Sequence-of-Games based cryptographic protocol analysis Ivo Seeba November 2, Sissejuhatus Seminari tööks on allikate [1] ja [5] lühikokkuvõtte

Seotud dokumendid
Relatsiooniline andmebaaside teooria II. 6. Loeng

my_lauluema

Segamudelid2010.pdf

Microsoft Word doc

SK-3MD

1 Keskkonnamõju analüüs Räätsa TP-702 Koostajad Koostamise aeg metsaparandusspetsialist Jüri Koort bioloogilise mitmekesisuse spetsialist T

ITI Loogika arvutiteaduses

Eesti koolinoorte XLIX täppisteaduste olümpiaadi lõppvoor MATEMAATIKAS Tartus, 7. märtsil a. Lahendused ja vastused IX klass 1. Vastus: 45. Olgu

Microsoft PowerPoint - K ja Kr L 16a.pptx

Failiotsing: find paljude võimalustega otsingukäsk find kataloog tingimused kataloog - otsitakse sellest kataloogist ja tema alamkataloogidest tingimu

1 Keskkonnamõju analüüs Koostajad: Koostamise aeg: metsaparandusspetsialist Madi Nõmm algus: bioloogilise mitmekesisuse spetsialist Toomas

Mining Meaningful Patterns

1. klassi eesti keele tasemetöö Nimi: Kuupäev:. 1. Leia lause lõppu harjutuse alt veel üks sõna! Lõpeta lause! Lapsed mängivad... Polla närib... Õde r

Statistiline andmetöötlus

1 Keskkonnamõju analüüs Koostajad: Koostamise aeg: metsaparandusspetsialist Jüri Koort algus: bioloogilise mitmekesisuse spetsialist Toomas

Microsoft PowerPoint - IRZ0020_praktikum4.pptx

loeng2

Andmebaasid, MTAT loeng Normaalkujud

lvk04lah.dvi

Matemaatiline analüüs IV 1 3. Mitme muutuja funktsioonide diferentseerimine 1. Mitme muutuja funktsiooni osatuletised Üleminekul ühe muutuja funktsioo

EDL Liiga reeglid 1. ÜLDSÄTTED 1.1. EDL Liiga toimub individuaalse arvestuse alusel, kus mängijad on jagatud hooaja EDL Liiga tulemuste põhj

1 Keskkonnamõju analüüs Loone - Pirgu metsakuivenduse rekonstrueerimine Koostajad Koostamise aeg metsaparandusspetsialist Jüri Koort Raplam

IVXV võtmerakendus Spetsifikatsioon Versioon jaan lk Dok IVXV-SVR-1.4.0

Neurovõrgud. Praktikum aprill a. 1 Stohhastilised võrgud Selles praktikumis vaatleme põhilisi stohhastilisi võrke ning nende rakendust k

PowerPoint Presentation

Treeningvõistlus Balti tee 2014 võistkonnale Tartus, 4. novembril 2014 Vastused ja lahendused 1. Vastus: 15, 18, 45 ja kõik 0-ga lõppevad arvud. Olgu

Lääne-Virumaa noorte kergejõustiku lõppvõistlus Jõuluvõistlus Rakveres Tulemused Tüdrukud m Koht Nimi Sünniaeg Kool Tulemus 1 Laura O

IMO 2000 Eesti võistkonna valikvõistlus Tartus, aprillil a. Ülesannete lahendused Esimene päev 1. Olgu vaadeldavad arvud a 1, a 2, a 3,

Image segmentation

vv05lah.dvi

prakt8.dvi

Sumo EMV Rakvere PU16+95 Competitors Competitors: 3 # Name Grade Club Caspar TURU? MK Juhan 2 EERIK PANK? RJK Leola 10 3 XSANDER SOLB

Microsoft Word - essee_CVE ___KASVANDIK_MARKKO.docx

P2P süsteemid

Eesti Keskkonnauuringute Keskus OÜ Pädevuskatsete programm 2019 Koostas: Urmas Muinasmaa Kinnitas: Margus Kört versioon Pädev

DVD_8_Klasteranalüüs

METSADE SÄÄSTVA MAJANDAMISE KAVA aastateks Käesolev kava on koostatud metsade kirjelduste põhjal ning annab põhisuunad metsade majandamiseks

UKSE- JA AKNALINKIDE JAEHINNAKIRI 01/2011 Lingi mudel Artikkel Nimetus Pinnaviimistlus Hind KM-ga ZOOM Ukselink pikal plaadil* messing 71,84 35

Pangalingi spetsifikatsioon Pocopay pangalingilt makse algatamiseks tuleb kasutada teenust Kaupmees teeb päringu Pocopayle aadressile

