WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

OAEP (англ. Optimal Asymmetric Encryption Padding, Оптимальное асимметричное шифрование с дополнением) — схема дополнения, обычно используемая совместно с какой-либо односторонней функцией с потайным входом (например RSA или функции Рабина) для повышения криптостойкости последней. OAEP предложено Михиром Белларе^[en] и Филлипом Рогавэем^[en]^[1], а его применение для RSA впоследствии стандартизировано в PKCS#1 и RFC 2437.

История

Оригинальная версия OAEP, предложенная Белларе и Рогавэем в 1994 году заявлялась как устойчивая к атакам на основе подобранного шифротекста в сочетании с любой односторонней функции с потайным входом^[1]. Дальнейшие исследования показали, что такая схема обладает устойчивостью только к атакам на основе неадаптивно подобранного шифротекста^[2]. Несмотря на это, было доказано, что в модели случайных оракулов при использовании стандартного RSA с шифрующей экспонентой, схема обладает так же устойчивостью к атакам на основе адаптивно подобранного шифротекста^[3]. В более новых работах было доказано, что в стандартной модели (когда хеш-функции не моделируются как случайные оракулы) невозможно доказать устойчивость к атакам на основе адаптивного шифротекста в случае использования RSA^[4].

Алгоритм OAEP

Классическая схема OAEP представляет собой двухъячеечную сеть Фейстеля, где в каждой ячейке данные преобразуются с помощью криптографической хеш-функции. На вход сеть получает сообщение с дописанными к нему проверяющими нулями и ключ — случайную строку^[5].

В схеме используются следующие обозначения:

$n$ — число бит в подготавливаемом для асимметричного шифрования блоке.
$k_{0}$ и $k_{1}$ — фиксированные протоколом целые числа.
$m$ — открытый текст сообщения, $n-k_{0}-k_{1}$ -битная строка.
$G$ и $H$ — криптографические хеш-функции, заданные протоколом.

Шифрование

Сообщению $m$ дописывается $k_{1}$ нулей, благодаря чему оно достигает $n-k_{0}$ бит в длину.
Генерируется случайная $k_{0}$ -битная строка $r$ .
$G$ расширяет $k_{0}$ бит строки $r$ до $n-k_{0}$ бит.
$X=m00..0\bigoplus G(r)$ .
$H$ ужимает $n-k_{0}$ бит $X$ до $k_{0}$ бит.
$Y=r\bigoplus H(X)$ .
Зашифрованный текст $X||Y$ .

Дешифрование

Восстанавливается случайная строка $r=Y\bigoplus H(X)$
Восстанавливается исходное сообщение как $m00..0=X\bigoplus G(r)$
Последние $k_{1}$ символов расшифрованного сообщения проверяются на равенство нулю. Если имеются ненулевые символы, то сообщение подделано злоумышленником.

Применение

Алгоритм OAEP применяется для предварительной обработки сообщения перед использованием RSA. Сначала сообщение дополняется до фиксированной длины с помощью OAEP, затем шифруется с помощью RSA. Совместно, такая схема шифрования получила название RSA-OAEP и является частью действующего стандарта шифрования с открытым ключом (RFC 3447). Так же Виктором Бойко было доказано, что функция вида $g^{G,H}(x)=f(OAEP^{G,H}(x,r))$ в модели случайных оракулов является преобразованием типа "все или ничего" (англ.)^[4].

Модификации

В силу таких недостатков, как невозможность доказать криптографическую стойкость к атакам на основе подобранного шифротекста, а также низкая скорость работы схемы^[6], впоследствии были предложены модификации на основе OAEP, которые устраняют данные недостатки.

Алгоритм OAEP+

Виктор Шоуп (англ.) предложил свой вариант схемы дополнения на основе OAEP (называемый OAEP+), который является устойчивым к атакам с адаптивно подобранным шифротекстом в случае комбинирования с любой односторонней функцией с потайным входом^[2].

$n$ — число бит в подготавливаемом для асимметричного шифрования блоке.
$k_{0}$ и $k_{1}$ — фиксированные протоколом целые числа.
$m$ открытый текст сообщения, $n-k_{0}-k_{1}$ -битная строка.
$G$ , $H$ и $H'$ — криптографические хеш-функции, заданные протоколом.

Шифрование

Генерируется случайная $k_{0}$ -битная строка $r$ .
$H'$ преобразует $r||m$ в строку длины $k_{1}$ .
$G$ преобразует $r$ в строку длины $n-k_{0}-k_{1}$ .
Составляется левая часть сообщения $X=(G(r)\bigoplus m)||H'(r||m)$ .
$H$ преобразует $X$ в строку длины $k_{0}$ .
Составляется правая часть сообщения $Y=H(X)\bigoplus r$ .
Зашифрованный текст $X||Y$ .

Дешифрование

Восстанавливается случайная строка $r=Y\bigoplus H(X)$ .
$X$ разбивается на две части $X_{1}$ и $X_{2}$ , размерами $n-k_{1}-k_{0}$ и $k_{1}$ бит соответственно.
Восстанавливается исходное сообщение как $m=G(r)\bigoplus X_{1}$ .
Если не выполняется $H'(r||m)=X_{2}$ , то сообщение подделано.

