Πιθανοκρατικός αυτόματος έλεγχος μοντέλου του μηχανισμού ασφαλείας Oblivious Transfer

Transcript

1 ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΣΧΟΛΗ ΘΕΤΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ Πιθανοκρατικός αυτόματος έλεγχος μοντέλου του μηχανισμού ασφαλείας Oblivious Transfer ΑΛΕΞΙΟΥ ΝΙΚΟΛΑΟΣ επιβλέπων καθηγητής: Δρ. ΠΑΝΑΓΙΩΤΗΣ ΚΑΤΣΑΡΟΣ μέλη επιτροπής κρίσης: Αν. Καθηγητητής Ι. Σταμέλος Επ. Καθηγητής Ν. Βασιλειάδης 2/3/2010

2 Ευχαριστώ τους γονείς μου για την πολυετή την υποστήριξή τους και τους Δρ. Παναγιώτη Κατσαρό και Στυλιανό Μπασαγιάννη για την καθοδήγηση και πολύτιμη βοήθειά τους. 2

3 Contents ΠΡΟΛΟΓΟΣ... 4 ΤΟ ΕΡΓΑΛΕΙΟ ΑΥΤΟΜΑΤΟΥ ΕΛΕΓΧΟΥ ΜΟΝΤΕΛΩΝ PRISM... 5 ΑΝΑΛΥΣΗ ΠΡΩΤΟΚΟΛΛΩΝ ΑΣΦΑΛΕΙΑΣ ΜΕ ΠΙΘΑΝΟΚΡΑΤΙΚΟ ΕΛΕΓΧΟ ΜΟΝΤΕΛΩΝ... 6 Εισαγωγή... 6 Βασικές έννοιες του πιθανοκρατικού ελέγχου μοντέλων... 6 RSA : ΚΡΥΠΤΟΓΡΑΦΙΚΟΣ ΑΛΓΟΡΙΘΜΟΣ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ... 8 AES : ΚΡΥΠΤΟΓΡΑΦΙΚΟΣ ΑΛΓΟΡΙΘΜΟΣ ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ... 8 Ο ΜΗΧΑΝΙΣΜΟΣ OBLIVIOUS TRANSFER... 9 Εισαγωγή στον μηχανισμό Oblivious transfer... 9 Παραλλαγές του Oblivious Transfer... 9 Ιδιότητες του OBLIVIOUS TRANSFER Εφαρμογές του μηχανισμού OBLIVIOUS TRANSFER Επεκτείνοντας αποδοτικά τον μηχανισμό ΟΤ Ο μηχανισμός ΟΤ m out of n Ιδιότητες του μηχανισμού m out of n OT ΤΟ ΜΟΝΤΕΛΟ ΤΟΥ ΜΗΧΑΝΙΣΜΟΥ m out of n OT Ανάλυση του κώδικα Ανάλυση του πρωτοκόλλου Ανάλυση κόστους αποστολέα Ανάλυση κόστους παραλήπτη Συγκριτική ανάλυση των μερών του πρωτοκόλλου ΕΠΙΛΟΓΟΣ ΑΝΑΦΟΡΕΣ ΠΑΡΑΡΤΗΜΑ Α

4 ΠΡΟΛΟΓΟΣ Ο αυτόματος έλεγχος μοντέλων (model checking) πρωτοκόλλων ασφαλείας και η εφαρμογή τυπικών μεθόδων επαλήθευσης στον τομέα της ασφάλειας είναι μια καινοτόμος μέθοδος, που μπορεί να προσφέρει πολλά πλεονεκτήματα προς την κατεύθυνση εύρεσης κενών ασφαλείας και απειλών. Έτσι καθίσταται δυνατή η επαλήθευση της ασφάλειας επικοινωνίας μέσα από την ανάπτυξη σαφώς ορισμένων μοντέλων που χρησιμεύουν ως ένα ισχυρό μαθηματικό εργαλείο ανάλυσης της συμπεριφοράς των πρωτοκόλλων. Με τις τυπικές μεθόδους επαλήθευσης είναι δυνατό να εντοπιστούν κενά ασφαλείας τα οποία πιθανότατα θα αποτελέσουν αιτία παραβίασης των εγγυήσεων που υποτίθεται ότι προσφέρει ένα κρυπτογραφικό πρωτόκολλο. Τα αποτελέσματα της οποιασδήποτε δυσλειτουργίας πρωτοκόλλων ασφαλείας μπορεί να οικονομικές συνέπειες ή να θέτουν σε κίνδυνο τα συμφέροντα των συμμετεχόντων. Ωστόσο οι περισσότερες τυπικές μέθοδοι ανάλυσης εστιάζουν κυρίως στον έλεγχο βασικών ιδιοτήτων ασφαλείας, όπως η απόκρυψη (secrecy) και η αυθεντικοποίηση (authentication). Εφαρμόζοντας ποσοτική ανάλυση σε πρωτόκολλα ασφαλείας είναι δυνατό να εξαχθούν χρήσιμα συμπεράσματα, όπως η αποδοτικότητα του πρωτοκόλλου. Ο όρος αποδοτικότητα αναφέρεται στο υπολογιστικό κόστος των συμμετεχόντων, δηλαδή το κόστος κρυπτογραφήσεων και αποκρυπτογραφήσεων και το κόστος εκθετικών πράξεων. Ο μηχανισμός Oblivious Transfer [7, 11, 17, 18] που προτάθηκε από τον Michael O. Rabin είναι ένα πρωταρχικό κρυπτογραφικό πρωτόκολλο, που μπορεί να χρησιμοποιηθεί στον πυρήνα άλλων κρυπτογραφικών μηχανισμών με λειτουργίες όπως ανταλλαγή μυστικού κλειδιού, ηλεκτρονική υπογραφή σύμβασης [18], σχήματα κεκαλυμμένων υπογραφών [19, 20, 21]. Στο πρωτόκολλο Oblivious Transfer συμμετέχουν δύο μέρη, ένας αποστολέας και ένας παραλήπτης. Στη γενική του μορφή ο παραλήπτης επιλέγει κάποια από τα μυστικά που στέλνει ο αποστολέας αγνοώντας αυτά που δεν επιλέγει, ενώ ο αποστολέας δεν έχει τρόπο να γνωρίζει σχετικά με τις επιλογές του παραλήπτη. Στην παρούσα εργασία γίνεται η ανάλυση του μηχανισμού ασφαλείας m out of n Oblivious Transfer με το εργαλείο πιθανοκρατικού αυτόματου ελέγχου μοντέλων PRISM. Η ανάλυση έχει ως στόχο την επαλήθευση των βασικών ιδιοτήτων ασφαλείας του μηχανισμού, αλλά και την ποσοτική συγκριτική ανάλυση των συμμετεχόντων μερών υπό το πρίσμα της αποδοτικότητας εκτέλεσης. Η ανάλυση του μοντέλου του Oblivious Transfer γίνεται μοντελοποιώντας την αλληλεπίδραση των δύο μερών του πρωτοκόλλου με μία Μαρκοβιανή Αλυσίδα Διακριτού Χρόνου (Discrete Time Markov Chain). Σto σχήμα m out of n ο παραλήπτης λαμβάνει ακριβώς m από τα n μηνύματα που στέλνει ο αποστολέας (m < n). Τα δύο μέρη του 4

5 πρωτοκόλλου συμφωνούν σε έναν αλγόριθμο δημοσίου κλειδιού όπως τον RSA και έναν αλγόριθμο ιδιωτικού κλειδιού όπως τον AES, με τους οποίους κρυπτογραφούνται τα μηνύματα που ανταλλάσσονται. Η ποσοτική ανάλυση βασίζεται στα διαφορετικά μήκη κλειδιών που μπορεί να χρησιμοποιηθούν για τον RSA αλγόριθμο, όπως για παράδειγμα 128 bit, 512 bit, 1024 bit και 2048 bit, που βέβαια προσφέρουν διαφορετικά επίπεδα ασφάλειας επιφέροντας ένα αντίστοιχο κόστος αποδοτικότητας εκτέλεσης. ΤΟ ΕΡΓΑΛΕΙΟ ΑΥΤΟΜΑΤΟΥ ΕΛΕΓΧΟΥ ΜΟΝΤΕΛΩΝ PRISM Πολλά εργαλεία έχουν αναπτυχθεί για τον αυτόματο έλεγχο μοντέλων και ένα από τα πιο αξιόλογα και πετυχημένα είναι το PRISM, που αναπτύχθηκε από το πανεπιστήμιο του Birmingham. Το PRISM εκτελεί πιθανοκρατική ανάλυση μοντέλου της συμπεριφοράς ενός συστήματος. Επίσης είναι δυνατή η ποσοτική ανάλυση του μοντέλου κάνοντας χρήση παραμετροποιήσιμων επεκτάσεων με δεδομένα κόστους. Η ποσοτική ανάλυση μπορεί να αφορά το κόστος των μερών του πρωτοκόλλου, ή τον αριθμό μηνυμάτων που ανταλλάσσονται κλπ. Το εργαλείο υποστηρίζει μοντέλα τριών τύπων: Μαρκοβιανές Αλυσίδες Διακριτού Χρόνου (DTMC s), Μαρκοβιανές Αλυσίδες Συνεχούς Χρόνου (CTMCs) και Μαρκοβιανές Διαδικασίες Απόφασης (MDPs) [22]. Το PRISM μπορεί να χρησιμοποιηθεί για την ανάλυση συστημάτων από ένα ευρύ φάσμα εφαρμογών που περιλαμβάνει πρωτόκολλα επικοινωνίας, πρωτόκολλα ασφαλείας, βιολογικά συστήματα κλπ. Παραδείγματα τέτοιων εφαρμογών είναι η ανάλυση των Bluetooth και FireWire πρωτοκόλλων, όπως και του HIP (Host Identity Protocol) [14, 16]. Τα μοντέλα ορίζονται χρησιμοποιώντας τη γλώσσα του PRISM, μια γλώσσα κατάλληλη για την αναπαράσταση μοντέλων πεπερασμένων καταστάσεων. Το PRISM προσφέρει υποστήριξη για αυτόματη ανάλυση ποσοτικών ιδιοτήτων, όπως π.χ. ποια είναι η πιθανότητα για ένα συγκεκριμένο γεγονός να συμβεί, ποια είναι η πιθανότητα να συμβεί το χειρότερο σενάριο εκτέλεσης του συστήματος ως προς ένα κριτήριο, ποιο θα είναι το μέγεθος της ουράς αιτήσεων μετά από 30 λεπτά λειτουργίας κ.ο.κ. Η γλώσσα ερωτημάτων στην οποία περιγράφονται οι ιδιότητες προς εξέταση, περιλαμβάνει τελεστές από τις χρονικές λογικές PCTL, CSL, LTL και PCTL*, καθώς και κατάλληλες επεκτάσεις για την έκφραση ποσοτικών ιδιοτήτων. Το PRISM κάνει χρήση συμβολικών δομών δεδομένων και αλγορίθμων, που βασίζονται σε BDDs (Binary Decision Diagrams) και MTBDDs (Multi Terminal Binary Decision Diagrams). Επίσης, προσφέρει δυνατότητες προσομοίωσης διακριτού χρόνου για την παραγωγή σεναρίων εκτέλεσης του συστήματος. 5

