Гибридное шифрование на базе механизмов инкапсуляции ключей и данных

From CryptoWiki
Jump to: navigation, search

Гибридное шифрование на базе инкапсуляции ключей и инкапсуляции данных – это парадигма, объединяющая эффективность в шифровании сообщений большого объема симметричной криптографии и сильные стороны асимметричной криптографии.

По причине своей простоты и гибкости, данный подход с момента своего появления достиг большой популярности был успешно принят в стандартах шифрования. В гибридном шифровании асимметричная криптография применяется для установления случайного сессионного ключа (механизм инкапсуляции ключа), который в дальнейшем с большой эффективностью используется в механизме инкапсуляции данных для шифрования полезного сообщения.

Зашифрованный текст, созданный с помощью гибридной криптосистемы, имеет два компонента:

  • механизм инкапсуляции ключа (KEM);
  • механизм инкапсуляции данных (DEM).

Зашифрованную пару KEM-DEM можно записат в следующем виде:

Hybenc kem 10.PNG

Получив эту пару адрессат должен расшифровать блок KEM, используя свой закрытый ключ, и получитб симметричный ключ K, а затем применить его для расшифровки блока DEM и извлечь сообщение.

Contents

Принцип работы гибридного шифрования

Гибридные криптосистемы представляют собой комбинацию асимметричной и симметричной криптографии. В приложениях, особенно связанных с шифрованием большого объема данных, стандартным решением стало использование именно гибридных схем.

В таких схемах криптография с открытым ключом используется для шифрования сеансового ключа для симметричной криптосистемы. Этот ключ распределяется между отправителем и адресатом, а затем с его помощью с использованием симметричной криптосистемы шифруется большой массив данных.

Гибридные схемы объединяет в себе лучшие свойства обеих криптосистем:

  • легкость распространения ключей в криптографических схемах с открытым ключом;
  • высокая скорость работы и стойкость симметричных криптосистем.

Механизм инкапсуляции ключей

Механизм инкапсуляции ключей Hybenc dem 1.PNG с соответствующим ключевым пространством Hybenc dem 2.PNG состоит из трех полиномиальных алгоритмов:

  • алгоритма Hybenc dem 5.PNG генерации случайного ключа, генерирующего случайный равномернораспределенный ключ для секретного параметра Hybenc kem 4.PNG;
  • алгоритма Hybenc dem 7.PNG, ключ Hybenc dem 8.PNG созданый вместе с шифр текстом С;
  • алгоритма Hybenc dem 9.PNG с помощью которого обладатель ключа sk расшифровывает шифртекст C чтобы получить ключ или специальный символ ⊥, означающий невозможность выполнить расшифрование.

Механизм инкапсуляции данных

Механизм инкапсуляции данных Hybenc kem 1.PNG состоит из трех полиномиальных алгоритмов:

  • алгоритма Hybenc kem 2.PNG генерации случайного ключа генерирующий случайный равномернораспределенный ключ Hybenc kem 3.PNG для секретного параметра Hybenc kem 4.PNG;
  • алгоритма Hybenc kem 5.PNG выполняющий шифрование сообщения m ключом K;
  • алгоритма Hybenc kem 6.PNG, с помощью которого обладатель ключа К расшифровывет шифртекст С с целью получения исходного сообщения или специального символа ⊥, означающего невозможность выполнить расшифрование шифртекста.

Примеры схем гибридного шифрования

К гибридным схемам шифрования относятся KEM-DEM схемы:

  • схема Фуджисаки-Окамото;
  • схема HD-RSA, разработанная Пойнтшевалем;
  • схема DHAES, спроектированная Абдаллой, Белларе и Роуджуэем.

Схема Фуджисаки-Окамото

Схема Фуджисаки-Окамото имеет следуюший вид:

Hybenc fo 1.PNG

где G и H - функции хэширования. В этой схеме разультатом расшифроваки блока KEM является пара Hybenc fo 2.PNG. Получатель использует число Hybenc fo 3.PNG как начальное значение функции хэширования G для создания симметричного ключа Hybenc fo 4.PNG, а затем применяет его при расшифроваке блока DEM. В заключение получатель может проверить правильность расшифровки, вычислив значение Hybenc fo 5.PNG повторно. Таким образом эта схема позволяет получателю определить, был ли зашифрованнай текст модифицирован или поврежден в процессе передачи. Распознавание изменений зашифрованного текста обеспечивает стойкость криптосистемы против активных атак.

Схема HD-RSA

Схема HD-RSA, разработанная Пойнтшевалем, основана на неразрешимости задачи RSA: по заданному тексту Hybenc hdrsa 1.PNG, зашифрованному схемой RSA, найти число Hybenc hdrsa 2.PNG. Эта проблема является трудноразрешимой, если невозможно найти корень числа А е-й степени по составному модулю N (задача RSA).

