riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si...
49
riptografie ¸ si Securitate - Prelegerea 13 - Confident ¸ialitate ¸ si autentificarea mesajelor Adela Georgescu, Ruxandra F. Olimid Facultatea de Matematic˘ a¸ si Informatic˘ a Universitatea din Bucure¸ sti
Transcript of riptogra e ˘si Securitateruxandraolimid.weebly.com/uploads/2/0/1/0/20109229/...riptogra e ˘si...
riptografie si Securitate
- Prelegerea 13 -Confidentialitate si autentificarea mesajelor
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematica si InformaticaUniversitatea din Bucuresti
Cuprins
1. Transmitere sigura a mesajelor
2. Abordari diferite pentru a combina criptarea si autentificarea
Criptografie si Securitate 2/17 ,
Confidentialitate si integritate
I Am vazut cum putem obtine confidentialitate folosind schemede criptare;
I Am vazut cum putem garanta integritatea datelor folosindMAC-uri;
I In practica avem nevoie de ambele proprietati de securitate:confidentialitate si integritatea datelor;
I Nu orice combinatie de schema de criptare sigura si MACsigur ofera cele doua proprietati de securitate!
Criptografie si Securitate 3/17 ,
Confidentialitate si integritate
I Am vazut cum putem obtine confidentialitate folosind schemede criptare;
I Am vazut cum putem garanta integritatea datelor folosindMAC-uri;
I In practica avem nevoie de ambele proprietati de securitate:confidentialitate si integritatea datelor;
I Nu orice combinatie de schema de criptare sigura si MACsigur ofera cele doua proprietati de securitate!
Criptografie si Securitate 3/17 ,
Confidentialitate si integritate
I Am vazut cum putem obtine confidentialitate folosind schemede criptare;
I Am vazut cum putem garanta integritatea datelor folosindMAC-uri;
I In practica avem nevoie de ambele proprietati de securitate:confidentialitate si integritatea datelor;
I Nu orice combinatie de schema de criptare sigura si MACsigur ofera cele doua proprietati de securitate!
Criptografie si Securitate 3/17 ,
Confidentialitate si integritate
I Am vazut cum putem obtine confidentialitate folosind schemede criptare;
I Am vazut cum putem garanta integritatea datelor folosindMAC-uri;
I In practica avem nevoie de ambele proprietati de securitate:confidentialitate si integritatea datelor;
I Nu orice combinatie de schema de criptare sigura si MACsigur ofera cele doua proprietati de securitate!
Criptografie si Securitate 3/17 ,
Confidentialitate si integritate
I Iata trei abordari uzuale pentru a combina criptarea siautentificarea mesajelor:
1. Criptare-si-autentificare: criptarea si autentifcarea se facindependent. Pentru un mesaj clar m, se transmite mesajulcriptat 〈c , t〉 unde
c ← Enck1 (m) si t ← Mack2 (m)
La receptie, m = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
2. Autentificare-apoi-criptare: ıntai se calculeaza tag-ul t apoimesajul si tag-ul sunt criptate ımpreuna
t ← Mack2 (m) si c ← Enck1 (m||t)
La receptie, m||t = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
Criptografie si Securitate 4/17 ,
Confidentialitate si integritate
I Iata trei abordari uzuale pentru a combina criptarea siautentificarea mesajelor:
1. Criptare-si-autentificare: criptarea si autentifcarea se facindependent. Pentru un mesaj clar m, se transmite mesajulcriptat 〈c , t〉 unde
c ← Enck1 (m) si t ← Mack2 (m)
La receptie, m = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
2. Autentificare-apoi-criptare: ıntai se calculeaza tag-ul t apoimesajul si tag-ul sunt criptate ımpreuna
t ← Mack2 (m) si c ← Enck1 (m||t)
La receptie, m||t = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
Criptografie si Securitate 4/17 ,
Confidentialitate si integritate
I Iata trei abordari uzuale pentru a combina criptarea siautentificarea mesajelor:
1. Criptare-si-autentificare: criptarea si autentifcarea se facindependent. Pentru un mesaj clar m, se transmite mesajulcriptat 〈c , t〉 unde
c ← Enck1 (m) si t ← Mack2 (m)
La receptie, m = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
2. Autentificare-apoi-criptare: ıntai se calculeaza tag-ul t apoimesajul si tag-ul sunt criptate ımpreuna
t ← Mack2 (m) si c ← Enck1 (m||t)
La receptie, m||t = Deck1 (c) si daca Vrfyk2(m, t) = 1, atunci
ıntoarce m; altfel ıntoarce ⊥.
