Оптимальное заполнение асимметричного шифрования

В криптографии оптимальное асимметричное шифрование ( OAEP ) представляет собой схему заполнения, часто используемую вместе с шифрованием RSA . OAEP был представлен Белларе и Рогавеем ^[1] и впоследствии стандартизирован в PKCS#1 v2 и RFC 2437.

Алгоритм OAEP — это разновидность сети Фейстеля , которая использует пару случайных оракулов G и H для обработки открытого текста перед асимметричным шифрованием . В сочетании с любой безопасной односторонней перестановкой с лазейкой эта обработка, как доказано в случайной модели оракула , приводит к созданию комбинированной схемы, которая семантически безопасна при атаке с выбранным открытым текстом (IND-CPA) . При реализации с некоторыми вариантами лазейки (например, RSA) OAEP также оказывается защищенным от атаки с выбранным зашифрованным текстом . OAEP можно использовать для построения преобразования «все или ничего» . $е$

OAEP преследует следующие две цели:

Добавьте элемент случайности, который можно использовать для преобразования детерминированной схемы шифрования (например, традиционного RSA ) в вероятностную схему.
Предотвратите частичную расшифровку зашифрованных текстов (или другую утечку информации), гарантируя, что злоумышленник не сможет восстановить какую-либо часть открытого текста без возможности инвертировать одностороннюю перестановку с люком . $е$

Первоначальная версия OAEP (Bellare/Rogaway, 1994) демонстрировала форму « осведомленности об открытом тексте » (которая, как они утверждали, подразумевает защиту от атак с выбранным зашифрованным текстом ) в модели случайного оракула, когда OAEP используется с любой перестановкой лазейки. Последующие результаты опровергли это утверждение, показав, что OAEP был безопасным только IND-CCA1 . Однако в модели случайного оракула было доказано , что исходная схема безопасна IND-CCA2, когда OAEP используется с перестановкой RSA с использованием стандартных показателей шифрования, как в случае RSA-OAEP. ^[2] Для решения этой проблемы Виктор Шуп предложил улучшенную схему (называемую OAEP+), которая работает с любой односторонней перестановкой с люком . ^[3] Более поздние работы показали, что в стандартной модели (то есть, когда хэш-функции не моделируются как случайные оракулы) невозможно доказать безопасность IND-CCA2 RSA-OAEP при предполагаемой сложности проблемы RSA . ^[4]^[5]

Алгоритм

На диаграмме

MGF — функция генерации маски , обычно MGF1,
Хэш — выбранная хеш-функция ,
hLen — длина вывода хэш-функции в байтах,
k — длина модуля RSA n в байтах,
M — сообщение, которое необходимо дополнить (не более байтов), $k-2\cdot \mathrm {hLen} -2$
L — необязательная метка, связанная с сообщением (по умолчанию метка представляет собой пустую строку и может использоваться для аутентификации данных без необходимости шифрования),
PS — это байтовая строка из нулевых байтов. $k-\mathrm {mLen} -2\cdot \mathrm {hLen} -2$
⊕ — это операция XOR .

Кодирование

RFC 8017 ^[6] для PKCS#1 v2.2 определяет следующую схему OAEP для кодирования:

Хэшируйте метку L , используя выбранную хэш-функцию: $\mathrm {lHash} =\mathrm {Hash} (L)$
Создайте строку заполнения PS , состоящую из байтов со значением 0x00. $k-\mathrm {mLen} -2\cdot \mathrm {hLen} -2$
Объедините lHash , PS , одиночный байт 0x01 и сообщение M, чтобы сформировать блок данных DB :. Этот блок данных имеет длину в байтах. $\mathrm {DB} =\mathrm {lHash} ||\mathrm {PS} ||\mathrm {0x01} ||\mathrm {M}$ $k-\mathrm {hLen} -1$
Сгенерируйте случайное начальное число длиной hLen .
Используйте функцию генерации маски, чтобы сгенерировать маску соответствующей длины для блока данных: ${\ displaystyle \ mathrm {dbMask} = \ mathrm {MGF} (\ mathrm {seed}, k- \ mathrm {hLen} -1)}$
Замаскируйте блок данных сгенерированной маской: $\mathrm {maskedDB} =\mathrm {DB} \oplus \mathrm {dbMask}$
Используйте функцию генерации маски, чтобы сгенерировать маску длины hLen для начального числа: $\mathrm {seedMask} =\mathrm {MGF} (\mathrm {maskedDB},\mathrm {hLen})$
Замаскируйте семя сгенерированной маской: $\mathrm {maskedSeed} =\mathrm {seed} \oplus \mathrm {seedMask}$
Закодированное (дополненное) сообщение представляет собой байт 0x00, объединенный с MaskedSeed и MaskedDB : $\mathrm {EM} =\mathrm {0x00} ||\mathrm {maskedSeed} ||\mathrm {maskedDB}$

Декодирование

Декодирование работает путем изменения шагов, выполненных в алгоритме кодирования:

Хэшируйте метку L , используя выбранную хэш-функцию: $\mathrm {lHash} =\mathrm {Hash} (L)$
Чтобы отменить шаг 9, разделите закодированное сообщение EM на байт 0x00, MaskedSeed (длиной hLen ) и MaskedDB : $\mathrm {EM} =\mathrm {0x00} ||\mathrm {maskedSeed} ||\mathrm {maskedDB}$
Создайте семенную маску , которая использовалась для маскировки семени : $\mathrm {seedMask} =\mathrm {MGF} (\mathrm {maskedDB},\mathrm {hLen})$
Чтобы отменить шаг 8, восстановите начальное число с помощью семенной маски : $\mathrm {seed} =\mathrm {maskedSeed} \oplus \mathrm {seedMask}$
Создайте dbMask , который использовался для маскировки блока данных: ${\ displaystyle \ mathrm {dbMask} = \ mathrm {MGF} (\ mathrm {seed}, k- \ mathrm {hLen} -1)}$
Чтобы отменить шаг 6, восстановите блок данных DB: $\mathrm {DB} =\mathrm {maskedDB} \oplus \mathrm {dbMask}$
Чтобы отменить шаг 3, разделите блок данных на части: . $\mathrm {DB} =\mathrm {lHash'} ||\mathrm {PS} ||\mathrm {0x01} ||\mathrm {M}$
1. Подтвердите это:
  - lHash' равен вычисленному lHash
  - PS состоит только из байтов 0x00
  - PS и M разделены байтом 0x01 и
  - первый байт EM — это байт 0x00.
2. Если какое-либо из этих условий не выполняется, заполнение недействительно.

Использование в RSA: закодированное сообщение затем можно зашифровать с помощью RSA. Детерминистическое свойство RSA теперь можно избежать при использовании кодировки OAEP, поскольку начальное число генерируется случайным образом и влияет на все закодированное сообщение.

Безопасность

Безопасность « все или ничего » заключается в том, что для восстановления C: необходимо восстановить всю базу данных и все начальное значение ; DB требуется для восстановления начального числа из Seed , а начальное число требуется для восстановления блока данных DB из DB . Поскольку любой измененный бит криптографического хеша полностью меняет результат, вся БД и все начальное число должны быть полностью восстановлены.

Выполнение

В стандарте PKCS#1 случайные оракулы идентичны. Стандарт PKCS#1 также требует, чтобы случайные оракулы были MGF1 с соответствующей хэш-функцией. ^[7]

Смотрите также

Инкапсуляция ключей