Следовательно, блоком KEM в схеме HD-RSA является просто число Hybenc hdrsa 1.PNG, где Hybenc hdrsa 3.PNG - случайное число. Получатель, знающий модуль N, может определить число r по значению А и найти число B.

В качестве симметричного ключа при шифровании блока DEM в этой схеме используется число Hybenc hdrsa 4.PNG.

Схема DHAES

В гибрибной схеме DHAES, изобретенной Абдаллой, Белларе и Роджуэем, блок DEM сопровождается кодом аутентификации сообщения, предназначенным для проверки целостности данных. Симметричные ключи - один для блока DEM, а второй для блока MAC - создаются с помощью функции хэширования Hybenc dhaes 1.PNG, где Hybenc dhaes 2.PNG - блок KEM, а Hybenc dhaes 3.PNG - открытый ключ получателя.

Владелец открытого ключа Hybenc dhaes 3.PNG может применить закрытый ключ v к KEM-блоку Hybenc dhaes 2.PNG, чтобы получить число Hybenc dhaes 4.PNG и восстановить число Hybenc dhaes 1.PNG, используемое при создании двух симметричных ключей.

Без закрытого ключа v задача расшифровки эквивалентна решению вычислительной задачи Диффи-Хеллмана. Задача вычисления числа Hybenc dhaes 1.PNG по заданным аргументам Hybenc dhaes 2.PNG и Hybenc dhaes 4.PNG называется задачей хэширования Диффи-Хеллмана.

Пример работы гибридного алгоритма

Передачу данных с использованием гибридного шифрования можно условно резделить на два этапа: этап отправки и этап приема (рис. 1).

Рисунок 1. Пример работы симметричного алгоритма

Этап отправки:

  • Алиса генерирует случайный сеансовый ключ;
  • Сообщение Алисы зашифровывается сеансовым ключом (с помощью симметричного алгоритма);
  • Сеансовый ключ зашифровывается открытым ключом Боба (асимметричным алгоритмом);
  • Алиса посылает Бобу зашифрованное сообщение и зашифрованный сеансовый ключ.

Этап приёма:

  • Боб получает зашифрованное сообщение Алисы и зашифрованный сеансовый ключ;
  • Боб расшифровывает сеансовый ключ своим закрытым ключом;
  • При помощи полученного, таким образом, сеансового ключа Боб расшифровывает зашифрованное сообщение Алисы.

Применение гибридного шифрования

Гибридное шифрование имеет широкий круг задач, для решения которых может быть применено. Общим во всех этих задачах является необходимость шифрования большого объема информации с обеспечением достаточного уровня криптографической стойкости. Вариантами применения гибридного шифрования могут служить:

  • Шифрование телефонных переговоров – технология гибридного шифрования применяется провайдерами услуг связи для обеспечения конфиденциальности данных;
  • Шифрование данных при передаче данных по сети – технология гибридного шифрования взята за основу при построении протоколов TLS и PGP.

Широкое распространение получила комбинация криптосистем с открытым и симметричными ключами – цифровой конверт. Эта схема является комбинацией криптосистем RSA с симметричной криптосистемой, например, с алгоритмом DES, 3DES или алгоритмом AES. Комбинация RSA+DES(3DES) представляет собой протокол SSL.

Данный протокол широко применяется в Web-браузерах и Web-сервисах. Инициатор протокола SSL загружает параметры открытого ключа другой стороны, затем генерирует случайный сеансовый ключ, шифрует его, используя загруженный открытый ключ, и посылает другой стороне. После этого получатель расшифровывает сообщение и восстанавливает сеансовый ключ. Теперь обе стороны могут использовать этот ключ в симметричной схеме шифрования для дальнейшего обмена секретными сообщениями.

Слабости гибридного шифрования

С точки зрения организации протокола гибридная схема очень проста. Однако существуют два ограничения в использовании гибридных криптосистем.

Во-первых, эта схема использует сеансовый ключ, созданный одной из сторон (отправителем сообщения или инициатором протокола), а другая сторона (получатель сообщения или адресат протокола) должен целиком полагаться на компетентность и честность инициатора протокола. В некоторых ситуациях это нежелательно: например, в протоколе SSL, в рамках которого клиентом является отправитель, а точнее – его программное обеспечение, которое, как известно, представляет собой весьма слабый датчик случайных чисел.

Во-вторых, гибридные системы шифрования инертны. В таких системах перехватчик, который может силой заставить получателя раскрыть свой закрытый ключ, получает возможность расшифровывать все сообщения. Такая особенность называется недостатком «заблаговременной секретности». Заблаговременная секретность означает, что перехватчик не в состоянии расшифровать исходное сообщение в будущем, используя зашифрованные сообщения, полученные в прошлом, ни с помощью криптоанализа, ни с помощью принуждения.

Глоссарий

Библиографический указатель

Перейти к списку литературы по разделу "Гибридное шифрование на базе механизмов инкапсуляции ключей и данных".

Вернуться к оглавлению

Кривцов В.А., 2015