Criptografie si Securitate 4/17 ,
Confidentialitate si integritate
3. Criptare-apoi-autentificare: ıntai se cripteaza mesajul si apoi secalculeaza tag-ul
c ← Enck1(m) si t ← Mack2(c)
La receptie, se verifica ıntai t ınainte de a decripta c ; aceasta estechiar constructia pentru schema CCA-sigura.
I Vom analiza fiecare abordare la instantierea cu o schema decriptare CPA-sigura si un MAC sigur (cu tag-uri unice).
I Ne vor interesa doar acele abordari care ofera confidentialitatesi integritate pentru orice schema de criptare sigura si oriceMAC sigur.
Criptografie si Securitate 5/17 ,
Confidentialitate si integritate
3. Criptare-apoi-autentificare: ıntai se cripteaza mesajul si apoi secalculeaza tag-ul
c ← Enck1(m) si t ← Mack2(c)
La receptie, se verifica ıntai t ınainte de a decripta c ; aceasta estechiar constructia pentru schema CCA-sigura.
I Vom analiza fiecare abordare la instantierea cu o schema decriptare CPA-sigura si un MAC sigur (cu tag-uri unice).
I Ne vor interesa doar acele abordari care ofera confidentialitatesi integritate pentru orice schema de criptare sigura si oriceMAC sigur.
Criptografie si Securitate 5/17 ,
Confidentialitate si integritate
3. Criptare-apoi-autentificare: ıntai se cripteaza mesajul si apoi secalculeaza tag-ul
c ← Enck1(m) si t ← Mack2(c)
La receptie, se verifica ıntai t ınainte de a decripta c ; aceasta estechiar constructia pentru schema CCA-sigura.
I Vom analiza fiecare abordare la instantierea cu o schema decriptare CPA-sigura si un MAC sigur (cu tag-uri unice).
I Ne vor interesa doar acele abordari care ofera confidentialitatesi integritate pentru orice schema de criptare sigura si oriceMAC sigur.
Criptografie si Securitate 5/17 ,
Securitate
I Pentru a analiza care combinatie de confidentialitate siintegritate este sigura, definim ce ınseamna ”combinatiesigura”;
I Introducem notiunea de schema de transmitere a mesajelor
I Fie ΠE = (Enc,Dec) o schema de criptare arbitrara siΠM = (Mac,Vrfy) un cod de autentificare a mesajelor. Oschema de transmitere a mesajelor Π′ = (EncMac′,Dec′)consta din urmatorii algoritmi:
I EncMac - algoritm de transmitere a mesajelor care pentru ocheie (k1, k2) si un mesaj m, ıntoarce o valoare c derivata prinaplicarea unei combinatii a algoritmilor Enck1 si Mack2 ;
I Dec - algoritm de decriptare care pentru o cheie (k1, k2) si unmesaj transmis c , aplica o combinatie a algoritmilor Deck1 siVrfyk2
, ıntorcand un text clar m sau simbolul ⊥ de eroare.
Criptografie si Securitate 6/17 ,
Securitate
I Pentru a analiza care combinatie de confidentialitate siintegritate este sigura, definim ce ınseamna ”combinatiesigura”;
I Introducem notiunea de schema de transmitere a mesajelor
I Fie ΠE = (Enc,Dec) o schema de criptare arbitrara siΠM = (Mac,Vrfy) un cod de autentificare a mesajelor. Oschema de transmitere a mesajelor Π′ = (EncMac′,Dec′)consta din urmatorii algoritmi:
I EncMac - algoritm de transmitere a mesajelor care pentru ocheie (k1, k2) si un mesaj m, ıntoarce o valoare c derivata prinaplicarea unei combinatii a algoritmilor Enck1 si Mack2 ;
I Dec - algoritm de decriptare care pentru o cheie (k1, k2) si unmesaj transmis c , aplica o combinatie a algoritmilor Deck1 siVrfyk2
, ıntorcand un text clar m sau simbolul ⊥ de eroare.
