Cifrado asimétrico óptimo con relleno

OAEP ( English O ptimal A symmetric Encryption P added , Optimal asimetric encryption with added) es un esquema de adición , generalmente utilizado junto con alguna función unidireccional con una entrada secreta (por ejemplo , funciones RSA o Rabin ) para aumentar la fuerza criptográfica de este último. OAEP fue propuesto por Mihir Bellare y Phillip Rogaway [1] , y su aplicación a RSA se estandarizó posteriormente en PKCS#1 y RFC 2437 .

Historia

Se afirmó que la versión original de OAEP, propuesta por Bellare y Rogaway en 1994, era resistente a los ataques basados en el texto cifrado elegido en combinación con cualquier función de entrada secreta unidireccional [1] . Otros estudios han demostrado que dicho esquema solo es resistente a los ataques basados en texto cifrado elegido no adaptativo [2] . A pesar de esto, se ha demostrado que en el modelo de oráculo aleatorio , cuando se usa RSA estándar con exponente de cifrado , el esquema también es resistente a ataques basados en texto cifrado elegido adaptativamente [3] . Trabajos más recientes han demostrado que en el modelo estándar (cuando las funciones hash no se modelan como oráculos aleatorios) no es posible probar la resistencia a los ataques de texto cifrado adaptativo cuando se usa RSA [4] .

Algoritmo OAEP

El esquema OAEP clásico es una red Feistel de dos celdas, donde en cada celda los datos se transforman utilizando una función hash criptográfica . Como entrada, la red recibe un mensaje con ceros de verificación agregados y una clave: una cadena aleatoria [5] .

El diagrama utiliza la siguiente notación:

$norte$ - el número de bits en el bloque preparado para el cifrado asimétrico .
$k_{0}$ y son números enteros fijos por protocolo. $k_{1}$
$metro$ — texto sin formato del mensaje, cadena de bits. ${\displaystyle n-k_{0}-k_{1))$
$GRAMO$ y son las funciones hash criptográficas dadas por el protocolo. $H$

Cifrado

El mensaje se agrega con ceros, por lo que alcanza bits de longitud. $metro$ $k_{1}$ $nk_{0}$
Se genera una cadena de bits aleatorios . $k_{0}$ $r$
$GRAMO$ expande un poco de una cadena a bits. $k_{0}$ $r$ $nk_{0}$
$X=m00..0\bigoplus G(r)$ .
$H$ comprime bit a bit. $nk_{0}$ $X$ $k_{0}$
$Y=r\bigoplus H(X)$ .
texto encriptado . ${\ estilo de visualización X||Y}$

Descifrado

Se restaura la cadena aleatoria $r=Y\bigoplus H(X)$
El mensaje original se restaura como $m00..0=X\bigoplus G(r)$
Los últimos caracteres del mensaje descifrado se verifican en cero. Si hay caracteres distintos de cero, entonces el mensaje ha sido falsificado por un atacante. $k_{1}$

Aplicación

El algoritmo OAEP se usa para preprocesar el mensaje antes de usar RSA . El mensaje se rellena primero hasta una longitud fija mediante OAEP y luego se cifra mediante RSA. En conjunto, este esquema de cifrado se denomina RSA-OAEP y forma parte del estándar de cifrado de clave pública actual ( RFC 3447 ). También fue probado por Viktor Boyko que la función vista en el modelo de oráculos aleatorios es una transformación de tipo todo o nada[4] . $g^{G,H}(x)=f(OAEP^{G,H}(x,r))$

Modificaciones

Debido a deficiencias tales como la imposibilidad de probar la resistencia criptográfica a los ataques basados en el texto cifrado elegido , así como la baja velocidad del esquema [6] , posteriormente se propusieron modificaciones basadas en OAEP que eliminan estas deficiencias.

Algoritmo OAEP+

Victor Shoup ha que es resistente a los ataques de texto cifrado adaptativo cuando se combina con cualquier función de puerta trasera unidireccional [2] .