6 ΑΝΑΛΥΣΗ ΠΡΩΤΟΚΟΛΛΩΝ ΑΣΦΑΛΕΙΑΣ ΜΕ ΠΙΘΑΝΟΚΡΑΤΙΚΟ ΕΛΕΓΧΟ ΜΟΝΤΕΛΩΝ Εισαγωγή Τα πρωτόκολλα ασφαλείας παρουσιάζουν συχνά απρόβλεπτη συμπεριφορά στη χρήση τους από ειλικρινείς οντότητες μέρη του πρωτοκόλλου, που συνήθως οφείλεται σε κακόβουλους χρήστες. Αυτό καθιστά τον αυτόματο έλεγχο μοντέλων και κατ επέκταση τον πιθανοκρατικό έλεγχο μοντέλων μια ελπιδοφόρα προσέγγιση για την ποσοτική ανάλυση απειλών ασφαλείας [16]. Βασικές έννοιες του πιθανοκρατικού ελέγχου μοντέλων Στην γλώσσα του PRISM ένα πιθανοκρατικό μοντέλο ορίζεται ως ένα σύνολο από n οντότητες Μ,,Μ, που αλληλεπιδρούν μεταξύ τους. Κάθε οντότητα Μ, είναι ένα ζευγάρι του τύπου Var,C, όπου Var είναι ένα σύνολο από ακέραιες τοπικές μεταβλητές με πεπερασμένο εύρος τιμών και όπου C ένα σύνολο από εντολές. Ορίζεται ως Var το σύνολο όλων των τοπικών μεταβλητών του μοντέλου, για παράδειγμαε Var U Var. Κάθε μεταβλητή υ Var έχει μια αρχική τιμή υ. Κάθε εντολή c C έχει την μορφή g, λ,υ,, λ,u, περιλαμβάνει ένα guard g και ένα σύνολο από ζεύγη λ,u όπου R 0 και u j είναι μια ανανέωση τιμής για κάθε 1 j n. Ένας guard g είναι ένα κατηγόρημα για όλα τα σύνολα όλων των τοπικών μεταβλητών Var και κάθε ανανέωση u j αντιστοιχεί σε μια πιθανή μετάβαση της οντότητας M. Αν το Var περιέχει n τοπικές μεταβλητές υ,,υ, τότε μια ανανέωση παίρνει την μορφή υ expr υ expr όπου expr είναι μια έκφραση των μεταβλητών Var. Όταν οι τιμές κάποιων μεταβλητών Var παραμένουν ανεπηρέαστες σε κάποια ανανέωση, η περιγραφή του μοντέλου μπορεί να παραβλέψει αυτή την πληροφορία. Σε ένα μοντέλο τύπου DTMC, οι τιμές λ καθορίζουν την πιθανότητα της αντίστοιχης μετάβασης και για αυτό τον λόγο λ 0, 1 για 1 j n και λ 1. Επίσης σε μοντέλο τύπου DTMC οι καταστάσεις τέλους μοντελοποιούνται με μια απλή μετάβαση προς την ίδια κατάσταση με πιθανότητα 1. Ένα μοντέλο DTMC που αντιστοιχεί σε μια περιγραφή με τη γλώσσα του PRISM κατασκευάζεται ως μια παράλληλη σύνθεση των οντοτήτων του, υπολογίζοντας τις καταστάσεις του μοντέλου [23, 24] και απορρίπτοντας οποιεσδήποτε μη προσεγγίσιμες καταστάσεις. Σε κάθε καθολική κατάσταση υπάρχει ένα σύνολο από εντολές, που ανήκουν σε οποιαδήποτε από τις οντότητες, που ενεργοποιούνται. Η επιλογή για το ποια από τις μεταβάσεις ενεργοποιείται είναι πιθανοκρατική, με κάθε πιθανή μετάβαση να επιλέγεται με ίση πιθανότητα. 6

7 Ο πιθανοκρατικός έλεγχος μοντέλων είναι βασισμένος στην πιθανότητα ενός μονοπατιού Path, ως προς όλα τα δυνατά μονοπάτια που ξεκινούν από την κατάσταση s, για όλες τις καταστάσεις s S του χώρου των καταστάσεων του DTMC. Οι λεπτομέρειες υπολογισμού των πιθανοτήτων δεν περιγράφονται στην παρούσα διατριβή. Ωστόσο με αυτόν τον υπολογισμό μπορεί να ποσοτικοποιηθεί η πιθανότητα με την οποία το μοντέλο προσεγγίζει συγκεκριμένες καταστάσεις, απλά αναγνωρίζοντας το σύνολο των καταστάσεων που ικανοποιούν την προς εξέταση ιδιότητα. Οι ιδιότητες των DTMC μοντέλων ορίζονται σε PCTL, που έχει ως βάση την CTL (Computation Tree Temporal Logic) με αντικατάσταση των τελεστών Α (for All) και Ε (exists) από τον τελεστή P. Αυτός ο τελεστής ορίζει ένα άνω ή κάτω όριο της πιθανότητας προσέγγισης μιας κατάσταση. Για παράδειγμα η έκφραση P φ, είναι αληθής όταν για συγκεκριμένο χρόνο, η εξέλιξη του μοντέλου του συστήματος που ικανοποιεί την παραπάνω έκφραση είναι τουλάχιστον p. Αντίστοιχα η έκφραση P φ, είναι αληθής όταν η πιθανότητα του συστήματος να ικανοποιεί την έκφραση είναι μικρότερη ή ίση με p. Εκτός από ποσοτικές εκτιμήσεις, στο PRISM μπορούν επίσης να υπολογιστούν πιθανότητες που αντιστοιχούν σε κάποια αριθμητική τιμή. Αυτές οι πιθανότητες εκφράζονται με την μορφή P? φ. Οι ορισμοί ιδιοτήτων σε PCTL ελέγχονται εφαρμόζοντας αλγορίθμους αυτόματου ελέγχου μοντέλων. Οι συνεπαγόμενοι υπολογισμοί του εργαλείου για τον υπολογισμό των πιθανοτήτων εμπεριέχουν : Αλγορίθμους γραφημάτων για πιθανοκρατική προσεγγισιμότητα καταστάσεων, που στην περίπτωση του DTMC αντιστοιχεί σε λύσεις γραμμικών συστημάτων εξισώσεων. Αριθμητικούς υπολογισμούς, για τον ποσοτικό πιθανοκρατικό έλεγχο μοντέλων, που στην περίπτωση του DTMC αντιστοιχούν σε λύσεις γραμμικών συστημάτων εξισώσεων. Τα αποτελέσματα μπορεί να καταγραφούν σε γραφικές παραστάσεις μέσα στο περιβάλλον εργασίας του εργαλείου ή και να εξάγονται σε πρόγραμμα λογιστικού φύλλου για περεταίρω επεξεργασία. Τέλος το PRISM παρέχει μηχανισμούς υπολογισμού κόστους ή κέρδους υπολογιζόμενου σε καταστάσεις ή μεταβάσεις. Αυτά τα κόστη μπορεί να δείχνουν την κατανάλωση κάποιου εξαντλήσιμου πόρου ή ακόμη και τον αριθμό των μηνυμάτων που ανταλλάσσονται. Στην παρούσα ανάλυση αντιστοιχούν σε κόστος υπολογιστικής επεξεργασίας. Τα κόστη/κέρδη καταστάσεων ορίζονται με την χρήση της συνάρτησης ρ:s R 0 τέτοιας ώστε το κόστος/κέρδος ρ συσσωρεύεται αν το μοντέλο είναι στην κατάσταση s για μια μονάδα χρόνου. Στο PRISM η λογική PCTL έχει επεκταθεί ώστε να επιτρέπει τον ορισμό ιδιοτήτων κόστους/κέρδους. Γι αυτό το λόγο για κάποιο 7

8 r R 0 και k N, μια κατάσταση s ικανοποιεί το R C, αν από την κατάσταση s, έπειτα από k μονάδες χρόνου, το συνολικό κέρδος/κόστος που έχει συσσωρευτεί είναι μικρότερο ή ίσο με το r. Ως ένα τελευταίο παράδειγμα, η έκφραση R F Φ είναι αληθής αν από μια κατάσταση s το συνολικό κόστος/κέρδος πριν ικανοποιηθεί η έκφραση Φ είναι τουλάχιστο r. RSA : ΚΡΥΠΤΟΓΡΑΦΙΚΟΣ ΑΛΓΟΡΙΘΜΟΣ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ Στην κρυπτογραφία ο RSA (η ονομασία προέρχεται από τους δημιουργούς του Rivest, Shamir and Adleman) είναι ένας αλγόριθμος δημοσίου κλειδιού (ασύμμετρης κρυπτογραφίας). Μπορεί να χρησιμοποιηθεί για τη δημιουργία ψηφιακών υπογραφών, αλλά και για την κρυπτογράφηση. Χρησιμοποιείται ευρέως σε πρωτόκολλα ηλεκτρονικού εμπορίου και θεωρείται ως ασφαλής. Ο RSA στηρίζεται στη χρήση ενός δημοσίου και ενός ιδιωτικού κλειδιού. Το δημόσιο κλειδί μπορεί να είναι γνωστό στον οποιοδήποτε και χρησιμοποιείται για στην κρυπτογράφηση των μηνυμάτων, που μπορούν να αποκρυπτογραφηθούν μόνο με την χρήση του ιδιωτικού κλειδιού. Τα βήματα του αλγορίθμου είναι τα εξής: Επιλογή δύο πολύ μεγάλων πρώτων αριθμών p και q. Για λόγους ασφαλείας τα p και q πρέπει να επιλεχθούν τυχαία και πρέπει να είναι σχετικά ίδιου μήκους αναπαράστασης σε bits. Υπολογισμός του n p q. Υπολογισμός της συνάρτησης του Euler Φ n q 1 p 1. Επιλογή ενός αριθμού e 1, έτσι ώστε οι e και Φ n δεν έχουν κοινούς διαιρέτες εκτός από το 1. Υπολογισμός του αριθμού d, έτσι ώστε d e 1 mod Φ n. Το δημόσιο κλειδί είναι το n, e και το ιδιωτικό το d, e. Διαδεδομένες επιλογές για το e για λόγους αποδοτικότητας εκτέλεσης είναι τα 3, 16, Οι επιλογές αυτές μπορεί να οδηγήσουν σε ταχύτερους υπολογισμούς αλλά και σε καλύτερη ασφάλεια. AES : ΚΡΥΠΤΟΓΡΑΦΙΚΟΣ ΑΛΓΟΡΙΘΜΟΣ ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ Η ονομασία AES προέρχεται από το Advanced Encryption Standard. Ο AES είναι ένας κρυπτογραφικός αλγόριθμος ιδιωτικού κλειδιού σε block των 128 bits. Υπάρχουν 3 διαφορετικές εκδοχές του αλγορίθμου, η AES 128, η AES 192 και η AES 256, που το όνομά τους αντιστοιχεί στο μήκος κλειδιού που χρησιμοποιείται για την κρυπτογράφηση. Κάθε επιπρόσθετο bit στο μήκος του κλειδιού, διπλασιάζει την 8