5L_ELTL_4et.XLSX

Markina

Andmeturve

PIDEVSIGNAALIDE TÖÖTLEMINE

Loeng03

PowerPointi esitlus

Microsoft Word - requirements.doc

1 Keskkonnamõju analüüs Rääsa Koostajad Koostamise aeg metsaparandusspetsialist Madi Nõmm bioloogilise mitmekesisuse spetsialist Toomas Hir

Infix Operaatorid I Infix operaatorid (näiteks +) ja tüübid (näiteks ->) kirjutatakse argumentide vahele, mitte argumentide ette. Näiteks: 5 + 2, 2*pi

MATEMAATILINE ANALÜÜS I. ESIMESE KONTROLLTÖÖ NÄITEÜLESANDED (1) Leida funktsiooni y = sin x + ln(16 x 2 ) määramispiirkond. (2) Leida funktsiooni y =

Ruutvormid Denitsioon 1. P n Ütleme, et avaldis i;j=1 a ijx i x j ; kus a ij = a ji ; a ij 2 K ja K on korpus, on ruutvorm üle korpuse K muutujate x 1

loeng7.key

Metsa kui elukeskkonna ja pärandkultuuri vähene teadvustamine Metsa kui elukeskkonna ja metsa pärandkultuuri vähene teadvustamine Metsa ei käsitleta i

Algoritmid ja andmestruktuurid

Microsoft Word - polkaudio 2010 hinnakiri

EE-macbook-retina-12-early2015-qs.indd

Keskkonnaministri määruse lisa 1

Print\A4\QualifyReduced.pmt

+/- 7(chomsky???) Deduktiivne jama 1.Hulkade spetsifitseerimine. Hulk on samalaadsete objektide järjestamata kogum, mida käsitlet

Väljaandja: Keskkonnaminister Akti liik: määrus Teksti liik: terviktekst Redaktsiooni jõustumise kp: Redaktsiooni kehtivuse lõpp:

Keskkonnaministri määruse lisa 3

Dok reg

Document number:

Microsoft Word - Maade klassif muud _2_.doc

Tehniline andmeleht Sadulventiilid (PN 16) VRG 2 2-tee ventiil, väliskeermega VRG 3 3-tee ventiil, väliskeermega Kirjeldus Ventiilid on kasutatavad ko

IFI6083_Algoritmid_ja_andmestruktuurid_IF_3

untitled

Paroolide murdmine vastavate tabelitega (rainbow table). „Sool“ paroolide krüpteerimisel. Protokoll IPSec, võtmevahetus IKE protokolliga.

(Estonian) DM-RBCS Edasimüüja juhend MAANTEE MTB Rändamine City Touring/ Comfort Bike URBAN SPORT E-BIKE Kasseti ketiratas CS-HG400-9 CS-HG50-8

Funktsionaalne Programmeerimine

Dias nummer 1

elastsus_opetus_2017_ptk3

Kom igang med Scratch

Operatsioonisüsteemid Intelligentne arvutikasutus IFI6070 Tanel Toova

esl-2018.xlsx

VRG 2, VRG 3

Print\A4\RaceLandscape.pmt

PHP

Matemaatiline analüüs III 1 4. Diferentseeruvad funktsioonid 1. Diferentseeruvus antud punktis. Olgu funktsiooni f : D R määramispiirkond D R selles p

1. Üliõpilased 1.1 Tõendid Vali menüüst: Üliõpilased tõendid tõendite trükkimine. Avaneb vorm Tõendite trükkimine, vali tõendi liik Tõend õppim

Microsoft PowerPoint - MKarelson_TA_ ppt

Slide 1

D1003_EXTERIOR_DOOR_UK_SE_NO_DK_FI_EE_LV_LT_RU_02_NEUTRAL_WEB

Diskreetne matemaatika I Kevad 2019 Loengukonspekt Lektor: Valdis Laan 20. juuni a.

