητα το g β και πολλαπλασιάζει με g c Τελικά στέλνει το: (g β, M b g c ) O A επιστρέφει την τιμή του bit Ο B εξάγει το bit Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 26 / 57

29 Ασφάλεια σε επιθέσεις CPA Ανάλυση Για τριάδα DH: g c = (g α ) β = y β ο A θα λάβει ένα έγκυρο κρυπτοκείμενο ElGamal. H πιθανότητα να μαντέψει σωστά είναι τουλάχιστον: 1/2 + non-negl(λ). Για τυχαία τριάδα: ο A θα πρέπει να μαντέψει τυχαία Πιθανότητα επιτυχίας: 1 2. Τελική πιθανότητα επιτυχίας για B τουλάχιστον non-negl(λ) Μπορεί να ξεχωρίσει μία DH τριάδα από μία τυχαία με μη αμελητέα πιθανότητα. Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 27 / 57

30 Ομομορφικές Ιδιότητες Πολλαπλασιαστικός Ομομορφισμός Encrypt y (r 1, m 1 ) Encrypt y (r 2, m 2 ) = (g r 1, m 1 y r 1 ) (g r 2, m 2 y r 2 ) = (g r 1+r 2, (m 1 m 2 ) y r 1+r 2 ) = Encrypt y (r 1 + r 2, m 1 m 2 ) Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 28 / 57

31 Ομομορφικές Ιδιότητες Reencryption Encrypt y (r 1, m) Encrypt y (r 2, 1) = (g r 1, my r 1 ) (g r 2, y r 1 ) = (g r 1+r 2, my r 1+r 2 ) = Encrypt y (r 1 + r 2, m) Αλλαγή της τυχαιότητας - Αλλαγή της μορφής του μηνύματος...χωρίς γνώση του ιδιωτικού κλειδιού Malleability Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 29 / 57

32 Ομομορφικές Ιδιότητες Προσθετικός Ομομορφισμός - Εκθετικό ElGamal Κρυπτογράφηση του g m αντί για m Encrypt y (r, m) = (g r, g m y r ) Encrypt y (r 1, m 1 ) Encrypt y (r 2, m 2 ) = (g r 1, g m 1 y r 1 ) (g r 2, g m 2 y r 2 ) = (g r 1+r 2, g m 1+m2 y r 1+r 2 ) = Encrypt y (r 1 + r 2, (m 1 + m 2 )) Αποκρυπτογράφηση: Λαμβάνουμε το g m Επίλυση διακριτού λογαρίθμου ( εύκολου ). Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 30 / 57

33 Ασφάλεια σε επιθέσεις CCA To textbook ElGamal δεν διαθέτει CCA-security Έστω ότι ο A μπορεί να αποκρυπτογραφήσει μηνύματα επιλογής του, εκτός του c. Στόχος: Αποκρυπτογράφηση του c = (G, M) = (g r, m b y r ) Κατασκευή c = (G, M ) = (G g r, M ay r ) = (g r+r, a m b y r+r ), όπου a επιλέγεται από τον A H αποκρυπτογράφηση του M ( M G x ) δίνει το am b και κατά συνέπεια το m b Αν m b = m 0 επιστρέφει b = 0 αλλιώς επιστρέφει b = 1 Κρυπτοσυστήματα Διακριτού Λογαρίθμου Το κρυπτοσύστημα ElGamal 31 / 57

34 Cramer-Shoup cryptosystem

35 ElGamal CCA2: Cramer-Shoup cryptosystem Ronald Cramer, Victor Shoup, Crypto 1998 Επέκταση του ElGamal Χρήση συνάρτησης σύνοψης H (υπάρχουν εκδόσεις και χωρίς) Αν ισχύει η υπόθεση DDH, τότε παρέχει IND-CCA2 Κρυπτοσυστήματα Διακριτού Λογαρίθμου Cramer-Shoup cryptosystem 32 / 57

