An toàn ngữ nghĩa tương đương với IND

Một phần của tài liệu Nghiên cứu một số loại tấn công bản mã (Trang 47 - 48)

Hệ mã RSA có sơ đồ sau: Chọn số nguyên tố p, q.

n = p.q. Φ(n) = (p - 1)(q - 1). (e,d) là cặp khóa (công khai và bí mật).

ed = 1 mod Φ (n). mã hóa c = me mod n. Giải mã m = cd mod n.

RSA là đơn định, do đó nó không thể an toàn ngữ nghĩa. Ta đã biết an toàn ngữ nghĩa là việc biết bản mã cũng không mang lại dù chỉ một bit thông tin cho bản mã. Nhưng RSA là hàm đơn định, tức là một bản rõ chỉ có duy nhất một bản mã, nên nếu thám mã biết trước cặp bản mã và bản rõ, thì sau này nếu thấy một bản mã giống hệt như vậy, nó dễ dàng suy ra bản rõ. Mâu thuẫn với khái niệm an toàn ngữ nghĩa.

Hệ mã xác xuất do ngẫu nhiên chọn r, nên một bản rõ có thể có nhiều bản mã. Do tính ngẫu nhiên của việc chọn r nên việc có hai bản mã giống hệt nhau của cùng một bản rõ trong hai lần mã hóa khác nhau là rất khó xảy ra (xác xuất không đáng kể).

Một lược đồ mã hóa công khai xác suất bao gồm:

* Gk giải thuật tạo khóa, là một giải thuật xác xuất mà trên đầu vào là một chuỗi bit 0 hoặc 1 có độ dài n (có nghĩa là: {0,1}n), n là tham số an toàn, đầu ra là cặp (pk, sk) (pk là khóa công khai và sk là khóa bí mật).

* E: hàm mã hóa, nhận ba đầu vào: thứ nhất là khóa công khai pk, thứ hai là b ∈ {0,1}, một chuỗi ngẫu nhiên r có độ dài p(n) (r ∈ {0,1}p(n)), với p là một đa thức nào đó. Epk(b, r) có thể tính toán trong thời gian đa thức.

* D: hàm giải mã, nhận hai đầu vào: c là bản mã và khóa bí mật sk. * sk được tạo ra bởi Gk, Dsk(c) có thể tính toán trong thời gian đa thức. * Nếu đầu ra của Gk là (pk, sk) thì

∀b ∈ {0,1},∀ i r ∈ {0,1}p(n) ta có: Dsk (Epk(b,r)) = b

* Hệ thống có tính chất không phân biệt (indistinguishability): Với tất cả giải thuật thời gian đa thức M, với tất cả c > 0, ∃ j0 để cho ∀ j > j0 và

Pr [M( pk, Epk(0, r)) = 0] < ½ +1/ jc .

Có nghĩa là xác xuất để cho ra dự đoán đúng giá trị của bản rõ, từ bản mã và khóa công khai là bé hơn ½ + 1/ jc.

1/ jc là bé không đáng kể.

Đây là lược đồ mã hóa bit, một lược đò cụ thể của dạng này được dùng trong thực tế là lược đồ mã hóa xác xuất của Goldwasser-Micali đề xuất năm 1984([1]).

Kết luận:

Hai khái niệm an toàn ngữ nghĩa và tính không phân biệt được là tương đương với nhau.

Một phần của tài liệu Nghiên cứu một số loại tấn công bản mã (Trang 47 - 48)

Tải bản đầy đủ (DOC)

(67 trang)
w