2015.a. matemaatikaolümpiaadi piirkondliku vooru tulemused Piirkond: Pärnu linn Klass: 7 Õpilase nimi Kool Klass E/V I osa (te II osa Kokku Koht Aineõ

1. AKE Ajalise keerukuse empiiriline hindamine

Microsoft Word - ref - Romet Piho - Tutorial D.doc

Mida me teame? Margus Niitsoo

Botniaring Grand Race ja Endurance Cup Sorted on Laps Kaikki kilpailijat BTC1/TC/BMW R1 Botniaring 4,014 km :20 Race started at 12:31:23 P

Väljavõte:

Seqece-of-Games based cryptographic protocol aalysis Ivo Seeba November 2, 2009 Sissejhats Semiari tööks o allikate [] ja [5] lühikokkvõtted. Neist esimee käsitleb tõestsi koodipõhiste mägde abli. Kirjtatd o seal. PRP-PRF lülitslemmast (ja selle ii klassikalie ki ka mägpõhie tõests), CBC-MAC i elemetaarset tõestsest.teises allikas kirjeldatakse mägjadasid, mis o "tamig" keerkse vahed trvalisse tõestseks. Kirjeldatd o peamist ideed, ElGamal i krüpteerimisest (ja selle räsi versiooist ig sama jhsliks oraakli mdelis), psedojhslikd fktsiooide ja -permtatsiooide võrdlsed, [?] kostrktsiooi ig sümmeetrilie krüpteerimist. Abiks olid ka allikad [2] ja [7]. Siiski o soovitatav lgeda ka allikaid ([], [5]), ka esimese versiooi esitamisega oli kiire ja lõpi paradamisei ei jõdd.. Mägd Mägks imetatakse programmi, mis o protsedride ja rüdajate kollektsioo. Sii mägd ja rüdajad kjtatakse psedokoodidea. Nede psedokoodide jaoks o vaja oma programmeerimiskeelt. Allikas [] o äidatd keel L, mis o tgevalt tüübitd. Keeles o mitmeid üldleviid elemete (for, if, assigmet jt.) lisaks o eraldi boolea-tüüpi mtja flag. Leidb ka. radomassigmemt lase, mille tähis o s S, ks S o lõplik hlk ja s o jhsliklt valitd selle hlga elemet. Vastase kood saab teha oraaklipärigid vormis y P(...). Mäg kooseb algatsprotsedrist (Iitialize), lõpetsprotsedrist Fialize ja oraakliteks ktstd protsedridest ig vastasest (adversary). Mägdel ja vastasel võivad olla ka sisedparameetrid (. ipt) ja sealt kad kastame ühe väljastamise südmstele ja tõeäosstele vastavaid tähiseid: A G (ipt), G A (ipt), Pr[A G (ipt) ], Pr[G A (ipt) ] ig eeliste tähiseid Adv(A G (ipt), A H (ipt)) ja Adv(G A (ipt), H A (ipt)). 2 Mägd, PRP/PRF, CBC-MAC Sii lühikokkvõttest peamiselt allikast []. Pist o toodd põhialsed, PRP-PRF lülitslemma erievate tõeststega. Allikast võib lgeda, et tõestse heaks vahediks o mägtehika. 2. Defiitsiooid Defiitsioo 2. A B - Rüdaja A oraakliga B väljastab bitiväärtse, ehk tõese väärtse. Perm() - Kõikide bitiväärtste permtatsiooide hlk, Perm() = (2 )! - selle hlga elemetide kog arv. Näiteks Perm(2) = (2 2 )! = 24 Natraalaarvdeks imetatakse arve, 2, 3, 4,... (mõedes matemaatika hardes loetakse ka lli atraalarvks). Fc() - Kõikide bitiväärtste fktsiooide hlk { f : {0, } {0, } }, Fc() = (2 ) (2 ) - selle hlga elemetide kog arv ehk hlga võimss. π Perm() - jhsliklt võetd permtatsioo hlgast Perm(). ρ Fc() - jhsliklt võetd fktsioo hlgast Fc() Pr[sydms] - Südmse sydms toimmise tõeäoss, väärts klb lõik [0, ]

