Để định nghĩa độ an toàn của giải thuật SCF, ta xem xét TBTDL bất hợp pháp trong ngữ cảnh sau: TBTDL bất hợp pháp có thể có toàn bộ khóa hoặc một phần bộ khóa của một số TBTDL, và nó có thể có một vài tác động trên sự lựa chọn các thông điệp được mã hóa (lựa chọn bản gốc). Kẻ gian mạo danh NCCDL có thể tạo các thông điệp giả và quan sát sự phản ứng của các TBTDL hợp pháp [3].
Độ an toàn của giải thuật SCF là một hàm về độ an toàn của E và F. Đo độ an toàn bằng xác suất.
Định nghĩa 4.5
Xét TBTDL bất hợp pháp B nhận được:
Lựa chọn thích hợp tập R các TBTDL và thu được L với mọi u u R.
B mạo danh NCCDL lựa chọn các thông điệp M1, M2,… và tập các TBTDL bị thu hồi R1, R2,…(các tập này không cần thiết phải tương ứng với các tập TBTDL cần thu hồi thực sự) và quan sát sự mã hóa Mi khi tập các TBTDL bị thu hồi là Ri.
B có thể tạo ra bản mã, và quan sát TBTDL u hợp pháp giải mã. B có thể thám khóa của TBTDL u và thu được L . Bước tiếp theo lặp lại |R| lần với các u u R.
Chọn thông điệp gốc M ngẫu nhiên và tập R các TBTDL cần thu hồi. Thì B sẽ nhận được bản rõ M’ với tập các TBTDL cần thu hồi R.
Nó phải phỏng đoán phải chăng M'M (a), hoặc M'RM (b), trong đó RMlà thông điệp ngẫu nhiên có cùng độ dài với M.
Giải thuật thu hồi là an toàn, nếu với bất kỳ TBTDL bất hợp pháp B ở trên, hiệu số giữa xác suất giải mã đúng M của B và xác suất giải mã đúng RM của B là không đáng kể.
Định lý 4.1 (về độ an toàn của giải thuật SCF) [3]
Cho A là giải thuật dùng SCF, trong đó giải thuật thiết lập khóa thỏa mãn thuộc tính “khóa không thể phân biệt đƣợc”. E thỏa mãn biểu thức 4.1, F thỏa mãn biểu thức 4.2.
Thì Alà an toàn theo định nghĩa 4.5 với hệ số an toàn, ) w 4 ( mw 2 1 3 2
, trong đó w là số lượng tập con
j i
S trong giải thuật và m là kích thước lớn nhất của phủ P, =|Pr[B giải mã M] - Pr[B giải mã RM]|.
Với: Pr ký hiệu xác suất.
Pr[B giải mã M] là xác suất giải mã thông điệp M của B.
Pr[B giải mã RM] là xác suất giải mã thông điệp ngẫu nhiên RM của B.
Chứng minh
Gọi A là giải thuật dùng SCF, thỏa mãn thuộc tính “khóa không thể phân biệt đƣợc”. B là TBTDL bất hợp pháp thỏa mãn định nghĩa 4.5, trong đó là xác suất mà B phân biệt được giữa sự mã hóa M và sự mã hóa thông điệp RM (Random Message) có cùng độ dài với M: = |Pr[B giải mã M] - Pr[B giải mã RM]|.
TBTDL bất hợp pháp B chọn tập R và thu được khóa bí mật L với mọi u uR, B chọn thông điệp M. Đặt P{Si1,Si2,...,Sim} là phủ xác định bởi A.
B nhận thông điệp M’, đoán nó là thông điệp gốc M, hoặc thông điệp ngẫu nhiên RM có cùng độ dài với M.
Xem xét cách cư xử của B trong trường hợp không phải tất cả mọi sự giải mã là đúng đắn.
Bản mã loại j là bản mã có phần đầu gồm j bản mã của khóa ngẫu nhiên RK (|RK| = |K|), (RK được mã hóa với lần lượt các khóa
j 1 i i ,...,L
L ); và (m-j) bản mã của khóa K (K được mã hóa với lần lượt các khóa Lij1,...,Lim):
[i1,...,im,E(RK,Li1),...,E(RK,Lij1),E(RK,Lij),E(K,Lij1),...,E(K,Lim)],FK(tM)
Đặt j là hiệu số xác suất với bản mã loại j, mà B phân biệt được giữa trường hợp FK(M) hoặc FK(RM): j = |Pr[B giải mã FK(M)] - Pr[B giải mã FK(RM)]| Trong đó: 2 bản mã là loại j. Pr: ký hiệu xác suất.
Pr[B giải mã FK(M)] là xác suất giải mã FK(M) đúng của B. Pr[ giải mã B FK(RM)] là xác suất giải mã FK(RM) đúng của B.
Giả sử B có thể giải mã thông điệp M với xác suất 0 . Ta biết m 2
(suy từ biểu thức 4.2).
Với bản mã loại m, phần đầu bản mã không chứa khóa K. Vì thế K được lựa chọn ngẫu nhiên cho B.
