![Отвечаем на запросыЗагадаем 𝑗∈[1..𝑞]На все 𝐻(𝑀𝑖), где𝑖≠𝑗,отвечаем так, что знаем подпись:𝑟𝑖- случайное число mod N𝐻𝑀𝑖←𝑟𝑖𝑑На𝐻𝑀𝑗ответим𝐻𝑀𝑗←𝑀 13Дано: 𝑀, 𝑑, 𝑁Найти: 𝑀𝑒=𝑑𝑀 mod N](https://image.slidesharecdn.com/hashcselecture3-110417233213-phpapp02/85/Hash-cse-lecture3-13-320.jpg)
Hash cse lecture3
- 1. 1Криптографическиехэш-функции.Лекция 3: КонструкцииИлья МироновMicrosoft Research, Silicon ValleyЕкатеринбург, 16-17 апреля, 2011
- 2. План лекцииСлучайный оракулЧтениеЗаписьМодель случайного оракулаКонструкции2
- 3. 3Алгоритм Диффи-Хеллманаagbgнаходим gabнаходим gabАлисаБобg G, ord g = pслучайное aслучайное bключ =gabH( )
- 4. ПредположениеДискретный логарифм?Computational Diffie-Hellman problem?Decisional Diffie-Hellman problem:4Дано: 𝑔𝑥Найти: 𝑥 Дано: 𝑔𝑥, 𝑔𝑦Найти: 𝑔𝑥𝑦 Дано: 𝑔𝑥, 𝑔𝑦, 𝑔𝑥𝑦или𝑔𝑥, 𝑔𝑦, 𝑔𝑧Решить: да или нет
- 6. 6Алгоритм Диффи-Хеллманаagbgнаходим gabнаходим gabАлисаБобg G, ord g = pслучайное aслучайное bключ =gabH( )случайный оракул
- 7. ПредположениеДискретный логарифм?Computational Diffie-Hellman problem?Decisional Diffie-Hellman problem:7Дано: 𝑔𝑥Найти: 𝑥 Дано: 𝑔𝑥, 𝑔𝑦Найти: 𝑔𝑥𝑦 Дано: 𝑔𝑥, 𝑔𝑦, 𝑔𝑥𝑦или𝑔𝑥, 𝑔𝑦, 𝑔𝑧Решить: да или нет
- 8. 8RSAСхема подписи RSA Параметры: N = pq, ed = 1 mod φ(N) Подпись: C=Me mod N Проверка: Cd=M mod NАтака:C1и С2 подписи на M1 иM2(C1C2)d=M1M2Подпись: C=H(M)emod NПроверка: Cd=H(M)mod N(C1C2)d=H(M1)H(M2)
- 9. ПредположениеПроблема RSA?Decisional problem- ?9Дано: 𝑀, 𝑑, 𝑁Найти:𝑑𝑀 mod 𝑁
- 10. Проблема RSA10Дано: 𝑀, 𝑑, 𝑁Найти:𝑑𝑀 mod 𝑁 Враг, подделывающийподпись𝑀1 𝐶1 𝑀2 nподписей𝐶2 …—подделка𝑀, 𝐶
- 12. Проблема RSA12Дано: 𝑀, 𝑑, 𝑁Найти: 𝑀𝑒=𝑑𝑀 Враг, подделывающийподписьS-запросы: подпись на MH-запросы: 𝐻𝑀 nS-запросов и qH-запросов—подделка𝑀, 𝐶
- 13. Отвечаем на запросыЗагадаем 𝑗∈[1..𝑞]На все 𝐻(𝑀𝑖), где𝑖≠𝑗,отвечаем так, что знаем подпись:𝑟𝑖- случайное число mod N𝐻𝑀𝑖←𝑟𝑖𝑑На𝐻𝑀𝑗ответим𝐻𝑀𝑗←𝑀 13Дано: 𝑀, 𝑑, 𝑁Найти: 𝑀𝑒=𝑑𝑀 mod N
- 14. СведениеС вероятностью 1/𝑞мы угадали место подделки!Потеря сведения – 1/𝑞. 14
- 15. Уменьшаем потерюH-запросы:Выбираем случайное 𝑟𝑖 mod 𝑁 С вероятностью 𝑝 отвечаем 𝑀∙𝑟𝑖𝑑1−𝑝 отвечаем 𝑟𝑖𝑑Cможем ответить на все S-запросы: 1−𝑝𝑛Подделка поможет решить задачу: p 15
- 20. Осторожно, модель!Не предположение, а модель«Эвристика» - аргумент в пользу протокола, но недоказательствоСерия работ «доказуемо в модели случайного оракула, ломается при замене на любую хэш-функцию»:Canetti, Goldreich, Halevi, STOC 1998Nielsen, Crypto 2002 Goldwasser and Tauman, FOCS 2003Bellare, Boldyreva, Palacio, Eurocrypt 200420
- 21. Два мира«Стандартная модель»экзотические предположения
- 23. DSA
- 25. NIST в Federal Register: “C.1 SecurityAlgorithms will be judged on the following factors:…• The extent to which the algorithm output is indistinguishable from a random oracle”22http://csrc.nist.gov/groups/ST/hash/documents/FR_Notice_Jan07.pdf
- 26. Как строить случайные оракулы?Случайный оракул – монолитная структура.23
- 27. Конкатенация оракуловДано: Fи G – случайные оракулы24F(M)||G(M) – тоже случайный оракул
- 28. Конкатенация оракуловДано: H – случайный оракул с длиной выхода 2𝑛бит: 25msb𝑛(𝐻(𝑀)) –случайный оракул
- 30. ЗадачаИспользуя данного оракула, строить других оракулов с наперед заданными свойствами:Другой входДругой выходОбратимость («идеальный шифр»)26Уметь все эти свойства доказывать!
- 31. Indifferentiability Framework27алгоритм CоракулFоракулGсимуляторSdistinguisher Dне может различить два мираCoron et al., “Merkle-DamgårdRevisited: how to Construct a Hash Function”, CRYPTO 2004
- 36. ВыводЕсли конструкция удовлетворяет indifferentiability framework, её можно использовать вместо настоящего случайного оракула.32
- 40. РазличаемВыбираем M0, M1H0=F(M0)H1=S(H0,M1)H1 ?= F(M0,M1)36
- 42. Отличие!Cправа результаты будут разными, слева – одинаковыми!38
- 45. Атака в 2𝑛/2 операций 41M0, N0M1M2M3H0H1H2H3IV
- 46. Отличие от случайного оракулаH(M0,M1,M2,M3)=H(N0,M1,M2,M3)для любых M1,M2,M3!42
- 48. СкоростьSHA-1: одно применение сжимающей функции на 512 бит входаКонструкция Лукса: два применения сжимающей функции на 352 = 512-160 бит входаЭффективность упала на 2/3 44
- 49. Открытый вопросСхемы, сохраняющие свойство случайного оракула лучше, чем 2𝑛/2, с высокой скоростью? 45
- 50. Вопросы?46