Criptografia. Aula 4: Autenticação de mensagens e canais seguros. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019

Transcrição

1 Criptografia Aula 4: Autenticação de mensagens e canais seguros Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019

2 Integridade e autenticação de mensagens Message Authentication Codes Funções de hash resistentes a colisões Combinação de confidencialidade e integridade

3 Integridade das mensagens Além de confidencialidade, um canal seguro necessita também de garantias de integridade e autenticidade. Um mal entendido muito comum é o de que a utilização de cifras fornece algum tipo de autenticidade: Se a cifra esconde tudo sobre a mensagem, então Alterando o criptograma provocará alterações na mensagem O receptor certamente conseguirá detectar a alteração Esta intuição está errada: Em qualquer cifra sequencial (mesmo segura) a alteração de um bit de criptograma altera um bit de texto limpo. Mesmo no modo CBC é possível alterar selectivamente os bits do primeiro bloco decifrado. O Message Authentication Code (MAC) é a primitiva criptográfica que permite tratar directamente a integridade e autenticidade de mensagens num cenário simétrico.

4 Integridade e autenticação de mensagens Message Authentication Codes Funções de hash resistentes a colisões Combinação de confidencialidade e integridade

5 Sintaxe de um Message Authentication Code Um esquema de MAC define três algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave k. Vamos assumir que k n. Geralmente Gen usa a distribuição uniforme sobre {0, 1} n.

6 Sintaxe de um Message Authentication Code Um esquema de MAC define três algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave k. Vamos assumir que k n. Geralmente Gen usa a distribuição uniforme sobre {0, 1} n. Um algoritmo de geração de tags Mac que, dados uma chave k e uma mensagem m {0, 1}, devolve uma tag t.

7 Sintaxe de um Message Authentication Code Um esquema de MAC define três algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave k. Vamos assumir que k n. Geralmente Gen usa a distribuição uniforme sobre {0, 1} n. Um algoritmo de geração de tags Mac que, dados uma chave k e uma mensagem m {0, 1}, devolve uma tag t. Um algoritmo de verificação determinístico Ver que, dados uma chave k, uma mensagem m e uma tag t, devolve T ou F.

8 Sintaxe de um Message Authentication Code Um esquema de MAC define três algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave k. Vamos assumir que k n. Geralmente Gen usa a distribuição uniforme sobre {0, 1} n. Um algoritmo de geração de tags Mac que, dados uma chave k e uma mensagem m {0, 1}, devolve uma tag t. Um algoritmo de verificação determinístico Ver que, dados uma chave k, uma mensagem m e uma tag t, devolve T ou F. A propriedade de correcção exige que, para todo o n, todas as mensagens m {0, 1} e todas a chaves k geradas por Gen(1 n ): Pr[ Ver k (m, Mac k (m)) = T ] = 1.

9 Sintaxe de um Message Authentication Code Um esquema de MAC define três algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave k. Vamos assumir que k n. Geralmente Gen usa a distribuição uniforme sobre {0, 1} n. Um algoritmo de geração de tags Mac que, dados uma chave k e uma mensagem m {0, 1}, devolve uma tag t. Um algoritmo de verificação determinístico Ver que, dados uma chave k, uma mensagem m e uma tag t, devolve T ou F. A propriedade de correcção exige que, para todo o n, todas as mensagens m {0, 1} e todas a chaves k geradas por Gen(1 n ): Pr[ Ver k (m, Mac k (m)) = T ] = 1. Quando o espaço de mensagens está limitado a {0, 1} l(n), dizemos que se trata de um MAC para mensagens de comprimento fixo. Nesse caso impomos que Ver retorne F para m / {0, 1} l(n).