Алгоритм SAEP/SAEP+

Дэн Бонех предложил две упрощенные реализации OAEP, названные SAEP и SAEP+ соответственно. Основная идея упрощения шифрования заключается в отсутствии последнего шага — сообщение «склеивалось» с изначально сгенерированной случайной строкой $r$ . Таким образом, схемы состоят только из одной ячейки Фейстеля, благодаря чему достигается прирост к скорости работы^[7]. Отличием алгоритмов друг от друга выражается в записи проверяющих битов. В случае SAEP это нули, в то время как для SAEP+ — это хеш от $m||r$ (соответственно как у OAEP и OAEP+)^[5]. Недостатком алгоритмов является сильное уменьшение длины сообщения. Надежность схем в случае использования функции Рабина и RSA была доказана только при следующем ограничении на длину передаваемого текста: $m\leqslant n/2+k_{0}$ для SAEP+ и дополнительно $m\leqslant n/4$ для SAEP^[8]. Стоит отметить, что при примерно одинаковой скорости работы, SAEP+ имеет меньше ограничений на длину сообщения чем SAEP^[8], благодаря чему признан более предпочтительным^[8].

В схеме используются следующие обозначения:

$n$ — число бит в блоке RSA или криптосистемы Рабина.
$k_{0}$ и $k_{1}$ — фиксированные протоколом целые числа.
$m$ открытый текст сообщения, $n-k_{0}-k_{1}$ -битная строка.
$G$ и $H$ — криптографические хеш-функции, заданные протоколом.

Шифрование SAEP+

Генерируется случайная $k_{0}$ -битная строка $r$ .
$G$ преобразует $m||r$ в строку длины $k_{1}$ .
$H$ преобразует $r$ в строку длинны $n-k_{0}$ .
Вычисляется $X=(m||G(m||r))\bigoplus H(r)$ .
Зашифрованный текст $X||r$ .

Дешифрование SAEP+

Вычисляется $X_{1}||X_{2}=X\bigoplus H(r)$ , где $X_{1}$ и $X_{2}$ — строки размерами $n-k_{0}-k_{1}$ и $k_{0}$ соответственно.
Проверяется равенство $X_{2}=G(X_{1}||r)$ . Если равенство выполняется, то исходное сообщение $X_{1}$ , если нет — то сообщение подделано злоумышленником.

См. также

RSA-KEM

Литература

M. Bellare, P. Rogaway. Optimal Asymmetric Encryption -- How to Encrypt with RSA (англ.). — Springer Berlin Heidelberg, 1995. — Vol. 950. — P. 92—111. — ISBN 978-3-540-60176-0. — ISSN 0302-9743. — DOI:10.1007/BFb0053428.
Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval, and Jacques Stern. RSA–OAEP is Secure under the RSA Assumption (англ.). — Springer Berlin Heidelberg, 2001. — Vol. 2139. — P. 260—274. — ISBN 978-3-540-42456-7. — ISSN 0302-9743. — DOI:10.1007/3-540-44647-8_16.
P. Paillier and J. Villar. Trading One-Wayness against Chosen-Ciphertext Security in Factoring-Based Encryption (англ.). — Springer Berlin Heidelberg, 2006. — Vol. 4284. — P. 252—266. — ISBN 978-3-540-49475-1. — ISSN 0302-9743. — DOI:10.1007/11935230_17.
Peter Schartner. A low-cost alternative for OAEP (англ.). — 2001. — ISBN 978-1-4503-0882-3. — DOI:10.1145/2349913.2349914.
Victor Shoup. OAEP Reconsidered (англ.). — Springer Berlin Heidelberg, 2001. — Vol. 2139. — P. 239—259. — ISBN 978-3-540-42456-7. — ISSN 0302-9743. — DOI:10.1007/3-540-44647-8_15.
D. Boneh. Simplified OAEP for the RSA and Rabin functions (англ.). — Springer Berlin Heidelberg, 2001. — Vol. 2139. — P. 275—291. — ISBN 978-3-540-42456-7. — ISSN 0302-9743. — DOI:10.1007/3-540-44647-8_17.
Victor Boyko. On the Security Properties of OAEP as an All-or-Nothing Transform (англ.). — Springer Berlin Heidelberg, 1999. — Vol. 1666. — P. 503—518. — ISBN 978-3-540-66347-8. — ISSN 0302-9743. — DOI:10.1007/3-540-48405-1_32.

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .

Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2025
WikiSort.ru - проект по пересортировке и дополнению контента Википедии

[_ade2727c35f670e3-1] 1 2 Optimal Asymmetric Encryption How to Encrypt with RSA, 1995, p. 1.

[_1b16cef154bd5ce5-2] 1 2 OAEP Reconsidered, 2001, p. 1.

[_f442617d4482b15a-3] RSA–OAEP is Secure under the RSA Assumption, 2001, p. 1.

[_e2007dffbc409bed-4] 1 2 Trading One-Wayness against Chosen-Ciphertext Security in Factoring-Based Encryption, 2006, p. 1.

[_01aa908aa47eda8d-5] 1 2 Simplified OAEP for the RSA and Rabin functions, 2001, p. 277.

[_e4406ac3062ea9f3-6] A low-cost alternative for OAEP, 2001, p. 1.

[_01aa908aa47eda8f-7] Simplified OAEP for the RSA and Rabin functions, 2001, p. 275.

[_01aa828aa47ec2c0-8] 1 2 3 Simplified OAEP for the RSA and Rabin functions, 2001, p. 290.

WikiSort.ru - Не сортированное

История

Алгоритм OAEP

Шифрование

Дешифрование

Применение

Модификации

Алгоритм OAEP+

Шифрование

Дешифрование

Алгоритм SAEP/SAEP+

Шифрование SAEP+

Дешифрование SAEP+

См. также

Примечания

Литература