دانلود رایگان ترجمه مقاله امنیت معنایی سیستم های رمزنگاری کلید عمومی McEliece (اسپرینگر ۲۰۰۱)

مبتدی (مناسب برای درک مفهوم کلی مطلب)

F1861

حمله واکنش. این حمله می تواند به صورت حمله متن رمزی-انتخاب شده (CCA) رده بندی شود، اما از فرضی ضعیف تر از CCA استفاده می کند [۱۲]: حریف تنها واکنش دریافت کننده ای را مشاهده می کند که دارای کلید خصوصی است، اما نیاز به دریافت متن مهنادار رمزگشایی شده آن ندارد (حمله مشابه به طور مستقل در [۲۸] پیشنهاد می شود). در این حمله، یک حریف، متون مهنادار متناظر را دریافت می کند. بنابراین این حمله به صورت CCA رده بندی می شود.
ایده این حمله به صورت زیر است. حریف یک یا چند بیت از متن رمزی هدف c را برعکس می کند. در نظر بگیرید که c’ نشاندهنده متن رمزی برعکس شده باشد. حریف c’ را به دریافت کننده مناسب انتقال می دهد و واکنش او را مشاهده می کند. واکنش های گیرنده می تواند به دو رده تقسیم شود:
واکنش A: به علت خطای غیرقابل تصحیح یا به علت متن مهنادار بدون معنی، درخواست تکرار را به حریف بازگردانید.
واکنش B: یک تشکر را بازگردانید یا هیچ کاری انجام ندهید زیرا متن مهنادار مناسب m رمزگشایی شده است.
اگر وزن کلی بردار خطا از t بعد از برعکس نمودن تجاوز نکند، واکنش B مشاهده می شود. در غیراینصورت واکنش A مشاهده می شود. بنابراین با تکرار مشاهدات بالا، زمان های چندجمله ای n، حریف می تواند بردار خطا را تعیین کند. زمانی که بردار خطا تعیین شود، متن مهنادار متناظر به اسانی با استفاده از حمله GISD رمزگشایی می شود.
حمله قابلیت انعطاف. این حمله حریف را برای عوض کردن هر بخش از متن مهنادار متناظر برای هر متن رمزی داده شده c بدون شناختن متن مهنادار m مجاز می سازد، یعنی حریف می تواند یک متن رمزی جدید c’ را تولید کند که متن مهنادار آن از هر متن رمزی معین بدون شناختن m است [۱۳,۲۸].
این حمله به صورت زیر توصیف می شود. در نظر بگیرید که G’[i] نشاندهنده سطر iام ماتریس عمومی G’ و نشاندهنده مجموعه ای از مختصات ij باشد که مقدار ان در ۱ است. متن رمزی c’ به صورت زیر محاسبه می شود

