Cramer-Shoup-Variante des ElGamal-Kryptoschemas

Transkript

1 R. Fischlin/15. Februar 000 Cramer-Shoup-Variante des ElGamal-Kryptoschemas Wir stellen die Variante des ElGamal-Kryptoschemas von Cramer und Shoup [GS98] vor. Im Gegensatz zum urspünglichen System ist diese Erweiterung (unter der Decisional- Diffie-Hellman-Annahme) semantisch sicher gegen Adaptive-Chosen-Ciphertext-Angriffe. 1. ElGamal-Kryptoschema Wir skizzieren kurz das ElGamal-Kryptoschema [G85]. Sei p = q + 1 eine hinreichend große n-bit-primzahl und G := g Z p eine Untergruppe primer Ordnung q. Dieseöffentlichen Parameter sind für alle Teilnehmer gleich. Schlüssel: Der Secret-Key ist z R Z q, der zugehörige Public-Key h := g z. Chiffrieren: Um eine Nachricht m G zu chiffrieren, wähle zufälliges r R Z q, setze u := g r und: Enc h (m) :=Enc h (m, r):=(u, h r m) G. h r = g rz ist der Diffie-Hellman-Schlüssel (Session-Key) DH g (h, u)zuu = g r und h = g z. Dechiffrieren: Umeineverschlüsselte Nachricht Enc h (m, r):=(u, h r m)zudechiffrieren, verwende den geheimen Schlüssel z mit h = g z : Dec z (u, h r m):= hr m u z = grz m g rz = m. Def inition 1.1 (Sicherheit). Ein prob. Polynomialzeit-Algorithmus (Angreifer) A 1. wählt zwei verschiedene Nachrichten m 0,m 1,. erhält als Challenge (Aufgabe) den Ciphertext e := Enc(m b ) für ein zufälliges b R {0, 1} und 3. soll dann m b bzw. b bestimmen. Liegt die Erfolgswahrscheinlicheit von jedem Angreifer A nur vernachlässigbar nah an der Rate-Wahrscheinlichkeit 1, so heißt das Public-Key-Schema sicher gegen Chosen-Plaintext- Angriffe 1. Man nennt das Schema sicher gegen Adaptive-Chosen-Ciphertext-Angriffe, falls A zusätzlich ein sogenanntes Deccryption-Orakel, das mit Ausnahme von e beliebige Ciphertexte dechiffriert, verwenden kann. Unter der Decisional-Diffie-Hellman-Annahme [NR97] ist das ElGamal-Schema sicher gegen Chosen-Plaintext-Angriffe: Annahme 1. (Decisional-Diffie-Hellman-Annahme). Jeder prob. Polynomialzeit-Algorithmus D, der die beiden Verteilungen (g a,g b,g ab ) und (g a,g b,g c ), welche durch a, b, c R 1 A kann den Ciphertext zu beliebigen Plaintexten (Nachrichten) untersuchen, weil die Chiffrierfunktion effizient berechenbar ist.