36 ElGamal CCA2: Cramer-Shoup cryptosystem Δημιουργία Κλειδιών Επιλογή πρώτων p, q με p = 2q + 1 G ειναι η υποομάδα ταξης q στο Z p Επιλογή random generators g 1, g 2 Επιλογή τυχαίων στοιχείων x 1, x 2, y 1, y 2, z Z q Υπολογισμός c = g x1 1 gx2 2 d = g y1 1 gy2 2 h = g z 1 Δημόσιο Κλειδί: (c, d, h) Μυστικό Κλειδί: (x 1, x 2, y 1, y 2, z) Κρυπτοσυστήματα Διακριτού Λογαρίθμου Cramer-Shoup cryptosystem 33 / 57

37 ElGamal CCA2: Cramer-Shoup cryptosystem Κρυπτογράφηση Κωδικοποίηση μηνύματος m στο G Επιλογή τυχαίου r Z q Υπολογισμός u 1 = g r 1, u 2 = g r 2 e = mh r α = H (u 1 u 2 e) v = c r d rα Κρυπτογράφημα: (u 1, u 2, e, v) Κρυπτοσυστήματα Διακριτού Λογαρίθμου Cramer-Shoup cryptosystem 34 / 57

38 ElGamal CCA2: Cramer-Shoup cryptosystem Αποκρυπτογράφηση Υπολογισμός α = H (u 1 u 2 e) Έλεγχος αν u x 1 1 u x 2 2 (u y 1 1 uy 2 2 )α = v. Σε περίπτωση αποτυχίας έξοδος χωρίς αποκρυπτογράφηση Σε περίπτωση επιτυχίας υπολογισμός m = e u z 1 Κρυπτοσυστήματα Διακριτού Λογαρίθμου Cramer-Shoup cryptosystem 35 / 57

39 ElGamal CCA2: Cramer-Shoup cryptosystem Ορθότητα e u z 1 = mhr u z 1 = m gzr 1 g rz 1 = m h, z αντιστοιχούν σε δημόσιο - ιδιωτικό κλειδί ElGamal u 1, e αντιστοιχούν στο κρυπτογράφημα του ElGamal Παρατηρήσεις u 2, v λειτουργούν ως έλεγχος ακεραιότητας, ώστε να μπορεί να αποφευχθεί το malleability Διπλάσια πολυπλοκότητα από ElGamal τόσο σε μέγεθος κρυπτοκειμένου, όσο και σε υπολογιστικές απαιτήσεις Κρυπτοσυστήματα Διακριτού Λογαρίθμου Cramer-Shoup cryptosystem 36 / 57

40 DLP-based Commitment Schemes

41 DLP-based Commitment Schemes Coin Flipping over the telephone Η Alice και o Bob διαφωνούν (τηλεφωνικά) για το πού θα πάνε Αποφασίζουν να ρίξουν δύο νομίσματα (απομακρυσμένα) Ίδιο αποτέλεσμα: διαλέγει η Alice Διαφορετικό Αποτέλεσμα: διαλέγει ο Bob Προβλήματα; Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP-based Commitment Schemes 37 / 57

42 DLP-based Commitment Schemes Λύση: Commitment Schemes Ιδιότητες Hiding - Προστατεύει αποστολέα - καθώς δεν μπορεί να διαρρεύσει το μήνυμά του Binding - Προστατεύει παραλήπτη - καθώς ο αποστολέας δεν μπορεί να αλλάξει την τιμή του εκ των υστέρων Χρήση randomization για προστασία από brute-force επιθέσεις Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP-based Commitment Schemes 38 / 57

43 Pedersen commitment Επιλογή ομάδας με δύσκολο DLP από TTP Επιλογή πρώτου q ώστε p = 2q + 1 πρώτος G = g υπομάδα τάξης q του Z p Επιλογή τυχαίου h (ή x Z q και h = g x ) Δημοσιοποίηση g, G, p, q, h Δέσμευση: c = commit(m, r) = g m h r mod p Αποκάλυψη: Αποστολή m, r Επαλήθευση: c =? g m h r Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP-based Commitment Schemes 39 / 57

