Tải bản đầy đủ (.pdf) (10 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

04 2 using block annotated tủ tài liệu bách khoa

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (387.28 KB, 10 trang )

Online
  Cryptography
  Course
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 
 
  Dan
  Boneh
 

Using
 block
 ciphers
 
Modes
 of
 opera6on:
 
one
 6me
 key
 

 
 
 
 

 
 
 
 example:
 
 
 
 encrypted
 email,
 new
 key
 for
 every
 message.
 
Dan
 Boneh
 


Using
 PRPs
 and
 PRFs
 
Goal:
 
 build
 “secure”
 encryp6on

 from
 a
 secure
 PRP
 
 
 (e.g.
 AES).
 
This
 segment:
 
 
 
 one-­‐%me
 keys
 
1.  Adversary’s
 power:
 
 
 
 
 
 
 
 

 


 Adv
 sees
 only
 one
 ciphertext
 
 
 (one-­‐6me
 key)
 
3.  Adversary’s
 goal:
 
 
 
 
 
 

 Learn
 info
 about
 PT
 from
 CT
 
 
 (seman6c
 security)
 


 
Next
 segment:
 
 
 many-­‐6me
 keys
 
 
 (a.k.a
 
 chosen-­‐plaintext
 security)
 
Dan
 Boneh
 


Incorrect
 use
 of
 a
 PRP
 
Electronic
 Code
 Book
 (ECB):

 
PT:

m1
 

m2
 

CT:

c1
 

c2
 

Problem:
 
 
 
 
–  if
 
 
 
 m1=m2
 
 
 

 
 then
 
 
 c1=c2
 
Dan
 Boneh
 


In
 pictures
 

(courtesy
 B.
 Preneel)
 

Dan
 Boneh
 


Seman6c
 Security
 (one-­‐6me
 key)
 

EXP(0):
 

Chal.
 
k←K
 

m0
 ,
 m1
 
 ∈
 M
 :
 
 
 
 |m0|
 =
 |m1|
 

Adv.
 A
 

c
 ←
 E(k,m0)

 

b’
 ∈
 {0,1}
 

one
 6me
 key
 
 ⇒
 
 
 adversary
 sees
 only
 one
 ciphertext
 
EXP(1):
 

Chal.
 
k←K
 

m0
 ,

 m1
 
 ∈
 M
 :
 
 
 
 |m0|
 =
 |m1|
 
c
 ←
 E(k,m1)
 

Adv.
 A
 

b’
 ∈
 {0,1}
 

AdvSS[A,OTP]
 =
 |
 Pr[

 EXP(0)=1
 ]
 −
 
 Pr[
 EXP(1)=1
 ]
 |
 
 
 should
 be
 “neg.”
 
Dan
 Boneh
 


ECB
 is
 not
 Seman6cally
 Secure
 
ECB
 is
 not
 seman6cally
 secure

 for
 messages
 that
 contain
 
 
more
 than
 one
 block.
 
b∈{0,1}
 
Two
 blocks
 

Chal.
 
k←K
 

m0 = “Hello World”
m1 = “Hello Hello”

Adv.
 
 A
 


(c1,c2)
 ←
 E(k,
 mb)
 

Then
 
 AdvSS
 [A,
 ECB]
 =
 1
 
 

If
 
 c1=c2
 output
 0,
 
 else
 output
 1
 
Dan
 Boneh
 



Secure
 Construc6on
 I
 
Determinis6c
 counter
 mode
 from
 a
 PRF
 
 F
 :
 
•  EDETCTR
 (k,
 m)
 
 =
 
 


 

 

m[0]
 


m[1]
 


 

m[L]
 

F(k,0)
 

F(k,1)
 


 

F(k,L)
 

c[0]
 

c[1]
 


 


c[L]
 


 
 
 Stream
 cipher
 built
 from
 a
 PRF
 
 
 (e.g.
 
 AES,
 3DES)
 
Dan
 Boneh
 


Det.
 counter-­‐mode
 security
 
Theorem:

 
 
 
 For
 any
 L>0,
 

 If
 F
 is
 a
 secure
 PRF
 over
 (K,X,X)
 then
 
 

 EDETCTR
 is
 sem.
 sec.
 cipher
 over
 (K,XL,XL).
 

 



 In
 par6cular,
 
 for
 any
 eff.
 adversary
 A
 adacking
 EDETCTR


 
 


 there
 exists
 a
 n
 eff.
 PRF
 adversary
 B
 
 s.t.:
 



 


 


 AdvSS[A,
 EDETCTR]
 =
 2
 ⋅
 AdvPRF[B,
 F]
 


 AdvPRF[B,
 F]
 
 is
 negligible
 
 (since
 F
 is
 a
 secure
 PRF)
 

Hence,
 AdvSS[A,
 EDETCTR]
 
 must
 be
 negligible.
 

Dan
 Boneh
 


Proof
 
m0
 ,
 m1
 

chal.
 
k←K
 

c
 ←
 


m0
 


 
F(k,0)
 …
 F(k,L)
 

adv.
 A
 

≈p
 

chal.
 
f←Funs
  c
 ←
 

m0
 ,
 m1
 

b’≟1

 

k←K
 

c
 ←
 

m1
 


 
F(k,0)
 …
 F(k,L)
 

adv.
 A
 

b’≟1
 

m0
 

adv.

 A
 

 

f(0)
 …
 f(L)
 

b’≟1
 

≈p
 

≈p
 

chal.
 

m0
 ,
 m1
 

≈p
 


chal.
 
r←{0,1}n
  c
 ←
 

m0
 ,
 m1
 
m1
 
f(0)
 …
 f(L)
 

adv.
 A
 

 

b’≟1
 
Dan
 Boneh
 



End
 of
 Segment
 

Dan
 Boneh
 



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×