9 ασφάλεια της κρυπτογράφησης με την έννοια ότι κάποιος τρίτος θα χρειάζονταν το διπλάσιο χρόνο για την εκτέλεση μιας brute force επίθεσης αποκρυπτογράφησης. Το μήκος κλειδιού που χρησιμοποιείται στην πράξη ποικίλλει ανάλογα με την εφαρμογή. Ωστόσο ο αλγόριθμος θεωρείται ασφαλής για όλα τα προαναφερθέντα μήκη κλειδιών. Στην παρούσα εργασία επιλέγεται ο AES 128 και θεωρείται ως ασφαλής για τον μηχανισμό και την εφαρμογή του. Ο ΜΗΧΑΝΙΣΜΟΣ OBLIVIOUS TRANSFER Στην ενότητα αυτή παρουσιάζεται ο μηχανισμός ασφαλείας Oblivious Transfer, καθώς τα βασικά του στοιχεία και παραλλαγές του. Εισαγωγή στον μηχανισμό Oblivious transfer Ο μηχανισμός του Oblivious Transfer (συχνά αναφέρεται ως ΟΤ) είναι ένα πιθανοκρατικό πρωτόκολλο ασφαλείας, που ενσωματώνεται σε πιο σύνθετα πρωτόκολλα επικοινωνίας με διάφορες εφαρμογές. Στην κρυπτογραφία, ο μηχανισμός του Oblivious Transfer χρησιμοποιείται ώστε ο αποστολέας στα πλαίσια μιας συνόδου μεταξύ δύο μερών, να μη γνωρίζει ποια πληροφορία λήφθηκε. Συνεπώς, ο αποστολέας αγνοεί την πληροφορία που λαμβάνει ο παραλήπτης. Η πρώτη μορφή του OT προτάθηκε από τον Michael O. Rabin το Σε αυτή την μορφή του μηχανισμού ο αποστολέας στέλνει ένα bit στον παραλήπτη. Ο παραλήπτης με την σειρά του, με πιθανότητα ½ λαμβάνει το bit ενώ με πιθανότητα ½ δεν λαμβάνει τίποτα. Ο αποστολέας δεν έχει γνώση για το αν τελικά το μήνυμα παραλήφθηκε ή όχι. Από τη στιγμή που ο Rabin πρότεινε την πρώτη εκδοχή του μηχανισμού, ο μηχανισμός ΟΤ έχει αποτελέσει αντικείμενο έρευνας με αποτέλεσμα πολλές διαφορετικές παραλλαγές του. Παραλλαγές του Oblivious Transfer Μια περισσότερο αποδοτική μορφή του μηχανισμού, ο OT 1 2 αναπτύχθηκε αργότερα από τους Shimon Even, Oded Goldreich και Abraham Lempel. Σε αυτήν την μορφή του ΟΤ, ο αποστολέας στέλνει στον παραλήπτη 2 bits ή δύο μυστικά, και αυτός επιλέγει με την ίδια πιθανότητα ακριβώς ένα εκ των δύο. Ο αποστολέας δεν γνωρίζει ποιο bit έχει επιλεγεί. Σε όλες τις μορφές του ΟΤ βασική προϋπόθεση αποτελεί η άγνοια του αποστολέα για την επιλογή του παραλήπτη. Επίσης ο παραλήπτης δεν πρέπει να μαθαίνει κανένα μυστικό πέρα από αυτό που επιλέγει. Μια επιπλέον επέκταση στον μηχανισμό ΟΤ 1 2, είναι το 1 out of n ΟΤ. Ο αποστολέας έχει στην κατοχή του n μυστικά, m 1,m 2 m n και επιθυμεί ο παραλήπτης 9

10 να λάβει ένα εξ αυτών κατ επιλογή του παραλήπτη. Στην μορφή αυτή τα μυστικά μπορεί να είναι είτε bits μυστικών, είτε strings από μυστικά. Συνήθως η επιλογή του μυστικού από τον παραλήπτη γίνεται βάση ενός index i, το οποίο παραμένει κρυφό από τον αποστολέα. Ο παραλήπτης λαμβάνει το i οστό από τα μυστικά και τίποτα από τα υπόλοιπα. Μια ακόμη διάσταση στον μηχανισμό του ΟΤ είναι ο m out of n ΟΤ. Ο παραλήπτης μπορεί να λάβει συνδυασμό μηνυμάτων ταυτόχρονα και αυτή η μορφή του ΟΤ, είναι που εξετάζεται στη συγκεκριμένη εργασία. Αναλυτικότερα εφαρμόζεται έλεγχος μοντέλων στον μηχανισμό του Oblivious Transfer μέσω του εργαλείου PRISM και επιπλέον ποσοτική ανάλυση αναφορικά με το υπολογιστικό κόστος των δύο μερών του πρωτοκόλλου. Η παρουσίαση του σχήματος αυτού γίνεται σε επόμενη ενότητα. Ο βασικός τρόπος κατασκευής του μηχανισμού είναι πρώτα η κατασκευή του OT 1 2 σαν βάση. Έπειτα χτίζεται το ΟΤ 1 out of n, απλά χρησιμοποιώντας πολλές φορές τον ΟΤ 1 2, τυπικά n φορές ή log2n φορές σύμφωνα με τις αναφορές [1, 2, 3]. Επίσης, βασικές τεχνικές κατασκευής του ΟΤ 1 out of n με βάση κρυπτογραφικά πρωτόκολλα, περιγράφονται στα [5, 8, 10, 11]. Η ισοδυναμία μεταξύ των διαφόρων μηχανισμών εξετάζεται και αποδεικνύεται στα [4, 6, 7]. Ιδιότητες του OBLIVIOUS TRANSFER Οι διάφορες παραλλαγές του OT έχουν κοινές ιδιότητες που πρέπει να ικανοποιούνται σε όλα αυτά τα διαφορετικά σχήματα. Οι ιδιότητες αυτές μπορούν να συνοψιστούν στα εξής: Correctness (Ορθότητα): Εάν και τα δύο μέρη ακολουθήσουν σωστά τα βήματα του πρωτοκόλλου, τότε ο παραλήπτης λαμβάνει ακριβώς τον αριθμό των μηνυμάτων που πρέπει να λάβει. Για παράδειγμα εάν ο μηχανισμός είναι ο m out of n OT τότε ο παραλήπτης θα λάβει ακριβώς m μηνύματα, ενώ αν ο μηχανισμός είναι ο 1 out of n OT, τότε ο παραλήπτης θα λάβει ακριβώς ένα μήνυμα. Μυστικότητα του παραλήπτη: Μετά από την επιτυχή ολοκλήρωση του πρωτοκόλλου ο αποστολέας δε θα γνωρίζει τίποτα για την επιλογή του παραλήπτη. Μυστικότητα του αποστολέα: Μετά την επιτυχή ολοκλήρωση του πρωτοκόλλου ο παραλήπτης δεν θα πρέπει να γνωρίζει τίποτα για τα μυστικά που δεν επέλεξε. 10