2 Z q induziert werden, unterscheidet, hat nur vernachlässigbaren Vorteil, d.h. für hinreichend große n gilt: [ ] [ ] Ws D(g a,g b,g ab )=1 Ws D(g a,g b,g c 1 )=1 < poly(n). Unter dieser Annahme wirkt der Diffie-Hellman-Schlüssel DH g (h, u) wie ein One-Time- Pad für die Nachricht m, so dass das ElGamal-Schema sicher gegen Chosen-Plaintext-Angriffe ist. Das System ist jedoch nicht sicher gegen Adaptive-Chosen-Ciphertext-Angriffe: Zu gegebem Ciphertext Enc(m b,r)=(g r,h r m b )können wir die Nachricht m b auf zwei Arten bestimmen: Re-Randomisierung: Das Decryption-Orakel liefert bei Eingabe von Enc(m b,r+1)= (gg r,hh r m b ) die Nachricht m b. Homomorphie-Eigenschaft: Das Decryption-Orakel liefert bei Eingabe von Enc(hm b,r)= (g r,h r+1 m b ) die Nachricht hm b, Multiplikation mit h 1 ergibt die Nachricht m b.. Cramer-Shoup-Kryptoschema Cramer und Shoup [GS98] haben auf der Crypto 98-Konferenz folgende Erweiterung des ElGamal-Schemas vorgeschlagen. Sei p = q + 1 eine hinreichend große n-bit-primzahl und G := g Z p eine Untergruppe primer Ordnung q. Wirwählen zusätzlich als öffentliche Parameter: einen weiteren Generator g der Gruppe G. eine kollisions-resistente Hash-Funktion H : G 3 Z q. JederTeilnehmerwählt: Schlüssel: Den Secret-Key bilden z, z,x,x,y,y R Z q, der zugehörige Public-Key ist (h, c, d) mit h := g z g z c := g x g x (1) d := g y g y Aus Effizenzgründen sei z := 0, d.h. h = g z.diesändert nicht die Verteilung des öffentlichen Schlüssels. Chiffrieren: Um eine Nachricht m G zu chiffrieren, wähle zufälliges r R Z q und setze u := g r u := g r e := h r m α := H(u, e, u ) v := c r d rα, so dass Enc (h,c,d) (m, r) :=(u, e, u,v) G 4. Das Paar (u, e) ist die ElGamal-Verschlüsselung Enc h (m, r). Dechiffrieren: Umeineverschlüsselte Nachricht Enc (h,c,d) (m, r):=(u, e, u,v)zudechiffrieren, bestimme zuerst α := H(u, e, u ) und teste die Dechiffrier-Bedingung u x+yα u x +y α! = v. () jeder prob. Polynomialzeit-Algorithmus, der x, y mit x y und H(x) =H(y) bestimmt, hat nur eine vernachlässigbare Erfolgswahrscheinlichkeit. Solche Funktionen existieren u.a. unter der Diskreten-Log-Annahme.

3 3. Sicherheitsbeweis 3 Sollte diese Bedingung verletzt sein, weise den Ciphertext zurück. Im anderen Fall wende die ElGamal-Dechiffrierung Dec z (u, e) an,alsom = e/u z. Ist der Ciphertext (u, e, u,v) korrekt gebildet, gilt v = c r d rα =(g x g x } {{ )r (g } =(g r ) x+yα y g y )rα = u } {{ } (g r)x +y α x+yα u x +y α, so dass der Empfänger solche Ciphertexte stets akzeptiert. Falls z 0ist,alsoh = g z g z,greiftderempfänger neben u auch auf u zurück, um den Diffie-Hellman-Key h r = DH g (h, u) zu bestimmen: h r = u z u z. 3. Sicherheitsbeweis 3.1. Übersicht. Angenommen, dass Cramer-Shoup-Schema sei nicht sicher gegen Adaptive- Chosen-Ciphertext-Angriffe. Dann existiert ein prob. Polynomialzeit-Algorithmus A, der 1. zwei verschiedene Nachrichten m 0,m 1 G wählt,. als Challenge Enc(m b )mitb R {0, 1} erhält und 3. m b bzw. b mit Hilfe des Decryption-Orakels ermittelt, wobei die Erfolgswahrscheinlichheit mindestens 1 +δ für ein nicht vernachlässigbares ɛ ist. Wir konstruieren aus diesem Angreifer A einen Unterscheider D, dessen Existenz der Decisional- Diffie-Hellman-Annahme widerspricht: Lemma 3.1. Die Existenz eines Unterscheiders D mit nicht vernachlässigbarem Vorteil beim Unterscheiden der beiden Verteilungen 3 R ist Gleichverteilung auf G 4 und D ist die Verteilung der 4-Tupel (g 1,g,g1 r,gr ) G4 für g 1,g R G und r R Z q