Áp dụng bất đẳng thức |ab||cd| |ac||bd|, ta có:
+ Hiệu xác suất B giải mã FK(M) giữa trường hợp bản mã loại j và loại (j-1) ít nhất là m 2 2 :
|Pr[B giải mã FK(M) của bản mã loại j] - Pr[B giải mã FK(M) của bản mã loại (j-1)]|
m 2 2 (4.5)
+ Hiệu xác suất B giải mã FK(RM) giữa trường hợp bản mã loại j và loại (j-1) ít nhất là m 2 2 :
|Pr[B giải mã FK(RM) của bản mã loại j] - Pr[B giải mã FK(RM) của bản mã loại (j-1)]|
m 2 2 (4.6) Cộng hai vế của (4.5) và (4.6), ta có: m 2 j 1 j , 0 jm.
Phần dưới đây chỉ ra làm thế nào dùng B để xây dựng B’. Mục đích là nhận được độ an toàn .
TBTDL bất hợp pháp B’ dùng B như sau:
B’ chọn ngẫu nhiên 1iw và thăm dò để thu được L với mọi u uSi. Đây là sự phỏng đoán Sij Si.
B’ nhận hoặc là L0,L1,...,Lm hoặc RL0,RL1,...,RLm.
Trong đó L0 Li, L là khóa của tập con i S , và i L1,..,Lm là các khóa như trong bổ đề 4.1.
Nó chú ý phân biệt giữa trường hợp đầu vào tương ứng với các khóa đúng và trường hợp đầu vào gồm các khóa ngẫu nhiên.
B mạo danh NCCDL phát dữ liệu cho B’:
+ Khi B bị đối phó trong sự mã hóa (hoặc giải mã) sử dụng khóa của tập con i
j S
S , thì nó biết ít nhất một TBTDL uSj.
Từ L , B có thể thu được u L và giải mã chính xác. Nếu j Sj Si thì B’ sử dụng khóa của nó (hoặc L hoặc j RL ). j
+ Khi B quyết định mua chuộc TBTDL u:
o Nếu uSi, thì B’ có thể nhận được L . u
o Nếu uSj thì sự phỏng đoán ij i bị sai và B’ bỏ qua sự mô phỏng. + Khi NCCDL phát thông điệp M tới B, B’ tìm phủ của R, tập các TBTDL bị mua
chuộc bởi B. Nếu ij i, thì sự phỏng đoán là sai và B’ bỏ qua sự mô phỏng. Ngược lại một khóa K ngẫu nhiên được chọn và thân của thông điệp được mã hóa với K được sinh ra, trong đó thông điệp được mã hóa hoặc là M hoặc là RM và một trong hai thử nghiệm được thực hiện:
Thử nghiệm j: tạo bản mã loại j. Thử nghiệm j-1: tạo bản mã loại j-1.
+ Nếu sự mô phỏng bị bỏ qua, B giải mã M hoặc RM. Ngược lại B’ hiển thị đầu ra của nó.
Ký hiệu j 1 L
P , P là xác suất thử nghiệm thứ j-1, j trong trường hợp đầu vào Lj của B’ là tất cả các khóa đúng mô phỏng B giải mã M.
Ký hiệu j 1 R
P , P là xác suất thử nghiệm j-1, j trong trường hợp đầu vào của Rj B’ là các khóa ngẫu nhiên mô phỏng B’ giải mã RM.
Hiệu số giữa bốn loại xác xuất [3] có thể giới hạn như sau:
Kết luận 1: wm 2 P PLj Lj1 2 . Chứng minh
Trong trường hợp đầu vào B’ là các khóa đúng, kết quả là mô phỏng B thực hiện đúng, tức là m 2 2 j 1 j .
Xác suất phỏng đoán là 1/w và nó độc lập với hoạt động của B, vì thế ta có thể thử nghiệm với hiệu xác suất ít nhất là
wm 2 2
giữa hai trường hợp (đpcm).
Kết luận 2: PRj PRj1 1.
Chứng minh
Kẻ gian có thể sử dụng B’ để tấn công E: bất kể khi nào cần sử dụng khóa tương ứng với tập S , yêu cầu sử dụng khóa ngẫu nhiên để mã hóa, giống như sử i dụng K trong E (xem biểu thức 4.1). Ta có điều phải chứng minh.
Kết luận 3: PRj PLj w.3 và PRj1PLj1 w.3.
Chứng minh
Giả sử hai bất đẳng thức trên không đúng, thì ta có thể sử dụng B’ như là TBTDL bất hợp pháp trong bổ đề 4.1 và mâu thuẫn với độ an toàn của giải thuật sinh khóa. Do đó ta có điều phải chứng minh.
TÓM LẠI:
Từ 3 kết luận trên này và áp dụng bất đẳng thức |ab||cd||ac||bd|,
ta có: 2 1 3 w 2 wm 2
Chƣơng 5: MỘT SỐ ỨNG DỤNG
5.1 TRUYỀN HÌNH INTERNET