Coll - Kokkpõrge, s.t. sellie südms, ks oraakliga ρ Fc() seotd rüdaja A saab kahele erievale pärigle X ja X sama vastse. Dist - Täiedav südms südmsele Coll, et Pr[Coll] + Pr[Dist] = image(π) = {Y {0, } : X {0, }, π[x] = Y}. image(π) = {Y {0, } : X {0, }, π[x] Y}. image(ρ) = {Y {0, } : X {0, }, ρ[x] = Y}. image(ρ) = {Y {0, } : X {0, }, ρ[x] Y}. A S 0 setsbad : süds, ks lipp bad o väärtsega tre A käivitamisel mägga S 0. Mäg asb alampeatükis 2.3.3. Eelised: Ki G, H ja I o migisgsed mägd ja A o vastae, siis Adv(A G, A H ) = Pr[A G ] Pr[A H ] ja Adv(G A, H A ) = Pr[G A ] Pr[H A ] ig Adv(A G, A I ) = Adv(A G, A H ) + Adv(A H, A I ) ja Adv(G A, I A ) = Adv(G A, H A ) + Adv(H A, I A ). Olg G ja A migisgsed mägd. Siis eed mägd o sütaktiliselt ühesgsed ehk. Idetical-till-bad-mägd, ki Programmi sematika tagab selle, et ee lase bad tre täitmist täidetakse ailt eid laseid mägdest G ja H, mis o sütaktiliselt ühesgsed. 2.2 Tlemsed Allikas [] o atd tõestste ja põhjedstega järgmised lemmad, teoreemid ja md tlemsed: Mägmise ftametaallemma (Game-Playig Ftametal Lemma) Olg G, H ja I migisgsed idetical-til-bad- mägd ja rüdaja A, siis Adv(A G, A H ) Pr[A I sets bad] ja Adv(G A, H A ) Pr[I A sets bad] (I võib olla ka ii G ki ka H). Pärast bad-i seadmist midagi ei toim (after bad is sed, othig matters) Olg G ja H migisgsed idetical-til-bad-mägd ja rüdaja A, siis Pr[G A sets bad] = Pr[H A sets bad]. 2.3 PRP/PRF Lülitslemma (PRP/PRF Swichig Lemma) Lemma 2.2 (PRP/PRF) Olg A ki q pärigt tegev vastae, siis atraalarv korral Pr[A π ] Pr[A ρ ] q(q ). 2 2.3. Tavalie tõests Tõests. Olg ρ Fc(), Coll - südms, ks oraakliga ρ varstatd A saab kahele erievale pärigle X ja X sama vastse, Dist o vastadsüdms südmsele Coll (s.t. Pr[Coll] = Pr[Dist]), x = Pr[A ρ Dist] = Pr[A π ], y = Pr[[A ρ Coll] ja x, y [0, ]. Siis Pr[A π ] Pr[A ρ ] = x x Pr[Dist] y Pr[Coll] = x ( Pr[Dist]) y Pr[Coll] = x Pr[Coll] y Pr[Coll] = q (q ) (x y) Pr[Coll] Pr[Coll] 2 Aga kas kehtib Pr[A ρ Dist] = Pr[A π ]? Olg = (ehk bitijada pikksega ) ja A oraakliga P : {0, } {0, }, P {ρ, π}. Uritakse, mida teeb A shtlemisel kas π või ρ-ga, o vastavalt jhpermtatsioo või - fktsioo ({0, } {0, }). π-l o kaks võimalikk väärtst (0 0, ) ja (0, 0) ig ρ-l eli võimalikk väärtst: (0 0, 0), (0 0, ), (0, 0) ja (0, ). Kokreetse A phl tekib südms Coll, ki ρ(0) = ρ() = ja Dist tekib järgmiste südmste phl: ρ(0) = 0 ρ() = 0 ρ(0) = 0 ρ() = ρ(0) = ρ() = 0 Kolme ρ väärtse phl kehtib: ρ(0) = 0 ρ() = (A ρ(0) ). Südmsel A π o kaks võimalst (0, ) ja (, 0), südmsel A ρ o eli võimalst (0, 0), (0, ), (, 0) ja (, ), südmsel A ρ Dist võimalsed (0, 0) ja (0, ) ig südmsel Dist võimalsed (0, 0), (0, ) ja (, 0). Seega Pr[A π ] ja Pr[A ρ Dist] = Pr[A ρ Dist] Pr[Dist] = 2 3 2

