크레이머-슈프 암호체계

크레이머-슈프 시스템은 비대칭 키 암호화 알고리즘으로, 표준 암호화 가정을 이용한 적응형 선택 암호문 공격에 대해 보안성이 입증된 최초의 효율적인 체계였다.보안성은 의사결정 디피의 계산 난해성(전혀 가정되지만 입증되지는 않음)에 기초한다.지옥의 가정.1998년 로널드 크레이머와 빅터 슈프가 개발한 것으로 엘가말 암호체계의 연장선이다.극도의 유순성을 지닌 엘가말과는 대조적으로 크레이머는-슈프는 다른 요소들을 추가해 자원이 풍부한 공격자에게도 악성코드가 되지 않도록 보장한다.이러한 비 악성성은 보편적인 단방향 해시함수와 추가 계산을 통해 얻어지며, 그 결과 ElGamal에서보다 두 배나 큰 암호문이 생성된다.

선택한 적응형 암호 텍스트 공격

크레이머가 달성한 보안의 정의Shoup은 공식적으로 "적응적으로 선택된 암호문 공격에 따른 불분명한 표현력"(IND-CCA2)이라고 불린다.이 보안 정의는 현재 공개 키 암호 시스템에 대해 알려진 가장 강력한 정의로, 공격자가 시스템의 비밀 암호 해독 키를 사용하여 암호문을 해독할 암호 해독 오라클에 대한 액세스 권한을 가지고 있다고 가정한다.보안 정의의 "적응적" 구성요소는 공격자가 공격하기 위해 특정 대상 암호문을 관찰하기 전과 후에 모두 이 암호 해독 오라클에 대한 액세스 권한을 가지고 있다는 것을 의미한다(단순히 이 암호문을 해독하기 위해 Oracle을 사용하는 것은 금지되어 있지만).비적응적 선택 암호문 공격(IND-CCA1)에 대한 보안의 취약성 개념은 공격자가 대상 암호문을 관찰하기 전에 해독 오라클에만 접근할 수 있게 한다.

널리 사용되는 많은 암호 시스템이 그러한 공격자에 대해 불안정하다는 것은 잘 알려져 있었지만, 수년 동안 시스템 설계자들은 그 공격이 비실용적이고 대부분 이론적인 관심사라고 생각했다.이것은 1990년대 후반에 바뀌기 시작했으며, 특히 Daniel Bleichenbacher가 RSA 암호화의 형태를 사용하는 SSL 서버에 대해 적응적으로 선택된 암호문 공격을 시연하면서 더욱 그러해졌다.^[1]

Cramer-Shoup은 적응적으로 선택된 암호문 공격에 대한 보안을 제공하는 첫 번째 암호화 체계가 아니었다.Naor-Young, Rackoff-Simon, Dolev-Dwork-Naor는 표준(IND-CPA) 체계에서 IND-CCA1 및 IND-CCA2 체계로의 변환을 확실하게 제안했다.이러한 기법은 표준적인 일련의 암호 가정(임의의 경구 없음)에 따라 안전하지만, 복잡한 영지식 증명 기법에 의존하고 있으며, 계산 비용과 암호문 크기 면에서 비효율적이다.벨라레/로가웨이의 OAEP와 후지사키-오카모토를 포함한 다양한 다른 접근방식은 랜덤 오라클이라고 알려진 수학 추상화를 사용하여 효율적인 건설을 달성한다.불행하게도, 이러한 제도를 실제로 실행하기 위해서는 임의의 오라클 대신에 어떤 실제적인 함수(예: 암호해시함수)를 대체해야 한다.비록 배치된 계획에 대한 실질적인 공격이 입증되지 않았지만,^[2] 점점 더 많은 증거 기관은 이 접근방식의 불안정을 시사한다.

암호체계

크레이머-슈프는 키 생성기, 암호화 알고리즘, 암호 해독 알고리즘의 세 가지 알고리즘으로 구성된다.