widerspricht der Decisional-Diffie-Hellman-Annahme. Beweis. Das Decisional-Diffie-Hellman-Problem ist mittels Transformation (g a,g b,g c ) (g, g a,g b,g c ) auf die Unterscheidung der beiden Verteilungen R und D reduzierbar. Der Unterscheider D erhält die Eingabe (g, g, u, u ) G 4 (3) und soll entscheiden, ob diese gemäß R oder D verteilt ist. Dazu simuliere den Angreifer A wie folgt: 1. Erzeuge einen Schlüssel für das Cramer-Shoup-Schema, übernimm g, g als Generatoren der Gruppe G. Wähle z, z,x,x,y,y R Z q als Secret-Key, den zugehörigen Public- Key bilden h := g z g z c := g x g x d := g y g y. 3 Der Unterschied zwischen beiden Verteilungen ist, dass für ein gemäß D verteiltes Tupel (g 1,g,u 1,u ) stets log g1 u 1 =log g u gilt, während im Fall der Verteilung R dies nur mit exponentiell kleiner Wahrscheinlichkeit 1 gegeben ist. q

4 4 Der Ciphertext (u, e, u,v) einer Nachricht m besteht aus u = g r u = g r e = h r m α = H(u, e, u ) v = c r d rα. Um den Diffie-Hellman-Key h r = DH g (h, u) zu bestimmen, greift der Empfänger neben u auch auf u zurück h r = u z u z. Falls man jedoch statt u = g r abweichend u := g r mit r R Z q wählt und den Ciphertext sonst korrekt bildet, gilt: DH g (h, u) = (g z g z )r = g rz g rz u z u z = g rz g rz g (r r)z = g (r r)z DH g (h, u). Statt des Diffie-Hellman-Keys DH g (h, u) wirdg (r r)z DH g (h, u) verwendet und statt m stellt für den Empfänger der Ciphertext die Nachricht g (r r)z m dar. Dabei wirkt g (r r)z wie ein echtes One-Time-Pad, denn aus dem Public-Key h := g z g z man keinerlei Informationen über z. erhält. Der simulierte Angreifer A bestimmt zwei Nachrichten m 0,m 1 aus. Wähle b R {0, 1} zufällige und bestimme als Challenge (u, e, u, v) mit e := u z u z m b α := H(u, e, u ) (4) v := u x+yα u x +y α. Sei r := log g u und r := log g u. 3. Simuliere den Angreifer A. Das Decryption-Orakel können wir simulieren, weil uns der geheime Schlüssel bekannt ist. Insbesondere werden nur Verschlüsselungen, welche die Dechiffrier-Bedingung () erfüllen, akzeptiert. 4. Genau dann nimm an, die Eingabe (3) sei gemäß D verteilt, wenn der simulierte Angreifer A die Challenge besteht. Falls r! = r, stellt die Challenge den Ciphertext Enc (h,c,d) (m b, r) dar. Im anderen Fall wollen wir den Ciphertext als fehlerhaft bezeichnen: Def inition 3. (Fehlerhafter bzw. ungültiger Ciphertext). Wir nennen einen Ciphertext (u, e, u,v) G 4 fehlerhaft, falls log g u log g u. Der Ciphertext (u, e, u,v) wird als ungültig bezeichnet, wenn er fehlerhaft ist oder die Dechiffrier-Bedingung () nicht erfüllt. Der sogenannte View des Angreifers A umfasst alle Daten, die der Angreifer sieht: die öffentlichen Parameter, den öffenlichen Schlüssel und die Antworten des Decryption-Orakels. Lemma 3.3. Sollte die Eingabe (3) gemäß D verteilt sein, ist die gemeinsame Verteilung von b und View des simulierten Angreifers A statistisch ununterscheidbar von der im Fall eines echten Angriffs. Wenn die Eingabe (3) gemäß R verteilt ist, entspricht die Wahrscheinlichkeit, dass der simulierte Angreifer die Challenge besteht, im wesentlichen der Rate-Wahrscheinlichkeit 1, denn der (fehlerhafte) Ciphertext entspricht der Nachricht g (r r )z m b für ein unbekanntes z R Z q anstatt m b. Lemma 3.4. Sollte die Eingabe (3) gemäß R verteilt sein, ist die Verteilung von b unabhängig vom View des Angreifers A, sofern das Decryption-Orakel fehlerhafte Ciphertexte nicht akzeptiert (Dieses tritt bis auf vernachlässigbare Wahrscheinlichkeit ein).

