Algorytmy asymetryczne

Transkrypt

1 Algorytmy asymetryczne Klucze występują w parach jeden do szyfrowania, drugi do deszyfrowania (niekiedy klucze mogą pracować zamiennie ) Opublikowanie jednego z kluczy nie zdradza drugiego, nawet gdy można w tym celu wykonać dość złożone obliczenia Zwykle jeden klucz z pary jest powszechnie dostępny, gdy drugi musi być przechowywany w tajemnicy (klucz publiczy i klucz prywatny)

2 Krótkie przypomnienie Problem NP :(niedeterministycznie wielomianowy, ang. nondeterministic polynomial) to problem decyzyjny, dla którego rozwiązanie można zweryfikować w czasie wielomianowym. Równoważna definicja mówi, że problem jest w klasie NP, jeśli może być rozwiązany w wielomianowym czasie na niedeterministycznej maszynie Turinga. Problem NP-zupełny (NPC) czyli problem zupełny w klasie NP ze względu na redukcje wielomianowe, to problem, który należy do klasy NP oraz dowolny problem należący do NP może być do niego zredukowany w czasie wielomianowym. Czasami zamiast redukcji w czasie wielomianowym używa się redukcji w pamięci logarytmicznej. Taka definicja problemów NP-zupełnych implikuje fakt, że jeśli tylko potrafimy rozwiązać jakikolwiek problem NP-zupełny w czasie wielomianowym, to potrafimy rozwiązać w czasie wielomianowym wszystkie problemy NP. Problemy NP-zupełne można więc traktować jako najtrudniejsze problemy klasy NP (z punktu widzenia wielomianowej rozwiązywalności).

3 Teoria złożoności obliczeniowej Problem kryptoanalizy: Dane są kryptogram G, klucz publiczny K służący do szyfrowania, szukamy pasującego klucza L do deszyfrowania taki, że E(K(D(L,G)) = G Tw. 1: Problem kryptoanalizy jest zagadnieniem z klasy NP Dowód: Następujący algorytm z klasy NP rozwiązuje problem kryptoanalizy: Zgadnij niedeterministycznie klucz do deszyfrowania Deszyfruj kryptogram za pomocą zgadniętego klucza Sprawdź czy otrzymany tekst szyfruje się z powrotem do podanego na wstępie kryptogramu Zatem: złamanie szyfrów utworzonych przy pomocy algorytmów asymetrycznych nie może być trudniejsze niż rozwiązanie problemu NP-zupełnego

4 Wnioski Jest to poważne ostrzeżenie przed używaniem algorytmu asymetrycznego Nigdy nie osiągnie się takiego poziomu bezpieczeństwa jak np. dla one-time-pad Można odnieść wrażenie, że algorytmu asymetryczne są słabe ale:

5 Wnioski Teoria złożoności obliczeniowej operuje asymptotyczną złożonością problemów: dla danego problemu M poszukuje się takiej funkcji f, że dla prawie wszystkich n istnieją dane x o długości n, dla których obliczenie M(x) kosztuje f(n) Koszt może być mierzony w rozmiarach pamięci albo czasie obliczeń. Teoria złożoności obliczeniowej posługuje się wyrażeniami typu O(...). Wyznacza to złożoność problemu z dokładnością do stałego czynnika Dla kryptografii ważna jest złożoność problemu w średnim przypadku (tzn. dla ustalonej długości n badamy, jaka jest przeciętna złożoność). Istotne jest również jak złożoność odbiega od średniej. Teoria złożoności obliczeniowej bada złożoność w najgorszym przypadku.

6 Wnioski Mimo powyższych zastrzeżeń, możliwe jest wykorzystanie rezultatów teorii złożoności obliczeniowej jako wskazówki, wśród których problemów należy szukać podstaw dla konstrukcji asymetrycznych algorytmów szyfrujących. Rozważa się zagadnienie NP-zupełne jako najbardziej złożone w klasie NP. Sztandarowym podejściem są szyfry plecakowe, które jednak nie są praktycznie używane.