11 Εφαρμογές του μηχανισμού OBLIVIOUS TRANSFER Οι εφαρμογές του μηχανισμού είναι πολλές και κυρίως σε πρωτόκολλα ασφαλείας. Παραδείγματα τέτοιων, είναι οι ηλεκτρονικές συναλλαγές και οι online αγορές. Στην γενική περίπτωση η Alice ως συμβολική οντότητα αποστολής, μπορεί να παρέχει πιστοποιητικά αυθεντικότητας σε αγοραστές όπως ο Bob, ο οποίος με την σειρά του θα χρησιμοποιήσει τα πιστοποιητικά αυτά σε συναλλαγές με πωλητές. Η χρησιμότητα του μηχανισμού θα αποδειχθεί με το παράδειγμα που ακολουθεί [12]. Μια πρώτη λύση για τις ηλεκτρονικές συναλλαγές θα ήταν η εξής: Η Alice θα έχει έτοιμο ένα μήνυμα m= Επιθυμώ να πληρώσω 1$ και θα το κρυπτογραφήσει με ένα κλειδί έστω s. Όταν ο Bob πληρώσει την Alice με x$, εκείνη θα στείλει x φορές το μήνυμα m με την υπογραφή s (m, s), δηλαδή θα στείλει το m με υπόσταση πιστοποιητικού, όσες φορές απαιτείται. Όταν ο Bob αγοράσει κάτι από έναν πωλητή για x$, τότε αυτός μπορεί να παρουσιάσει στην Alice το πιστοποιητικό (m,s) x φορές και να πληρωθεί ο πωλητής εκ μέρους του για x δολάρια. Αυτή η λύση παρουσιάζει προφανή κενά ασφαλείας, αφού είτε ο Bob, είτε οι πωλητές ως κακόβουλες οντότητες έχουν συμφέρον να αντιγράψουν το m και να παράγουν λεφτά. Μια δεύτερη λύση θα ήταν να έχει η Alice ένα μετρητή id, ο οποίος αρχικά θα έχει τιμή 1 και όταν ο Bob πληρώνει 1$, η Alice θα του δίνει μια υπογραφή m id = Επιθυμώ να πληρώσω 1$, ID=id και στη συνέχεια θα αυξάνει την τιμή του id κατά ένα. Με αυτόν τον τρόπο η Alice έχει μια βάση δεδομένων, όπου καταχωρούνται όλα τα πιστοποιητικά που έδωσε, ώστε να μην δώσει δύο φορές το ίδιο πιστοποιητικό. Επιπλέον, η βάση δεδομένων μπορεί να γίνει προσβάσιμη από το διαδίκτυο, ώστε οι πωλητές να γνωρίζουν ότι ένα συγκεκριμένο πιστοποιητικό είναι αυθεντικό πριν αυτοί το αποδεχτούν. Το παραπάνω σενάριο θα δούλευε επιτυχώς, ωστόσο ο Bob δε θα ήταν ευχαριστημένος. Ο λόγος που κάποιος θα χρησιμοποιήσει e cash και όχι την πιστωτική του κάρτα μπορεί να είναι η επιθυμία του να παραμείνει ανώνυμος. Με τον προαναφερόμενο τρόπο η Alice γνωρίζει ακριβώς ποια πιστοποιητικά αντιστοιχούν στον Bob, αλλά και το τι ακριβώς αυτός αγόρασε. Για να λυθεί το παραπάνω πρόβλημα μπορεί να χρησιμοποιηθεί ο μηχανισμός του Oblivious Transfer. Η Alice μπορεί εξαρχής να ετοιμάσει n μηνύματα m m, όπου n είναι το ύψος του κεφαλαίου (σε χρηματικές μονάδες) που διαθέτει. Επίσης ετοιμάζει τις αντίστοιχες υπογραφές s s, καθώς και τα πιστοποιητικά δηλαδή τα ζεύγη του καρτεσιανού γινομένου x s m. Όταν ο Bob θέλει να πληρώσει την Alice 1$, τότε εκκινείται ένα πρωτόκολλο Oblivious transfer. H είσοδος για την Alice είναι ένα εύρος πιστοποιητικών έστω x x και ο Bob επιλέγει ένα από τα x. H 11

12 Alice δε γνωρίζει ποιο πιστοποιητικό έχει επιλεγεί και όταν λάβει από έναν πωλητή ένα ζευγάρι m,s, με τότε ακυρώνει το αντίστοιχο ζεύγος από τη λίστα με τα n πιστοποιητικά που εκδόθηκαν και ανακοινώνει αυτή την ακύρωση δημόσια. Με αυτόν τον τρόπο η Alice διασφαλίζει ότι δε θα χάσει τα χρήματά της, αλλά ταυτόχρονα ο Bob διατηρεί την ανωνυμία του. Επεκτείνοντας αποδοτικά τον μηχανισμό ΟΤ Ένα σημαντικό πεδίο έρευνας είναι επίσης και η όσο το δυνατό πιο αποδοτική χρήση του μηχανισμού OT ως προς το υπολογιστικό κόστος για τα μέρη της επικοινωνίας και το συνολικό αριθμό μηνυμάτων, όταν βέβαια εξασφαλίζεται το αναγκαίο για την εκάστωτε εφαρμογή επίπεδο ασφάλειας. Έρευνα για ποιο αποδοτικούς μηχανισμούς και τεχνικές κατασκευής του OT από άλλα κρυπτογραφικά πρωτόκολλα γίνεται επίσης στα [5, 11, 13, 14] γεγονός που δείχνει πόσο σημαντικό είναι το πρόβλημα. Ο μηχανισμός ΟΤ m out of n Ο διαδραστικός (interactive) μηχανισμός Oblivious Transfer που προτάθηκε από τους Yi Mu, Junqi Zhang και Vijay Varadharajan στο άρθρο [25]ορίζεται ως εξής: Η Alice γνωρίζει n μυστικά μηνύματα και θέλει να στείλει ακριβώς m από αυτά στον Bob. Ο Bob λαμβάνει τα m από αυτά με πιθανότητα!!/! για κάθε δυνατό συνδυασμό και γνωρίζει ποια μυστικά έχει λάβει. Αντιθέτως η Alice δε γνωρίζει ποια μυστικά έχει επιλέξει ο Bob [25]. Παρακάτω παρουσιάζεται η μορφή του που χρησιμοποιήθηκε στην πιθανοκρατική ανάλυση ελέγχου μοντέλου. Υποθέσαμε ως αλγορίθμους δημόσιου και ιδιωτικού κλειδιού τους RSA και ο AES. Ως αποστολέας, η Alice παράγει n ζεύγη ιδιωτικών δημόσιων κλειδιών και εν συνεχεία κάνει γνωστά τα n δημόσια κλειδιά. Ο Bob με την σειρά του παράγει m ιδιωτικά κλειδιά, κρυπτογραφεί τα κλειδιά αυτά κάνοντας χρήση m από το σύνολο των n δημοσίων κλειδιών της Alice και αποστέλλει τα κρυπτογραφημένα κλειδιά στην Alice. Η Alice δε γνωρίζει ποια m κλειδιά έχουν επιλεγεί από τα n. Γι αυτό το λόγο αποκρυπτογραφεί κάθε ένα από τα m κλειδιά που έχει λάβει, με όλα τα n ιδιωτικά κλειδιά παράγοντας συνολικά αποκρυπτογραφήσεις. Είναι προφανές πως για κάθε ένα από τα m κλειδιά, μόνο μία αποκρυπτογράφηση από τις n είναι έγκυρη, αλλά η Alice δεν γνωρίζει ποια. Στη συνέχεια η Alice κρυπτογραφεί τα n μηνύματα χρησιμοποιώντας όλα τα κλειδιά που δημιουργήθηκαν με την αποκρυπτογράφηση. Όταν ο παραλήπτης Bob λάβει τα νέα κρυπτογραφημένα μηνύματα, τότε μπορεί να αποκρυπτογραφήσει τα 12

13 m από αυτά που είχαν κρυπτογραφηθεί σωστά από τον αποστολέα. Ο μηχανισμός παρουσιάζεται αναλυτικότερα στην συνέχεια. Γίνεται η υπόθεση πως η Alice κατέχει n μηνύματα, 1. O παραλήπτης Bob μπορεί να λάβει μόνο m από αυτά. Αυτή η μορφή του πρωτοκόλλου μπορεί να εφαρμοστεί με οποιοδήποτε αλγόριθμο συμμετρικής και ασύμμετρης κρυπτογραφίας. Στη συνέχεια, με. και. θα συμβολίζεται η συμμετρική κρυπτογράφηση και αποκρυπτογράφηση με κλειδί k. Με. και. θα συμβολίζεται η ασύμμετρη κρυπτογράφηση και αποκρυπτογράφηση με δημόσιο κλειδί e και ιδιωτικό κλειδί d. Τα βήματα του αλγορίθμου είναι τα ακόλουθα: 1. Η Alice και ο Bob συμφωνούν σε έναν αλγόριθμο δημοσίου κλειδιού, όπως είναι ο RSA και σε έναν αλγόριθμο συμμετρικής κρυπτογραφίας όπως είναι ο AES. 2. Η Alice επιλέγει n ζεύγη ιδιωτικών και δημόσιων κλειδιών (, ). Όλα τα δημόσια κλειδιά πρέπει να πιστοποιηθούν από μια αξιόπιστη αρχή (trusted authority). 3. Ο Bob επιλέγει m κλειδιά, 1 και στη συνέχεια κρυπτογραφεί τα χρησιμοποιώντας m δημόσια κλειδιά ( ). Οι δείκτες s είναι γνωστοί μόνο στον Βob. Τα κρυπτογραφημένα δημόσια κλειδιά στέλνονται στην Alice. 4. H Alice αποκρυπτογραφεί κάθε χρησιμοποιώντας όλα τα n ιδιωτικά της κλειδιά, για να δημιουργήσει δεδομένα και στη συνέχεια κρυπτογραφεί πάλι τα n αρχικά κλειδιά κάνοντας χρήση όλων των, 1, j=1..m. Τα κρυπτογραφημένα μηνύματα είναι. 5. Ο Bob αποκρυπτογραφεί τα m μηνύματα που πρόκειται να παραλάβει, βασιζόμενος στους δείκτες που είναι γνωστοί μόνο σε αυτόν. Παρακάτω δίνεται σχηματικά σε εικόνα το πρωτόκολλο oblivious transfer m out ofn που περιγράψαμε. 13

14 Εικόνα 1: Μηχανισμός m out of n Ιδιότητες του μηχανισμού m out of n OT Οι δύο βασικές ιδιότητες του Oblivious Transfer είναι: Πληρότητα (Completeness): O Bob λαμβάνει ακριβώς m μυστικά από το σύνολο των n που διαθέται η Alice. Ορθότητα: Ο Bob δε μπορεί να λάβει περισσότερα από m τα μυστικά που επιλέγει. O Bob κρυπτογραφεί m από δικά του κλειδιά, έστω τα 0 και κρατά κρυφούς τους δείκτες που φανερώνουν ποια μυστικά της Alice επέλεξε. Έπειτα η Alice αποκρυπτογραφεί κάθε κλειδί που λαμβάνει από τον Bob με όλα τα ιδιωτικά κλειδιά της και ένα από τα αποκρυπτογραφημένα μηνύματα για κάθε κλειδί είναι το έγκυρο. Ο Bob λαμβάνει όλα τα n x m μηνύματα, μέσα στα οποία βρίσκονται τα m έγκυρα, των οποίων μόνο αυτός γνωρίζει τους δείκτες (s). Συνεπώς, ο Bob μπορεί να λάβει μόνο m έγκυρα μηνύματα, αφού m είναι το σύνολο των σωστά αποκρυπτογραφημένων. Όπως αναφέρθηκε και προηγουμένως, η Alice δε γνωρίζει ποια κλειδιά έχει επιλέξει ο Bob και αυτός είναι ο λόγος που πρέπει να διεξάγει n x m αποκρυπτογραφήσεις, δηλαδή να αποκρυπτογραφήσει κάθε ένα από τα m κλειδιά που λαμβάνει από τον Bob n φορές. Είναι φανερό ότι αν m και n είναι μεγάλοι αριθμοί, τότε το σχήμα αυτό μπορεί να μην είναι αποδοτικό υπό το πρίσμα του υπολογιστικού κόστους για την Alice, καθώς αυτή χρειάζεται να κάνει n x m λειτουργίες αποκρυπτογράφησης. Συνεπώς, αν ο παραλήπτης των μηνυμάτων έχει ως σκοπό να υποχρεώσει την Alice σε ενέργειες υψηλού κόστους, θα μπορούσε να επιλέξει μεγάλο αριθμό δημοσίων κλειδιών (δηλαδή σημαντικό ποσοστό από τα n ζεύγη), αναγκάζοντας τον αποστολέα να πραγματοποιεί συνεχείς λειτουργίες κρυπτογράφησης και 14