키 생성

• 앨리스는 두 개의 구별되는 무작위 생성기가 ${\displaystyle {있는}_{}}$ $q{\displaystyle }$ ${\displaystyle q}$의 주기 그룹 $G{\displaystyle }$ ${\displaystyle$ G${\displaystyle {}_{}}$ g ${\displaystyle {2\mathrm{}}_{}}$ ${\$의 효율적인 설명을 생성한다$.$
• 앨리스는 {${\displaystyle 0,}$q,${\displaystyle {}_{}}$,\displaystyle$({\displaystyle {}_{}}$ x ${\displaystyle {\mathrm{}}_{}}$, y ${\displaystyle {\mathrm{}}_{}}$, ${\displaystyle {}_{}}$ 1,${\displaystyle {}_{}}$y 1, ${\displaystyle {}_{}}$ 1, y 1, y 1, ${\displaystyle y}$ ${\displaystyle {\mathrm{}}_{}}$,${\displaystyle {}_{}}$z${\displaystyle }$) ${\displaystyle({x}_{1},{y}_{1},{y}_{2},z)}$을$({\displaystyle }$를$)$ 0, …, $}$ {$0,\displaystystystystytytytytytytytytytytytytytytytytytym,$ \,$\,$ \,
• Alice computes ${\displaystyle c={g}_{1}^{x_{1}}g_{2}^{x_{2}},d={g}_{1}^{y_{1}}g_{2}^{y_{2}},h={g}_{1}^{z}}$.
• 앨리스는 공개 키로$$$G{\displaystyle }$, ${\displaystyle q}$, ${\displaystyle {g\mathrm{}}_{}}$ ${\displaystyle {}_{}}$, ${\displaystyle {g\mathrm{}}_{}}$ 2 ${\$g_{2}}의 설명과 함께$($${\displaystyle c}$, d${\displaystyle }$, h${\displaystyle }$) ${\displaystyle (c,d,h)}$을 게시한다.앨리스는 (x 1,$$x${\displaystyle {}_{}{}_{}}$,${\displaystyle {}_{}{y\mathrm{}}_{}}$ 1, ${\displaystyle y}$ 1, y 2, ${\displaystyle {z\mathrm{}}_{}}$ ) $displaystyle (x_{1},x_{2},y_{1$},y_{1$},$y_{1},$y_{2},z)$를 비밀 키로$$ 유지한다.그 그룹은 시스템 사용자들 사이에 공유될 수 있다.

암호화

공용 키$({\displaystyle G,}$ ${\displaystyle q,}$ ${\displaystyle {}_{}}$ ${\displaystyle {1\mathrm{}}_{}}$,${\displaystyle {}_{}}$g ${\displaystyle {2\mathrm{}}_{}}$,${\displaystyle {}_{}c,}$ ${\displaystyle d,}$ ${\displaystyle h}$) ${\displaystyle(G,q,g_{1},g_{2},c,d,h)$ 아래에 있는 앨리스에게 메시지$$ $m{\displaystyle }$ ${\displaystym m}$을(를) 암호화하려면$,$

• Bob은 $m{\displaystyle }$ ${\displaystyle m}$을(를) $G{\displaystyle }$ ${\displaystyle G}$의 요소로 변환한다$.$
• 밥은${\displaystyle }${${\displaystyle 0}$,${\displaystyle }$… ,${\displaystyle q}$ - ${\displaystyle \{0,\ldots ,q-1\}$에서 랜덤 $k{\displaystyle }$ ${\displaystyle$ k$}$을(를$)$ 선택한 후 다음을 계산한다.
  • ${\displaystyle u_{1}={g}_{1}^{k},u_{2}={g}_{2}^{k}}}}}}$
  • ${\displaystyle e=h^{k}m}$
  • ${\displaystyle \alpha }$= ${\displaystyle H({}_{}}$ ${\displaystyle {1\mathrm{}}_{}}$,${\displaystyle {}_{}u}$ 2,${\displaystyle {}_{}}$e )${\displaystyle \alpha =H(u_{1},u_{2},e$ 여기서 H()는 보편적인 단방향 해시함수(또는 더 강력한 요구 조건인 충돌저항 암호해시함수)이다.
  • ${\displaystyle v=c^{k^{k}d^{k\message }}}$
• 밥은 암호문$({\displaystyle {}_{}}$ ${\displaystyle {1\mathrm{}}_{}}$,${\displaystyle {}_{}u}$ 2,${\displaystyle {}_{}}$e${\displaystyle }$, ${\displaystyle v}$) ${\displaystyle (u_{1},u_{2},e,v)}$을 앨리스에게 보낸다$$.