2.3.2 Tõestse teie versioo Tõests. Defieeritakse ([], lk. 39, 40): V = ({0, } ) q, ehk maatriks mõõtmetega q. dist = {a V : a[], [2],.., []o omavahel erievad} oe = {a V : f (a) = } Pr rad [.] tõeäoss südmsele ρ Perm() Siis: Pr[A ρ Dist] = Pr rad [ f (a) = a Dist] = Pr rad [ f (a) = a Dist] = Pr rad [a Dist] α dist oe Pr rad [a = α] = α dist Pr rad [a = α] α dist oe α dist 2 q = 2 q dist oe dist Pr perm [.] tõeäoss südmsele π Perm() Pr[A π ] = Pr perm [ f (a) = ] = Pr perm [a = α] = α dist oe q α dist oe i=0 α dist oe 2 = dist = dist oe dist 2.3.3 Tõestse kolmas versioo, Mägpõhie tõests Tõests. A S, südms, ks rüdaja A väljastab väärtse mägs S {S 0, S }. Mägd o defieeritd: S 0 : Procedre P(X) Y {0, } if Y image(π) the bad tre retr π[x] Y S : Procedre P(X) Y {0, } if Y image(π) the bad tre, Y image(π) retr π[x] Y Pr[A π ] Pr[A ρ ] = Pr[A S ] Pr[A S 0 ] Pr[A S 0 sets bad] q (q ) 2 Mõed tlemsed ede mägde jres: S 0 : Y R {0, }, if Y image(π) the bad tre, retrπ[x] Y S : Y R {0, }, if Y image(π) the bad tre, Y image(π), retrπ[x] Y 2.4 Kolmikkrüpteerimie 2.4. Defiistsiooid Defiitsioo 2.3 Cascade eee E (K 0K K 2, X) = E K2 (E K (E K0 (X))), ks K 0, K ja K 2 o bitivektoritest võtmed pikkstega k ja E o blokshifer E : {0, } k {0, } {0, } Cascade ede E (K 0K K 2, X) = E K2 (D K (E K0 (X))), ks K 0, K ja K 2 o bitivektoritest võtmed pikkstega k ja E o krüpteerimise blokshifer E : {0, } k {0, } {0, } ja D o lahtikrüpteerimise blokshifer D : {0, } k {0, } {0, }. E(, ) pöördfktsiooia kastatakse ka tähistst E (, ). Bloc(k, ) = {E E : {0, } k {0, } } E Bloc(k, ) tähedab jhslikk permtatisiooi E K : {0, } {0, } bitivektoril B {0, } võtme K {0, } k jaoks. Rüdaja A eelis EEE vast: Adv eee k, = Adv(A C 0, A R 0 ), ks C 0 ja R 0 o mägd: C 0 : 3

Procedre Iitialize K 0, K, K 2 {0, } k E Block(k, ) T Perm() Procedr T(P): retr Procedr T (S): retr T [S] Procedr E(K, X): retr E K [X] Procedr E (K, Y): retr E K [Y] R 0 : Procedre Iitialize K 0, K, K 2 {0, } k E Block(k, ) T Perm() T E K2 E K E K0 Procedr T(P): retr Procedr T (S): retr T [S] Procedr E(K, X): retr E K [X] Procedr E (K, Y): retr E K [Y] Rüdaja A maksimaale eelis EEE vast, ki A teeb q pärigt: Adv eee k, (q) = max A{Adv eee k, }. QTh eee f rac2 (k, ) = max q{adv eee k, pärigte arv. f rac2}, q o Adv,m (cbc)(a) = Pr Pr2 ja Adv cbc,m(q) = max{adv cbc,m(a)}, ks Pr = Pr[π Perm() : A CBCm π (.) ] ja Pr2 = Pr[ρ Fc(m, ) : A ρ(.) ]. Adv ow f F (I) = Pr[( f, f ) F; x {0, } k : I( f, f (x)) = x] 2.4.2 Tlemsed O toodd järgmised lemmad, teoreemid ja md väited: Kolmikkrüpteeerimise trvaliss Adv eee k, (q) 2α f racq 2 2 3k + 0.7( f racq2 k+ f rack ) f rac23 + f rac22 k Olg A ki q pärigt tegev rüdaja, siis S Perm() ja ki q pärigt tegev lihtsstatd rüdaja B Adv eee k, = Adv(DB S, (RB 3 ) + Pr[D B S sets x2ch] + Pr[DB 3 sets x2ch] + 6 2 k. Fix S Perm(). Ki Pr[B G makes h oraakli p arigt] δ, siis Adv(H B S, GB ) 2.5 h 2 2 olg atraalarv ja B rüdaja (q pärigga), siis Pr[B L sets bad] < 2 αq2 2 3k (α = max(2e2 k, 2 + k)). Olg B lihtsstatd rüdaja (q p"arigga), S Perm(), B S,, B S,2, siis b {, 2} migi c > 0 jaoks Pr[B G 3cq p arib korda] S,b 2 k c FixS Perm(), ki A pärib ki q korda, siis Adv(G A, H A 2.5q2 ) S 2. Olg α = max(2e2 k, 2 + k), siis E[Ch E,b 3 ] < 2α q 2 keskväärts üle E Bloc(k, ) Olg β 2e2 k, siis Pr[Keyw E β] < 2 2+ β üle E Bloc(k, ). OAEP IND-CPA trvaliss: Adv ow f (I) F 2 Advid cpa OAEP ρ [F] (A) 2q G 2 q H. ρ 2 k ρ Olg G mäg oraaklitega P,.., P m, R = (q, q 2,.., q m ) (N) m, R = tail(r), (Q) pärighlk, max = max A (A)R {Pr[G A sets bad]} ja max 2 = max B AR,(X,Y) Q{Pr[G B ] X,Y sets bad} siis max mas 2 Olg G ja G ühildvad mägd ja A o ammedav (exhastive) vaelae, siis G H Adv(G A, H A ) = 0 2.5 Mägtehikatest Mägmägimise tehikaid o mitt sorti... O ka mägde ahelad: G G 2... G Põhilised tehikad mägimistel o idioomide mõõtmie (resamplig), sõltmat ja sõltva mtja vahetamie, koodi mtmie, märge vastse asemel, e jhslik mtja defieerimie (deradomizig),. mürgitatd pktid ja mittemägitavad mägd. Teoreem 2.4 (CBC-MAC) Adv cbc,m(q) m2 q 2 2 migi, q 2 ja jaoks. 4

