Crittosistema di ElGamal - Dipartimento di Informatica ed Applicazioni

Crittosistema ElGamal
Alfredo De Santis
Dipartimento di Informatica ed Applicazioni
Università di Salerno
ads@dia.unisa.it
http://www.dia.unisa.it/professori/ads
Alice
chiave privata
kpriv
Cifratura
file pubblico
utente chiave pubblica
Alice kpub
… …
canale insicuro
Devo cifrare il messaggio
M ed inviarlo ad Alice
Marzo 2012
Bob
2
Alice
Alice
Cifrari asimmetrici
chiave privata
kpriv
chiave privata
kpriv
file pubblico
utente chiave pubblica
Alice kpub
… …
Cifratura
file pubblico
utente chiave pubblica
Alice kpub
… …
canale insicuro
C
Cifratura di M per Alice
C ← CIFRA (kpub, M)
Bob
1
3

Devo decifrare il
messaggio cifrato C
Alice
Decifratura
file pubblico
utente chiave pubblica
Alice kpub
… …
Crittosistema di ElGamal
! Taher Elgamal
! Sicurezza basata
sull’intrattabilità del
problema del logaritmo
discreto
??
C?
Taher El Gamal,
A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms
IEEE Transactions and Information Theory, vol. IT-31, No. 4, Jul. 1985.
4
6
chiave privata
kpriv
Alice
Decifratura
file pubblico
utente chiave pubblica
Alice kpub
… …
Decifratura di C
M ← DECIFRA (kpriv, C)
C
Crittosistema di ElGamal
! Utilizza il concetto di generatore di Z p *
! p primo
! g è generatore di Z p* se {g i |1≤i≤ p-1} = Z p*
5
7

chiave privata
α ∈ Z p
Alice
Chiavi ElGamal
file pubblico
utente chiave pubblica
A (p, g, β)
… …
p primo
g generatore di Zp* (comuni a tutti)
β =g α mod p
Cifratura ElGamal
C
Cifratura di M per Alice
y 1 ← g k mod p
y 2 ← M β k mod p
C ← (y 1,y 2)
utente chiave pubblica
A (p, g, β=g α )
… …
Bob
k ∈ Z p
8
10
Cifratura ElGamal
Devo cifrare il messaggio M
ed inviarlo ad Alice
file pubblico
utente chiave pubblica
A (p, g, β=g α )
… …
Bob
Decifratura ElGamal
Devo decifrare il
messaggio cifrato C
Alice
utente chiave pubblica
A (p, g, β=g α )
… …
C
??
C?
9
11

Decifratura ElGamal
chiave privata
α
utente chiave pubblica
A (p, g, β=g α )
… …
Decifratura di C = (y 1,y 2)
z"←"y 1 α mod p
M ← z -1 · y 2 mod p
Alice Cifratura di M per Alice
y1 ← g
12
k mod p
y2 ← M βk mod p
C ← (y1 ,y2 )
(435, 2396)
“Piccolo” esempio:
Cifratura ElGamal
Cifratura di M = 1299 per A
y 1 ← 2 853 mod 2579 = 435
y 2 ← 1299·949 853 mod 2579 = 2396
C ← (435, 2396)
utente chiave pubblica
A (p=2579,g=2, β=949)
… …
Bob
853
14
chiave privata
α=765
Alice
chiave privata
α=765
Alice
“Piccolo” esempio:
Chiavi ElGamal
utente chiave pubblica
A (p=2579,g=2, β=949)
… …
β = 2 765 mod 2579 = 949
“Piccolo” esempio:
Decifratura ElGamal
utente chiave pubblica
A (p=2579,g=2, β=949)
…
Decifratura di C = (435, 2396)
1299 ← 2396(435 –765 ) mod 2579
(435, 2396)
13
15

Correttezza
z -1 · y 2
Decifratura ElGamal
= (y 1 α ) -1 y2 z=y 1 α
= (g kα ) -1 y 2 y 1 =g α
= (g kα ) -1 M β k y 2 =M β k
utente chiave pubblica
A (p, g, β=g α )
… …
Decifratura di C = (y 1,y 2)
z"←"y 1 α mod p
M ← z -1 · y 2 mod p
Alice Cifratura di M per Alice
y1 ← g
16
k mod p
y2 ← M βk = (g
mod p
C ← (y1 ,y2 )
kα ) -1 M gαk β=gα = M
M
k
y 1 =g k
y 2=M β k
Esempio: Cifratura ElGamal
18
Esempio: Chiavi ElGamal
Primo p di 155 bit
p
g
α
β=g α
Esempio: Decifratura ElGamal
M
k
y 1 =g k
y 2=M β k
-α
y1 y2
17
19