암호 해독

앨리스의 비밀 키$({\displaystyle {}_{}}$ ${\displaystyle {1\mathrm{}}_{}}$,${\displaystyle {}_{}{}_{}}$ 2,${\displaystyle {}_{}{}_{}}$ ${\displaystyle {1\mathrm{}}_{}}$,${\displaystyle {}_{}}$y 1, ${\displaystyle {}_{}}$ 1, ${\displaystyle y}$ ${\displaystyle {2\mathrm{}}_{}}$,${\displaystyle }$z$$)로$$ 암호문$(u$1, ${\displaystyle {u\mathrm{}}_{}}$ 2, $u_{1},$ e$,v) {\$$displaystyle(x_{1},x_{2},y_{$1},$y_{2},z$)을 해독하려면$,$

• Alice computes ${\displaystyle \alpha =H(u_{1},u_{2},e)\,}$ and verifies that ${\displaystyle {u}_{1}^{x_{1}}u_{2}^{x_{2}}({u}_{1}^{y_{1}}u_{2}^{y_{2}})^{\alpha }=v\,}$. If this test fails, further decryption is a구획이 되면 출력이 거부된다.
• 그렇지 않으면 앨리스는 $일반{\displaystyle }$ ${\displaystyle \mathrm{텍스트}}$를 m${\displaystyle }$= e${\displaystyle }$/ (${\displaystyle {}_{}^{}}$ ${\displaystyle {\mathrm{}}_{}^{}}$ ${\displaystyle {}_{}^{}}$) ${\$로 계산한다$.$

암호 해독 단계는 다음부터 올바른 형식의 암호문을 해독한다.

${\displaystyle u_{}^{}}$ ${\displaystyle {\mathrm{}}_{}^{}}$ ${\displaystyle {}_{}^{}}$= ${\displaystyle {}_{}^{}}$ ${\displaystyle {1k}^{}}$ ${\displaystyle z_{}^{}}$= h ${\displaystyle {}^{}}$ $displaystyle {u}_{1}^{z}={g}={1}^{1}^{kz}=h^{$$k{\displaystyle }$$\}\backslash ,$${\displaystyle m}$ = ${\displaystyle e^{}}$/ ${\displaystyle h{}^{}}$. {\$displaystyle$ m$=e/$h^{$k}.\,}$

$가능$한 메시지의 공간이 G ${\displaystyle G}$크기보다 크면 Cramer–슈프는 긴 메시지의 효율성을 향상시키기 위해 하이브리드 암호 시스템에 사용될 수 있다.

참조

• 로널드 크레이머와 빅터 슈프.Crypto 1998, LNCS 1462, 페이지 13ff(ps,pdf) 절차에서 "적응적으로 선택된 암호문 공격에 대해 실용적인 공개 키 암호 시스템"
• 크레이머의 장난감 구현Emacs Lisp 및 Java의 Shoup
• 1998년 Cramer와 Shoup의 Wired News와 Bruce Schneier의 Crypto-Gram에 실린 출판물의 빈티지 뉴스 보도
• 2002년 Eurocrypt, LNCS 2332, 페이지 45–64의 진행에서 Ronald Cramer와 Victor Shoup: "Universal hash proofs and produced secure public key encryption."전체 버전(pdf)