Tõests. A o q erievat m-blokilist pärigt tegev vastae. M ({0, } ) - blokkide sõe ( ), M i = M[(i ) + i] o blokk järjekorra mbriga i ja M..j = M[..j] = M M 2.. M j ( o kokateatsioo). π : {0, } {0, } &M ({0, } ) m CBC π (M) = CBC(π, M), Fc(m, ) = { f : f : {0, } m {0, } }. Adv cbc,m(a) = Pr[π Perm() : A CBCm pi )(.) ] Pr[ρ Fc(m, ) : A ρ(.) ], Adv cbc,m(q) = max{adv cbc,m(a)}, Pre f ix(m,.., M s ) o pikim plokkide jada, mis o prefiksiks väärtsele M s. CBC(π, M, ) C 0 for i =,.., m C π(c M i ) retr C C 0 (Fc(m, ) realisatsioo, kastab. laiska sampligt ja. idioomide resampligt): Iitialize T[ɛ] 0 Procedre F(M) s s +, M s M P Pre f ix(m,.., M s ), p P,C f or j p +,.., m X C M j,c {0, } if C image(π) the bad tre if X domai(π) the bad tre π[x] C T [ M..j ] C retr C C (CBC m [Perm()] realisatsioo), o sama mis mäg C 0, kid lisadvad käsd C image(π) ja C π[x]: Iitialize T[ɛ] 0 Procedre F(M) C 2 : C 3 : C 4 : s s +, M s M P Pre f ix(m,.., M s ), p P, C f or j p +,.., m X C M j, C {0, } if C image(π) the bad tre, C image(π) if X domai(π) the bad tre, Cπ[X] π[x] C T [ M..j ] C retr C Iitialize T[ɛ] 0 Procedre F(M) s s +, M s M P Pre f ix(m,.., M s ), p P, C f or j p +,.., m X C M j, C {0, } if X domai(π) the bad tre π[x] C, T[M..j ] C retr C Iitialize T[ɛ] 0, de f ied 0 Procedre F(M) s s +, M s M P Pre f ix(m,.., M s ), p P,C f or j p +,.., m X C M j, C {0, } if X domai(π) the bad tre π[x] de f ied, T[M..j ] C retr C 5

C 5 : C 6 : Iitialize T[ɛ] 0, de f ied 0 Procedre F(M) s s +, M s M P Pre f ix(m,.., M s ), p P, C f or j p +,.., m X C M j if X domai(π) the bad tre π[x] de f ied, C T[M..j ] {0, } Z s {0, } retr Z s Fialize T[ɛ] 0, de f ied 0 f or s,.., q P Pre f ix(m,.., M s ), p P, C for j = p +,.., m if X domai(π) the bad tre π[x] de f ied C T[M s i..j ] {0, } Fialize T[ɛ] 0, de f ied 0 f or s,.., q P Pre f ix(m,.., M s ), p P, C X C M s p+ if X domai(π) the bad tre π[x] de f ied, C T[M s..p+ ] {0, } for j p + 2,.., m X C M s j if X domai(π) the bad tre, π[x] de f ied C 7 : C 8 : C 9 : C T[M s i..j ] {0, } Fialize T[ɛ] 0, de f ied 0 for X ({0, } ) + T[X] {0, } for s,.., q P Pre f ix(m,.., M s ), p P if M s domai(π) the..p+ bad tre π[ M s ] de f ied..p+ for j p + 2 to m if T[M s..j ] Ms domai(π) the j bad tre π[t[m s..j ] Ms ] de f ied j Fialize T[ɛ] 0, de f ied 0 for X ({0, } ) + T[X] {0, } for s,.., q P s Pre f ix(m,.., M s ), p s Ps if T[P s ] M s domai(π) the..p s + bad tre π[t[p s ] M s ] de f ied..p s + for j p s + 2 to m if T[M s..j ] Ms domai(π) the j+ bad tre π[t[m s..j ] Ms ] de f ied j+ Fialize T[ɛ] 0 for X ({0, } ) + T[X] {0, } for s,.., q P s Pre f ix(m,.., M s ), p s Ps 6

