BỘ GIÁO DỤC VÀ ĐÀO TẠO BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ  NGUYỄN ĐỨC TÂM MỘT SỐ PHƯƠNG PHÁP MÃ HÓA CÓ THỂ CHỐI TỪ DỰA TRÊN MÃ HÓA XÁC SUẤT XXXX XXXX Chuyên ngành: Kỹ thuật mật mã Mã số: 52 02 09 TÓM TẮT LUẬN ÁN TIẾN SĨ KỸ THUẬT MẬT MÃ Hà Nội - 2021 MỞ ĐẦU Đặt vấn đề Mã hóa chối từ (MHCTCT) kỹ thuật mật mã đặc biệt nhằm chống lại công cưỡng ép Ngữ cảnh công cưỡng ép đối phương công (ĐPTC) thu mã kênh truyền, tiến hành cưỡng ép bên gửi bên nhận hai bên trình rõ, khóa mã, thuật tốn mã hóa giải mã Mục đích MHCTCT làm cho đối phương khơng thể tìm tồn thơng điệp bí mật mà khơng có khóa mã thích hợp (hoặc thuật tốn giải mã thích hợp), đặc điểm quan trọng MHCTCT từ mã, giải mã hai rõ khác Một số lược đồ MHCTCT nghiên cứu mặt lý thuyết dựa hệ mật khóa bất đối xứng [5, 8, 17, 38, 43, 47, 52, 53, 59] hệ mật khóa đối xứng [2, 48, 55, 70] Tuy nhiên, phần lớn cơng trình nghiên cứu MHCTCT mang tính lý thuyết thuật tốn mã hóa thực theo bit, có tính minh họa cho phương pháp đề xuất mà khơng có tính ứng dụng thực tiễn [5, 8, 10, 14, 20, 25, 34, 59, 65] Việc nghiên cứu MHCTCT nhằm đề xuất lược đồ, thuật tốn mã hóa chối từ dựa hệ mật cụ thể nhiệm vụ có ý nghĩa khoa học thực tiễn lĩnh vực bảo mật an tồn thơng tin Xuất phát từ cách đặt vấn đề trên, nghiên cứu sinh chọn đề tài “Một số phương pháp mã hóa chối từ dựa mã hóa xác suất” Nhằm mục đích nghiên cứu đề xuất số phương pháp MHCTCT dựa mã hóa xác suất Mục tiêu nghiên cứu - Nghiên cứu đề xuất phương pháp MHCTCT khóa bất đối xứng dựa giao thức ba bước Shamir sử dụng thuật tốn mã hóa có tính chất giao hốn với cách thức mã hóa xác suất - Nghiên cứu đề xuất phương pháp MHCTCT khóa đối xứng dựa mã khối với cách thức mã hóa xác suất Tóm tắt đóng góp luận án  Về mặt lý thuyết: Luận án đóng góp số kết nghiên cứu MHCTCT khóa bất đối xứng MHCTCT khóa đối xứng Cụ thể: thứ luận án đề xuất phương pháp tổng quát thực gài đặt MHCTCT khóa bất đối xứng dựa giao thức ba bước Shamir sử dụng thuật tốn mã hóa có tính chất giao hốn với cách thức mã hóa xác suất; thứ hai luận án đề xuất phương pháp thực MHCTCT khóa đối xứng dựa hệ mã phổ biến mã khối, thực theo cách thức mã hóa xác suất  Về mặt ứng dụng mật mã: Với MHCTCT khóa bất đối xứng: Luận án đề xuất ba giao thức MHCTCT dựa giao thức ba bước Shamir, gồm: Giao thức MHCTCT sử dụng thuật toán Pohlig-Hellman; giao thức MHCTCT sử dụng thuật toán SRA; giao thức MHCTCT sử dụng mã hóa Vernam kết hợp thuật tốn mã hóa khóa cơng khai ElGamal Với MHCTCT khóa đối xứng, luận án đề xuất lược đồ MHCTCT dựa mã khối, với cách thức kết hợp mã khối với thuật tốn giải hệ phương trình đồng dư tạo thành lược đồ mã hóa xác suất dựa mã khối tiến hành gài đặt MHCTCT vào lược đồ Cấu trúc luận án Luận án gồm 168 trang, bao gồm: Phần mở đầu, ba chương nội dung, kết luận; có bảng 19 hình vẽ Phần phụ lục trình bày 50 trang Ba chương nội dung luận án gồm:  Chương 1: Tổng quan mã hóa chối từ  Chương 2: Đề xuất phương pháp mã hóa chối từ dựa giao thức ba bước Shamir (Nội dung đăng báo CT1, CT4, CT5, CT7)  Chương 3: Đề xuất phương pháp mã hóa chối từ dựa mã khối (Nội dung đăng báo số CT2, CT3, CT6, CT8) CHƯƠNG TỔNG QUAN VỀ MÃ HÓA CÓ THỂ CHỐI TỪ Nội dung Chương 1: Tổng quan MHCTCT, ứng dụng MHCTCT; định nghĩa phân loại MHCTCT; tính chất giao thức MHCTCT; tổng quan tình hình nghiên cứu MHCTCT nước quốc tế từ trước đến nay; nghiên cứu tổng hợp cách thức thực gài đặt MHCTCT dựa mã hóa xác suất; đề xuất nội dung nghiên cứu Luận án 1.1 Tổng quan mã hóa chối từ 1.1.1 Khái niệm mã hóa chối từ Lược đồ mã hóa có tính chất mà từ mã giải mã thành hai rõ khác (trong rõ bí mật, rõ giả mạo) gọi lược đồ mã hóa chối từ 3 1.1.2 Ứng dụng mã hóa chối từ 1.1.3 Khái niệm khơng phân biệt mặt tính tốn Định nghĩa 1.2 [10]: khơng phân biệt mặt tính tốn Cho X =  X n n Y = Yn n hai tập phân bố xác suất :  0,1 Chúng ta nói X Y khơng phân biệt mặt c tính tốn (ký hiệu X Y ), với phân biệt thời gian đa thức D n đủ lớn, ta có: Prob