44 Ιδιότητες - Information Theoretically Hiding c = g m h r = g m+xr (mod p) Ακόμα και ένας παντοδύναμος αντίπαλος να μπορεί να λύσει το DLP θα έχει μία εξίσωση της μορφής d = m + xr (mod q) 2 άγνωστοι (m, r) - 1 εξίσωση Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP-based Commitment Schemes 40 / 57

45 Ιδιότητες - Computationally Binding Aν το DLP είναι δύσκολο τότε το σχήμα δέσμευσης είναι binding Έστω c = commit(m, r) = commit(m, r ) με m m m + xr = m + xr ΑΤΟΠΟ DL-based collision resistance g m h r = g m h r g m+xr = g m +xr (mod q) x = m m r r Κρυπτοσυστήματα Διακριτού Λογαρίθμου DLP-based Commitment Schemes 41 / 57

46 Secret Sharing - Threshold Cryptosystems

47 Διαμοιρασμός απορρήτων - Εισαγωγή Το πρόβλημα Κλειδιά: κρίσιμα κρυπτογραφικά δεδομένα (όχι τα μόνα) Για παράδειγμα: ιδιωτικό κλειδί Δύναμη αποκρυπτογράφησης Δύναμη υπογραφής Λύση Δεν θέλουμε να είναι στην φυσική κατοχή μίας οντότητας (μόνο) Βασικό συστατικό Secure Multi Party Computation Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 42 / 57

48 Additive secret sharing Έστω (G, +) μια ομάδα και s G το μυστικό το οποίο θέλουμε να μοιράσουμε σε n παίκτες Διαλέγουμε τυχαία s 1, s n 1 G Θέτουμε s n = s n 1 i=1 s i Μοιράζουμε τα {s i } n i=1 στους παίκτες Ανακατασκευή s = n i=1 s i Παραλλαγή: Αν s {0, 1} l τότε υλοποίηση με XOR s n = s ( n 1 i=1 s i) Ασφάλεια: Κανένα υποσύνολο από n 1 παίκτες δεν μπορεί να ανακατασκευάσει το s Πρόβλημα: Ένας παίκτης μπορεί να ακυρώσει την ανακατασκευή Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 43 / 57

49 Threshold Secret Sharing Παραλλαγή για ευελιξία: (t, n) threshold secret sharing Ένα μυστικό s πρέπει να μοιραστεί σε n παίκτες P 1, P 2, P n ώστε: Οποιοδήποτε υποσύνολο από τουλάχιστον t παίκτες να μπορεί να το ανακτήσει Κανένα υποσύνολο με t 1 παίκτες να μην μπορεί Υπόθεση Εμπιστευόμαστε τον διανομέα D και τους παίκτες Λύση: Shamir secret sharing - Βασίζεται σε πολυώνυμα σε πεπερασμένο σώμα F με s F, F > n Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 44 / 57

50 Πολυωνυμική παρεμβολή Έστω ένα πολυώνυμο βαθμού t 1: p(x) = a 0 + a 1 x + + a t 1 x t 1 Μπορεί να ανακατασκευαστεί από t σημεία (x i, p(x i )) με διαφορετικές τετμημένες (με μοναδικό τρόπο) Υπάρχουν άπειρα πολυώνυμα βαθμού t που περνούν από t σημεία Υπάρχει μοναδικό πολύωνυμο βαθμού t 1 που περνά από t σημεία Κατασκευή με συντελεστές Lagrange λ i (x) = t k=1,k i x x k x i x k Προκύπτει το L(x) = t i=1 p(x i)λ i (x) = p(x 1 )λ 1 (x) + + p(x t )λ t (x) Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 45 / 57