5 3. Sicherheitsbeweis 5 Aus Lemma 3.3 und Lemma 3.4 folgt unmittelbar: Satz 3.5. Die Decisional-Diffie-Hellman-Annahme gelte für die Gruppe G, und H sei eine kollisions-resistente Hashfunktion. Dann ist das Cramer-Shoup-Schema sicher gegen Adaptive- Chosen-Ciphertext-Angriffe. Man kann die Voraussetzungen bezüglich der Hash-Funktion H abschwächen. Es genügt, H aus einer universellen Oneway-FamilieH von Hash-Funktionen zuwählen [GS98]. In diesem Fall ist es effizient nicht möglich, dass man x wählt, dann H R H erhält und ein y x mit H(x) = H(y) findet. Man nennt diese Hash-Funktionen auch Target-Collision-resistent. 3.. Beweis Lemma 3.3. Wir nehmen für den Beweis an, die Eingabe (g, g, u, u ) G 4 ist gemäß D verteilt. Wir zeigen, dass die gemeinsame Verteilung von b und dem View des simulierten Angreifers A statistisch ununterscheidbar von der im Fall eines echten Angriffs ist. Die Verteilung des öffentlichen Schlüssels in der Simulation stimmt mit der im Original- Schema überein. Die Challenge hat die gleiche Verteilung wie eine Verschlüsselung der Nachricht m b im Original-Schema, denn nach Wahl von h = g z g z gilt e = ( u z u z ) mb = h r m b. Betrachten wir das Verhalten des Decryption-Orakels. Gültige Verschlüsselung dekodiert das Orakel sowohl in der Simulation als auch bei einem echten Angriff korrekt. Die folgende Behauptung komplettiert die Aussage des Lemma 3.3: Behauptung 3.6. Das Decryption-Orakel akzeptiert ungültige Ciphertexte sowohl in der Simulation als auch bei einem echten Angriff nur mit vernachlässigbarer Wahrscheinlichkeit. Beweis. Sei w := log g g. Betrachten wir die Verteilung des 4-Tupels S 1 := (x, x,y,y ) Z q (einem Teil des Secret-Keys) gegeben den View des Angreifers. Aus Sicht des Angreifers, d.h. gegeben die beiden Gruppenelemente c, d des öffentlichen Schlüssels, ist S 1 zu Beginn ein zufälliger Vektor aus der Lösungsmenge S 1 des linearen Gleichungssystems [ 1 w 0 ] w X [ ] X Y = logg c log g d Y über dem Körper Z q. Der Ciphertext der Challenge liefert eine weitere Restriktion: X 1 w w X log g c Y = log g d r rw r α r αw log Y g v Weil die Verschlüsselung korrekt gebildet ist, gilt v = c r d r α,also log g v = r log g c + r α log g d. Die dritte Gleichung ist eine Linearkombination der beiden ersten Gleichungen, und schränkt folglich die Menge S 1 aller möglichen S 1 nicht ein. Aus Sicht des Angreifers A ist S 1 nach Erhalt der Challenge weiterhin eine zufällige Lösung aus einer Menge S 1 der Kardinalität q. Angenommen, A übergibt dem Decryption-Orakel einen ungültigen Ciphertext (u, e, u,v) G 4 zur Dekodierung. Sei r := log g u und r := log g u,d.h.wr =log g u und r r. (5)