Criptografie si Securitate 6/17 ,
Securitate
I Pentru a analiza care combinatie de confidentialitate siintegritate este sigura, definim ce ınseamna ”combinatiesigura”;
I Introducem notiunea de schema de transmitere a mesajelor
I Fie ΠE = (Enc,Dec) o schema de criptare arbitrara siΠM = (Mac,Vrfy) un cod de autentificare a mesajelor. Oschema de transmitere a mesajelor Π′ = (EncMac′,Dec′)consta din urmatorii algoritmi:
I EncMac - algoritm de transmitere a mesajelor care pentru ocheie (k1, k2) si un mesaj m, ıntoarce o valoare c derivata prinaplicarea unei combinatii a algoritmilor Enck1 si Mack2 ;
I Dec - algoritm de decriptare care pentru o cheie (k1, k2) si unmesaj transmis c , aplica o combinatie a algoritmilor Deck1 siVrfyk2
, ıntorcand un text clar m sau simbolul ⊥ de eroare.
Criptografie si Securitate 6/17 ,
Securitate
I Pentru a analiza care combinatie de confidentialitate siintegritate este sigura, definim ce ınseamna ”combinatiesigura”;
I Introducem notiunea de schema de transmitere a mesajelor
I Fie ΠE = (Enc,Dec) o schema de criptare arbitrara siΠM = (Mac,Vrfy) un cod de autentificare a mesajelor. Oschema de transmitere a mesajelor Π′ = (EncMac′,Dec′)consta din urmatorii algoritmi:
I EncMac - algoritm de transmitere a mesajelor care pentru ocheie (k1, k2) si un mesaj m, ıntoarce o valoare c derivata prinaplicarea unei combinatii a algoritmilor Enck1 si Mack2 ;
I Dec - algoritm de decriptare care pentru o cheie (k1, k2) si unmesaj transmis c , aplica o combinatie a algoritmilor Deck1 siVrfyk2
, ıntorcand un text clar m sau simbolul ⊥ de eroare.
Criptografie si Securitate 6/17 ,
Securitate
I Corectitudinea schemei cere ca ∀n ∀(k1, k2) ∀m ∈ {0, 1}∗
Dec′k1,k2(EncMac ′k1,k2(m)) = m
I Pentru a defini securitatea unei astfel de scheme, folosim unexperiment AuthA,Π(n) :
I Output-ul experimentului este 1 daca si numai daca:(1) m 6=⊥ si (2) m /∈ {m1, ...,mq} unde m = Dec′k(c);
Criptografie si Securitate 7/17 ,
Securitate
I Corectitudinea schemei cere ca ∀n ∀(k1, k2) ∀m ∈ {0, 1}∗
Dec′k1,k2(EncMac ′k1,k2(m)) = m
I Pentru a defini securitatea unei astfel de scheme, folosim unexperiment AuthA,Π(n) :
I Output-ul experimentului este 1 daca si numai daca:(1) m 6=⊥ si (2) m /∈ {m1, ...,mq} unde m = Dec′k(c);
Criptografie si Securitate 7/17 ,
Securitate
Definitie
O schema de transmitere a mesajelor Π′ ofera comunicareautentificata daca pentru orice adversar polinomial A exista ofunctie neglijabila negl asa ıncat
Pr[AuthA,Π(n) = 1] ≤ negl(n).
Definitie
O schema de transmitere a mesajelor Π′ este sigura daca este oschema de criptare CCA-sigura si ofera comunicare autentificata.
Criptografie si Securitate 8/17 ,
Securitate
Definitie
O schema de transmitere a mesajelor Π′ ofera comunicareautentificata daca pentru orice adversar polinomial A exista ofunctie neglijabila negl asa ıncat
Pr[AuthA,Π(n) = 1] ≤ negl(n).
Definitie
O schema de transmitere a mesajelor Π′ este sigura daca este oschema de criptare CCA-sigura si ofera comunicare autentificata.
