Оптимальное асимметричное шифрование с дополнением

OAEP (англ. Optimal Asymmetric Encryption Padding, Оптимальное асимметричное шифрование с дополнением) — схема дополнения, обычно используемая совместно с какой-либо односторонней функцией с потайным входом (например RSA или функции Рабина) для повышения криптостойкости последней. OAEP предложено Михиром Белларе^[англ.] и Филлипом Рогавэем^[англ.]^[1], а его применение для RSA впоследствии стандартизировано в PKCS#1 и RFC 2437.

История[править]

Оригинальная версия OAEP, предложенная Белларе и Рогавэем в 1994 году заявлялась как устойчивая к атакам на основе подобранного шифротекста в сочетании с любой односторонней функции с потайным входом^[1]. Дальнейшие исследования показали, что такая схема обладает устойчивостью только к атакам на основе неадаптивно подобранного шифротекста^[2]. Несмотря на это, было доказано, что в модели случайных оракулов при использовании стандартного RSA с шифрующей экспонентой, схема обладает так же устойчивостью к атакам на основе адаптивно подобранного шифротекста^[3]. В более новых работах было доказано, что в стандартной модели (когда хеш-функции не моделируются как случайные оракулы) невозможно доказать устойчивость к атакам на основе адаптивного шифротекста в случае использования RSA^[4].

Алгоритм OAEP[править]

Классическая схема OAEP представляет собой двухъячеечную сеть Фейстеля, где в каждой ячейке данные преобразуются с помощью криптографической хеш-функции. На вход сеть получает сообщение с дописанными к нему проверяющими нулями и ключ — случайную строку^[5].

В схеме используются следующие обозначения:

$n$ — число бит в подготавливаемом для асимметричного шифрования блоке.
$k_{0}$ и $k_{1}$ — фиксированные протоколом целые числа.
$m$ — открытый текст сообщения, $n - k_{0} - k_{1}$ -битная строка.
$G$ и $H$ — криптографические хеш-функции, заданные протоколом.

Шифрование[править]

Сообщению $m$ дописывается $k_{1}$ нулей, благодаря чему оно достигает $n - k_{0}$ бит в длину.
Генерируется случайная $k_{0}$ -битная строка $r$ .
$G$ расширяет $k_{0}$ бит строки $r$ до $n - k_{0}$ бит.
$X = m 00 . . 0 ⨁ G (r)$ .
$H$ ужимает $n - k_{0}$ бит $X$ до $k_{0}$ бит.
$Y = r ⨁ H (X)$ .
Зашифрованный текст $X | | Y$ .

Расшифрование[править]

Восстанавливается случайная строка $r = Y ⨁ H (X)$
Восстанавливается исходное сообщение как $m 00 . . 0 = X ⨁ G (r)$
Последние $k_{1}$ символов расшифрованного сообщения проверяются на равенство нулю. Если имеются ненулевые символы, то сообщение подделано злоумышленником.

Применение[править]

Алгоритм OAEP применяется для предварительной обработки сообщения перед использованием RSA. Сначала сообщение дополняется до фиксированной длины с помощью OAEP, затем шифруется с помощью RSA. Совместно, такая схема шифрования получила название RSA-OAEP и является частью действующего стандарта шифрования с открытым ключом (RFC 3447). Так же Виктором Бойко было доказано, что функция вида $g^{G, H} (x) = f (O A E P^{G, H} (x, r))$ в модели случайных оракулов является преобразованием типа "все или ничего"^[англ.]^[4].

Модификации[править]

В силу таких недостатков, как невозможность доказать криптографическую стойкость к атакам на основе подобранного шифротекста, а также низкая скорость работы схемы^[6], впоследствии были предложены модификации на основе OAEP, которые устраняют данные недостатки.

Алгоритм OAEP+[править]

Виктор Шоуп^[англ.] предложил свой вариант схемы дополнения на основе OAEP (называемый OAEP+), который является устойчивым к атакам с адаптивно подобранным шифротекстом в случае комбинирования с любой односторонней функцией с потайным входом^[2].