bad co co 2 co 3 co 4 ks co T[P s ] M s P s + = T[Pr ] M r P r + migi r < s q jaoks. co 2 T[P s ] M s P s + = T[Mr..i ] Mr i+ migi r < s q ja p r + i m jaoks. co 3 T[M s i..j ] Ms j+ = T[Pr ] M r p r + migi r s q ja p s + j m ja jaoks. co 4 T[M s i..j ] Ms j+ = T[Mr..i ] Mr i+ migi r s q, p r + i m, p s + j m ja r = s i < j jaoks. 3 Mägjadad: ElGamal, Psedojhfktsiooid ja -permtatsiooid, ig sümmeetrilie krüpteerimie 3. Üldist Lemma: Olg A, B ja F sama tõeäossjaotsega südmsed, ja A F B F, siis Pr[A] Pr[B] Pr[F]. Historical marks... x X - hlgast X võetakse jhsliklt üks elemet x Pr[x X, x 2 X2 (x ),.., x X (x,.., x ) : φ(x,.., x )] Tõeäoss, ks x valitakse jhsliklt hlgast X, x 2 valitakse jhsliklt hlgast X 2 (x ) (hlk sültb x -st), et predikaat φ o tõee. 3.2 ElGamal Krüptoskeem o kolmik (KeyGe, E, D), ks KeyGe o võtme geeraator, E o krüpteerimisalgoritm ja D o lahtikrüpteerimisalgoritm ([5]). Krüpteerimis ja lahtikrüptimis algoritmid o vastavalt: (pk, m M) E ψ, ks pk o avalik võti ja m o teade hlgast M (sk, ψ) D m, ks sk o salavõti ja ψ o krüptotekst. Olg A vastae adversary ja C väljaktsja (challeger), siis sematilist trvalisst defieeritakse vastava mägga. C : (pk, sk) KeyGe(), C : pk A (C aab pk A-le). A : m 0, m M, A : m 0, m C C : b c {0, }, ψ E(pk, m b ), C : ψ A (ψ o A-le atav. Tarket ciphertext). A : b {0, } Sematilie trvaliss (SS), SS eelis A-le: Pr[b = b ] 0.5, semat trvaliss tähedab eelise ebaollisst. 3.2. ElGamal i krüptoskeem G rühm järgga q, γ G - moodstaja, Võtme geereerimie: x Z q, α γ x, pk α, sk x Teate m G krüpteerimie: y Z q, β γ y, δ α y, ζ δ m, ψ (β, ζ) lahtikrüptimie: ζ β x = α y m/β x = (γ x ) y m (γ y ) x = m γ xy xy = m DDH-eelis (DDH - Decisioal Diffie-Hellma): Adv DDH D = Pr[x, y Z q : D(γ x, γ y, γ xy ) = ] Pr[x, y, z Z q : D(γ x, γ O toodd väiteid: Pr[S ] = 0.5 Pr[S 0 ] Pr[S ] = ɛ ddh (ɛ ddh o migi efektiivse algoritmi DDH-eelis). Kahest eelmisest tleeb väide, et Pr[S 0 ] 0.5 S 0 = x, y Z q : D(γ x, γ y, γ xy ) = S 0 = x, y, z Z q : D(γ x, γ y, γ z ) = Trvaaalüüsis o kastatd mäge, et arvtada tõeäosste vahe absoltväärts: Pr Pr 2, ks Pr = Pr[x, y Z q : D(γ x, γ y, γ xy ) = ] ja Pr 2 = Pr[x, y, Z Z q : D(γ x, γ y, γ z ) = ]. Need mägd o: G 0 7