15 αποκρυπτογράφησης. Οι λειτουργίες αυτές καθορίζουν την αποδοτικότητα του πρωτοκόλλου λόγω της επιβάρυνσης σε υπολογιστικό κόστος των μερών της επικοινωνίας. Για λόγους αποδοτικότητας το κόστος για κάποιον από τα δύο μέρη δεν πρέπει να είναι πολύ μεγαλύτερο από το κόστος του άλλου. Η ποσοτική ανάλυση έχει ως στόχο την εξέταση των προαναφερόμενων ιδιοτήτων και την εξαγωγή συμπερασμάτων για την αποδοτικότητα του μηχανισμού. ΤΟ ΜΟΝΤΕΛΟ ΤΟΥ ΜΗΧΑΝΙΣΜΟΥ m out of n OT Η μοντελοποίηση έγινε στο εργαλείο αυτόματου ελέγχου μοντέλων PRISM. Στo πρωτόκολλο που αναλύθηκε συμμετέχουν δύο οντότητες, επομένως δημιουργήθηκαν δύο modules ώστε να εκφραστεί η λειτουργία του αποστολέα και του παραλήπτη. Επίσης δημιουργήθηκε ένα module για να αναπαρασταθεί το μέσο και οι αλληλεπιδράσεις του πρωτοκόλλου, όπως το στάδιο στο οποίο αυτό βρίσκεται, ή το ποιο μέρος έχει σειρά να αποστείλει μηνύματα κ.ο.κ. Ο βασικός στόχος είναι η ποσοτική ανάλυση του πρωτοκόλλου. Γι αυτό το λόγο ορίστηκαν δομές κόστους (reward structures), ώστε να μετρηθεί το υπολογιστικό κόστος των μερών της επικοινωνίας. Το υπολογιστικό κόστος του κάθε μέρους υπολογίζεται με βάση το μήκος κλειδιού που επιλέγεται για τον RSA. Οι πιθανές τιμές του μήκους του κλειδιού μπορεί να είναι οι: 128 bit κλειδιού, το μήκος αυτού του κλειδιού είναι σχετικά μικρό και επιλέχθηκε για να εξεταστεί η συμπεριφορά του πρωτοκόλλου στην περίπτωση που αναμένεται η πλέον αποδοτική εκτέλεση. 512 bit κλειδιού, είναι μήκος κλειδιού που κρίνεται αρκετά ασφαλές και χρησιμοποιείται ήδη σε διαδυκτιακές εφαρμογές. Επιλέχθηκε ώστε να εξεταστεί το κόστος των μερών όταν επιστρατεύονται μήκη κλειδιών που χρησιμοποιούνται σήμερα κατά κόρον bit κλειδιού, μήκος κλειδιού που επίσης κρίνεται ως ασφαλές, δηλαδή είναι πολύ υψηλό το κόστος μιας επίθεσης κρυπτανάλυσης. Επιλέχθηκε ώστε να εξεταστεί το κόστος των μερών του μηχανισμού με μήκη κλειδιών που πρέπει να υιοθετηθούν στο άμεσο μέλλον ή χρησιμοποιούνται ήδη σε εφαρμογές με αυξημένες απαιτήσεις ασφαλείας bit κλειδιού, μήκος κλειδιού που θεωρείται μεγάλο, αλλά η χρήση του μπορεί να είναι διαδεδομένη στα επόμενα χρόνια, όπως αναφέρεται σε σχετικές μελέτες. 15

16 Στην πράξη πολλές φορές συνδυάζεται μήκος κλειδιού RSA 1024 bits και μήκος κλειδιού AES 128 bits. Γι αυτό το λόγο στη ανάλυσή μας επιλέγεται τιμή κλειδιού AES ίση με 128 bits μήκος. Στον ακόλουθο πίνακα παρουσιάζονται οι οντότητες του μοντέλου και δίνεται σύντομη περιγραφή των λειτουργιών τους. partya Είναι ο αποστολέας του πρωτοκόλλου και κάτοχος των μηνυμάτων που θέλει να αποκτήσει ο partyb. partyb protocol Είναι ο παραλήπτης του πρωτοκόλλου και ο παραλήπτης των Μ μηνυμάτων από το σύνολο των Ν που κατέχει ο partya. Είναι η οντότητα του πρωτοκόλλου και μέσω αυτής απεικονίζεται η κατάσταση και το στάδιο του πρωτοκόλλου. Πίνακας 1: Τα modules του μοντέλου Στον ακόλουθο πίνακα παρουσιάζεται το κόστος για κάθε διαφορετικό κλειδί και κρυπτογραφικό αλγόριθμο, που χρησιμοποιήθηκε. Το κόστος που χρησιμοποιείται είναι προσεγγιστικό και εκφράζει μονάδες χρόνου για επεξεργαστή μετρίων δυνατοτήτων (π.χ GHz). Αλγόριθμος Μήκος κλειδιού κόστος/πράξη Κρυπτογράφησης Αποκρυπτογράφησης RSA 128 bit RSA 512 bit RSA 1024 bit RSA 2048 bit AES 128 bit Πίνακας 2: Κλειδιά κρυπτογράφησης και κόστος Οι βασικές παράμετροι που εξετάστηκαν κατά την ανάλυση είναι το πλήθος μυστικών και δημοσίων κλεδιών Ν που κατέχει ο αποστολέας, το πλήθος Μ αυτών που επιλέγεται (εκφράζεται ως ποσοστό επί του Ν μέσα στο μοντέλο) και 16

17 ακολούθως τα διάφορα μεγέθη κλειδών RSA, καθορίζουν το υπολογιστικό κόστος των μερών. Λεπτομερέστερα: Ν Μ Το πλήθος μυστικών που κατέχει ο partya και δημοσίων κλειδιών που στέλνει στον παραλήπτη. Το πλήθος μυστικών που επιλέγει ο παραλήπτης από το σύνολο Ν που λαμβάνει. Εκφράζεται ως ποσοστό επί τις 100 στο μοντέλο. Για παράδειγμα Μ=20% του Ν. Key_size Μεταβλητή που δείχνει το μέγεθος κλειδιού RSA. Πιθανές τιμές 1,2,3 και 4, για μεγέθη κλειδιού 128, 512, 1024 και 2048 bits αντίστοιχα. Πίνακας 3: Οι παράμετροι του μοντέλου Η λειτουργία του μηχανισμού και των δύο μερών παρουσιάζεται στο ακόλουθο διάγραμμα. Εικόνα 2: Διάγραμμα ροής πρωτοκόλλου. Ανάλυση του κώδικα Στην ενότητα αυτή παρουσιάζεται ο κώδικας του PRISM για την μοντελοποίηση του μηχανισμού ασφαλείας ΟΤ. Ο κώδικας χωρίζεται σε τμήματα και σχολιάζονται τα πιο σημαντικά σημεία με αναφορά στις συγκεκριμένες γραμμές. 17

18 Εικόνα 3: Σταθερές (constants) του μοντέλου Το μοντέλο που αναπτύχθηκε είναι τύπου Discrete Time Markov Chain (DTMC). Η μεταβλητή Ν στην γραμμή 2 συμβολίζει το σύνολο των δημοσίων κλειδιών που αποστέλλονται στον παραλλήπτη (partyb). Από αυτό το σύνολο των Ν μηνυμάτων ο παραλήπτης θα επιλέξει τα Μ (με Μ<Ν). Το κόστος μετάδοσης συμβολίζεται με την σταθερά TRANSMT_COST και η τιμή της ορίζεται ίση με 1. Ακολουθεί ο ορισμός για τα κόστη κρυπτογράφησης και αποκρυπτογράφησης σύμφωνα με το μέγεθος του κλειδιού που επιλέγεται κατά την έναρξη του πρωτοκόλλου. Θεωρούνται 4 διαφορετικά μήκη κλειδιών (128, 512,1024 και 2048 bits). Η αναφορά στο μέγεθος κλειδιού 128 bits γίνεται με το key_a. Η αναφορά στα μεγέθη 512, 1024 και 2048 bits γίνεται με τα key_b, key_c και key_d αντίστοιχα. Για όλα τα πιθανά κλειδιά ορίζεται αντίστοιχο κόστος κρυπτογράφησης και αποκρυπτογράφησης. Το κόστος για τον RSA σε σχέση με το κλειδί κρυπτογράφησης που χρησιμοποιείται αυξάνεται εκθετικά. Οι τιμές που ορίζονται αναφέρονται σε υπολογιστικό κόστος που χρειάζεται ένα μέρος για την εκτέλεση μιας ενέργειας κρυπτογράφησης και αποκρυπτογράφησης. Τα μεγέθη είναι προσεγγίσεις που προέρχονται από σχετικές μετρήσεις και εκφράζουν milliseconds. Για παράδειγμα στην γραμμή 13 ορίζεται το const double encryption_cost _key_a=0.4, που ορίζει ότι το κόστος κρυπτογράφησης ενός μυστικού με κλειδί 128 bits είναι ίσο με 0.4 milliseconds, εάν και εφόσον όλα τα μυστικά έχουν το ίδιο μήκος. Στην γραμμή 23 και 24 ορίζεται κόστος κρυπτογράφησης και αποκρυπτογράφησης για την συμμετρική κρυπτογραφία. 18

