私钥加密与伪随机性 第二部分
- 本节课学习另外两种私钥加密安全理论:选择明文攻击(CPA)下不可区分性,选择密文攻击(CCA)下不可区分性;
- 目录:流加密与CPA,CPA安全加密方案,操作模式,CCA安全加密方案
- 流加密方案(Stream Cipher)
- 思路:受一次一密方案的启发
- 流加密方案:通过与伪随机的比特流(密钥流)异或来加密
- 多个消息:拼成一个消息
- 密钥流:由一个变长的伪随机生成器产生
- 优点:比分组密码更快
- 缺点:难以做到安全
- 采用流加密方案的安全多重加密
- 同步模式:用一个流中不同部分分别加密各个消息;
- 异步模式:以密钥和初始向量一起作为输入来产生流,每个明文的加密采用相同的密钥和不同的初始向量
- 初始向量(Initial Vector),
是随机选取的并且是公开的;其生成是随机的并不受控制,但生成后并不保密;密钥的生成是随机的并不受控制,但生成后也要保密。
- 两种模式差异:
- 同步模式适合持续通信场景,例如语音;异步模式适合间断通信场景,例如即时消息。
- 流密码的安全性
- 现状:没有标准化和流行的方案,安全性仍有疑问,例如在802.11中WEP协议的RC4,线性反馈移位寄存器(Linear Feedback Shift Registers);
- 警告:不要使用任何流加密方案,如果一定需要的话,采用由分组加密方案构造的。
- eStream项目致力于设计安全的流密码
- 相关密钥:真实世界例子
- 用于多重加密的密钥(初始向量和密钥对)必须是独立的。否则,前面的攻击就会生效;
- 对于802.11b WEP的若干攻击:
- WEP为异步模式,
16M 帧后
- 在一些WiFi网卡上,在电源重启后
. 对于RC4,在40,000帧后可以恢复
- 多重加密(Multiple Encryptions)
- 多个明文的加密实验
,当一次加密多个明文时,窃听者敌手能够区分出两组明文吗?
- 一个敌手
与一个挑战者
进行3轮交互:
选择两个长度相同、内容不同明文向量
,
,其中两个向量中同一位置的明文长度相同
,发送给
;
,一个随机比特
。对向量
中每个明文加密
得到一个密文向量
,并发送给
,若
,则
- 这与之前的单个消息不可区分实验类似的,区别在于用同一个密钥加密的多个消息。敌手可以获得多个明文的密文,比单个明文不可区分实验中的敌手有更强的能力。
- 多重加密安全定义
是窃听者出现时不可区分的多重加密方案,如果任意PPT的敌手
, 存在可忽略的函数
- 迄今学习的密码学方案是否是多重加密不可区分的?
- 攻击确定性多重加密方案
- 问题:如果一个加密方案中加密算法是确定性的,即同一个明文会被同一个密钥加密成同一个密文,那么该加密方案是多重加密安全的吗?
- 攻击:对于确定性加密方案,敌手可以构造
并且
,然后当
,输出
,否则
- 选择明文攻击(Chosen-Plaintext Attacks (CPA))
- 敌手具有获得其所选择明文对应的密文的能力。
- 第二次世界大战中的例子:美国海军密码分析学家相信密文“AF”表示日语中的“中途岛”;但美国将军不认为中途岛会遭到攻击;美国海军密码分析学家发送了一个明文,中途岛淡水供给不足;日本军队截获的明文,并发送了一段密文,“AF”淡水不足;美国军队派出三艘航空母舰并且取胜。
- 这里例子里,美国海军密码分析学家选择了明文并得到了密文。
- CPA安全实验
- CPA不可区分实验
:
- 挑战者生成密钥
和对加密函数
的预言机访问(oracle access)
,输出相同长度
- 挑战者生成随机比特
发送给
,否则 0。
- 该实验与窃听者不可区分实验的区别在于,敌手可访问加密预言机,在实验过程中始终可以(产生两个明文阶段,猜测被加密明文阶段)获得任意明文被同一密钥加密的密文,而且密文是逐个获得,可以根据之前的明文和密文对来“适应性地”构造新的查询。
- CPA敌手比多重加密的敌手更“强大”,因为多重加密敌手是可以一次性地获得一组密文,而CPA敌手可以“多次适应性地”获得密文。
- CPA安全
使得,
- 定理:CPA安全也是多重加密安全的。证明略。直觉上,CPA敌手比多重加密敌手更强大。
- 之前的方案也难以实现CPA安全;
- 多重加密安全意味着CPA安全?(作业)
- 伪随机函数(Pseudorandom Function)概念
- 为了实现CPA安全,需要新的数学工具为加密提供随机性,为此引入伪随机函数(PRF),是对伪随机生成器(PRG)的泛化:PRG从一个种子生成一个随机串,PRF从一个key生成一个函数;
- 带密钥的函数Keyed function
,
- 两个输入到一个输出,看上去像,但不是加密函数;输入key,得到一个一输入到一输出的函数;
- 查表Look-up table
:
需要多少比特信息存储?