51 Shamir secret sharing: Διανομή Υποθέτουμε ότι διαθέτουμε έναν έμπιστο διανομέα: Επιλέγει και δημοσιοποιεί ένα πρώτο p Επιλέγει t 1 συντελεστές ενός πολυωνύμου βαθμού t {a t 1,, a 1 } R Z p Θέτει ως σταθερό όρο το μυστικό s Προκύπτει το πολυώνυμο p(x) = a t 1 x t a 1 x + s (mod p) p(0) = s Μοιράζει στον παίκτη i την τιμή (i, p(i)) (ή (x i, p(x i )), x i R Z p ) Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 46 / 57

52 Shamir secret sharing: Ανακατασκευή Παρατήρηση: Δεν μας ενδιαφέρει να υπολογίσουμε το πολυώνυμο p αλλά το μυστικό p(0) = s Κάθε παίκτης i υπολογίζει τους συντελεστές Lagrange λ i (0) = t k k=1,k i i k mod p t παίκτες μπορούν να υπολογίσουν το p(0) ως: t i=1 p(i)λ i(0) mod p Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 47 / 57

53 Παρατηρήσεις I Πληροφοριοθεωρητική ασφάλεια αν ο αντίπαλος διαθέτει λιγότερα μερίδια Μπορούν να προστεθούν εύκολα καινούρια μερίδια, χωρίς να αλλάξουν τα παλιά: Υπολογισμός νέων σημείων Εύκολη αντικατάσταση μεριδίων: Υπολογισμός νέων σημείων (πρέπει να γίνει ασφαλής καταστροφή των παλιών) Σημαντικοί παίκτες: περισσότερα από ένα μερίδια Αλλαγή Μεριδίων: Τροποποίηση πολυωνύμου χωρίς να αλλάξει το μυστικό Ομομορφικές ιδιότητες (άθροισμα πολυωνύμων είναι πολυώνυμο) s 1 + s 2 = f(0) + g(0) = (f + g)(0) Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 48 / 57

54 Παρατηρήσεις II Μειονεκτήματα: Εμπιστοσύνη Κακόβουλος διανομέας: Λανθασμένα μερίδια σε τμήμα των παικτών Κακόβουλος παίκτης: Παροχή λανθασμένων μεριδίων κατά τη διάρκεια της ανακατασκευής Λύση: Συνδυασμός με σχήμα δέσμευσης (Verifiable Secret Sharing) Ο διανομέας μαζί με τα μερίδια παρέχει και δεσμεύσεις για τους συντελεστές Οι παίκτες επαληθεύουν ότι οι δεσμεύσεις δίνουν το σημείο τους Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 49 / 57

55 Feldman Verifiable Secret Sharing Υποθέσεις Ομάδα G τάξης q με γεννήτορα g με δύσκολο DLP Υπολογιστική Ασφάλεια Για απλότητα χρήση συνάρτησης σύνοψης H για δέσμευση Για ασφάλεια: Απαιτείται έντιμη πλειοψηφία (το πολύ t 1 corrupted / τουλάχιστον t honest) Οποιοδήποτε σύνολο από t honest θα ανακατασκευάσει το μυστικό Για έντιμο διανομέα: το μυστικό είναι το σωστό Οι corrupted δεν μαθαίνουν τίποτα για το s Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 50 / 57

56 Feldman Verifiable Secret Sharing: Διαμοιρασμός s Ο διανομέας: Επιλογή a 0 R Z q Διαμοιρασμός του a 0 με Shamir Secret Sharing Επιλογή a 1,, a t 1 R Z q Ορισμός p(x) = a 0 + t 1 j=1 a j x j Αποστολή s i = p(i) στον P i Broadcast: {A j = g a j} t 1 j=0 και c = H(a 0 ) s Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 51 / 57