D  X n   1  Prob D Yn   1    n  , với   n  hàm không đáng kể 1.1.4 Tính đắn, an tồn, chối từ mã hóa chối từ MHCTCT cần đáp ứng tiêu chí: đắn, an tồn chối từ [10] 1.1.5 Một số định nghĩa phân loại lược đồ mã hóa chối từ Việc phân loại lược đồ MHCTCT dựa trên: khóa sử dụng, thuật tốn mã hóa sử dụng, vị trí bên bị cơng cưỡng ép, đặc tính chối từ bị cơng [10] Tên gọi số lược đồ thường sử dụng: Lược đồ MHCTCT khóa bí mật (shared-key deniable encryption) lược đồ MHCTCT khóa cơng khai (public-key deniable encryption); Lược đồ MHCTCT chối từ bên gửi (senderdeniable encryption), lược đồ MHCTCT chối từ bên nhận (receiverdeniable encryption), lược đồ MHCTCT chối từ bên gửi bên nhận (sender or receiver deniable encryption) [65] 1.1.6 Tấn công cưỡng ép mã hóa chối từ - Tấn cơng bị động: sau mã gửi, đối phương chặn thu mã kênh truyền tiến hành cưỡng ép - Tấn công chủ động: đối phương giả mạo bên sau trình giả mạo, đối phương tiếp tục cưỡng ép bên cịn lại 1.1.7 Thẩm quyền đối phương thực cưỡng ép - Ngữ cảnh đối phương cưỡng ép bên nhận: có thẩm quyền cưỡng ép bên nhận phải trình ra: thuật tốn giải mã, khóa bí mật bên nhận, đầu thuật toán giải mã đầu vào mã có tay đối phương - Ngữ cảnh đối phương cưỡng ép bên gửi: có thẩm quyền cưỡng ép bên gửi phải trình ra: rõ, thuật tốn mã hóa, khóa bí mật, mã đầu thuật tốn mã hóa - Ngữ cảnh đối phương cưỡng ép đồng thời hai bên: có thẩm quyền cưỡng ép bên gửi trình ra: rõ, thuật tốn mã hóa, khóa mã, mã đầu thuật tốn mã hóa đồng thời cưỡng ép bên nhận trình ra: thuật tốn giải mã, khóa giải mã, rõ đầu thuật toán giải mã đầu vào mã mà đối phương đưa cho bên nhận 1.2 Các hướng nghiên cứu mã hóa chối từ 1.2.1 Các cơng trình nghiên cứu mã hóa chối từ 1.2.2 Nhận xét cơng trình nghiên cứu mã hóa chối từ Qua tìm hiểu phân tích nghiên cứu MHCTCT, nhận xét MHCTCT phân tích góc độ: Cơ sở tốn học lược đồ MHCTCT; Vấn đề liên hệ với mã hóa xác suất; Tính chất khơng phân biệt mặt tính tốn; Tiêu chí thiết kế giao thức MHCTCT; Khả chối từ linh hoạt, tính chối từ thuyết phục đáp án chối từ; Thời điểm lập đáp án chối; Các vấn đề mở phương pháp gài đặt MHCTCT dựa giao thức ba bước Shamir gài đặt MHCTCT dựa mã khối 1.3 Phương thức gài đặt MHCTCT dựa mã hóa xác suất 1.3.1 Mã hóa xác suất ứng dụng mã hóa xác suất để gài đặt MHCTCT Các hệ mã nay, để đạt độ an tồn chấp nhận thuật tốn mã hóa phải mã hóa xác suất Một kỹ thuật thường dùng để hệ mã có tính xác suất bổ sung yếu tố ngẫu nhiên r với thơng điệp m làm đầu vào q trình mã hóa Lúc đầu vào q trình mã hóa (m, r ), thơng điệp rõ m, lần mã hóa khác với tham số ngẫu nhiên r khác tạo mã đầu c  E (m, r ) khác Khi thay ngẫu nhiên r cách có chủ đích hàm gài đặt mã hóa thơng điệp bí mật m : r  f (m) (với f (m) hàm mã hóa có đầu có tính ngẫu nhiên) để ẩn giấu thơng điệp bí mật Nếu phân bố xác suất mã Ek (m, f (m)) phân bố xác suất mã Ek (m, r ) thỏa mãn tính chất khơng phân biệt mặt tính tốn phương pháp mã hóa xác suất lúc có thêm thuộc tính chối từ, mà tùy ngữ cảnh mà bên giải mã khôi phục thông điệp bí mật m thơng điệp giả mạo m Điều kiện để bên tham gia truyền tin thực MHCTCT dựa mã hóa xác suất là: 1- Các bên gài đặt khơi phục xác thơng điệp bí mật m từ r giao thức mã hóa xác suất hàm mã hóa f (m) 5 2- Đầu f (m) có phân bố xác suất khơng phân biệt mặt tính tốn với phân bố xác suất ngẫu nhiên r , từ dẫn tới Ek (m, f (m)) có phân bố xác suất khơng phân biệt mặt tính tốn với phân bố xác suất Ek (m, r ) 1.3.2 Hai chế độ hoạt động giao thức MHCTCT - Chế độ gài đặt mã hóa chối từ (hoặc chế độ mã hóa truyền tin mật): thực truyền tin mật, hai bên sử dụng giao thức MHCTCT tham số bí mật (hoặc thuật tốn bí mật) mã hóa thơng điệp giả mạo với thơng điệp bí mật, giải mã khơi phục thơng điệp bí mật - Chế độ mã hóa xác suất (hoặc chế độ chối từ bị cưỡng ép): bị cưỡng ép, bên gửi sử dụng giao thức MHCTCT tham số giả mạo (hoặc thuật tốn giả mạo) trình diễn lại q trình mã hóa thơng điệp giả mạo có sử dụng thêm tham số