Sicurezza di ElGamal
Sicurezza della chiave privata
(y 1,y 2)
Sicurezza del testo in chiaro
! Decifrazione
! Indistinguibilità di due testi in chiaro
Sicurezza di ElGamal
Sicurezza della chiave privata
(y 1,y 2)
Sicurezza del testo in chiaro
! Decifrazione
! Indistinguibilità di due testi in chiaro
20
22
Sicurezza chiave privata
Conoscendo (p, g, β) e sapendo che β = g α mod p
vuole calcolare α
Cioè il logaritmo discreto di
β = g α mod p
Sicurezza testo in chiaro
decifrazione
Conoscendo (p, g, β), dove β = g α mod p,
e C=(y 1 ,y 2), dove y 1 ← g k mod p e y 2 ← M β k mod p
vuole calcolare M
Equivalente a risolvere il problema di
Diffie-Hellman
21
23

Problema di
Diffie-Hellman
Input: primo p, generatore g,
g x mod p, g y mod p
Calcolare: g xy mod p
Il miglior algoritmo conosciuto calcola prima
il logaritmo discreto x ← log g,p(g x mod p)
… ma non si sa se sono equivalenti!
Sicurezza testo in chiaro
decifrazione
Voglio
risolvere:
p primo, g generatore
β = g α mod p
y 1 ← g k mod p
y 2 ← M β k mod p
Input: primo p, generatore g,
g x mod p, g y mod p
Calcolare: g xy mod p
Posso usarlo per risolvere il problema di Diffie Hellman!
M
24
26
Sicurezza testo in chiaro
decifrazione
Assumiamo che esiste un algoritmo efficiente
p primo, g generatore
β = g α mod p
y 1 ← g k mod p
y 2 ← M β k mod p
Posso usarlo per risolvere il problema di Diffie Hellman!
Sicurezza testo in chiaro
decifrazione
Voglio
risolvere:
p primo, g generatore
β = g x mod p
y 1 ← g y mod p
y 2 ← M g xy mod p
Input: primo p, generatore g,
g x mod p, g y mod p
Calcolare: g xy mod p
Posso usarlo per risolvere il problema di Diffie Hellman!
M
M
25
27

Sicurezza testo in chiaro
decifrazione
Voglio
risolvere:
p primo, g generatore
β = g x mod p
y 1 ← g y mod p
y 2 ← M g xy mod p
Input: primo p, generatore g,
g x mod p, g y mod p
Calcolare: g xy mod p
Posso usarlo per risolvere il problema di Diffie Hellman!
Sicurezza testo in chiaro
decifrazione
Voglio
risolvere:
p primo, g generatore
β = g x mod p
y 1 ← g y mod p
y 2 ← valore a caso in Z p *
Input: primo p, generatore g,
g x mod p, g y mod p
Calcolare: g xy mod p
M
y 2 / g xy mod p
M
28
y 2 / g xy mod p
Posso usarlo per risolvere il problema di Diffie Hellman!
! Calcolo l’inverso mod p dell’output dell’algoritmo (ottengo g xy / y 2 )
! Moltiplico per y 2 (ottengo g xy mod p)
30
Sicurezza testo in chiaro
decifrazione
Voglio
risolvere:
p primo, g generatore
β = g x mod p
y 1 ← g y mod p
y 2 ← valore a caso in Z p*
Input: primo p, generatore g,
g x mod p, g y mod p
Calcolare: g xy mod p
Posso usarlo per risolvere il problema di Diffie Hellman!
Sicurezza di ElGamal
Sicurezza della chiave privata
(y 1,y 2)
Sicurezza del testo in chiaro
! Decifrazione
M
y 2 / g xy mod p
! Indistinguibilità di due testi in chiaro
(sicurezza semantica)
29
31

Sicurezza semantica
Generazione (PK,SK)
b ← {0,1}
A vince se b=b’.
PK
(m0,m1) A
C=EPK (mb )
Il crittosistema è sicuro semanticamente se ogni efficiente A vince con
probabilità

Sicurezza di ElGamal
Il crittosistema di ElGamal è semanticamente
sicuro, se vale la DDH.
Prova. Se esistesse un algoritmo efficiente
che rompe la sicurezza semantica allora lo
posso usare per risolvere la DDH
Sicurezza di ElGamal
Il crittosistema di ElGamal è semanticamente sicuro, se
vale la DDH.
Prova. Se esistesse un algoritmo efficiente che rompe la
sicurezza semantica allora lo posso usare per risolvere la
DDH
! Voglio risolvere il problema: dato (g, g x , g y , γ) è γ=g xy oppure γ=g c
! Uso l’algoritmo efficiente che rompe la sic sem per risolvere DDH
36
38
Sicurezza semantica ElGamal
Generazione ( (p,g,g α ), α )
b ← {0,1}
A vince se b=b’.
p, g, g α
g k , m b (g α ) k
(m 0,m 1)
b’
A
Il crittosistema è sicuro semanticamente se ogni efficiente A vince con
probabilità