Criptografie si Securitate 8/17 ,
Securitate Criptare-si-autentificare
I Revenim la cele trei combinatii de criptare si autentificare:
1. Criptare-si-autentificare
I Combinatia aceasta nu este neaparat sigura; un MAC sigur nuimplica nici un fel de confidentialitate;
I Daca (Mac,Vrfy) este un MAC sigur atunci si schemadefinita de Mac′k(m) = (m,Mack(m)) este un MAC sigur dardezvaluie mesajul m
Criptografie si Securitate 9/17 ,
Securitate Criptare-si-autentificare
I Revenim la cele trei combinatii de criptare si autentificare:
1. Criptare-si-autentificare
I Combinatia aceasta nu este neaparat sigura; un MAC sigur nuimplica nici un fel de confidentialitate;
I Daca (Mac,Vrfy) este un MAC sigur atunci si schemadefinita de Mac′k(m) = (m,Mack(m)) este un MAC sigur dardezvaluie mesajul m
Criptografie si Securitate 9/17 ,
Securitate Criptare-si-autentificare
I Revenim la cele trei combinatii de criptare si autentificare:
1. Criptare-si-autentificare
I Combinatia aceasta nu este neaparat sigura; un MAC sigur nuimplica nici un fel de confidentialitate;
I Daca (Mac,Vrfy) este un MAC sigur atunci si schemadefinita de Mac′k(m) = (m,Mack(m)) este un MAC sigur dardezvaluie mesajul m
Criptografie si Securitate 9/17 ,
Securitate Autentificare-apoi-criptare
2. Autentificare-apoi-criptare
I Combinatia aceasta nu este neaparat sigura;
I Se poate construi o schema de criptare CPA-sigura careımpreuna cu orice MAC sigur nu poate fi CCA-sigura;
I Definim Transform(m) astfel:
I orice 0 din m se transforma ın 00;I orice 1 din m se transforma arbitrar ın 01 sau 10;
Criptografie si Securitate 10/17 ,
Securitate Autentificare-apoi-criptare
2. Autentificare-apoi-criptare
I Combinatia aceasta nu este neaparat sigura;
I Se poate construi o schema de criptare CPA-sigura careımpreuna cu orice MAC sigur nu poate fi CCA-sigura;
I Definim Transform(m) astfel:
I orice 0 din m se transforma ın 00;I orice 1 din m se transforma arbitrar ın 01 sau 10;
Criptografie si Securitate 10/17 ,
Securitate Autentificare-apoi-criptare
2. Autentificare-apoi-criptare
I Combinatia aceasta nu este neaparat sigura;
I Se poate construi o schema de criptare CPA-sigura careımpreuna cu orice MAC sigur nu poate fi CCA-sigura;
I Definim Transform(m) astfel:
I orice 0 din m se transforma ın 00;I orice 1 din m se transforma arbitrar ın 01 sau 10;
Criptografie si Securitate 10/17 ,
Securitate Autentificare-apoi-criptare
2. Autentificare-apoi-criptare
I Combinatia aceasta nu este neaparat sigura;
I Se poate construi o schema de criptare CPA-sigura careımpreuna cu orice MAC sigur nu poate fi CCA-sigura;
I Definim Transform(m) astfel:
I orice 0 din m se transforma ın 00;I orice 1 din m se transforma arbitrar ın 01 sau 10;
Criptografie si Securitate 10/17 ,
Securitate Autentificare-apoi-criptare
I Definim Enck(m) = Enc′k(Transform(m)) unde Enc′
reprezinta criptare ın modul CTR folosind o functiepseudoaleatoare;
Criptografie si Securitate 11/17 ,
Securitate Autentificare-apoi-criptare
I Aratam ca o combinatie de tipul autentificare-apoi-criptare aschemei de criptare de mai sus cu orice MAC nu este sigura laun atac de tip CCA.
I Atacul functioneaza atata timp cat un adversar poate verificadaca un text criptat dat este valid;
I Fiind data o provocare c = Enc′k1(Transform(m||Mack2(m))),
atacatorul modifica primii doi biti din al 2-lea bloc al lui c siverifica daca rezultatul este valid;
I Daca primul bit al mesajului clar m este 1, atunci c modificateste valid;
I Intrebare: De ce?