19 Εικόνα 4: Η συνθήκη τερματισμού του μοντέλου Στην γραμμή 28 ορίζεται η έκφραση που δηλώνει το επιτυχές (correct) τέλος του πρωτοκόλλου. Η έκφραση είναι αληθής όταν και τα δύο μέρη προσεγγίσουν την κατάσταση τέλους. Η παραπάνω κατάσταση είναι αυτή που εξετάζεται στα πειράματα, δηλαδή ελέγχεται το κόστος των μερών του μηχανισμού μετά από επιτυχή ολοκλήρωσή του. Εικόνα 5: Το module του πρωτοκόλλου Στην γραμμή 33 ξεκινά ο ορισμός της οντότητας του πρωτοκόλλου, δηλαδή της οντότητας που αναπαριστά την κατάσταση του πρωτοκόλλου στην εξέλιξη κατά την πορεία της συνόδου των δύο μερών. Οι φάσεις του πρωτοκόλλου αναπαριστώνται από την μεταβλητή phase (γραμμή 40). Οι ερμηνεία των τιμών της phase είναι η εξής: phase=1 : Ο partya στέλνει Ν δημόσια κλειδιά στον partyb. phase=2 : Ο partyb έχει λάβει τα Ν δημόσια κλειδιά και επιλέγει Μ από αυτά, κρυπτογραφεί Μ ιδιωτικά κλειδιά με τα Μ που επιλέγει, και τα στέλνει στον partya. phase=3 : Ο partya έχει λάβει Μ κρυπτογραφημένα μηνύματα και εκτελεί Ν * Μ αποκρυπτογραφήσεις και κρυπτογραφήσεις. Έπειτα στέλνει αυτά τα μηνύματα στον partyb. 19

20 phase=4 : Ο partyb λαμβάνει τα Ν*Μ μηνύματα και βασισμένος στους δείκτες που μόνο αυτός γνωρίζει, αποκρυπτογραφεί μόνο τα σωστά. Όταν ολοκληρωθεί και αυτή η ενέργεια το πρωτόκολλο τερματίζει. Επίσης υπάρχει και η μεταβλητή party που ορίζεται στην γραμμή 44 και δείχνει ποιο από τα δύο μέρη έχει σειρά για να εκτελέσει ενέργεια αποστολής δεδομένων. Όταν party=1, τότε ο partya έχει σειρά να στείλει δεδομένα και ο partyb περιμένει να λάβει δεδομένα. Το αντίστροφο ισχύει όταν party=2. Στην γραμμή 49 η μεταβλητή key_size δείχνει το μέγεθος του κλειδιού RSA που επιλέγεται. Αναλυτικότερα : key_size=1 : Το επιγμένο μέγεθος κλειδιού είναι128 bits (key_a). key_size=2 : Το επιγμένο μέγεθος κλειδιού είναι 512 bits (key_b). key_size=3 : Το επιγμένο μέγεθος κλειδιού είναι 1024 bits (key_c). key_size=4 : Το επιγμένο μέγεθος κλειδιού είναι 2048 bits (key_d). Επίσης ορίζονται και οι εξής μεταβλητές: number_of_public_keys : έχει τιμή αληθής όταν ο partya στέλνει τα δημόσια στον partyb στην αρχή του πρωτοκόλλου. Number_of_encrypted_keys : έχει τιμή αληθής όταν ο PartyB στέλνει τα κρυπτογραφημένα με τα δημόσια κλειδιά m μηνύματα στον PartyA. Decrypted_messages_sent : είναι τα τελικά Ν*Μ μηνύματα που στέλνει ο partya στον partyb. Η μεταβλητή παίρνει την τιμή true όταν έχουν αποσταλλεί επιτυχώς τα μηνύματα. Εικόνα 6: Το module του πρωτοκόλλου (συνέχεια) 20

21 Στις γραμμές επιλέγεται με ίση πιθανότητα 0.25, ένα από τα 4 πιθανά μήκη κλειδιών, δεδομένου ότι το κάθε ερώτημα θα αφορά σε κάθε περίπτωση ένα συγκεκριμένο μήκος κλειδιού. Οι υπόλοιπες μεταβάσεις αφορούν το συγχρονισμό μεταξύ των οντοτήτων του μοντέλου και τις εναλλαγές στις καταστάσεις των μεταβλητών phase και party. Γενικά, για κάθε αποστολή μηνυμάτων από κάποιο μέρος σε ένα άλλο, υπάρχει μια μετάβαση αποστολής μηνυμάτων και μια που σηματοδοτεί το τέλος της αποστολής (για παράδειγμα receivea και end_receivea, που σημαίνει λήψη μηνύματος από τον partyb και τέλος της λήψης του μηνύματος αντίστοιχα). Αναλυτικότερα οι σχέσεις μεταξύ μεταβάσεων και βημάτων του πρωτοκόλλου είναι οι εξής: receivea : ο partyb αποστέλλει μήνυμα εκκίνησης του πρωτοκόλλου, δηλαδή ζητά την έναρξη του πρωτοκόλλου. receiveb1 : ο partya αποστέλλει τα Ν δημόσια κλειδιά στον partyb. receivea2 : ο partyβ αποστέλλει τα κρυπτογραφημένα δημόσια κλειδιά στον partya. receiveb2 : ο partya αποστέλλει τα Ν*Μ κρυπτογαφημένα μηνύματα στον partyb. Στην γραμμή 78 ορίζεται και η μετάβαση τέλους για το μοντέλο με μια μετάβαση προς την ίδια κατάσταση. Στην γραμμή 79 τελειώνει ο ορισμός της οντότητας του πρωτοκόλλου. Εικόνα 7: Ο αποστολέας του πρωτοκόλλου 21

22 Στην γραμμή 83 ξεκινά ο ορισμός της οντότητας του partya, δηλαδή του αποστολέα. Ο αποστολέας στέλνει αρχικά Ν δημόσια κλειδιά και έπειτα λαμβάνει Μ κρυπτογραφημένα από αυτά. Έπειτα εκτελεί Ν*Μ αποκρυπτογραφήσεις με χρήση του ιδιωτικού του κλεδιού του RSA και στη συνέχεια Ν*Μ κρυπτογραφήσεις με τη χρήση του AES. Η μεταβλητή state_α δείχνει την κατάσταση του partya στην εξέλιξη του πρωτοκόλλου. Οι πιθανές καταστάσεις είναι οι εξής: State_A=1 : αρχική κατάσταση του Α. State_A=2 : αποστέλλονται τα N δημόσια κλειδιά. State_A=3 : αναμονή για τις Μ κρυπτογραφημένες επιλογές. State_A=4: Μ κρυπτογραφημένα μηνύματα έχουν ληφθεί. Εκτελούνται Ν*Μ κρυπτογραφήσεις με το ιδιωτικό κλειδί του partya για τον RSA. Έπειτα εκτελούνται Ν*Μ κρυπτογαφήσεις με τη χρήση του κρυπτογραφικού αλγορίθμου DES. State_A=5 : Τα κρυπτογραφημένα μηνύματα στέλνονται στον partyb. State_A=6 : τελική κατάσταση του partya. Στην γραμμή 93 η μεταβλητή finisha έχει τιμή true όταν ο partya ολοκληρώνει επιτυχώς το πρωτόκολλο. Στην γραμμή 95 η μεταβλητή decrypt_keys είναι αληθής όταν ο partya κάνοντας χρήση του μυστικού ιδιωτικού κλειδιού του RSA, αποκρυπτογραφώντας τα Μ μηνύματα που έλαβε από τον partyb. Η μεταβλητή generate_cij αναφέρεται στις κρυπτογραφήσεις που εκτελεί ο partya με χρήση του DES. Η μεταβλητή public_keys είναι ένας μετρητής των δημοσίων κλειδιών που αποστέλλονται στον partyb κατά το πρώτο στάδιο του πρωτοκόλλου. Αντίστοιχα η μεταβλητή encrypted_keys_received είναι μετρητής για τα κρυπτογραφημένα μηνύματα που λαμβάνει ο patryα από τον partyb ενώ τέλος η MN_Encrypted_sent έχει τιμή true όταν τα τελικά Μ*Ν μηνύματα αποστέλλονται στον partya. 22

23 Εικόνα 8: Ο αποστολέας του πρωτοκόλλου (συνέχεια) Οι υπόλοιπες μεταβάσεις συγχρονισμού με τις άλλες οντότητες αφορούν τα διάφορα στάδια του πρωτοκόλλου. Κατά την διάρκεια αυτών, λαμβάνουν χώρα από πλευράς partya οι ενέργειες κρυπτογράφησης και αποκρυπτογράφησης που αναλύθηκαν προηογουμένως, αλλά και αποστολή μηνυμάτων προς τον partyb. Στην γραμμή 125 η μετάβαση συγχρονισμού συμβολίζει το τέλος του πρωτοκόλλου, ενώ στην γραμμή 126 τελειώνει ο ορισμός της οντότητας του partya. Εικόνα 9: Ο παραλήπτης του πρωτοκόλλου 23

24 Από την γραμμή 129 ξεκινά ο ορισμός της οντότητας του partyb, δηλαδή του παραλλήπτη του πρωτοκόλλου. Στην γραμμή 131 η μεταβλητή public_keys_received είναι ένας μετρητής για τον αριθμό δημοσίων κλειδιών που λαμβάνει ο partyb. Η μεταβλητή state_b δείχνει την κατάσταση του partyb. Αναλυτικότερα: state_b=1 : Είναι η αρχική κατάσταση του partyb. state_b=2 : Ο παραλήπτης περιμένει Ν δημόσια κλειδιά από τον partya. state_b=3 : Τα δημόσια κλειδιά έχουν ληφθεί. state_b=4 : Επιλογή Μ δημοσίων κλειδιών από το σύνολο των Ν. Κρυπτογράφηση Μ ιδιωτικών κλειδιών με τη χρήση των Μ δημοσίων. state_b=5 : Αποστολή των κρυπτογραφημένων κλειδιών. state_b=6 : Αναμονή για Ν*Μ απαντήσεις από τον partya. state_b=7 : Ο partyb έχει λάβει το τελευταίο μήνυμα από τον partya. state_b=8 : Ο partyb έχει λάβει τα τελικά Μ μηνύματα αποκρυπτογραφόντας τις Μ σωστές απαντήσεις του partya. Τελική κατάσταση του partyb. Στην γραμμή 143 η μεταβλητή finishb είναι αληθής όταν ο partyb φτάσει στην τελική του κατάσταση. Η public_keys_b_chooses δείχνει τον αριθμό των δημοσίων κλειδιών που επιλέγει ο partyb, ενώ η number_of_symmetric_keys τον αριθμό ιδιωτικών κλειδιών που θα κρυπτογραφήσει με αυτά τα δημόσια κλειδιά. Η encrypted_symmetric_keys έχει τιμή true όταν πραγματοποιηθεί η κρυπτογράφηση και η symmetric_keys_to_send είναι ένας μετρητής για τον αριθμό των κρυπτογραφημένων συμμετρικών κλειδιών που θα στείλει ο partyb. Στο τελευταίο βήμα του πρωτοκόλλου η decrypt_mij γίνεται αληθής καθώς δείχνει την επιτυχή αποκρυπτογράφηση των τελικών μηνυμάτων που αποστέλλει ο partya. Η μεταβλητή Μ εκφράζεται όπως επισημάνθηκε και προηγουμένως ως ποσοστό επί του συνόλου Ν, εκφράζοντας τον αριθμό των δημοσίων κλειδών που επιλέγει ο partyb. 24