- 查表是一个直接描述输入与输出间映射的表格,一个条目对应一个输入与一个输出;当该映射是随机产生的,是一个真随机函数;
- 函数族Function family
: 包含所有函数
- 一个PRF是函数族中一个子集,key确定下的PRF是函数族中一个元素,一个查表是函数族中一个元素;
- 长度保留Length Preserving:
;密钥长度与函数输入、输出长度相同为
;没有特殊说明时,只讨论长度保留的函数;
- 伪随机函数定义
- 直觉上,一个PRF生成的带密钥的函数与从函数族中随机选择的真随机函数(查表)之间是不可区分的;然而,一个真随机函数具有指数长度,无法“预先生成”,只能“on-the-fly”的使用,引入一个对函数
的确定性的预言机访问(oracle access)
。
- 一个带密钥的函数是一个伪随机函数,对任意PPT区分器
,
,其中
- 问题一个固定长度的一次一密方案是一个PRF吗?
- PRF和PRG的关系在后面还会学习,可以由PRG来构造PRF。
- PRF例题
- 对于一个PRF,在key保密和没有预言机访问时,给指定输入,能以不可忽略的概率猜测输出相关信息吗?
- 如果是PRF,则给出两个函数的相似性;否则,给出一个区分器可以区分出该函数;
- 以PRF实现CPA安全
- 新随机串
,每次新生成一个随机串;
:
. 长度保留;
:
.
:
,
. 密文包括两部分新随机串,以及异或输出;
:
.
- 定理:上述方案是CPA安全的;
- 从PRF到CPA安全的证明
- 思路:从PRF的区分器算法
规约到加密方案敌手算法
时,为加密方案。
- 规约:
;
- 从PRF到CPA安全的证明(续)
- 考虑真随机函数
的情况,分析不可区分实验成功概率
。敌手
个明文与密文对的查询结果并得到随机串和pad
;当收到挑战密文
时,根据之前查询结果中随机串是否与挑战密文中随机串相同,分为两种情况:
- 当有相同随机串时,根据
可以得到
,
,但这种情况发生的概率
是可忽略的;
- 当没有相同随机串时,输出是随机串,相当于一次一密,成功概率=1/2;
根据伪随机函数定义,
- 小结:通过规约将
的区分器实验输出1的概率建立等式;分析输入真随机函数预言机时
)与输入真随机函数预言机时
- 从PRF到CPA安全:变长消息
- 对于任意长度消息
,
- 推论:如果
是一个 PRF,那么
- 有效性:
. 密文长度是明文长度的二倍,并且需要大量的真随机串;
- 伪随机排列(Pseudorandom Permutations)
- 为了提高对任意长度消息加密的效率,以及更高级的加密基础工具,学习伪随机排列PRP的概念;
- 双射 Bijection:
- 排列 Permutation: 一个从一个集合到自身的双射函数;
- 带密钥的排列 Keyed permutation:
是排列;类似带密钥的函数;
- 定义:一个有效的带密钥的排列
- 问题:一个PRP也是一个PRF吗?
- PRP例题
- 对1比特的PRP、PRF的分析;
- 定理:如果
是一个 PRP 并且
,那么
- 操作模式概念(Modes of Operation)
- 操作模式是使用PRP或PRF来加密任意长度消息的方法;
- 操作模式是从PRP或PRF来构造一个PRG的方法;
- 将一个消息分成若干等长的块(分组,block),每个块以相似方式处理;
- Electronic Code Book (ECB) 模式
- 在窃听者出现时,是否是不可区分的?
- 对ECB的攻击
- 为什么仍然可以识别企鹅?