ngẫu nhiên cục (cách thức hoạt động giao thức mã hóa xác suất); tương tự, bên nhận trình diễn lại trình giải mã 1.4 Mơ tả tốn cần giải Luận án Một số vấn đề mở mà giải Luận án: Với MHCTCT khóa bất đối xứng dựa giao thức ba bước Shamir: Nhằm tận dụng ưu điểm hai bên chia sẻ khóa trước phiên liên lạc, theo hướng nghiên cứu này, tác giả Moldovyan cộng có đề xuất cụ thể [49, 56] Phương pháp đề xuất chứng minh tính đắn giao thức MHCTCT, nhiên chứng minh tính an tồn chối từ giao thức MHCTCT theo định nghĩa Canetti chưa nhóm tác giả đề cập Vấn đề mở đặt là: từ trường hợp cụ thể [49, 56] tổng quát hóa thành phương pháp MHCTCT dựa giao thức ba bước Shamir, để từ dùng hệ mật khác tạo giao thức MHCTCT khác nhau? Ngồi vấn đề chống cơng chủ động vấn đề cần quan tâm mơ hình mã hóa theo giao thức ba bước Shamir Do đó, Luận án đề xuất phương pháp tổng quát thực MHCTCT khóa bất đối xứng dựa giao thức ba bước Shamir, theo cách thức mã hóa xác suất sử dụng thuật tốn mã hóa giao hốn, thực mã hóa đồng thời thơng điệp giả mạo thơng điệp bí mật (đóng vai trị ngẫu nhiên thêm vào mã hóa xác suất) Trên sở phương pháp tổng quát này, Luận án đề xuất ba giao thức MHCTCT cụ thể sử dụng hệ mật khác 6 Với MHCTCT khóa đối xứng: Trong mã hóa khóa đối xứng, mã khối hệ mã phổ biến chưa có cơng trình đề xuất MHCTCT dựa mã khối Nếu triển khai MHCTCT dựa mã khối hướng nghiên cứu có tính ứng dụng thực tiễn, tận dụng ưu điểm mã khối tính bảo mật, tính chuẩn hóa, tính phổ dụng tốc độ mã hóa Do đó, Luận án đề xuất phương pháp thực MHCTCT khóa đối xứng dựa mã khối: cách kết hợp mã khối với thuật tốn giải hệ phương trình đồng dư tạo thành lược đồ mã hóa xác suất dựa mã khối, ứng dụng lược đồ để triển khai gài đặt mã hóa chối từ 1.5 Kết luận chương CHƯƠNG ĐỀ XUẤT PHƯƠNG PHÁP MÃ HÓA CÓ THỂ CHỐI TỪ DỰA TRÊN GIAO THỨC BA BƯỚC SHAMIR Nội dung Chương 2: Phân tích trình mã hóa giao thức ba bước Shamir sử dụng thuật tốn mã hóa giao hốn Tiếp đó, xuất phát từ cách thức thực MHCTCT cụ thể tác giả Moldovyan cộng đề xuất [49, 56], tổng hợp phát triển đề xuất phương pháp tổng quát thực MHCTCT dựa giao thức ba bước Shamir theo cách thức mã hóa xác suất Từ phương pháp tổng quát này, Luận án đề xuất ba giao thức MHCTCT cụ thể sử dụng hệ mật khác 2.1 Giao thức ba bước Shamir Bên gửi (A) kA Bên nhận (B) kB c1  Ek A (m) c   c2  EkB (c1 )  EkB ( Ek A (m)) c2   c3  Dk A (c2 )  Dk A ( EkB ( Ek A (m)))  Dk A ( Ek A ( EkB (m)))  EkB (m) c3   DkB (c3 )  DkB ( EkB (m))  m Hình 2.1 Quá trình thực giao thức ba bước Shamir thuật tốn mã hóa giao hốn 2.2 Phương pháp MHCTCT dựa giao thức ba bước Shamir 2.2.1 Phương pháp thực MHCTCT ngữ cảnh cơng Chế độ mã hóa xác suất (chế độ chối từ bị cưỡng ép) A B c1  Ek A (m, r ) Chế độ gài đặt MHCTCT (chế độ mã hóa truyền tin mật) A B c1  Ek A (m, f(m)) c1   c1   c2  EkB (c1 ) c2  EkB (c1 ) c2   c2   c3  Dk A (c2 ) c3  Dk A (c2 )  EkB (m, f(m))  EkB (m, r ) c3   c3   (m, r )  DkB (c3 ) (m, f(m))  DkB (c3 )  DkB ( EkB (m, r ))  DkB ( EkB (m, f(m))) m  f 1 (m) Hình 2.2 Phương pháp tổng quát thực gài đặt MHCTCT dựa giao thức ba bước Shamir Tính chối từ đảm bảo tập mã đầu q trình mã hóa (m, f (m)) chế độ gài đặt MHCTCT không phân biệt mặt tính tốn với tập mã đầu q trình mã hóa (m, r ) chế độ mã hóa xác suất 2.2.2 Một số thuật tốn sử dụng Các thuật tốn mã hóa: Pohlig-Hellman, SRA, Vernam, ElGamal lược đồ chữ ký số ElGamal 2.3 Đề xuất số giao thức MHCTCT dựa giao thức ba bước Shamir 2.3.1 Giao thức 2.1: giao thức MHCTCT sử dụng thuật tốn Pohlig-Hellman 2.3.1.1 Mơ tả phương pháp Q trình gài đặt mã hóa thơng điệp bí mật m ẩn giấu vào thành phần ngẫu nhiên r thơng qua hệ phương trình đồng dư tuyến tính hai ẩn tương ứng với hai thành phần mã c(c' , c'' ) : ' ''  c  k z zc  r mod p ' ''  me mod p  c  zc (2.3) Các mã (c1 (c1' , c1'' ), c2 (c'2 , c''2 ), c3 (c'3 , c''3 )) hình thành từ hệ phương trình (2.3) bước mã hóa Hình 2.2 2.3.1.2 Giao thức mã hóa chối từ sử dụng thuật tốn PohligHellman Ký hiệu