6 6 Das Orakel lehnt die Entschlüsselung ab, es sei denn, der Ciphertext erfüllt die Dechiffrier- Bedingung (). Dies ist äquivalent dazu, dass S 1 eine Lösung der Gleichung rx + wr X + rαy + r αy =log g v. (6) ist. Diese lineare Gleichung ist wegen r r linear unabhängig von denen des linearen Gleichungssystems (5), im Durchschnitt beider Lösungsmengen liegen q Werte. Zu Beginn ist für den Angreifer S 1 eine zufällige Lösung aus der Menge S 1. Das Decryption- Orakel weist die Dechiffrierung des ersten, ungültigen Ciphertexts mit Wahrscheinlichkeit 1 q S 1 =1 q q =1 1 q zurück. Der Angreifer A lernt, dass S 1 nicht im Durchschnitt der Lösungsmenge der Gleichung (6) und S 1 liegt, diese q Werte kommen für S 1 nicht in Frage. Nach i 1Aufrufen des Decryption-Orakels mit fehlerhaften Ciphertexten ist A in der Lage, höchstens (i 1)q Werte aus S 1 auszuschließen. Folglich lehnt das Orakel die Dechiffrierung des i-ten, ungültigen Ciphertexts mit Wahrscheinlichkeit mindestens ab. 1 q S 1 (i 1)q =1 q q(q i +1) =1 1 q i Beweis Lemma 3.4. Für den Beweis setzen wir voraus, die Eingabe (g, g, u, u ) G 4 ist gemäß R verteilt. Wir können annehmen, dass r r, weil diese Bedingung nur mit exponentiell kleiner Wahrscheinlichkeit 1 q eintritt. Wir zeigen: 1. Die Verteilung von b ist unabhängig vom View des Angreifers A, sofern das Decryption- Orakel fehlerhafte Ciphertexte nicht akzeptiert.. Das Decryption-Orakel akzeptiert fehlerhafte Ciphertexte nur mit vernachlässigbarer Wahrscheinlichkeit. Behauptung 3.7. Das Decryption-Orakel akzeptiere keine fehlerhaften Ciphertexte. Dann ist die Verteilung von b unabhängig vom View des Angreifers A. Beweis. Sei w := log g g. Betrachten wir die Verteilung des Paares S := (z, z ) Z q (einem Teil des Secret-Keys) gegeben den View des Angreifers. Aus Sicht des Angreifers, d.h. gegeben das Gruppenelemente h des öffentlichen Schlüssels, ist S zu Beginn ein zufälliger Punkt aus der Lösungsmenge S des linearen Gleichungssystems [ ] [ ] Z 1 w = [ log Z g h ] (7) über dem Körper Z q. Durch das Dechiffrieren eines Ciphertextes (u, e, u,v)mith r = u r u r = g rz 1g rz durch das Decryption-Orakel lernt der Angreifer A, dass S zusätzlich folgender Gleichung genügt: rz 1 + rwz = r log g h Diese Gleichung ist aber eine Linearkombination der Restriktion des Systems (7), so dass A durch die Dechiffrierung keinerlei zusätzliche Informationen über S 1 erhält. Betrachte die Challenge (u, e, u, v) aus (4). Sei ɛ := u z 1 u z also e = ɛm b. Wegen der Voraussetzung r r ist die Gleichung rz 1 + rwz =log g ɛ

7 3. Sicherheitsbeweis 7 linear unabhängig von der Restriktion (7). Es gilt: [ ] [ ] logg h 1 w = log g ɛ r wr [ ] z z für eine -Matrix mit vollem Rang. h und ɛ sind folglich unabhängig und nach Wahl von z, z 1 R Z q uniform verteilt. Das statt des Diffie-Hellman-Keys DH g (h, r) verwendete ɛ stellt ein perfektes One-Time-Pad dar, so dass die Verteilung von b unabhängig vom View des Angreifers A ist. Behauptung 3.8. Das Decryption-Orakel akzeptiert fehlerhafte Ciphertexte nur mit vernachlässigbarer Wahrscheinlichkeit. Beweis. Sei w := log g g. Wie im Beweis zu Lemma 3.3 betrachten wir die Verteilung des 4- Tupels S 1 := (x, x,y,y ) Z q gegeben den View des Angreifers. Aus Sicht des Angreifers ist S 1 nach Erhalt der Challenge (4) ein zufälliger Vektor aus der Lösungsmenge S 1 des linearen Gleichungssystems X 1 w w X log g c Y = log g d (8) r r w rα r αw log Y g v über dem Körper Z q. Angenommen, A