- **Cipher Block Chaining (CBC)**模式
初始向量,一个新的随机串;
- 是CPA的吗?可并性化吗?F可以是任意PRF吗?
- Output Feedback (OFB) Mode模式
- 是CPA安全吗?可并性化吗?F可以是任意PRF吗?
- Counter (CTR) Mode模式
是一个初始向量,并且逐一增加;
- 是CPA安全吗?可并性化吗?F可以是任意PRF吗?
- CTR模式是CPA安全
- 定理:如果
- 证明:其安全性与之前基于PRF的CPA安全证明类似,从PRF的伪随机假设规约到CPA安全加密方案。其中,对
- 当加密预言机是由真随机查表构成时,敌手多次访问加密预言机得到的
是可以忽略的;若没有重叠,则相当于一次一密;
- CTR模式是CPA安全(续)
- 规约与之前证明基于PRF的CPA安全加密方案一样,证明过程也类似。
- 初始向量不应该可预测
- 如果
- 为什么?(作业)
- 在SSL/TLS 1.0中的漏洞:记录
的
的密文块。
- OpenSSL中API:需要用户输入
- 非确定性加密
- 有三种通用的实现CPA安全的非确定性加密方法:
- 随机化的:
- 有状态的:
- 基于Nonce的:
- 选择密文攻击 Chosen-Ciphertext Attacks (CCA)
- CCA不可区分实验
:
- 挑战者生成密钥
的预言机访问(oracle access)
,输出相同长度
- 挑战者生成随机比特
之外的预言机的访问,输出
,否则 0。
定义:一个加密方案是CCA安全的,如果实验成功的概率与1/2的差异是可忽略的。
- 理解CCA安全
- 在现实世界中,敌手可以通过影响被解密的内容来实施CCA。如果通信没有认证,那么敌手可以以通信参与方的身份来发送特定密文。
- CCA安全性意味着“non-malleability”(不可锻造性),不能修改密文来获得新的有效密文。
- 之前的方案中没有CCA安全,因为都不是不可锻造。
- 对基于PRF的CPA安全加密方案的CCA攻击:
获得挑战密文
,并且查询与
只相差了一个翻转的比特的密文
,那么
应该与
- 问题:上述操作模式也不是CCA安全的(作业)
- 由此,可以总结出CCA下敌手的常用策略:
- 修改挑战密文
,并查询解密预言机得到
- 根据关系,由
来猜测被加密明文
- Padding-Oracle(填充预言机)攻击真实案例
- CAPTCHA服务商为Web网站提供验证用户是否为人类的服务。为此,一个CAPTCHA服务器与Web服务器间事先共享一个密钥
,服务工作原理如下:
- 当Web服务器验证用户是否为人类时,生成一个消息
并以
加密,向用户发送一个密文
;
- 用户将密文
- CAPTCHA服务器用密钥
- 用户根据图像获得
- 在第2步,当恶意用户可以利用CAPTCHA服务器会返回给用户坏填充错误这一漏洞,来实施填充错误攻击。
- Padding-Oracle(填充预言机)攻击
- 在PKCS #5 padding(填充)标准中,为了将一个消息的长度“填充”到块长度的整数倍,在最后一个块中填充
个字节的
- 具体攻击原理是,更改密文(包含
- 攻击的第一步判断消息是否为空:在单个块的CBC中,通过更改
是否为空。因为如果
- 如果
是空的,那么明文会添加一个哑块
;
- PRP的输入为
;设
,则PRP的输入为
;
- 将
变为
,不改变
解密得到的PRP的输入不会变,而解密出的明文会改变为
;
- 上述明文首个字节一定不是
,这是填充格式错误,会触发服务器返回错误;
- 如果上面的尝试没有触发错误,那么说明消息非空;下一步,发现消息长度是否为1字节,方法与上一步一样,区别在于只改变
- Padding-Oracle攻击(续)
- 一旦获得消息的长度,也就知道了填充的长度
- 更改密文中倒数第二块,来获得消息的最后一个字节
;
- 明文的最后一个块
,密文的倒数第二个块
;
- 最后一块的PRP输入为
;
- 敌手更改
为
;其中,
是敌手猜测的某个字节;
- 解密获得最后一块明文
;
- 如果没有返回坏填充错误,那么意味着填充了
个字节的
,而
- 总结
- 略
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