hàm ProcPH: R  K  e M  C thuật toán giải hệ (2.3) Giao thức 2.1 hoạt động chế độ mã hóa xác suất: Giao thức sử dụng ngẫu nhiên (r1 , r2 , r3 ) để mã hóa có tính xác suất: Bên gửi (A) khóa bí mật: ( z, kz ),(eA , d A ) Bên nhận (B) khóa bí mật: ( z, kz ),(eB , d B ) Mã hóa Bước 1: A.1 r1 R R A.2 (c1' , c1'' )  ProcPH (r1 , k , eA , m) (2.4) A.3 Send c1  (c1 , c1 ) to B ' '' Bước 2: B.1 r2 R R B.2 s1  (c1'  zc1'' ) mod p (2.5) B.3 (c'2 , c''2 )  ProcPH (r2 , k , eB , s1 ) (2.6) B.4 Send c2  (c'2 , c''2 ) to A Bước 3: A.4 r3 R R A.5 s2  (c'2  zc''2 ) mod p (2.7) A.6 (c'3 , c''3 )  ProcPH (r3 , k , d A , s2 ) (2.8) A.7 Send c3  (c3 , c3 ) to B ' '' Giải mã B.5 s3  (c'3  zc''3 ) mod p B.6 m  s3dB mod p B.7 return m Hình 2.3 Giao thức 2.1 hoạt động chế độ mã hóa xác suất (dùng để chối từ bị cưỡng ép) (2.9) (2.10) Giao thức 2.1 hoạt động chế độ gài đặt mã hóa chối từ: Để thực MHCTCT, hai bên bí mật gài đặt mã hóa m tạo giá trị trung gian đóng vai trị ngẫu nhiên (r1 , r2 , r3 ) giao thức 2.1 hoạt động chế độ mã hóa xác suất: Bên gửi (A) Bên nhận (B) bí mật: ( z, kz ),(eA , d A ),( A ,  A ) bí mật: ( z, kz ),(eB , d B ),( B ,  B ) Mã hóa Bước 1: A.1 r1  m A mod p A.2 (c1 , c1 )  ProcPH (r1 , k , eA , m) ' '' (2.11) (2.12) A.3 Send c1  (c1' , c1'' ) to B Bước 2: B.1 u1  (c1'  kz zc1'' ) mod p B.2 r2  u1 B mod p B.3 s1  (c1'  zc1'' ) mod p (2.13) (2.14) (2.15) B.4 (c2 , c2 )  ProcPH (r2 , k , eB , s1 ) (2.16) ' '' B.5 Send c2  (c'2 , c''2 ) to A Bước 3: A.4 u2  (c'2  kz zc''2 ) mod p (2.17) A.5 r3  u2 A mod p (2.18) A.6 s2  (c'2  zc''2 ) mod p (2.19) A.7 (c3 , c3 )  ProcPH (r3 , k , d A , s2 ) ' '' (2.20) A.8 Send c3  (c3 , c3 ) to B ' '' Giải mã B.6 u3  (c'3  kz zc''3 ) mod p (2.21) B.7 s3  (c'3  zc''3 ) mod p (2.22) If status=”chế độ chối từ bị cưỡng ép” B.8 m  s3dB mod p (2.23) B.9 return m } If status=”chế độ mã hóa truyền tin mật” (2.24) B.10 m  u3 B mod p 10 Bên gửi (A) bí mật: ( z, kz ),(eA , d A ),( A ,  A ) Bên nhận (B) bí mật: ( z, kz ),(eB , d B ),( B ,  B ) B.11 return m Hình 2.4 Giao thức 2.1 hoạt động chế độ gài đặt mã hóa chối từ (dùng để mã hóa truyền tin mật) Về tính ngẫu nhiên đầu hàm gài đặt mã hóa m : (m A mod p, m B mod p) đóng vai trò ngẫu nhiên (r1 , r3 ) A (m A ) B mod p đóng vai trò ngẫu nhiên (r2 ) B trình hai bên thực mã hóa xác suất Để chúng có phân bố ngẫu nhiên giống với phân bố (r1 , r2 , r3 ) *p , m m A mod p cần phần tử nguyên thủy * p Do giao thức 2.1 bổ sung thêm thủ tục tiền xử lý để biến thông điệp m* thành m phần tử nguyên thủy *p , tiếp đó, để (m A mod p) phần tử nguyên thủy * p , A chọn  A để đạt mục đích thủ tục Select _  A () 2.3.1.3 Cách thức chối từ chống lại công cưỡng ép giao thức Giao thức 2.1 có khả chối từ bên gửi chối từ bên nhận chối từ đồng thời hai bên 2.3.1.4 Tính đắn, an tồn chối từ giao thức Bổ đề 2.2 Trong giao thức 2.1 với cách xử lý đầu vào m thủ tục Builtm() cách chọn  A thủ tục Select _  A (), m m A mod p A  A B phần tử nguyên thủy * p , nên B (m mod p,(m ) mod p, m mod p) có phân bố xác suất ngẫu nhiên phân bố xác suất (r1 , r2 , r3 ) Từ Bổ đề 2.2, Mệnh đề 2.1 phát biểu chứng minh: Mệnh đề 2.1 Giao thức 2.1 thỏa mãn giao thức mã hóa khóa bất đối xứng giữ bí mật khóa chối từ đồng thời hai bên Định nghĩa 1.6 Nhận xét 2.1 Độ an toàn mật mã giao thức 2.1 dựa tốn khó logarit rời rạc p 2.3.2 Giao thức 2.2: giao thức MHCTCT sử dụng thuật tốn SRA 2.3.2.1 Mơ tả phương pháp 11 Tương tự giao thức 2.1, hệ phương trình đồng dư tuyến tính hai ẩn (2.25) (với hệ số tham số bí mật dùng chung (k1 , k2 , q1 , q2 ) sử dụng ba bước mã hóa thơng điệp m thực gài đặt thơng điệp bí mật m ẩn giấu vào tham số ngẫu nhiên (r1 , r2 , r3 ) nhằm thực mã hóa chối từ theo giao thức ba bước Shamir (như Hình 2.2): k1c'  k2 c''  r mod n   ' '' e  q1c  q2 c  m mod n (2.25) 2.3.2.2 Giao thức mã hóa chối từ sử dụng thuật tốn SRA Ký hiệu hàm ProcSRA: R× K × e ×M  C thuật tốn giải hệ (2.25) Q trình thực giao thức: Giao thức 2.2 hoạt động chế