$n$ — число бит в подготавливаемом для асимметричного шифрования блоке.
$k_{0}$ и $k_{1}$ — фиксированные протоколом целые числа.
$m$ открытый текст сообщения, $n - k_{0} - k_{1}$ -битная строка.
$G$ , $H$ и $H^{'}$ — криптографические хеш-функции, заданные протоколом.

Шифрование[править]

Генерируется случайная $k_{0}$ -битная строка $r$ .
$H^{'}$ преобразует $r | | m$ в строку длины $k_{1}$ .
$G$ преобразует $r$ в строку длины $n - k_{0} - k_{1}$ .
Составляется левая часть сообщения $X = (G (r) ⨁ m) | | H^{'} (r | | m)$ .
$H$ преобразует $X$ в строку длины $k_{0}$ .
Составляется правая часть сообщения $Y = H (X) ⨁ r$ .
Зашифрованный текст $X | | Y$ .

Расшифрование[править]

Восстанавливается случайная строка $r = Y ⨁ H (X)$ .
$X$ разбивается на две части $X_{1}$ и $X_{2}$ , размерами $n - k_{1} - k_{0}$ и $k_{1}$ бит соответственно.
Восстанавливается исходное сообщение как $m = G (r) ⨁ X_{1}$ .
Если не выполняется $H^{'} (r | | m) = X_{2}$ , то сообщение подделано.

Алгоритм SAEP/SAEP+[править]

Дэн Боне предложил две упрощённые реализации OAEP, названные SAEP и SAEP+ соответственно. Основная идея упрощения шифрования заключается в отсутствии последнего шага — сообщение «склеивалось» с изначально сгенерированной случайной строкой $r$ . Таким образом, схемы состоят только из одной ячейки Фейстеля, благодаря чему достигается прирост к скорости работы^[7]. Отличием алгоритмов друг от друга выражается в записи проверяющих битов. В случае SAEP это нули, в то время как для SAEP+ — это хеш от $m | | r$ (соответственно как у OAEP и OAEP+)^[5]. Недостатком алгоритмов является сильное уменьшение длины сообщения. Надёжность схем в случае использования функции Рабина и RSA была доказана только при следующем ограничении на длину передаваемого текста: $m ⩽ n / 2 + k_{0}$ для SAEP+ и дополнительно $m ⩽ n / 4$ для SAEP^[8]. Стоит отметить, что при примерно одинаковой скорости работы, SAEP+ имеет меньше ограничений на длину сообщения чем SAEP^[8], благодаря чему признан более предпочтительным^[8].

В схеме используются следующие обозначения:

$n$ — число бит в блоке RSA или криптосистемы Рабина.
$k_{0}$ и $k_{1}$ — фиксированные протоколом целые числа.
$m$ открытый текст сообщения, $n - k_{0} - k_{1}$ -битная строка.
$G$ и $H$ — криптографические хеш-функции, заданные протоколом.

Шифрование SAEP+[править]

Генерируется случайная $k_{0}$ -битная строка $r$ .
$G$ преобразует $m | | r$ в строку длины $k_{1}$ .
$H$ преобразует $r$ в строку длины $n - k_{0}$ .
Вычисляется $X = (m | | G (m | | r)) ⨁ H (r)$ .
Зашифрованный текст $X | | r$ .

Дешифрование SAEP+[править]

Вычисляется $X_{1} | | X_{2} = X ⨁ H (r)$ , где $X_{1}$ и $X_{2}$ — строки размерами $n - k_{0} - k_{1}$ и $k_{0}$ соответственно.
Проверяется равенство $X_{2} = G (X_{1} | | r)$ . Если равенство выполняется, то исходное сообщение $X_{1}$ , если нет — то сообщение подделано злоумышленником.