G x Z q,α γ x r R,(m 0, m ) A(r, α) β {0, }, y Z q,β γ y,δ α y,ζ δ m b b A(r, α, β, ζ) x Z q,α γ x r R,(m 0, m ) A(r, α) β {0, }, y Z q,β γ y,z Z q,δ γ y,ζ δ m b b A(r, α, β, ζ) 3.3 ElGamal i räsi variat Toodd o ka räsitd ElGamal, ks kõik o samad, mis tavalisel ElGamal, kid erievseks o see, et geereerimise jres o pärast käsk x järel k K, krüpteerimise jres om teade bitijada m {0, } l ja pärast käs δ α y järel h H k (δ), v h m ja ψ (β, v) ig dekrüpteerimise jres m H k (β x ) v. Nig tõeäosse Pr Pr 2 (Pr = Pr[k K, δ G : D(k, H k (δ)) = ] ja Pr 2 = Pr[k K, h {0, } l : D(k, h) = ]) arvtamiseks kastatakse mäge: G 0 : G : G 2 : x Z q,k K,α γ x r R,(m 0, m ) A(r, α, k) b {0, }, y Z q, β γ y,δ α y,h H k (δ),v h m b b A(r, α, k, β, v) x Z q,k K,α γ x r R,(m 0, m ) A(r, α, k) b {0, }, y Z q, β γ y,z Z q,δ α y,h H k (δ),v h m b b A(r, α, k, β, v) x Z q,k K,α γ x r R,(m 0, m ) A(r, α, k) b {0, }, y Z q, β γ y,z Z q,δ γ z,h {0, } l, v h m b b A(r, α, k, β, v) Ka o toodd väited Pr[S ] Pr[S 2 ] = ɛ es,pr[s 2 ] = 0.5 ja Pr[S 0 ] 0.5 ɛ edd + ɛ es 3.4 Lby-Racoff Sii tooks kõige ollisema välja allikast [5]. See o Lby-Rackoff kostrktioo. Psedojhfktsiooide perekod F s : {0, } l {0, } l : F := {F s } s S ɛ ax perekod (ax - almost XOR iversal) räsiftsiooide perekod H s k{0, } l {0, } l : H := {H s } k K x, x, y {0, } l, x x : Pr[k K : H k (x) H k (x ) = y] ɛax LB kooseb kolmikst (k, s, s 2 ), s, s 2 S, k K: w H k (v) x v F s (v) y w F s2 (v) Mägd o: G 0 : G : k K, s S, s2 S r R for i =,.., q ( i, v i ) A(r, x, y,.., x i, y i ) w i i H k (v i ) x i v i F s (w i ) y i w i F s2 (x i ) b A(r, x, y,.., x q, y q ) retr b 8

G 2 : G 3 : k K, X,.., X q {0, } l, s 2 S r R for i =,.., q ( i, v i ) A(r, x, y,.., x i, y i ) w i i H k (v i ) x i (w i = w j )?(x j ) : (X i) migi j < i jaoks x i v i x i y i w i F s2 (x i ) b A(r, x, y,.., x q, y q ) retr b k K, X,.., X q {0, } l, Y,.., Y q {0, } l r R for i =,.., q ( i, v i ) A(r, x, y,.., x i, y i ) w i i H k (v i ) x i (w i = w j )?(x j ) : (X i) migi j < i jaoks x i v i x i x i (y i = y j )?(y j ) : (Y i) migi j < i jaoks y i w i y i b A(r, x, y,.., x q, y q ) retr b k K, X,.., X q {0, } l, Y,.., Y q {0, } l r R for i =,.., q ( i, v i ) A(r, x, y,.., x i, y i ) w i i H k (v i ) 4 Kokkvõte Artiklite [] ja [5] peale kls palj aega, et programmi Cryptoverif rimisei selle ajaga ei jõdd. Seda looda vaadata hiljem (. krsse teisel poolel ([3]) või lisada töö lõppversiooile). Refereces [] M. Bellare, P. Rogaway. Code-Based Games-Playig Proofs ad the Secrity of Triple Ecryptio. Cambridge Uiversity Press, Cambridge, Eglad, 2008. http://eprit.iacr.org/2004/33.pdf viimati vaadatd 28.0.2009 [2] S. Lar Cryptology II, 2009 http://www.cs.t.ee/ swe/corses/crypto-ii viimati vaadatd 28.0.2009 [3] S. Lar Research Semiar i Cryptography, 2009 http://corses.cs.t.ee/2009/secrity-semiar-fall/ viimati vaadatd 02..2009 [4] S. Lar Psedojhslikks. Geeraatorid. Fktsiooid http://www.cs.t.ee/ swe/radom-stff/dergradate viimati vaadatd 02..2009 [5] V. Shop. Seqeces of games: a tool for tamig complexity i secrity http://eprit.iacr.org/2004/332 viimati vaadatd 28.0.2009 [6] B. Blachet. CryptoVerif: Cryptographic protocol verifier i the comptatioal model http://www.cryptoverif.es.fr/ viimati vaadatd 28.0.2009 [7] S. Goldwasser, M. Bellare Lectre Notes o Cryptography Uiversity of Califoria at Sa Diego, USA, 2008 x i v i X i y i w i Y i b A(r, x, y,.., x q, y q ) retr b 9

2024 © DocPlayer.ee Privaatsuspoliitika | Kasutusreeglid | Tagasiside