độ mã hóa xác suất: Giao thức sử dụng ngẫu nhiên (r1 , r2 , r3 ) để mã hóa có tính xác suất: Bên gửi (A) khóa bí mật: ( z, kz ),(eA , d A ) Bên nhận (B) khóa bí mật: ( z, kz ),(eB , d B ) Mã hóa Bước 1: A.1 r1 R R A.2 (c1' , c1'' )  ProcSRA (r1 , k , eA , m) (2.26) A.3 Send c1  (c1 , c1 ) to B ' '' Bước 2: B.1 r2 R R B.2 s1  (q1c1'  q2 c1'' ) mod n (2.27) B.3 (c2 , c2 )  ProcSRA (r2 , k , eB , s1 ) (2.28) B.4 Send c2  (c'2 , c''2 ) to A ' '' Bước 3: A.4 r3 R R A.5 s2  (q1c'2  q2c''2 ) mod n (2.29) A.6 (c3' , c3" )  ProcSRA (r3 , k , d A , s2 ) (2.30) A.7 Send c3  (c'3 , c''3 ) to B Giải mã 12 Bên gửi (A) khóa bí mật: ( z, kz ),(eA , d A ) Bên nhận (B) khóa bí mật: ( z, kz ),(eB , d B ) B.5 s3  (q1c'3  q2 c''3 ) mod n (2.31) B.6 m  s3dB mod n B.7 return m (2.32) Hình 2.5 Giao thức 2.2 hoạt động chế độ mã hóa xác suất (dùng để chối từ bị cưỡng ép) Giao thức 2.2 hoạt động chế độ gài đặt MHCTCT: Hoàn toàn tương tự giao thức 2.1, để thực MHCTCT, hai bên bí mật gài đặt mã hóa m tạo giá trị trung gian bước đóng vai trị ngẫu nhiên (r1 , r2 , r3 ) giao thức 2.2 hoạt động chế độ mã hóa xác suất Bên gửi (A) Bên nhận (B) bí mật: ( z, kz ),(eA , d A ),( A ,  A ) bí mật: ( z, kz ),(eB , d B ),( B ,  B ) Mã hóa Bước 1: A.1 r1  m A mod n (2.33) (2.34) A.2 (c1' , c1'' )  ProcSRA (r1 , k , eA , m) A.3 Send c1  (c1' , c1'' ) to B Bước 2: B.1 u1  (k1c1'  k2c1'' ) mod n B.2 r2  u1 B mod n (2.35) (2.36) B.3 s1  (q1c1'  q2c1'' ) mod n (2.37) B.4 (c2 , c2 )  ProcSRA (r2 , k , eB , s1 ) (2.38) ' '' B.5 Send c2  (c'2 , c''2 ) to A Bước 3: A.4 u2  (k1c'2  k2c''2 ) mod n (2.39) (2.40) A.5 r3  u2 A mod n A.6 s2  (q1c'2  q2c''2 ) mod n (2.41) A.7 (c'3 , c''3 )  ProcSRA (r3 , k , d A , s2 ) (2.42) A.8 Send c3  (c'3 , c''3 ) to B Giải mã 13 Bên gửi (A) bí mật: ( z, kz ),(eA , d A ),( A ,  A ) Bên nhận (B) bí mật: ( z, kz ),(eB , d B ),( B ,  B ) B.6 u3  (k1c'3  k2c''3 ) mod n (2.43) (2.44) B.7 s3  (q1c'3  q2c''3 ) mod n If status=”chế độ chối từ bị cưỡng ép” (2.45) B.8 m  s3dB mod n B.9 return m If status=”chế độ mã hóa truyền tin mật” B.10 m  u3 B mod n (2.46) B.11 return m Hình 2.6 Giao thức 2.2 hoạt động chế độ gài đặt MHCTCT (dùng để mã hóa truyền tin mật) Về tính ngẫu nhiên đầu hàm gài đặt mã hóa m : Tương tự giao thức 2.1, (m A mod n,(m A ) B mod n, m B mod n) đóng vai trò ngẫu nhiên (r1 , r2 , r3 ) giao thức mã hóa xác suất Để chúng có phân bố xác suất sai khác khơng đáng kể với phân bố xác suất (r1 , r2 , r3 ) cần có ord (m) n, ord (m A mod n) đủ lớn * n 2.3.2.3 Cách thức chối từ chống lại công cưỡng ép giao thức Giao thức 2.2 có khả chối từ bên gửi chối từ bên nhận chối từ đồng thời hai bên 2.3.2.4 Tính đắn, an toàn khả chối từ giao thức Bổ đề 2.4 Trong giao thức 2.2 với cách xử lý đầu vào m thủ tục BuiltOrd () cách chọn  A cho ord (m A mod n) đủ lớn, sai khác phân bố xác suất A  A B B * (m mod n,( m ) mod n, m mod n) n phân bố xác suất (r1 , r2 , r3 ) n hàm không đáng kể Từ Bổ đề 2.4, Mệnh đề 2.2 phát biểu chứng minh: Mệnh đề 2.2 Giao thức 2.2 thỏa mãn giao thức mã hóa khóa bất đối xứng giữ bí mật khóa chối từ đồng thời hai bên Định nghĩa 1.6 14 Nhận xét 2.2 Độ an toàn mật mã giao thức 2.2 dựa hai tốn khó: tốn logarit rời rạc n , tốn phân tích số ngun lớn thừa số nguyên tố 2.3.3 Giao thức 2.3: giao thức mã hóa chối từ sử dụng mã hóa Vernam kết hợp thuật tốn ElGamal 2.3.3.1 Mơ tả phương pháp - Hai bên mã hóa m theo giao thức ba bước Shamir mã hóa Vernam sử dụng chuỗi bit khóa ngẫu nhiên bí mật k A _ OTP A kB _ OTP B, tạo trị trung gian (r1 , r2 , r3 ) q trình mã hóa ba bước -Hai bên gài đặt MHCTCT sau: A dùng r1  m  k A _ OTP để gài đặt thông điệp giả mạo mA ( mA  m ) : mA  k A' _ OTP  r1 (với: k A' _ OTP chuỗi bit khóa giả mạo A gán k A' _ OTP  r1  mA  (m  k A _ OTP )  mA Tương tự, B dùng khóa giả mạo kB' _ OTP  r3  mB  (m  kB _ OTP )  mB để thực chối từ bên gửi mB Với cách thức gài đặt MHCTCT vừa mô tả, thông điệp giả mạo hai bên khác - Các giá trị trung gian (r1 , r2 , r3 ) mã hóa thêm lần mã hóa ElGamal Với cách thức kết hợp này, giao thức bảo mật mã hóa ElGamal đồng thời q trình mã hóa lúc trở thành mã hóa xác suất - Để chống lại công chủ động, giao thức sử dụng lược đồ chữ ký số ElGamal [21] để xác thực hai bên bước trình mã hóa ba bước 2.3.3.2 Giao thức MHCTCT sử dụng mã hóa Vernam kết hợp thuật tốn ElGamal Q trình thực giao thức: Bên gửi (A) Bên nhận (B) công khai: ( pA , g A , yA ), bí mật: ( xA , k A _ OTP ) công khai: ( pB , gB , yB ), bí mật: ( xB , kB _ OTP ) Mã hóa Bước 1: A.1 k A _ OTP R R ; k A1 R (0, pB  1) 15 Bên gửi (A) Bên nhận (B) công khai: ( pA , g A , yA ), bí mật: ( xA , k A _ OTP ) công khai: ( pB , gB , yB ), bí mật: ( xB , kB _ OTP ) A.2 r1  m  k A _ OTP (2.48) A.3 s1  Sig A (r1 ) A.4 c1'  g BA1 mod pB (2.49) A.5 c1  r1 y (2.50) k '' k A1 B ' mod pB '' A.6 Send (c1 , c1 , s1 ) to B Bước 2: B.1 r1  (c1' ) xB c1'' mod pB (2.51) B.2 ok= VerA (s1 , r1 ) If ok=”Accept”: B.3 k B _ OTP R R ; k B R (0, pA  1) B.4 r2  r1  kB _ OTP B.5 s2  Sig B (r2 ) 5(2.52) B.6 c'2  g AkB mod pA (2.53) B.7 c''2  r2 y AkB mod pA (2.54) ' '' B.8 Send (c2 , c2 , s2 ) to B Else break protcol Bước 3: A.7 r2  (c'2 ) xA c2" mod pA (2.55) A.8 ok= VerB (s2 , r2 ) If ok=”Accept”: A.9 k A2 R (0, pB  1) A.10 r3  r2  k A _ OTP (2.56) A.11 s3  Sig A (r3 ) A.12 c'3  g BA2 mod pB k (2.57) A.13 c''3  r3 yBA2 mod pB k ' (2.58) '' A.14 Send (c3 , c3 , s3 ) to B Else break protcol Giải mã B.9 r3  (c'3 ) xB c''3 mod pB (2.59) 16 Bên gửi (A) Bên nhận (B) công khai: ( pA , g A , yA ), bí mật: ( xA , k A _ OTP ) công khai: ( pB , gB , yB ), bí mật: ( xB , kB _ OTP ) B.10 ok= VerA (s3 , r3 ) If ok=”Accept”: If status=”chế độ mã hóa truyền tin mật” (2.60) B.11 m  r3  kB _ OTP B.12 return m If status=”chế độ chối từ bị cưỡng ép” B.13 mB  r3  k'B _ OTP (2.61) B.14 return mB Else break protcol Hình 2.7 Giao thức 2.3: giao thức mã hóa Vernam kết hợp thuật tốn Elgamal gài đặt mã hóa chối từ 2.3.3.3 Cách thức chối từ chống lại công cưỡng ép giao thức Giao thức 2.3 có khả chối từ bên gửi chối từ bên nhận 2.3.3.4 Tính đắn, an toàn chối từ giao thức Mệnh đề 2.3 Giao thức 2.3 giao thức mã hóa khóa bí mật chối từ bên gửi Định nghĩa 1.7 giao thức mã hóa khóa bí mật chối từ bên nhận Định nghĩa 1.8 Nhận xét 2.3 Độ an toàn mật mã giao thức 2.3 dựa tốn khó logarit rời rạc p 2.4 Nhận xét khuyến nghị sử dụng giao thức đề xuất 2.4.1 Đánh giá độ phức tạp thời gian tính toán giao thức đề xuất 2.4.2 So sánh giao thức đề xuất với số cơng trình hướng nghiên cứu 2.4.3 Nhận xét khuyến nghị sử dụng giao thức đề xuất 2.5 Kết luận chương CHƯƠNG ĐỀ XUẤT PHƯƠNG PHÁP MÃ HÓA CÓ THỂ CHỐI TỪ DỰA TRÊN MÃ KHỐI Nội dung Chương 3: Chương trình bày kết nghiên cứu đề xuất phương pháp MHCTCT khóa đối xứng dựa mã khối Phương pháp đề xuất kết hợp mã khối với thuật toán giải hệ đồng dư, 17 sử dụng khối bit ngẫu nhiên thêm vào lược đồ mã hóa xác suất dựa mã khối để thực gài đặt mã hóa thơng điệp bí mật cách có chủ đích, tạo thành phương pháp MHCTCT dựa mã khối 3.1 Mơ hình truyền tin, ngữ cảnh cơng tiêu chí thiết kế 3.2 Phương pháp mã hóa xác suất dựa mã khối 3.2.1 Lược đồ tổng quát mã hóa xác suất dựa mã khối m RNG r u-bit v-bit b-bit I K11 E c Hình 3.1 Lược đồ tổng quát mã hóa xác suất dựa mã khối 3.2.2 Lược đồ mã hóa xác suất dựa mã khối với hai giai đoạn mã hóa m RNG K1 E’ giai đoạn r I K11 giai đoạn E c Hình 3.2 Lược đồ mã hóa xác suất dựa mã khối (với hai giai đoạn mã hóa) 3.3 Đề xuất phương pháp mã khối gài đặt mã hóa chối từ 3.3.1 Lược đồ gài đặt mã hóa chối từ dựa mã khối 18 m K1 RNG r K2 E’ cm u cm u K1 E’ I  r || cm b m m u u K11 E u I  cm || cm b K11 E’ cm u u E b b c c Hình 3.3a Mã hóa xác suất dựa mã khối với hai giai đoạn mã hóa Hình 3.3b MHCTCT dựa mã khối Hình 3.3 Mã hóa xác suất dựa mã khối MHCTCT dựa mã khối (với hai giai đoạn mã hóa) m m m v v RNG r v K1 K2 E cm Fk1k2 (cm , r ) 2v+2 v K1 E cm v v E cm v Fk1k2 (cm , cm ) 2v+2 c c* Hình 3.6a Lược đồ mã hóa xác Hình 