10 Segurança de um MAC Definição Seja o jogo Auth uf A,Π aquele definido em baixo e seja Π = (Gen, Mac, Ver) um esquema de MAC. Então Π é UF-CMA-seguro se, para qualquer adversário PPT A, existe uma função negligenciável negl tal que: Pr[ Auth uf A,Π(1 n ) T ] negl(n). Game Auth uf A,Π(1 n ): List [ ] k $ Gen(1 n ) (m, t) $ A Auth (1 n ) Return Ver k (m, t) = T m / List Oracle Auth(m): List m : List t $ Mac k (m) Return t

11 Segurança de um MAC Definição Seja o jogo Auth uf A,Π aquele definido em baixo e seja Π = (Gen, Mac, Ver) um esquema de MAC. Então Π é UF-CMA-seguro se, para qualquer adversário PPT A, existe uma função negligenciável negl tal que: Pr[ Auth uf A,Π(1 n ) T ] negl(n). Game Auth uf A,Π(1 n ): List [ ] k $ Gen(1 n ) (m, t) $ A Auth (1 n ) Return Ver k (m, t) = T m / List Oracle Auth(m): List m : List t $ Mac k (m) Return t O adversário pode escolher as mensagens que são autenticadas antes de falsificar uma tag para uma nova mensagem qualquer. Realista?

12 Ataques por repetição O modelo anterior não protege as aplicações contra ataques por repetição.

13 Ataques por repetição O modelo anterior não protege as aplicações contra ataques por repetição. A maneira usual de lidar com esses ataques é deixa-los ao cuidado dos protocolos de alto nível. Esses protocolos devem assegurar que os parceiros legítimos nunca autenticam duas mensagens iguais:

14 Ataques por repetição O modelo anterior não protege as aplicações contra ataques por repetição. A maneira usual de lidar com esses ataques é deixa-los ao cuidado dos protocolos de alto nível. Esses protocolos devem assegurar que os parceiros legítimos nunca autenticam duas mensagens iguais: Através da inclusão de time-stamps, o que implica sincronização de relógios, mas permite eliminar estado de longa duração.

15 Ataques por repetição O modelo anterior não protege as aplicações contra ataques por repetição. A maneira usual de lidar com esses ataques é deixa-los ao cuidado dos protocolos de alto nível. Esses protocolos devem assegurar que os parceiros legítimos nunca autenticam duas mensagens iguais: Através da inclusão de time-stamps, o que implica sincronização de relógios, mas permite eliminar estado de longa duração. Através da utilização de números de sequência, o que implica manter estado de longa duração.

16 Funções de hash criptográficas Uma função de hash H é uma função que recebe uma sequência de tamanho arbitrário e a comprime para uma sequência mais curta. As funções de hash resistentes a colisões têm a propriedade de ser impraticável encontrar dois valores x x tal que H(x) = H(x ). A resistência a colisões é trivial de atingir no caso de não ser necessária compressão.

17 Funções de hash criptográficas Uma função de hash H é uma função que recebe uma sequência de tamanho arbitrário e a comprime para uma sequência mais curta. As funções de hash resistentes a colisões têm a propriedade de ser impraticável encontrar dois valores x x tal que H(x) = H(x ). A resistência a colisões é trivial de atingir no caso de não ser necessária compressão. Formalmente, tal como no caso das funções pseudo-aleatórias, vamos falar de funções de hash H indexadas por uma chave s. Esta chave não tem de ser secreta! Para evidenciar este facto, vamos escrever H s (x).

18 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT:

19 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s.

20 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s. Um algoritmo determinístico de avaliação H tal que, existe um polinómio l( ) para o qual, dados uma chave s e uma mensagem x {0, 1}, H s (x) devolve uma imagem h {0, 1} l(n). Se H s está definida apenas para inputs x {0, 1} l (n) com l (n) > l(n), então dizemos que a função de hash trata mensagens de tamanho fixo.

21 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s. Um algoritmo determinístico de avaliação H tal que, existe um polinómio l( ) para o qual, dados uma chave s e uma mensagem x {0, 1}, H s (x) devolve uma imagem h {0, 1} l(n). Se H s está definida apenas para inputs x {0, 1} l (n) com l (n) > l(n), então dizemos que a função de hash trata mensagens de tamanho fixo. A definição impõe compressão, mesmo no caso de mensagens de tamanho fixo.