$norte$ - el número de bits en el bloque preparado para el cifrado asimétrico .
$k_{0}$ y son números enteros fijos por protocolo. $k_{1}$
$metro$ mensaje de texto sin formato, cadena de bits. ${\displaystyle n-k_{0}-k_{1))$
$GRAMO$ y son funciones hash criptográficas definidas por el protocolo. $H$ $H'$

Cifrado

Se genera una cadena de bits aleatorios . $k_{0}$ $r$
$H'$ se convierte en una cadena de longitud . ${\ estilo de visualización r||m}$ $k_{1}$
$GRAMO$ se convierte en una cadena de longitud . $r$ ${\displaystyle n-k_{0}-k_{1))$
El lado izquierdo del mensaje está compuesto . $X=(G(r)\bigoplus m)||H'(r||m)$
$H$ se convierte en una cadena de longitud . $X$ $k_{0}$
Se está redactando el lado derecho del mensaje . ${\ estilo de visualización Y = H (X) \ bigoplus r}$
texto encriptado . ${\ estilo de visualización X||Y}$

Descifrado

La cadena aleatoria se restaura . $r=Y\bigoplus H(X)$
$X$ se divide en dos partes y , con tamaños y bits, respectivamente. $X_{1}$ $X_{2}$ ${\displaystyle n-k_{1}-k_{0))$ $k_{1}$
El mensaje original se restaura como . ${\displaystyle m=G(r)\bigoplus X_{1))$
Si no se cumple , el mensaje se falsifica. $H'(r||m)=X_{2}$

Algoritmo SAEP/SAEP+

Dan Bonet ha propuesto dos implementaciones simplificadas de OAEP, llamadas SAEP y SAEP+ respectivamente. La idea principal de simplificar el cifrado es la ausencia del último paso: el mensaje se "pegó" con la cadena aleatoria generada inicialmente . Por lo tanto, los circuitos constan de una sola celda de Feistel , por lo que se logra un aumento en la velocidad de operación [7] . La diferencia entre los algoritmos entre sí se expresa en el registro de los bits de control. En el caso de SAEP, estos son ceros, mientras que para SAEP+, esto es un hash de (respectivamente, como en OAEP y OAEP+) [5] . La desventaja de los algoritmos es una fuerte reducción en la longitud del mensaje. La confiabilidad de los esquemas en el caso de usar la función Rabin y RSA se ha probado solo con la siguiente restricción en la longitud del texto transmitido: para SAEP + y adicionalmente para SAEP [8] . Vale la pena señalar que aproximadamente a la misma velocidad, SAEP+ tiene menos restricciones en la longitud del mensaje que SAEP [8] , por lo que se reconoce como más preferible [8] . $r$ ${\ estilo de visualización m||r}$ ${\displaystyle m\leqslant n/2+k_{0))$ $m\leqslant n/4$

El diagrama utiliza la siguiente notación:

$norte$ - el número de bits en el bloque RSA o criptosistema de Rabin .
$k_{0}$ y son números enteros fijos por protocolo. $k_{1}$
$metro$ mensaje de texto sin formato, cadena de bits. ${\displaystyle n-k_{0}-k_{1))$
$GRAMO$ y son las funciones hash criptográficas dadas por el protocolo. $H$

Cifrado SAEP+

Se genera una cadena de bits aleatorios . $k_{0}$ $r$
$GRAMO$ se convierte en una cadena de longitud . ${\ estilo de visualización m||r}$ $k_{1}$
$H$ se convierte en una cadena de longitud . $r$ $nk_{0}$
Calculado . $X=(m||G(m||r))\bigoplus H(r)$
texto encriptado . ${\ estilo de visualización X||r}$

Descifrado SAEP+

Calculado , donde y son cadenas de tamaño y , respectivamente. $X_{1}||X_{2}=X\bigoplus H(r)$ $X_{1}$ $X_{2}$ ${\displaystyle n-k_{0}-k_{1))$ $k_{0}$
Se comprueba la igualdad . Si la igualdad es verdadera, entonces el mensaje original , si no, entonces el mensaje es falsificado por un atacante. $X_{2}=G(X_{1}||r)$ $X_{1}$