Criptografie si Securitate 12/17 ,
Securitate Autentificare-apoi-criptare
I Aratam ca o combinatie de tipul autentificare-apoi-criptare aschemei de criptare de mai sus cu orice MAC nu este sigura laun atac de tip CCA.
I Atacul functioneaza atata timp cat un adversar poate verificadaca un text criptat dat este valid;
I Fiind data o provocare c = Enc′k1(Transform(m||Mack2(m))),
atacatorul modifica primii doi biti din al 2-lea bloc al lui c siverifica daca rezultatul este valid;
I Daca primul bit al mesajului clar m este 1, atunci c modificateste valid;
I Intrebare: De ce?
Criptografie si Securitate 12/17 ,
Securitate Autentificare-apoi-criptare
I Aratam ca o combinatie de tipul autentificare-apoi-criptare aschemei de criptare de mai sus cu orice MAC nu este sigura laun atac de tip CCA.
I Atacul functioneaza atata timp cat un adversar poate verificadaca un text criptat dat este valid;
I Fiind data o provocare c = Enc′k1(Transform(m||Mack2(m))),
atacatorul modifica primii doi biti din al 2-lea bloc al lui c siverifica daca rezultatul este valid;
I Daca primul bit al mesajului clar m este 1, atunci c modificateste valid;
I Intrebare: De ce?
Criptografie si Securitate 12/17 ,
Securitate Autentificare-apoi-criptare
I Aratam ca o combinatie de tipul autentificare-apoi-criptare aschemei de criptare de mai sus cu orice MAC nu este sigura laun atac de tip CCA.
I Atacul functioneaza atata timp cat un adversar poate verificadaca un text criptat dat este valid;
I Fiind data o provocare c = Enc′k1(Transform(m||Mack2(m))),
atacatorul modifica primii doi biti din al 2-lea bloc al lui c siverifica daca rezultatul este valid;
I Daca primul bit al mesajului clar m este 1, atunci c modificateste valid;
I Intrebare: De ce?
Criptografie si Securitate 12/17 ,
Securitate Autentificare-apoi-criptare
I Aratam ca o combinatie de tipul autentificare-apoi-criptare aschemei de criptare de mai sus cu orice MAC nu este sigura laun atac de tip CCA.
I Atacul functioneaza atata timp cat un adversar poate verificadaca un text criptat dat este valid;
I Fiind data o provocare c = Enc′k1(Transform(m||Mack2(m))),
atacatorul modifica primii doi biti din al 2-lea bloc al lui c siverifica daca rezultatul este valid;
I Daca primul bit al mesajului clar m este 1, atunci c modificateste valid;
I Intrebare: De ce?
Criptografie si Securitate 12/17 ,
Securitate Autentificare-apoi-criptare
I Pentru ca ın acest caz, primii doi biti ai lui Transform(m)sunt 01 sau 10 si o modificare a lor ofera o codificare valida alui m.
I Tag-ul ramane valid pentru ca este aplicat pe m;
I Daca ınsa primul bit al lui m este 0, c modificat nu estevalid...
I ... pentru ca primii doi biti din Transform(m) sunt 00 si princomplementare devin 11;
I Atacul poate fi aplicat pe fiecare bit din m, recuperand astfelıntreg mesajul m.
Criptografie si Securitate 13/17 ,
Securitate Autentificare-apoi-criptare
I Pentru ca ın acest caz, primii doi biti ai lui Transform(m)sunt 01 sau 10 si o modificare a lor ofera o codificare valida alui m.
I Tag-ul ramane valid pentru ca este aplicat pe m;
I Daca ınsa primul bit al lui m este 0, c modificat nu estevalid...
I ... pentru ca primii doi biti din Transform(m) sunt 00 si princomplementare devin 11;
I Atacul poate fi aplicat pe fiecare bit din m, recuperand astfelıntreg mesajul m.
Criptografie si Securitate 13/17 ,
Securitate Autentificare-apoi-criptare
I Pentru ca ın acest caz, primii doi biti ai lui Transform(m)sunt 01 sau 10 si o modificare a lor ofera o codificare valida alui m.