übergibt dem Decryption-Orakel einen fehlerhaften Ciphertext (u, e, u,v) G 4 zur Dekodierung. Es gilt (u, e, u,v) (u, e, u, v). Sei α := H(u, e, u ), ferner r := log g u und r := log g u,d.h.wr =log g u und r r. Wir unterscheiden drei Fälle: Es gilt (u, e, u ) = (u, e, u ) und v v. In diesem Fall sind die Hashwerte α = H(u, e, u ) und α = H(u, e, u )identisch,sodass u x+yα u x +y α = u x+yα u x +y α = v Aufgrund v v ist daher die Dechiffrier-Bedingung () verletzt und das Orakel lehnt den Ciphertext ab. Es gilt (u, e, u ) (u, e, u ) und α α. Das Orakel akzeptiert den (fehlerhaften) Ciphertext (u, e, u,v), nur wenn die Dechiffrier-Bedingung () erfüllt ist: rx + wr x + rαwy + r αwy =log g v Es gibt genau eine Lösung (x, x,y,y ), die neben (8) diese Bedingung erfüllt, denn die Koeffizientenmatrix zu 1 w 0 0 X log g c w log g d r r w r α r αw r r w rα r αw X Y Y = log g v log g v hat vollen Rang (Die Determinante ist w (r r 1 )(r r 1 )(α α) 0). Wie im Beweis zu Lemma 3.3 folgt, dass das Orakel diesen fehlerhaften Ciphertext nur mit vernachlässigbar kleiner Wahrscheinlichkeit akzeptiert. Es gilt (u, e, u ) (u, e, u ) und α = α. In diesem Fall haben wir eine Kollision gefunden: α = H(u, e, u )=H(u, e, u )=α. Nach Wahl von H ist die Wahrscheinlichkeit für dieses Ereignis vernachlässigbar klein.

8 8

9 Literaturverzeichnis [BR93] [BR94] [DH76] [G85] [GS98] [DDN00] [GM84] [NR97] [RS91] M. Bellare und P. Rogaway: Random Oracles are Practical: a Paradigm for Designing Efficient Protocols, First ACM Conference on Computer and Communication Security, ACM Press, Seiten 6 73, M. Bellare und P. Rogaway: Optimal Asymmetric Encryption, Advances in Cryptology Proceedings Eurocrypt 94, Lecture Notes in Computer Science, Band 950, Springer-Verlag, Seiten 9 111, W. Diffie und M. Hellman: New Directions in Cryptography, IEEE Transaction on Information Theory, Band (6), Seiten , T. El Gamal: A Public Key Cryptosystem and Signature Scheme Based on the Discrete Logarithm, IEEE Transaction on Information Theory, Band 31, Seiten , R. Cramer und V. Shoup: A Practical Public Key Cryptosystem Provable Secure Against Adaptive Chosen Ciphertext Attack, Advances in Cryptology Proceedings Crypto 98, Lecture Notes in Computer Science, Band 149, Springer-Verlag, Seiten 13 5, D. Dolev, C. Dwork und M. Naor: Non-Malleable Cryptography, akzeptierte Journal-Version, Januar 000. Verläufige Version in Proceedings of 1. Annual ACM Symposium on Theory of Computing (STOC), ACM Press, Seiten 54 55, S. Goldwasser und S. Micali: Probabilistic Encryption, Journal of Computer and System Science, Band 8, Seiten 70 99, N. Naor und O. Reingold: Number-Theoretic Construction of Efficient Pseudo-Random Functions, Proceedings of 38. IEEE Symposium on Foundations of Computer Science (FOCS), IEEE Computer Society Press, Seiten 80 91, C. Rackoff und D. Simon: Non-iteractive Zero-Knowledge Proof of Knowledge and Chosen Ciphertext Attacks, Advances in Cryptology Proceedings Crypto 91, Lecture Notes in Computer Science, Band 576, Springer-Verlag, Seiten ,