См. также[править]

RSA-KEM

Примечания[править]

↑ ^1,0 ^1,1 Optimal Asymmetric Encryption How to Encrypt with RSA, 1995, p. 1.
↑ ^2,0 ^2,1 OAEP Reconsidered, 2001, p. 1.
↑ RSA–OAEP is Secure under the RSA Assumption, 2001, p. 1.
↑ ^4,0 ^4,1 Trading One-Wayness against Chosen-Ciphertext Security in Factoring-Based Encryption, 2006, p. 1.
↑ ^5,0 ^5,1 Simplified OAEP for the RSA and Rabin functions, 2001, p. 277.
↑ A low-cost alternative for OAEP, 2001, p. 1.
↑ Simplified OAEP for the RSA and Rabin functions, 2001, p. 275.
↑ ^8,0 ^8,1 ^8,2 Simplified OAEP for the RSA and Rabin functions, 2001, p. 290.

Литература[править]

M. Bellare, P. Rogaway. Optimal Asymmetric Encryption -- How to Encrypt with RSA (англ.). — Springer Berlin Heidelberg, 1995. — Vol. 950. — P. 92—111. — ISBN 978-3-540-60176-0. — ISSN 0302-9743. — doi:10.1007/BFb0053428.
Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval, and Jacques Stern. RSA–OAEP is Secure under the RSA Assumption (англ.). — Springer Berlin Heidelberg, 2001. — Vol. 2139. — P. 260—274. — ISBN 978-3-540-42456-7. — ISSN 0302-9743. — doi:10.1007/3-540-44647-8_16.
P. Paillier and J. Villar. Trading One-Wayness against Chosen-Ciphertext Security in Factoring-Based Encryption (англ.). — Springer Berlin Heidelberg, 2006. — Vol. 4284. — P. 252—266. — ISBN 978-3-540-49475-1. — ISSN 0302-9743. — doi:10.1007/11935230_17.
Peter Schartner. A low-cost alternative for OAEP (англ.). — 2001. — ISBN 978-1-4503-0882-3. — doi:10.1145/2349913.2349914.
Victor Shoup. OAEP Reconsidered (англ.). — Springer Berlin Heidelberg, 2001. — Vol. 2139. — P. 239—259. — ISBN 978-3-540-42456-7. — ISSN 0302-9743. — doi:10.1007/3-540-44647-8_15.
D. Boneh. Simplified OAEP for the RSA and Rabin functions (англ.). — Springer Berlin Heidelberg, 2001. — Vol. 2139. — P. 275—291. — ISBN 978-3-540-42456-7. — ISSN 0302-9743. — doi:10.1007/3-540-44647-8_17.
Victor Boyko. On the Security Properties of OAEP as an All-or-Nothing Transform (англ.). — Springer Berlin Heidelberg, 1999. — Vol. 1666. — P. 503—518. — ISBN 978-3-540-66347-8. — ISSN 0302-9743. — doi:10.1007/3-540-48405-1_32.

[_ade2727c35f670e3-1] 1,0 ^1,1 Optimal Asymmetric Encryption How to Encrypt with RSA, 1995, p. 1.

[_1b16cef154bd5ce5-2] 2,0 ^2,1 OAEP Reconsidered, 2001, p. 1.

[_f442617d4482b15a-3] RSA–OAEP is Secure under the RSA Assumption, 2001, p. 1.

[_e2007dffbc409bed-4] 4,0 ^4,1 Trading One-Wayness against Chosen-Ciphertext Security in Factoring-Based Encryption, 2006, p. 1.

[_01aa908aa47eda8d-5] 5,0 ^5,1 Simplified OAEP for the RSA and Rabin functions, 2001, p. 277.

[_e4406ac3062ea9f3-6] A low-cost alternative for OAEP, 2001, p. 1.

[_01aa908aa47eda8f-7] Simplified OAEP for the RSA and Rabin functions, 2001, p. 275.

[_01aa828aa47ec2c0-8] 8,0 ^8,1 ^8,2 Simplified OAEP for the RSA and Rabin functions, 2001, p. 290.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]