57 Feldman Verifiable Secret Sharing: Φάση επαλήθευσης Κάθε παίκτης P i υπολογίζει: t 1 t 1 t 1 c i = (A j ) ij = (g a j ) ij = g a j i j t 1 = g j=0 a j i j = g p(i) j=0 j=0 j=0 Αν ο διανομέας είναι έμπιστος θα ισχύει: c i = g p(i) = g s i Επαλήθευση σχέσης: Αν δεν ισχύει ο P i τερματίζει ανεπιτυχώς Αν τερματίσουν πάνω από t χρήστες, ο διανομέας δεν είναι έμπιστος: τερματισμός Αν τερματίσουν λιγότεροι από t χρήστες: Φταίει ο P i - επανάληψη s i Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 52 / 57

58 Feldman Verifiable Secret Sharing: Φάση ανακατασκευής Συγκέντρωση τουλάχιστον t μεριδίων - υπολογισμός a 0 Υπολογισμός s = H(a 0 ) c Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 53 / 57

59 Εφαρμογή: Threshold ElGamal I Δημιουργία Κλειδιών από (trusted) dealer Οι παίκτες είναι αρχές που συνεργάζονται στην αποκρυπτογράφηση Επιλογή δύο μεγάλων πρώτων p, q ώστε q (p 1) Επιλογή της υποομάδας τάξης q του Z και γεννήτορα g Επιλογή τυχαίου x Z q Κανονικός υπολογισμός δημοσίου κλειδιού y = g x mod p Χρήση σχήματος Shamir για διαμοιρασμό του ιδιωτικού x (mod q) Αποτέλεσμα: Δημόσιο κλειδί και μερίδια KeyGen(1 λ ) = (y, {i, p(i)} n i=1 ) Κρυπτογράφηση Κανονικά Encrypt(y, m) = (G, M) = (g r, m y r ) Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 54 / 57

60 Εφαρμογή: Threshold ElGamal II Αποκρυπτογράφηση: Σε δύο βήματα 1. Αποκρυπτογράφηση μεριδίων Κάθε παίκτης υπολογίζει και δημοσιοποιεί το c i = G p(i) mod p 2. Συνδυασμός Συγκεντρώνονται t αποκρυπτογραφημένα μερίδια (i, c i ) τα οποία συνδυάζονται ως: C = i c λ i (0) i = i G p(i)λ i (0) = G i p(i)λ i (0)) = G p(0) = G x όπου λ i οι συντελεστές Lagrange Αποκρυπτογράφηση ως: M C Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 55 / 57

61 Παρατηρήσεις Υπολογιστική ασφάλεια ως προς τα c i Ίδια κρυπτογράφηση Αποκρυπτογράφηση χωρίς ανακατασκευή του ιδιωτικού κλειδιού (δυνατότητα επαναχρησιμοποίησης) Κρυπτοσυστήματα Διακριτού Λογαρίθμου Secret Sharing - Threshold Cryptosystems 56 / 57

62 Πηγές

63 Βιβλιογραφία i Παγουρτζής, Α., Ζάχος, Ε., ΓΠ, Υπολογιστική κρυπτογραφία. [ηλεκτρ. βιβλ.] Αθήνα:Σύνδεσμος Ελληνικών Ακαδημαϊκών Βιβλιοθηκών Jonathan Katz and Yehuda Lindell. Introduction to Modern Cryptography (Chapman and Hall/Crc Cryptography and Network Security Series). Chapman and Hall/CRC, 2007 Nigel Smart. Introduction to cryptography Paar, Christof, and Jan Pelzl. Understanding cryptography: a textbook for students and practitioners. Springer Science-Business Media, Kiayias, Aggelos Cryptography primitives and protocols, UoA, 2015 Dan Boneh, Introduction to cryptography, online course Torben Pryds Pedersen. Non-interactive and information-theoretic secure verifiable secret sharing. In CRYPTO 91, pages , 1991 Victor Shoup Why chosen ciphertext security matters, 1998 Adi Shamir, How to share a secret. Communications of the ACM (1979): Helger Lipmaa, Cryptography and Data Security, Lecture 9: Secret Sharing, Threshold Cryptography, MPC J. Kuhn The Mathematics of Secret Sharing Κρυπτοσυστήματα Διακριτού Λογαρίθμου Πηγές 57 / 57