25 Εικόνα 10: Ο παραλήπτης του πρωτοκόλλου (συνέχεια) Οι μεταβάσεις εντός της οντότητας του partyb δεν αναλύονται περεταίρω καθώς είναι συσχετιζόμενες με αυτές που αναλύθηκαν προηγουμένως. Το πιο σημαντικό κομμάτι είναι στην γραμμή 166, όπου ξεκινά ο ορισμός της μετάβασης για την επιλογή του Μ. Ο partyb μπορεί να επιλέξει εως και το 90% των συνολικών μηνυμάτων που αποστέλλει o partya. Η επιλογή του Μ έχει την εξής μορφή: [action] state_b >probability : ( M =floor(x*n/10) ), όπου state_b η κατάσταση του partyb, probability η πιθανότητα επιλογής αυτής της μετάβασης και Χ μια σταθερά με πεδίο τιμών 1 εως 9. Αν το Χ έχει τιμή 3, τότε το Μ αντιστοιχεί στο 30% του συνόλου Ν κ.ο.κ. Τέλος οι δομές κόστους φαίνονται παρακάτω: 25

26 Εικόνα 11: Η δομή κόστους του παραλήπτη Το κόστος του παραλήπτη αποτελείται από το κόστος κρυπτογράφησης Μ μηνυμάτων, σε σχέση με το κλειδί που έχει επιλεχθεί αλλά και το κόστος αποκρυπτογράφησης των τελικών μηνυμάτων. Εικόνα 12: Η δομή κόστους του αποστολέα Το κόστος αποστολέα είναι το άθροισμα κόστους αποκρυπτογράφησης Ν*Μ μηνυμάτων, αλλά και το κόστος κρυπτογράφησης συμμετρικού κλεδιού Ν*Μ μηνυμάτων. Όλα τα κόστη εξαρτώνται από το δημόσιο και ιδιωτικό κλειδί κρυπτογράφησης που έχει επιλεχθεί. Τέλος τα μηνύματα που στέλνονται από τον PartyA (Sender) και από τον PartyB (Receiver) καταμετρώνται από τις δομές κόστους "Messages_sent_by_Sender"και "Messages_sent_by_Receiver" αντίστοιχα. 26

27 ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΗΣ ΑΝΑΛΥΣΗΣ Σε αυτήν την ενότητα παρουσιάζονται τα αποτελέσματα του αυτόματου ελέγχου μοντέλου του ΟΤ που αναπτύχθηκε. Η ανάλυση κόστους βασίζεται στα διάφορα μήκη κλειδιών RSA και ποσοστού Μ επί του συνόλου μηνυμάτων Ν που αποστέλλονται. Τα αποτελέσματα μπορούν να χωριστούν σε τέσσερεις υποκατηγορίες ανάλογα με το υπό εξέταση αντικείμενο. Πιο συγκεκριμένα: Ανάλυση των βασικών ιδιοτήτων του πρωτοκόλλου. Ανάλυση υπολογιστικού κόστους του αποστολέα. Ανάλυση υπολογιστικού κόστους παραλλήπτη. Συγκριτική ανάλυση των δύο συμμετεχόντων του πρωτοκόλλου. Στο τέλος της ενότητας γίνεται η σύνοψη των αποτεσμάτων και αθροίζονται τα τελικά συμπεράσματα. Ανάλυση του πρωτοκόλλου Η ανάλυση βασικών ιδιοτήτων του πρωτοκόλλου γίνεται με στόχο την επαλήθευση της ορθής λειτουργίας του. Πιο συγκεκριμένα μετά την λήξη του πρωτοκόλλου ελέγχεται ο αριθμός των μηνυμάτων που έχει στείλει και λάβει το κάθε μέρος. Επίσης γίνεται έλεγχος για τον αν και τα δύο μέρη του πρωτοκόλλου φτάνουν στην τελική τους κατάσταση. Εξετάστηκε η ιδιότητα : P=? [true U correctness_ot=true], όπου correctness_ot (γραμμή 28 του μοντέλου), που γίνεται αληθής όταν και τα δύο μέρη φτάσουν στην τελική τους κατάσταση ολοκληρώνοντας επιτυχώς το πρωτόκολλο. Τα αποτελέσματα είναι τα εξής: 27

28 Εικόνα 13: Πιθανότητα τερματισμού του μοντέλου Δηλαδή η πιθανότητα ορθής λειτουργίας και τερματισμού του πρωτοκόλλου και από τα δύο μέρη είναι 100%. Στο μοντέλο θεωρείται πως δεν υπάρχουν σφάλματα κατά την επικοινωνία των συμμετεχόντων και συνεπώς ο αποστολέας και ο παραλήπτης πάντα ακολουθούν ορθά το πρωτόκολλο. Στην συνέχεια εξετάστηκε ο αριθμός των μηνυμάτων που στέλνει ο αποστολέας εως και την λήξη του πρωτοκόλλου. Το σύνολο των μηνυμάτων αποτελέιται από τα Ν αρχικά δημόσια κλεδιά αλλά και τα τελικά μηνύματα, που παράγονται έπειτα από την αποκρυπτογράφηση με το ιδιωτικό κλειδί του RSA και την κρυπτογράφηση με το ιδιωτικό κλειδί του AES. Τα αποτελέσματα παράγονται για Ν=10 και Μ=20% του Ν, δηλαδή Μ=2. Η δομή κόστους που χρησιμοποιήθηκε είναι η Messages_sent_by_sender. Εικόνα 14: Μηνύματα που έχουν σταλλεί από τον αποστολέα 28

29 Το αποτέλεσμα των κόστους είναι ίσο με 30 το οποίο αναλύεται ως εξής: Ν=10 δημόσια κλειδιά στέλνονται αρχικά και αφού Μ=20% του Ν, έπειτα Μ*Ν=2*10=20 μηνύματα. Το σύνολο μηνυμάτων που αποστέλλει ο partya δηλαδή είναι ίσο με, δηλαδή 10+20, όπως ορίζει και το πρωτόκολλο. Αντίστοιχα ελέγχθηκε ο αριθμός των μηνυμάτων που στέλνει ο παραλήπτης του πρωτοκόλλου. Για Ν=10 και Μ=20% του Ν, το αποτέλεσμα είναι 2 όπως φαίνεται και από την παρακάτων εικόνα. Αυτό είναι και το αναμενόμενο αποτέλεσμα καθώς ο παραλήπτης αποστέλει Μ μηνύματα, όσα δηλαδή είναι και τα δημόσια κλειδιά που επιλέγει. Εικόνα 15: Μηνύματα που έχουν σταλλεί από τον παραλήπτη για Ν=10 Αντίστοιχα για Ν=100 και Μ=40% του Ν τα αποτελέσματα είναι τα εξής: 29

30 Εικόνα 16: Μηνύματα που έχουν σταλλεί από τον παραλήπτη για Ν=100 Δηλαδή ο αποστολέας στέλνει Μ=40 μηνύματα ακριβώς στον αποστολέα, όπως ορίζει και το πρωτόκολλο. Ανάλυση κόστους αποστολέα Η ανάλυση κόστους του αποστολέα βασίστηκε στα διαφορετικά μήκη κλειδιών του RSA, καθώς σε όλα τα παραδείγματα επιλέχθηκε ο AES 128. Ανάλογα με το μέγεθος κλεδιού που επιλέγεται, ο αποστολέας ανταμοίβεται αντίστοιχα από την δομή κόστους Cost_of_Sender. Το υπολογιστικό κόστος του αποστολέα εξετάζεται σε σχέση με το πλήθος των μυστικών Ν που κατέχει και συνεπώς των δημοσίων κλειδιών Ν που στέλνονται στον παραλήπτη. Η ιδιότητα που ελέγχεται είναι η R{ Cost_of_Sender }=? [F correctness_ot], δηλαδή ελέγχεται το κόστος του αποστολέα έπειτα από την ορθή εκτέλεση του πρωτοκόλλου. Στους παρακάτω γράφους παρουσιάζεται το αναμενόμενο κόστος σε σχέση με την επιλογή κλειδιού RSA, το πλήθος Ν, αλλά και την επιλογή του Μ από τον παραλήπτη. Ο άξονας Y παρουσιάζει την αναμενόμενη ανταμοιβή, ενώ στον άξονα X επιλέγεται να παρουσιαστεί το πλήθος δημοσίων κλεδιών Ν. 30

31 Εικόνα 17: Κόστος αποστολέα RSA 128 Στον παραπάνω γράφο παρουσιάζεται το υπολογιστικό κόστος του αποστολέα για μέγεθος κλειδιού RSA 128 bits. Το κόστος του αποστολέα αυξάνεται όπως ήταν αναμενόμενο για μεγαλύτερα Ν και εξαρτάται από την επιλογή του Μ, που κάνει ο παραλήπτης. Όσο μεγαλύτερη τιμή επιλέγεται για το Μ, τόσο μεγαλύτερο είναι και το αναμενόμενο κόστος για τον αποστολέα. Το κόστος του αποστολέα σε μικρά μήκη κλειδιού μπορεί να είναι μεγάλο, αν επιλεχθεί μεγάλο ποσοστό του Ν από πλευράς παραλήπτη (παράμετρος Μ), ενώ για μικρά ποσοστά (π.χ. 5%) παρατηρείται ότι το κόστος μειώνεται δραστικά. Στον ακόλουθο γράφο παρουσιάζεται το αναμενόμενο κόστος αποστολέα για τον RSA 512. Εικόνα 18: Κόστος αποστολέα RSA