22 Integridade e autenticação de mensagens Message Authentication Codes Funções de hash resistentes a colisões Combinação de confidencialidade e integridade

23 Funções de hash resistentes a colisões Uma função de hash H é uma função que recebe uma sequência de tamanho arbitrário e a comprime para uma sequência mais curta. As funções de hash resistentes a colisões têm a propriedade de ser impraticável encontrar dois valores x x tal que H(x) = H(x ). A resistência a colisões é trivial de atingir no caso de não ser necessária compressão.

24 Funções de hash resistentes a colisões Uma função de hash H é uma função que recebe uma sequência de tamanho arbitrário e a comprime para uma sequência mais curta. As funções de hash resistentes a colisões têm a propriedade de ser impraticável encontrar dois valores x x tal que H(x) = H(x ). A resistência a colisões é trivial de atingir no caso de não ser necessária compressão. Formalmente, tal como no caso das funções pseudo-aleatórias, vamos falar de funções de hash H indexadas por uma chave s. No entanto, esta chave não tem de ser secreta! Para evidenciar este facto, vamos escrever H s (x).

25 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT:

26 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s.

27 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s. Um algoritmo determinístico de avaliação H tal que, existe um polinómio l( ) para o qual, dados uma chave s e uma mensagem x {0, 1}, H s (x) devolve uma imagem h {0, 1} l(n). Se H s está definida apenas para inputs x {0, 1} l (n) com l (n) > l(n), então dizemos que a função de hash trata mensagens de tamanho fixo.

28 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s. Um algoritmo determinístico de avaliação H tal que, existe um polinómio l( ) para o qual, dados uma chave s e uma mensagem x {0, 1}, H s (x) devolve uma imagem h {0, 1} l(n). Se H s está definida apenas para inputs x {0, 1} l (n) com l (n) > l(n), então dizemos que a função de hash trata mensagens de tamanho fixo. A definição impõe compressão, mesmo no caso de mensagens de tamanho fixo. A função de hash é geralmente pública, ou seja, a chave s tem de ser divulgada.

29 Resistência a colisões Definição Seja o jogo Hash cr A,Π aquele definido em baixo e seja Π = (Gen, H) um esquema de MAC. Então Π é CR-seguro se, para qualquer adversário PPT A, existe uma função negligenciável negl tal que: Pr[ Hash cr A,Π(1 n ) T ] negl(n). Game Hash cr A,Π(1 n ): s $ Gen(1 n ) (x, x ) $ A(s) Return x x H s (x) = H s (x ) No caso de mensagens de tamanho fixo, um adversário é legítimo se x, x {0, 1} l(n).

30 Noções de segurança mais fracas para funções de hash A resistência a colisões é uma propriedade forte e difícil de atingir. Em muitas aplicações é suficiente um nível de segurança menor:

31 Noções de segurança mais fracas para funções de hash A resistência a colisões é uma propriedade forte e difícil de atingir. Em muitas aplicações é suficiente um nível de segurança menor: Resistência a encontrar uma segunda pré-imagem: Dados s e x, é impraticável encontrar x x tal que H s (x) = H s (x ).

32 Noções de segurança mais fracas para funções de hash A resistência a colisões é uma propriedade forte e difícil de atingir. Em muitas aplicações é suficiente um nível de segurança menor: Resistência a encontrar uma segunda pré-imagem: Dados s e x, é impraticável encontrar x x tal que H s (x) = H s (x ). Resistência a encontrar uma pré-imagem: Dado s e H s (x), é impraticável encontrar x tal que H s (x) = H s (x ).

33 Noções de segurança mais fracas para funções de hash A resistência a colisões é uma propriedade forte e difícil de atingir. Em muitas aplicações é suficiente um nível de segurança menor: Resistência a encontrar uma segunda pré-imagem: Dados s e x, é impraticável encontrar x x tal que H s (x) = H s (x ). Resistência a encontrar uma pré-imagem: Dado s e H s (x), é impraticável encontrar x tal que H s (x) = H s (x ). Qualquer função de hash que seja resistente a colisões, é também resistente a encontrar uma segunda pré-imagem. Porquê?

