Chƣơng 2 : MỘT SỐ PHƢƠNG PHÁP THÁM MÃ
2.2.4. An toàn ngữ nghĩa tƣơng đƣơng với IND
Hệ mã RSA có sơ đồ sau:
Chọn số nguyên tố p, q.
n = p.q. Φ(n) = (p – 1)(q – 1).
(e, d) là cặp khóa (công khai và bí mật). ed = 1 mod Φ(n).
mã hoá c = me mod n; Giải mã m = cd mod n.
RSA là hàm đơn định, do đó nó không thể an toàn ngữ nghĩa. Ta đã biết an toàn ngữ nghĩa là việc biết bản mã cũng không mang lại dù chỉ một bit thông tin cho thám mã. Nhưng RSA là hàm đơn định, tức là một bản rõ chỉ có duy nhất một bản mã, nên nếu thám mã biết trước cặp bản mã và bản rõ, thì sau này nếu thấy một bản mã giống hệt như vậy, nó dễ dàng suy ra bản rõ. Mâu thuẫn với khái niệm an toàn ngữ nghĩa.
Hệ mã an toàn ngữ nghĩa phải là hệ mã xác xuất dạng c = E(m, r). Hệ mã xác xuất do ngẫu nhiên chọn r, nên một bản rõ có thể có nhiều bản mã. Do tính ngẫu nhiên của việc chọn r nên việc có hai bản mã giống hệt nhau của cùng một bản rõ trong hai lần mã hóa khác nhau là rất khó xảy ra (xác xuất không đáng kể).
Một lược đồ mã hoá khoá công khai xác xuất bao gồm:
Gk, giải thuật tạo khoá, là một giải thuật xác xuất mà trên đầu vào là một chuỗi bit 0 hoặc 1 có độ dài n ( có nghĩa là: {0, 1}n
) , n là tham số an toàn, đầu ra là cặp (pk, sk) (pk là khoá công khai và sk là khoá bí mật).
E: hàm mã hoá, nhận ba đầu vào: thứ nhất là khoá công khai pk, thứ hai là b {0, 1}, một chuỗi ngẫu nhiên r có độ dài p(n) (r {0, 1}p(n) ), với p là một đa thức nào đó. Epk(b, r) có thể tính toán trong thời gian đa thức.
D: hàm giải mã, nhận hai đầu vào: c là bản mã và khoá bí mật sk. sk được tạo ra bởi Gk, Dsk (c) có thể tính toán trong thời gian đa thức. Nếu đầu ra của Gk là (pk, sk) thì
Hệ thống có tính chất không phân biệt (indistinguishability): Với tất cả giải thuật thời gian đa thức M, với tất cả c > 0, j0 để cho j j0 và
Pr [M(pk, Epk(0, r)) = 0] < ½ + 1/ jc
.
Có nghĩa là xác xuất để cho ra dự đoán đúng giá trị của bản rõ, từ bản mã và khóa công khai là bé hơn ½ + 1/ jc
. 1/ jc là nhỏ “không đáng kể”.
Đây là lược đồ mã hóa bit, một lược đồ cụ thể của dạng này được dùng trong thực tế là lược đồ mã hóa xác xuất của Goldwasser-Micali đề xuất năm 1984 ([1])
Kết Luận:
Hai khái niệm an toàn ngữ nghĩa và tính không phân biệt được là tương đương với nhau.