3.6b Lược đồ MHCTCT dựa mã suất dựa mã khối khối kết hợp với hệ phương trình đồng dư Hình 3.6 Lược đồ mã hóa xác suất dựa mã khối Lược đồ MHCTCT dựa mã khối kết hợp với hệ phương trình đồng dư Quá trình mã hóa: 19 + Tiến trình mã hóa lược đồ mã hóa xác suất dựa mã khối (3.6a): (m, r )  (cm  EK1 (m), r )  Fk1 ,k2 (cm , r )  c + Tiến trình mã hóa lược đồ MHCTCT dựa mã khối (3.6b): (m, m)  (cm  EK1 (m), cm  EK2 (m))  Fk1 ,k2 (cm , cm )  c Quá trình giải mã: thực ngược lại tiến trình mã hóa: c c 2v+2 Fk1k12 (c) cm v Fk1k12 (c) cm v K1 K1 E-1 E-1 m v Hình 3.7a Giải mã mã hóa theo khối xác suất 2v+2 m v Hình 3.7b Giải mã MHCTCT dựa mã khối (chế độ chối từ bị cưỡng ép) Hình 3.7 Giải mã lược đồ mã hóa xác suất dựa mã khối giải mã lược đồ MHCTCT dựa mã khối kết hợp với hệ phương trình đồng dư Với Fk1k12 (c)  (c mod k1 , c mod k2 ) + Tiến trình giải mã lược đồ MHCTCT dựa mã khối chế độ chối từ bị cưỡng ép (hình 3.7b): c  (cm  c mod k1 )  EK11 (cm )  m tiến trình hồn tồn trùng với tiến trình giải mã lược đồ mã hóa xác suất dựa mã khối (tiến trình giả mạo kèm, dùng để trình cho ĐPTC hình 3.7a) + Tiến trình giải mã lược đồ MHCTCT dựa mã khối chế độ mã hóa truyền tin mật (hình 3.8): 20 1 c  (cm  c mod k2 )  EK (cm )  m c 2v+2 Fk1k12 (c) cm K2 v E-1 v m Hình 3.8 Giải mã MHCTCT dựa mã khối (chế độ mã hóa truyền tin mật) 3.3.2 Thuật tốn mã hóa chối từ dựa mã khối Từ cách thức thực mơ tả hình 3.6 mục 3.3.1, thiết kế lược đồ MHCTCT dựa mã khối kết hợp với hệ phương trình đồng dư mà hai bên thực sử dụng để mã hóa truyền tin mật, kèm theo thiết kế (giả mạo) lược đồ mã hóa xác suất dựa mã khối kết hợp với hệ phương trình đồng dư Tương ứng với hai thuật tốn chi tiết: - Thuật tốn mã hóa xác suất dựa mã khối: thuật tốn giả mạo hai bên trình cho ĐPTC chế độ chối từ bị cưỡng ép, thuật toán sử dụng khối bit ngẫu nhiên thêm vào để kết hợp với khối mã trung gian thuật tốn giải hệ phương trình đồng dư tạo khối mã đầu - Thuật tốn mã hóa MHCTCT dựa mã khối: thuật tốn bí mật hai bên thực sử dụng chế độ mã hóa truyền tin mật, thuật tốn thực mã hóa song song thơng điệp bí mật thông điệp giả mạo hai mã khối, tạo hai khối mã trung gian Sau hai khối mã trung gian kết hợp thuật toán giải hệ phương trình đồng dư tạo khối mã đầu 3.3.2.1 Thuật tốn mã hóa xác suất dựa mã khối Thuật toán thuyết minh với đối phương rằng, mã khối E không đảm bảo an tồn ngữ nghĩa số trường hợp (ví dụ chế độ mã khối ECB) đồng thời để chống lại nguy tiềm ẩn kiểu “trapdoor” mã khối E , khối bit ngẫu nhiên r (có 21 kích thước với cm ) bổ sung để dùng thuật tốn giải hệ phương trình đồng dư sau kết hợp hai khối (cm , r ) tạo thành khối mã đầu c :  c  cm mod k1  c  r mod k2 (a ) (b) (3.9) Với gcd(k1 , k2 )  1, theo định lý đồng dư Trung Hoa, nghiệm hệ (3.9) tính theo cơng thức (3.10) sau: c  Fk1 ,k2 (cm , r )  [cm k2 (k21 mod k1 )  rk1 (k11 mod k2 )]mod k1k2 (3.10) Thuật tốn mã hóa giải mã: Các tập: M  R  {0,1}v ; C  {0,1}2v  ; Q trình mã hóa: Tiến trình mã hóa mơ tả: (m, r )  (cm  EK1 (m), r )  Fk1 ,k2 (cm , r )  c (3.11) Thuật toán 3.1.Enc_Deni Thủ tục mã hóa mã hóa xác suất dựa mã khối (thuật tốn giả mạo trình bị cưỡng ép) INPUT: m  M , r  R,( K1 , k1 , k2 ) OUTPUT: c  C cm  EK1 (m); c  [cm k2 (k21 mod k1 )  rk1 (k11 mod k2 )]mod k1k2 ; return c Quá trình giải mã: Tiến trình giải mã mô tả: c  (cm  c mod k1 )  EK11 (cm )  m (3.12) Thuật tốn 3.1.Dec_Deni Thủ tục giải mã mã hóa xác suất dựa mã khối (thuật toán giả mạo trình bị cưỡng ép) INPUT: c  C,( K1 , k1 ) OUTPUT: m  M cm  c mod k1; m  EK11 (cm ); return m 22 3.3.2.2 Thuật tốn mã hóa chối từ dựa mã khối Từ hệ (3.9), thay r  cm  EK2 (m) để thực gài đặt mã hóa m : c  cm mod k1   c  cm mod k2 (a) (b) (3.13) Theo định lý đồng dư Trung Hoa, nghiệm hệ (3.13) là: c  Fk1 ,k2 (cm , cm )  [cm k2 (k21 mod k1)  cm k1(k11 mod k2 )]mod k1k2 (3.14) Thuật tốn mã hóa giải mã: Q trình mã hóa: Tiến trình mã hóa mơ tả: (m, m)  (cm  EK1 (m); cm  EK2 (m))  Fk1 ,k2 (cm , cm )  c (3.15) Thuật