Véase también

RSA-KEM

Notas

↑ 1 2 Cifrado asimétrico óptimo Cómo cifrar con RSA, 1995 , p. una.
↑ 1 2 OAEP Reconsidered, 2001 , p. una.
↑ RSA–OAEP es seguro bajo el supuesto de RSA, 2001 , p. una.
↑ 1 2 Comercio unidireccional contra seguridad de texto cifrado elegido en cifrado basado en factorización, 2006 , p. una.
↑ 1 2 OAEP simplificado para las funciones RSA y Rabin, 2001 , p. 277.
↑ Una alternativa de bajo costo para OAEP, 2001 , p. una.
↑ OAEP simplificado para las funciones RSA y Rabin, 2001 , p. 275.
↑ 1 2 3 OAEP simplificado para las funciones RSA y Rabin, 2001 , p. 290.

Literatura

M. Bellare, P. Rogaway. Cifrado asimétrico óptimo: cómo cifrar con RSA . - Springer Berlín Heidelberg, 1995. - Vol. 950.-Pág. 92-111. - ISBN 978-3-540-60176-0 . — ISSN 0302-9743 . -doi : 10.1007/ BFb0053428 .
Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval y Jacques Stern. RSA–OAEP es seguro bajo el supuesto de RSA . - Springer Berlín Heidelberg, 2001. - Vol. 2139. - Pág. 260-274. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . -doi : 10.1007 / 3-540-44647-8_16 .
P. Paillier y J. Villar. Negociar la unidireccionalidad contra la seguridad de texto cifrado elegido en el cifrado basado en factores . - Springer Berlín Heidelberg, 2006. - Vol. 4284. - Pág. 252-266. - ISBN 978-3-540-49475-1 . — ISSN 0302-9743 . -doi : 10.1007/ 11935230_17 .
Pedro Schartner. Una alternativa de bajo costo para OAEP . - 2001. - ISBN 978-1-4503-0882-3 . -doi : 10.1145/ 2349913.2349914 .
Tienda Víctor. OAEP Reconsiderado . - Springer Berlín Heidelberg, 2001. - Vol. 2139. - Pág. 239-259. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . -doi : 10.1007 / 3-540-44647-8_15 .
D. Boneh. OAEP simplificado para las funciones RSA y Rabin . - Springer Berlín Heidelberg, 2001. - Vol. 2139. - Pág. 275-291. — ISBN 978-3-540-42456-7 . — ISSN 0302-9743 . -doi : 10.1007 / 3-540-44647-8_17 .
Víctor Boyko. Sobre las propiedades de seguridad de OAEP como una transformación de todo o nada . - Springer Berlín Heidelberg, 1999. - Vol. 1666. - Pág. 503-518. — ISBN 978-3-540-66347-8 . — ISSN 0302-9743 . -doi : 10.1007/ 3-540-48405-1_32 .

Criptosistemas de clave pública

Algoritmos

Factorización de números enteros	criptosistema Benalo Bluma - Goldwasser Cayley sobrecargo Damgorda - Eureka GMR Goldwasser-Micali Nakasha - popa paga Rabín RSA Okamoto-Uchiyama Schmidt-Samoa
logaritmo discreto	BLS Cramer - Shoup Protocolo de Diffie-Hellman DSA ECDH Curva25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Intercambio de claves cifradas Esquema de ElGamal esquema de firma MQV esquema de Schnorr HABLA PVP STS
Criptografía en celosías	NTRUEncriptar NTRUSign Intercambio de claves basado en el aprendizaje con errores Entrenamiento basado en firmas con errores en el ring FELICIDAD Nueva Esperanza
Otro	AE CEILIDH EPOC Ecuaciones de campo ocultas IES la firma de lamport McEliece Criptosistema de mochila Merkle-Hellman Criptosistema de mochila Naccache-Stern Protocolo de tres pasos XTR

Teoría

Logaritmo discreto en una curva elíptica
Criptografía elíptica
Criptografía basada en hash
Criptografía no conmutativa
problema RSA
Función unidireccional con entrada secreta

Estándares

CRYPTREC
IEEE P1363
NESSIE
Paquete B de la NSA
Criptografía post cuántica

Temas

Firma electronica
OAEP
Huella dactilar
PKI
red de confianza
Tamaño de clave
Criptografía basada en identidad
Criptografía poscuántica
Tarjeta OpenPGP