32 Το κόστος αποστολέα για τον RSA 512 παρουσιάζει την ίδια αυξητική τάση για μεγαλύτερα μεγέθη του Μ. Το υπολογιστικό κόστος αυξάνεται για μεγαλύτερες τιμές του Ν, στις οποίες παραμένει υψηλό ακόμη και για μικρά μεγέθη του Μ (π.χ. 20%). Στους επόμενους δύο γράφους εμφανίζεται η ίδια τάση σε σχέση με την επιλογή του Μ και το μέγεθος του Ν. Όσο μεγαλύτερο είναι το κλειδί κρυπτογράφησης που χρησιμποιείται τόστο μεγαλύτερο είναι και το κόστος για τον αποστολέα. Εικόνα 19: Κόστος αποστολέα RSA 1024 Εικόνα 20: Κόστος αποστολέα RSA 2048 Στον ακόλουθο γράφο πραγματοποιείται ανάλυση εκτίμησης κόστους για μικρές τιμές του Μ για τον RSA

33 Εικόνα 21: Κόστος αποστολέα RSA 2048, μικρές τιμές Μ Στους παρακάτω γράφους φαίνεται το κόστος του αποστολέα για διάφορα μεγέθη του Ν και για όλα τα κλειδιά του RSA που εξετάστηκαν. Το αναμενόμενο κόστος για όλα τα κλειδιά είναι κατά πολύ μεγαλύτερο του αντίστοιχου κόστους του παραλήπτη. Χαρακτηριστική είναι η αύξηση του κόστους για μέγεθος κλεδιού RSA Η μεγάλη αυτή αύξηση καθιστά ακατάλληλο τον παρών μηχανισμό για χρήση με κλεδιά αυτού του μεγέθους. Εικόνα 22: Κόστος αποστολέα για όλα τα μεγέθη κλειδιών 33

34 Εικόνα 23: Κόστος αποστολέα RSA 128, 512, 1024, μικρές τιμές Μ Τα συμπεράσματα που εξάγονται από τους παραπάνω γράφους είναι ότι το κόστος αποστολέα εξαρτάται από δύο βασικούς παράγοντες. Αρχικά το πλήθος των δημοσίων κλεδιών που επιλέγει να στείλει ο αποστολέας, αλλά και από το ποσοστό αυτών που επιλέγει ο παραλλήπτης (Ν και Μ αντίστοιχα). Αυτό σημαίνει πως ο παραλήπτης μπορεί να επιρεάσει το υπολογιστικό κόστος του αποστολέα αναγκάζοντας τον να κάνει χρονοβόρες και κοστοβόρες πράξεις κρυπτογράφησης και αποκρυπτογράφησης, επιλέγοντας μεγάλο αριθμό Μ. Το υπολογιστικό κόστος για τον αποστολέα εκτοξεύεται για μεγάλα μεγέθη κλειδιού, γεγονός που καθιστά το παρών σχήμα Oblivious Transfer ακατάλληλο για χρήση από πλευράς υπολογιστικού κόστους του αποστολέα. Ολοένα και μεγαλύτερα μεγέθη κλεδιού RSA χρειάζονται ώστε να εγγυόνται την ασφάλεια των συμμετεχόντων ενός πρωτοκόλλου ασφαλείας. Ωστόσο από τα παραπάνω αποτελέσματα συνεπάγεται ότι η χρήση του παρόντως σχήματος σε συνδιασμό με μεγάλα μεγέθη κλεδιών κρυπτογραφικών αλγορίθμων είναι απαγορευτική. Η εκθετική σχέση μεταξύ κόστους και των παραμέτρων που εξετάζονται (Μ,Ν), οφείλεται στις Ν*Μ αποκρυπτογραφήσεις βάση RSA που εκτελεί ο αποστολέας, αλλά και στις Μ*Ν κρυπτογραφήσεις βάση AES. Ανάλυση κόστους παραλήπτη Η ανάλυση υπολογιστικού κόστους του παραλήπτη βασίστηκε επίσης στα διαφορετικά μεγέθη κλειδιών RSA. Ανάλογα με το μέγεθος κλεδιού που επιλέγεται, ο αποστολέας ανταμοίβεται αντίστοιχα από την δομή κόστους Cost_of_Receiver. Η ανταμοιβή αντιστοιχεί σε υπολογιστικό κόστος του παραλήπτη σε millisecond. Το υπολογιστικό κόστος του παραλήπτη εξετάζεται σε σχέση με το πλήθος των μυστικών Ν δημοσίων κλειδιών που λαμβάνει και του ποσοστού αυτών που 34

35 επιλέγει. Η ιδιότητα που ελέγχεται είναι η R{ Cost_of_Sender }=? [F correctness_ot], δηλαδή ελέγχεται το κόστος του παραλήπτη έπειτα από την ορθή εκτέλεση του πρωτοκόλλου. Εικόνα 24: Κόστος παραλήπτη RSA 128 Από τον παραπάνω γράφο συνεπάγεται ότι το κόστος του παραλήπτη είναι συνάρτηση του ποσοστού Μ που επιλέγεται από τον ίδιο από το σύνολο Ν. Επίσης το αναμενόμενο κόστος επηρεάζεται από το πλήθος δημοσίων κλεδιών που θα λάβει κατά το πρώτο βήμα του πρωτοκόλλου, καθώς από το σύνολο αυτών θα επιλέξει ένα ποσοστό που αντιστοιχεί στην επιλογή του Μ. Αντίστοιχα είναι και τα συμπεράσματα από τον ακόλουθο γράφο για μέγεθος κλεδιού RSA 512. Εικόνα 25: Κόστος παραλήπτη RSA

36 Ωστόσο παρατηρείται ότι η αύξηση στο αναμενόμενο κόστος παραλήπτη είναι πολύ μικρή σε σχέση με αυτή που παρατηρήθηκε ανάμεσα σε δύο ιαφορετικά κλεδιά για τον αποστολέα. Το κόστος αυξάνεται για μεγαλύτερα μήκη κλεδιών, αλλά όχι με τον ρυθμό που αυξάνεται το αντίστοιχο κόστος του αποστολέα. Τα ίδια συμπεράσματα προκύπτουν από τους ακόλουθους δύο γράφους για RSA 1024 και RSA Εικόνα 26: Κόστος παραλήπτη RSA 1024 Εικόνα 27: Κόστος παραλήπτη RSA 2048 Από τους παραπάνω γράφους προκύπτει ότι όσο περισσότερα είναι τα δημόσια κλειδιά που λαμβάνει ο partyb (παραλήπτης), τόσο μεγαλύτερος και ο αριθμός των επιλογών του για το ίδιο ποσοστό. Για παράδειγμα αν Μ=20% και Ν=50, τότε Μ=10. Αντίστοιχα αν Μ=20% και Ν=100, τότε Μ=20. Αυτό εξηγεί την γραμμική σχέση μεταξύ του αναμενόμενου κόστους και των παραγόντων που εξετάζονται για την επιροή τους στο κόστος. 36

37 Αναλυτικότερα ο παραλήπτης εκτελεί Μ κρυπτογραφήσεις με χρήση του RSA και Μ αποκρυπτογρεαφήσεις με χρήση του AES. Συνεπώς το αναμενόμενο κόστος είναι συνάρτηση του ποσοστού που ο ίδιος επιλέγει από το σύνολο Ν. Η αυξητική τάση που παρατηρείται για μεγαλύτερες τιμές του Ν, οφείλεται στον λόγο που εξηγήθηκε προηγουμένως, δηλαδή ότι αν Μ=20% και Ν=50, τότε Μ=10. Αντίστοιχα αν Μ=20% και Ν=100, τότε Μ=20. Επίσης είναι φανερό ότι για τον παρλήπτη ο μηχανισμός είναι αποδοτικός ακόμη και για πολύ μεγάλα μεγέθη κλειδιού RSA. Ακόμη και για RSA 2048 το κόστος είναι υποφερτό και σημαντικά μικρότερο από το αντίστοιχο του αποστολέα. Ένα συμπέρασμα που προκύπτει από την παραπάνω ανάλυση, είναι ότι ο παραλήπτης μπορεί να ορίζει το δικό του κόστος. Δηλαδή επιλέγοντας μικρό ποσοστό του Ν έχει και μικρότερο κόστος, ενώ παράλληλα μπορεί να ορίζει το κόστος του αποστολέα. Στον παρακάτων γράφο φαίνεται η σχέση μεταξύ αναμενόμενου κόστους και διαφορετικών μεγεθών κλειδών RSA και Μ=40% του Ν. Το κόστος παραλήπτη αυξάνεται για μεγαλύτερα μεγέθη κλεδιών, ωστόσο ο ρυθμός αύξησής του παραμένει χαμηλός και σε χαμηλές τιμές υπολογιστικού κόστους. Εικόνα 28: Κόστος παραλήπτη για όλα τα μεγέθη κλειδιών Συγκριτική ανάλυση των μερών του πρωτοκόλλου Από τους παραπάνω γράφους και το αναμενόμενο κόστος για κάθε μέρος του πρωτοκόλλου, μπορούν να εξαχθούν συμπεράσματα σχετικά με την αποδοτικότητα του μηχανισμού υπό το πρίσμα του υπολογιστικού κόστους. Η σύγκριση των δύο γίνεται με βάση το κόστος του καθενός για τα διάφορα κλεδιά του RSA. Είναι ξεκάθαρο ότι ο παραλήπτης (partyb) του πρωτοκόλλου, σε όλες τις πιθανές εκβάσεις του, έχει μικρότερο κόστος από τον παραλήπτη (partya). Για όλα τα μεγέθη κλεδιού RSA ο παραλήπτης έχει μεγαλύτερο κόστος και όσο τα μεγέθη 37

38 κλεδιού μεγαλώνουν, τόσο αυξάνεται και η διαφορά του υπολογιστικού φόρτου που πρέπει να επιτελέσει ο καθένας. Ο ρυθμός αύξησης κόστους για τον partya σε σχέση με το μέγεθος του κλεδιού είναι κατά πολύ μεγαλύτερος από του partyb. Ενδεικτικά παρουσιάζεται το αναμενόμενο κόστος για τα δύο μέρη για Ν=100, M =20% και μέγεθος κλεδιού RSA 2048 bits. Εικόνα 29: Αποκρυπτογραφήσεις κρυπτογραφήσεις αποστολέα Εικόνα 30: Αποκρυπτογραφήσεις κρυπτογραφήσεις παραλήπτη Επίσης ο παραλήπτης μπορεί να επιρεάσει τον φόρτο του αποστολέα με την επιλογή ενός μεγάλου ποσοστού των δημοσίων κλεδιών (Μ) αναγκάζοντας με 38