toán 3.1.Enc_Sec Thủ tục mã hóa MHCTCT dựa mã khối INPUT: m  M , m  M ,( K1 , K2 , k1 , k2 ) OUTPUT: c  C cm  EK1 (m); cm  EK2 (m); c  [cmk2 (k21 mod k1)  cmk1(k11 mod k2 )]mod k1k2 ; return c Quá trình giải mã: + Tiến trình giải mã chế độ mã hóa truyền tin mật mô tả: 1 c  (cm  c mod k2 )  EK (cm )  m (3.16) + Tiến trình giải mã chế độ chối từ bị cưỡng ép mô tả: c  (cm  c mod k1 )  EK11 (cm )  m (3.17) Thuật toán 3.1.Dec_Sec Thủ tục giải mã MHCTCT dựa mã khối INPUT: c  C,( K1 , K2 , k1 , k2 ) OUTPUT: m _ out  M If status=”chế độ mã hóa truyền tin mật” 1.1 cm  c mod k2 ; 23 1 (cm ); 1.2 m _ out  EK // giải mã khôi phục m 2 If status=”chế độ chối từ bị cưỡng ép” 2.1 cm  c mod k1; 2.2 m _ out  EK11 (cm ); // giải mã khôi phục m return m _ out 3.3.2.3 Cách thức chối từ chống lại cơng cưỡng ép thuật tốn đề xuất Thuật tốn MHCTCT đề xuất có khả chối từ đồng thời hai bên 3.3.2.4 Tính đắn, an tồn chối từ thuật toán đề xuất Mệnh đề 3.2 Lược đồ mã hóa chối từ dựa mã khối sử dụng thuật tốn trình bày mục 3.3.2.1, 3.3.2.2 thỏa mãn giao thức mã hóa khóa bí mật chối từ linh hoạt đồng thời hai bên Định nghĩa 1.10 3.4 Kết luận chương KẾT LUẬN A Kết đạt đóng góp Luận án 1- Đề xuất phương pháp tổng quát thực MHCTCT khóa bất đối xứng dựa giao thức ba bước Shamir theo cách thức mã hóa xác suất, sử dụng thuật tốn mã hóa có tính chất giao hốn Trên sở phương pháp tổng quát, đề xuất ba giao thức MHCTCT cụ thể sử dụng hệ mật khác Cụ thể: Từ cách thức thực MHCTCT cơng trình nghiên cứu trước [49, 56], Luận án tổng hợp phát triển thành phương pháp tổng quát thực MHCTCT khóa bất đối xứng dựa giao thức ba bước Shamir Từ phương pháp tổng quát này, việc sử dụng hệ mật khác nhau, Luận án đề xuất ba giao thức MHCTCT cụ thể: + Giao thức MHCTCT sử dụng thuật toán mã hóa lũy thừa modulo Pohlig-Hellman + Giao thức MHCTCT sử dụng thuật tốn mã hóa khóa bất đối xứng giữ bí mật khóa SRA + Giao thức MHCTCT sử dụng mã hóa khóa bí mật dùng lần Vernam kết hợp thuật tốn mã hóa khóa cơng khai ElGamal 24 Các giao thức đề xuất chứng minh đầy đủ tính chất giao thức MHCTCT 2- Đề xuất phương pháp thực MHCTCT khóa đối xứng dựa hệ mã phổ biến mã khối thực theo cách thức mã hóa xác suất Cụ thể: Luận án đề xuất lược đồ MHCTCT khóa đối xứng dựa mã khối, với cách thức kết hợp mã khối với thuật toán giải hệ phương trình đồng dư tạo thành lược đồ mã hóa xác suất dựa mã khối tiến hành gài đặt MHCTCT vào lược đồ Lược đồ đề xuất chứng minh đầy đủ tính chất giao thức MHCTCT B Đề xuất hướng nghiên cứu 1- Tiếp tục nghiên cứu đề xuất ứng dụng thuật tốn mã hóa có tính chất giao hốn đảm bảo an tồn truyền tin theo giao thức ba bước Shamir để thực MHCTCT mô hình 2- Tiếp tục nghiên cứu đề xuất phương pháp mã khối chối từ mang tính thực tiễn khả thi để triển khai thực tế 3- Xây dựng tham số an toàn cho giao thức cụ thể đề xuất Luận án 4- Triển khai kết nghiên cứu Luận án mạng truyền thông cụ thể 5- Nghiên cứu tiêu chuẩn đánh giá MHCTCT ba đặc tính quan trọng tính đắn, an tồn, chối từ, đồng thời phân tích khả an tồn MHCTCT ngữ cảnh cưỡng ép khác kiểu công mật mã đa dạng khác Những kết nghiên cứu Luận án đạt mục đích nghiên cứu đề với số đóng góp nhỏ lý thuyết mật mã làm đa dạng thêm cách thức thực mã hóa chối từ Nghiên cứu sinh mong nhận góp ý nhà khoa học, đồng nghiệp để hồn thành cơng trình nghiên cứu Hà Nội, tháng năm 2021 Nguyễn Đức Tâm ... gài đặt MHCTCT dựa mã hóa xác suất 1.3.1 Mã hóa xác suất ứng dụng mã hóa xác suất để gài đặt MHCTCT Các hệ mã nay, để đạt độ an toàn chấp nhận thuật tốn mã hóa phải mã hóa xác suất Một kỹ thuật... E c Hình 3.2 Lược đồ mã hóa xác suất dựa mã khối (với hai giai đoạn mã hóa) 3.3 Đề xuất phương pháp mã khối gài đặt mã hóa chối từ 3.3.1 Lược đồ gài đặt mã hóa chối từ dựa mã khối 18 m K1 RNG... quát mã hóa xác suất dựa mã khối m RNG r u-bit v-bit b-bit I K11 E c Hình 3.1 Lược đồ tổng quát mã hóa xác suất dựa mã khối 3.2.2 Lược đồ mã hóa xác suất dựa mã khối với hai giai đoạn mã hóa m