公開鍵暗号の安全性 - Kaoru Kurosawa Laboratory.pptVIP

演習 ElGamal暗号のIND-CPA安全性を破る敵Aが存在したと仮定すると、 　 DDH仮定を破るdistinguisher D が存在することを示せ。 （ヒント） 　Aをサブルーチンとして使い、Dを構成せよ。 * confidential * ElGamal暗号 公開鍵： p, q, g, y(=gx mod p) 秘密鍵: x 平文： m 暗号化： r ← zp-1 E(m)=(gr, myr) * confidential * 直感的な証明 DDH仮定より 　 (g,y,gr,yr)と(g,y,gr,gz)は多項式時間で区別不可能 ただし、zは乱数 暗号文： E(m) = (gr, m?yr) 　　　　　 ～(gr, m?gz ) 　　 m×gz=m×乱数 → one-time pad mに関する情報は、もれていない ElGamal暗号のIND-CPA安全性 チャレンジャー x←ランダム y=gx mod p 敵 m0, m1 g, y b←{0,1} C=(gr, mbyr) b’ C Pr( b’=b )?1/2 * KEM-DEMフレームワーク CCA安全なKEM（公開鍵暗号） 　+ CCA安全なDEM（共通鍵暗号） 　= IND-CCA安全な公開鍵暗号 公開鍵暗号の暗号文 C=KEM(共通鍵K)+DEM(共通鍵K,m) 定理 RSA仮定の下で、 RSA-KEMはCCA安全 In the RO モデル CCA安全なDEMの構成法 K → → 暗号文 　C=(E, Tag) 擬似乱数生成器 敵は、MACオラクルに１回だけ質問して偽造する （通常のMACで十分） IND-ＣＣＡ安全なハイブリッド暗号 　　　　　　 r ← ランダム 共通鍵 Ｋ＝Ｈ（ｒ） 暗号文 C=(φ, χ) χ＝（E, Tag) RSA仮定の下で、IND-ＣＣＡ安全 in the RO model 公開鍵 (N,e) KEMの暗号文 DEMの暗号文 （鍵K) ROモデル IND-CPA安全な ハイブリッド暗号の 構成法 IND-CCA安全な ハイブリッド暗号の 構成法 RSA-KEM + one-time-pad RSA-KEM + one-time-pad + MAC ROなしで、IND-CPAな暗号 ElGamal暗号 Paillier暗号 DDH仮定 N次剰余仮定 N次剰余仮定 xN = a+bN mod N2　　としたとき、 (a,b) と (a, 乱数）は 　　computationally indistinguishable ただし、 　　x←{1,2,…, N-1} Paillier暗号 公開鍵 N=pq 秘密鍵 p, q 暗号化 x ←{1,2,…, N-1} xN=a+bN mod N2 C=(a, b+m mod N) Paillier暗号 暗号化 x ←{1,2,…, N-1} xN=a+bN mod N2 C=(a, b+m mod N) 復号 　　 xN =a mod N　より、x=ad mod N xN=a+bN mod N2 　により、bを求める 定理 Paillier暗号は、N次剰余仮定の下で 　IND-CPA安全 N次剰余仮定 xN = a+bN mod N2　　としたとき、 (a,b) と (a, 乱数）は 　　computationally indistinguishable とは、どういう意味か？ 確率変数 XとY a Pr(X=a) Pr(Y=a) Statistically distance a Pr(X=a) Pr(Y=a) |X-Y| X and Y are statistically indistinguishable if a Pr(X=a) Pr(Y=a) |X-Y|ε 補題 a Pr(X=a) Pr(Y=a) この面積＝この面積 証明 a Pr(X=a) Pr(Y=a) A B=1-A C=1-A 系 a Pr(X=a) Pr(Y=a) |X-Y| = 2×この面積 Distinguisher D X 0 or 1 Px = Pr(D=1) 例(1) a Pr(X=a) Pr(Y=a) D=1 D=0 PX = Pr(D=1) 例(1) a