این حمله به ما می گوید که McEliece PKC غیرانعطاف پذیر بودن را برآورده نمی سازد [۶]. حتی در مقابل حملات مجهول، مانند حملات متن مهنادار انتخاب شده. و بنابراین تحت سناریوی متن رمزی انتخاب شده که در آن یک حریف می تواند یک پیشگویی رمزگشایی را برای رمزگشایی تعداد چندجمله ای متون رمزی درخواست نماید (به استثنای متن رمزی چالش c)، حریف می تواند هر متن رمزی داده شده c را با روش زیر رمزگشایی نماید. اول حریف پیشگویی برای رمزگشایی c’ را درخواست می کند، سپس پیشگویی را درخواست می کند. لذا، او می تواند متن مهنادار هدف c را با بازیابی کند.
۴ تبدیلات برای McEliece PKC
همانطور که در بخش ۳ ذکر شد، بدون هر پیشگویی رمزگشایی و هر دانش جزئی در مورد متن مهنادار متناظر برای متن رمزی چالش، هیچ الگوریتم چندجمله ای-زمانی برای تبدیل McEliece PKC شناخته شده نیست (که پارامترهای آن به دقت انتخاب می شوند). تحت این فرض که این مسئله تبدیل سخت است، این مسئله می تواند به مسئله ای سخت برای شکستن قابلیت تشخیص رمزگذاری در مقابل حملات بحرانی تبدیل شود (یا به طور کلی تر در مقابل حملات متن رمزی انتخاب شده تطبیقی) با معرفی تبدیلات مناسب در کد پیشگویی تصادفی. در این بخش، ما بررسی می کنیم که تبدیلات برای McEliece PKC مناسب هستند و اینکه نیستند.
۴٫۱ دستورات
ما از دستورات زیر در این مقاله استفاده می کنیم:
C(n,t): تعداد ترکیبات با اتخاذ t از n عنصر
Prep(m): پیش پردازش برای یک پیام m مانند فشردگی داده ها، مسیر داده ها و غیره. معکوس آن به صورت نشان داده می شود.
Hash(x): تابع هش یک راهه برای رشته دودویی با طول دلخواه x برای یک رشته دودویی با طول ثابت. زمانی که حوزه خزوجی Zn که در آن N=C(n,t). ما از Hashz(x) به جای Hash(x) استفاده می کنیم.
Conv(z): تابع Bijective که یک عدد صحیح را تبدیل می کند که در آن N=C(n,t) به بردار خطای متناظر z. معکوس آن به صورت نشان داده می شود.
Gen(x): تولیدکننده دنباله های شبه تصادفی امن رمزنگاری با طول دلخواه از بذر طول ثابت x.
Len(x): طول بیت x.
Msbx1(x2): بیت های x1 چپ x2.
Lsbx1(x2): بیت های x1 راست x2.
Const: ثابت از پیش تعیین شده استفاده شده در کل
Rand: منبع تصادفی که دنباله تصادفی صحیح (یا شبه تصادفی قابل تشخیص محاسباتی) را تولید می کند.
: رمزگذاری x با استفاده از McEliece PKC با بردار خطای z.
: رمزگشایی x با استفاده از McEliece PKC اصلی

۴٫۲ تبدیلات نامناسب برای McEliece PKC
تبدیل OAEP. در [۲] Bellar و Rogaway یک تبدیل عام به نام OAEP را پیشنهاد نمودند (پد رمزگشایی نامتقارن بهینه) که OWTP (جایگشت Trapdoor تک راهه) مانند اولیه RSA را به PKC تبدیل می کند که در مقابل حملات متن رمزی انتخاب شده تطبیق غیرقابل تشخیص است (CCA2). McEliece PKC با این تبدیل OAEP در شکل ۱ نشان داده شده است. متاسفانه، این تبدیل به طور صحیح کار نمی کند زیرا حمله واکنش هنوز قابل کاربرد است. این بدین معنی نیست که تبدیل OAEP دارای خطا است، اما McELiece اولیه یک جایگشت نیست.
تبدیل ساده Fujisaki-Okamoto. در [۸]، Fujisaki and Okamoto یک تبدیل ساده و عام را از PKC پیشنهاد نمودند که در مقابل CPA (حملات متن مهنادار انتخاب شده) در یک PKC قابل تشخیص نیست که در مقابل CCA2 قابل تشخیص نیست. McEliece PKC با این تبدیل در شکل ۲ نشان داده شده است. متاسفانه، این تبدیل به درستی کار نمی کند زیرا حمله متن مهنادار جزئی شناخته شده به درستی کار می کند مگر اینکه Len(r) نزدیک به k باشد.
این بدین معنی نیست که تبدیل ساده Fujisaki-Okamoto دارای خطا است، اما McEliece PKC حتی در مقابل CPA قابل تشخیص است. هر حریف مجهول (که از پیشگوییی رمزگشایی استفاده نمی کند) می تواند حدی بزند که کدام پیام m0 و m1 متن مهنادار متناظر متن رمزی معین c برای McEliece PKC اصلی با دیدن اینکه آیا وزن mbG ⊕ c¯ is t است یا خیر که در آنb ∈ {۰, ۱}.