I Tag-ul ramane valid pentru ca este aplicat pe m;
I Daca ınsa primul bit al lui m este 0, c modificat nu estevalid...
I ... pentru ca primii doi biti din Transform(m) sunt 00 si princomplementare devin 11;
I Atacul poate fi aplicat pe fiecare bit din m, recuperand astfelıntreg mesajul m.
Criptografie si Securitate 13/17 ,
Securitate Autentificare-apoi-criptare
I Pentru ca ın acest caz, primii doi biti ai lui Transform(m)sunt 01 sau 10 si o modificare a lor ofera o codificare valida alui m.
I Tag-ul ramane valid pentru ca este aplicat pe m;
I Daca ınsa primul bit al lui m este 0, c modificat nu estevalid...
I ... pentru ca primii doi biti din Transform(m) sunt 00 si princomplementare devin 11;
I Atacul poate fi aplicat pe fiecare bit din m, recuperand astfelıntreg mesajul m.
Criptografie si Securitate 13/17 ,
Securitate Autentificare-apoi-criptare
I Pentru ca ın acest caz, primii doi biti ai lui Transform(m)sunt 01 sau 10 si o modificare a lor ofera o codificare valida alui m.
I Tag-ul ramane valid pentru ca este aplicat pe m;
I Daca ınsa primul bit al lui m este 0, c modificat nu estevalid...
I ... pentru ca primii doi biti din Transform(m) sunt 00 si princomplementare devin 11;
I Atacul poate fi aplicat pe fiecare bit din m, recuperand astfelıntreg mesajul m.
Criptografie si Securitate 13/17 ,
I Totusi, anumite instantieri ale acestei combinatii pot fi sigure;
I O astfel de combinatie este folosita si ın SSL.
Criptografie si Securitate 14/17 ,
Securitate Criptare-apoi-autentificare
3. Criptare-apoi-autentificare
I Combinatia aceasta este ıntotdeauna sigura; se foloseste ınIPsec;
I Desi folosim aceeasi constructie pentru a obtine securitateCCA si transmitere sigura a mesajelor, scopurile urmarite suntdiferite ın fiecare caz;
Criptografie si Securitate 15/17 ,
Securitate Criptare-apoi-autentificare
3. Criptare-apoi-autentificare
I Combinatia aceasta este ıntotdeauna sigura; se foloseste ınIPsec;
I Desi folosim aceeasi constructie pentru a obtine securitateCCA si transmitere sigura a mesajelor, scopurile urmarite suntdiferite ın fiecare caz;
Criptografie si Securitate 15/17 ,
Securitate Criptare-apoi-autentificare
3. Criptare-apoi-autentificare
I Combinatia aceasta este ıntotdeauna sigura; se foloseste ınIPsec;
I Desi folosim aceeasi constructie pentru a obtine securitateCCA si transmitere sigura a mesajelor, scopurile urmarite suntdiferite ın fiecare caz;
Criptografie si Securitate 15/17 ,
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
Necesitatea de a folosi chei diferite
I Pentru scopuri diferite de securitate trebuie sa folosimıntotdeauna chei diferite;
I Sa urmarim ce se ıntampla daca folosim metodacriptare-apoi-autentificare atunci cand folosim aceeasi cheie katat pentru criptare cat si pentru autentificare;
I Definim Enck(m) = Fk(m||r), pentru m ∈ {0, 1}n/2,r ←R {0, 1}n/2, iar Fk(·) o permutare pseudoaleatoare;
I Definim Mack(c) = F−1k (c);
I Schema de criptare si MAC-ul sunt sigure dar...
I 〈Enck(m),Mack(Enck(m))〉 = 〈Fk(m||r),F−1k (Fk(m||r))〉 =
〈Fk(m||r),m||r〉.
Criptografie si Securitate 16/17 ,
Important de retinut!
I Metoda sigura de a combina criptarea si autentificarea estecriptare-apoi-autentificare;
I Este important sa se foloseasca chei simetrice diferite pentru aatinge scopuri diferite (criptare si autentificare).
Criptografie si Securitate 17/17 ,