7 Szyfry plecakowe Problem plecakowy : dane są liczby naturalne (a1..an), k. Szuka się takich liczb (i1..in) ze zbioru {0,1} że i j aj=k Problem plecakowy jest NP-zupełny Istnieje wiele metod szyfrowania opartych o algorytmy plecakowe. Większość z nich została złamana

8 Prosty algorytm plecakowy Przykład Złamany metodą Shamira pozwalającą na odnalezienie tekstu jawnego bez znajomości tajnego klucza deszyfrującego Szyfrowanie: i j aj Ciąg bitów (i1..in) kodowany jest przez liczbę pojawiają się jednak następujące problemy: Pojedynczy kryptogram musi odpowiadać jednemu tekstowi jawnemu Złamanie takich kodów jest trudne ze względu na NPzupełność algorytmu plecakowego, ale nie znamy żadnej metody żeby za pomocą klucza taki kryptogrma deszyfrować

9 Dodatkowe ograniczenia Wektory superrosnące to takie (a1..an) dla których j<i a j <a i Dla każdego i<n Dla każdego wektora superrosnącego 1. Każdemu kryptogramowi odpowiada dokładnie jeden tekst jawny 2. deszyfrowanie może być dokonane w czasie proporcjonalnym do długości wektora superrosnącego Problem Dzięki wektorom superrosnącym kryptogramy odpowiadają jednoznacznie tekstom jawnym. Każdy kto zna taki wektor może szyfrować i deszyfrować nie będzie to zatem algorytm asymetryczny Utajnianie wektora superrosnącego stosujemy inny wektor szyfrujący: M > i n a i W < M takie, że W > 1 oraz największy wspólny dzielnik (W,M) = 1 (W nie może być małe np. W > M/2) Niech ai' = ai*w mod M Tu nie ma żadnego powodu żeby ciąg (a1'..an') buł superrosnący. Ciąg ten permutuje się i podaje jako klucz publiczny. Kluczem prywatnym jest wektor (a1..an), liczby M oraz W a ponadto użyta permutacja.

10 Szyfrowanie Dla uproszczenia zakadamy permutację (a1'..an') do takiej samej postaci (brak permutacji) Szyfrowanie i1..in odbywa się standardowo za pomocą ciągu będącego kluczem jawnym : Kryptogram jest równy liczbie : n j=1 i j a j ' Deszyfrowanie jest możliwe dzięki konwersji kryptogramu: Niech y=i1*a1'+...+in*an' będzie rozważanym kryptogramem, dla którego szukamy i1..in Wykonujemy następujące działania: 1. Ponieważ W i M są względnie pierwsze, więc za pomocą algorytmu Euklidesa można wyznaczyć liczbę W^-1 mod M 2. Obliczamy W^-1*y mod M. Liczba ta jest równa W^-1(i1a1'+...+in*an') = W^-1(i1*a1*W +..+in*an*w) = i1*a in*an modm 3. Dla kryptogramu W^-1 *y i wektora superrosnącego (a1..an) znajdujemy tekst jawny i1..in. Można tego dokonać w czasie proporcjonalnym do n. Algorytm nie może być stosowany w praktyce zostala znaleziona szybka metoda deszyfrowania bez znajomości tajnego klucza (co prawda tylko dla specjalnych wektorów (a1'..an') uzyskanych z wektorów superrosnących. Dla dowolnych wektorów dalej nie jest znana żadna efektywna metoda Istnieje algorytm Chora-Rivesta, który jak dotąd nie został złamany

11 We wszystkich kryptosystemach uzyskanie klucza prywatnego na podstawie publicznego musi być obliczeniowo trudne. W RSA zależność między kluczem publicznym i prywatnym jest symetryczna uzyskanie klucza publicznego na podstawie prywatnego jest równie trudne jak uzyskanie prywatnego na podstawie publicznego. Składowe kluczy i obliczane są przy użyciu dwóch dużych i zbliżonych długością liczb pierwszych ( i ) generowanych w sposób możliwie przypadkowy. i otrzymuje się na podstawie równania (jest losowane, obliczane lub odwrotnie): Iloczyn i jest częścią klucza oznaczaną przez. Klucz publiczny i prywatny tworzą odpowiednio pary i. Liczby i, poza procesem generowania kluczy nie są potrzebne i zwykle są kasowane, jednakże istnieje wariant algorytmu w którym wchodzą one w skład klucza prywatnego (są wykorzystywane w celu zwiększenia prędkości działania kryptosystemu). W systemie ElGamal wybierana jest liczba pierwsza, generator, następnie losowana jest liczba. Kluczem prywatnym jest, kluczem publicznym zaś, w grupie multiplikatywnej liczb całkowitych modulo p. Klucz publiczny może być obliczony na podstawie prywatnego, co zresztą ma miejsce podczas generacji kluczy. Bardzo podobnie wygląda sytuacja w innych systemach opartych o logarytm dyskretny, takich jak kryptografia krzywych eliptycznych. W tych metodach grupę Zp zastępuje się inną grupą, np. utworzoną z punktów leżących na krzywej eliptycznej.