Sicurezza di ElGamal
! |Prob[A’(DH)=1]-Prob[A’(rand)=1]|

Sicurezza CCA1
Generazione (PK,SK)
PK
b ← {0,1}
A vince se b=b’.
D SK(c 1)
D SK(c p)
C=E PK(m b)
c 1
c p
(m 0 ,m 1 )
b’
non-adaptive
chosen-ciphertext
attacks
A
Il crittosistema è CCA1 sicuro se ogni efficiente A vince con probabilità

Decifratura Cramer-Shoup Lite
chiave privata
x,y,a,b ∈ Z p
Alice
file pubblico
utente chiave pubblica
A (p, g1, g2, h=g x
1 g2
y , c=g1 ag2 b )
… …
Decifratura di M per Alice
Sia C = (u,v,w,e)
If e≠u a v b then output invalid
else output w/(u x u y )
computazioni mod p
Cifratura di M per Alice
C ← (g 1 k , g2 k , M h k , c k )
Sicurezza CCA1
Generazione (PK,SK)
PK
b ← {0,1}
A vince se b=b’.
D SK (c 1 )
D SK (c p )
C=E PK(m b)
c 1
c p
(m 0,m 1)
b’
48
non-adaptive
chosen-ciphertext
attacks
A
Il crittosistema è CCA1 sicuro se ogni efficiente A vince con probabilità

Cramer-Shoup Lite: Sicurezza CCA1
A’ (g, g x’ , g y’ , γ)
Generazione ( (p, g 1 , g 2 , g 1 x g2 y , g1 a g2 b ), (x,y,a,b ) )
(p, g 1 , g 2 , g 1 x g2 y , g1 a g2 b )
D SK(c 1)
D SK(c p)
b ← {0,1}
(g y’ ) k , γ k , m b (g y’ ) x γ y , (g y’ ) a γ b
Algoritmo per decidere DDH
c 1
c p
(m 0,m 1)
If b=b’ then output “DH” else output “rand”
Cramer-Shoup Lite:
Sicurezza CCA1
b’
A
! |Prob[A’(DH)=1]-Prob[A’(rand)=1]|

Chiavi Cramer-Shoup
chiave privata
x,y,a,b,a’,b’ ∈ Z p
Alice
file pubblico
utente chiave pubblica
A (p, g 1, g 2, h=g 1 x g2 y ,c=g1 a g2 b ,d=g1 a’ g2 b’ ,H)
… …
p primo
g 1 g 2 generatori di Z p*
(comuni a tutti)
h = g 1 x g2 y mod p
c = g 1 a g2 b mod p
d = g 1 a’ g2 b’ mod p
H funzione
hash
Decifratura Cramer-Shoup
chiave privata
x,y,a,b,a’,b’ ∈ Z p
Alice
56
file pubblico
utente chiave pubblica
A (p, g 1 , g 2 , h=g 1 x g2 y ,c=g1 a g2 b ,d=g1 a’ g2 b’ ,H)
… …
Decifratura di M per Alice
Sia C = (u,v,w,e)
If e≠u a+za’ v b+zb’ then output invalid
else output w/(u x u y )
computazioni mod p
Cifratura di M per Alice
z ← H(g k
1 , g2
k , M hk )
C ← (g k 58
1 , g2
k , M hk , (cdz ) k )
Cifratura Cramer-Shoup
C
Cifratura di M per Alice
z ← H(g 1 k , g2 k , M h k )
C ← (g 1 k , g2 k , M h k , (cd z ) k )
computazioni mod p
file pubblico
utente chiave pubblica
A (p, g 1, g 2, h=g 1 x g2 y ,c=g1 a g2 b ,d=g1 a’ g2 b’ ,H)
… …
Bob
Sicurezza CCA2
Generazione (PK,SK)
PK
b ← {0,1}
A vince se b=b’.
D SK (c 1 )
D SK (c p )
C*=E PK (m b )
D SK(c 1)
D SK(c p)
c 1
c p
(m 0 ,m 1 )
c’ 1 ≠c*
c’ p ≠c*
b’
k ∈ Z p
A
Il crittosistema è CCA2 sicuro se ogni efficiente A vince con probabilità

Bibliografia
! Cryptography and Network Security
by W. Stallings (2010)
! cap. 9 (Public-Key Cryptography and RSA)
! Cryptography: Theory and Practice (I ed.)
by D.R. Stinson (1995)
! cap 5 (The RSA System and Factoring)
60
Domande?
61