Оптимальное заполнение асимметричного шифрования

В криптографии, Оптимальное заполнение асимметричного шифрования (OAEP ) - это схема заполнения, часто используемая вместе с шифрованием RSA. OAEP был введен Bellare и Rogaway и впоследствии стандартизован в PKCS # 1 v2 и RFC 2437.

. Алгоритм OAEP является формой Сеть Фейстела, которая использует пару случайных оракулов G и H для обработки открытого текста до асимметричного шифрования. В сочетании с любой защищенной односторонней перестановкой лазейки $f\; \{\backslash \; displaystyle\; f\}$эта обработка доказывается в случайной модели оракула, что приводит к комбинированная схема, которая семантически безопасна под выбранной атакой открытого текста (IND-CPA). При реализации с определенными перестановками лазейки (например, RSA) OAEP также доказал свою безопасность против атаки с выбранным шифрованным текстом . OAEP может использоваться для построения преобразования «все или ничего»..

OAEP удовлетворяет следующим двум целям:

1. Добавить элемент случайности, который может использоваться для преобразования схемы детерминированного шифрования (например, традиционный RSA ) в вероятностную схему.
2. Предотвратить частичное дешифрование зашифрованных текстов (или другую утечку информации), гарантируя, что злоумышленник не сможет восстановить какую-либо часть открытый текст без возможности инвертировать одностороннюю перестановку лазейки $f\; \{\backslash \; displaystyle\; f\}$.

Исходная версия OAEP (Bellare / Rogaway, 1994) показывала форму "осведомленность об открытом тексте "(которая, как они утверждали, подразумевает защиту от атаки с выбранным зашифрованным текстом ) в случайной модели оракула, когда OAEP используется с любой перестановкой лазейки. Последующие результаты противоречили этому утверждению, показывая, что OAEP был безопасен только IND-CCA1. Однако исходная схема была доказана в модели случайного оракула как IND-CCA2 безопасная, когда OAEP используется с перестановкой RSA с использованием стандартных показателей шифрования, как в случае RSA- OAEP. Виктор Шоуп предложил улучшенную схему (называемую OAEP +), которая работает с любой односторонней перестановкой лазейки, для решения этой проблемы. Более поздняя работа показала, что в стандартной модели (то есть, когда хеш-функции не моделируются как случайные оракулы) невозможно доказать безопасность IND-CCA2 RSA-OAEP при предполагаемой жесткости Проблема RSA.

• 1 Алгоритм
  • 1.1 Безопасность
  • 1.2 Реализация
• 2 См. Также
• 3 Ссылки

На диаграмме

• n - количество битов в модуле RSA.
• k0и k 1 - целые числа, зафиксированные протоколом.
• m - открытый текст сообщение, (n - k 0 - k 1) -битовая строка
• G и H являются случайными оракулами, такими как криптографические хеш-функции.
• ⊕ - операция xor.

Для кодирования сообщения

1. дополняются k 1 нулями, чтобы иметь длину n - k 0 бит.
2. r - это случайно сгенерированная k 0 -битовая строка
3. G расширяет k 0 битов r до n - k 0 бит.
4. X = m00... 0 ⊕ G (r)
5. H уменьшает n - k 0 битов X до k 0 бит.
6. Y = r ⊕ H (X)
7. На выходе будет X || Y, где X показан на схеме как крайний левый блок, а Y как крайний правый блок.

Использование в RSA: закодированное сообщение затем может быть зашифровано с помощью RSA. Детерминированного свойства RSA теперь можно избежать, используя кодировку OAEP.

Для декодирования

1. восстановить случайную строку как r = Y ⊕ H (X)
2. восстановить сообщение как m00... 0 = X ⊕ G (r)

Безопасность

Безопасность «все или ничего » основана на том факте, что для восстановления m необходимо восстановить весь X и весь Y; X требуется для восстановления r из Y, а r требуется для восстановления m из X. Поскольку любой измененный бит криптографического хеша полностью изменяет результат, весь X и весь Y должны быть полностью восстановлены.

Реализация

В стандарте PKCS # 1 случайные оракулы G и H идентичны. Стандарт PKCS # 1 также требует, чтобы случайные оракулы были MGF1 с соответствующей хэш-функцией.

• Инкапсуляция ключа

1. ^M. Белларе, П. Рогавей. Оптимальное асимметричное шифрование - как зашифровать с помощью RSA. Расширенные тезисы в «Достижения в криптологии» - Eurocrypt '94 Proceedings, Lecture Notes in Computer Science Vol. 950, изд. A. De Santis, Springer-Verlag, 1995. полная версия (pdf)
2. ^Эйитиро Фудзисаки, Тацуаки Окамото, Дэвид Пойнтшеваль и Жак Стерн. RSA - OAEP безопасен в предположении RSA. В J. Kilian, ed., Advances in Cryptology - CRYPTO 2001, vol. 2139 конспектов лекций по информатике, SpringerVerlag, 2001. полная версия (pdf)
3. ^Виктор Шуп. Пересмотр OAEP. Исследовательская лаборатория IBM в Цюрихе, Saumerstr. 4, 8803 Рушликон, Швейцария. 18 сентября 2001 г. полная версия (pdf)
4. ^стр. Пайе и Дж. Виллар, Односторонняя торговля против безопасности выбранного зашифрованного текста при шифровании на основе факторинга, Достижения в криптологии - Asiacrypt 2006.
5. ^Д. Браун, Какие хэши делают RSA-OAEP безопасным?, IACR ePrint 2006/233.
6. ^Браун, Дэниел Р. Л. (2006). «Какие хэши делают RSA-OAEP безопасным?» (PDF). IACR Cryptology ePrint Archive. Проверено 3 апреля 2019 г.