34 Noções de segurança mais fracas para funções de hash A resistência a colisões é uma propriedade forte e difícil de atingir. Em muitas aplicações é suficiente um nível de segurança menor: Resistência a encontrar uma segunda pré-imagem: Dados s e x, é impraticável encontrar x x tal que H s (x) = H s (x ). Resistência a encontrar uma pré-imagem: Dado s e H s (x), é impraticável encontrar x tal que H s (x) = H s (x ). Qualquer função de hash que seja resistente a colisões, é também resistente a encontrar uma segunda pré-imagem. Porquê? Qualquer função de hash imponha uma compressão significativa e que seja resistente a encontrar uma segunda pré-imagem, é também resistente a encontrar uma pré-imagem. Porquê?

35 Ataques genéricos a funções de hash Existem ataques genéricos que indicam limites inferiores para o tamanho do output de uma função de hash resistentes a colisões. O ataque Birthday funciona da seguinte forma: Geram-se q valores distintos x 1,..., x q em {0, 1} 2l(n). Calculam-se todos os valores H s (x i ) e verifica-se se existe uma colisão. Qual a probabilidade de se encontrar uma colisão?

36 Ataques genéricos a funções de hash Existem ataques genéricos que indicam limites inferiores para o tamanho do output de uma função de hash resistentes a colisões. O ataque Birthday funciona da seguinte forma: Geram-se q valores distintos x 1,..., x q em {0, 1} 2l(n). Calculam-se todos os valores H s (x i ) e verifica-se se existe uma colisão. Qual a probabilidade de se encontrar uma colisão? Se q > 2 l(n) essa probabilidade é 1.

37 Ataques genéricos a funções de hash Existem ataques genéricos que indicam limites inferiores para o tamanho do output de uma função de hash resistentes a colisões. O ataque Birthday funciona da seguinte forma: Geram-se q valores distintos x 1,..., x q em {0, 1} 2l(n). Calculam-se todos os valores H s (x i ) e verifica-se se existe uma colisão. Qual a probabilidade de se encontrar uma colisão? Se q > 2 l(n) essa probabilidade é 1. Para analizar q menor, vamos considerar a probabilidade mais desfavorável. Assumir função de hash ideal, em que os novos outputs tomam a distribuição uniforme.

38 Ataques genéricos a funções de hash Qual a probabilidade de y 1,..., y q $ {0, 1} l(n) gerar pelo menos uma repetição?

39 Ataques genéricos a funções de hash Qual a probabilidade de y 1,..., y q $ {0, 1} l(n) gerar pelo menos uma repetição? Exactamente o problema analisado pelo paradoxo do aniversário : bastam 23 pessoas numa sala para haver mais de 50% de hipóteses de uma repetição.

40 Ataques genéricos a funções de hash Qual a probabilidade de y 1,..., y q $ {0, 1} l(n) gerar pelo menos uma repetição? Exactamente o problema analisado pelo paradoxo do aniversário : bastam 23 pessoas numa sala para haver mais de 50% de hipóteses de uma repetição. Em geral, se q = Θ(2 l(n)/2 ) a probabilidade é superior a 1/2.

41 Ataques genéricos a funções de hash Qual a probabilidade de y 1,..., y q $ {0, 1} l(n) gerar pelo menos uma repetição? Exactamente o problema analisado pelo paradoxo do aniversário : bastam 23 pessoas numa sala para haver mais de 50% de hipóteses de uma repetição. Em geral, se q = Θ(2 l(n)/2 ) a probabilidade é superior a 1/2. Com uma ordenação dos outputs, o tempo de execução pode ser T = O(l(n) 2 l(n)/2 ). Se queremos que este tempo seja exponencial no parâmetro de segurança, podemos fazer log(t ) n.

42 Ataques genéricos a funções de hash Qual a probabilidade de y 1,..., y q $ {0, 1} l(n) gerar pelo menos uma repetição? Exactamente o problema analisado pelo paradoxo do aniversário : bastam 23 pessoas numa sala para haver mais de 50% de hipóteses de uma repetição. Em geral, se q = Θ(2 l(n)/2 ) a probabilidade é superior a 1/2. Com uma ordenação dos outputs, o tempo de execução pode ser T = O(l(n) 2 l(n)/2 ). Se queremos que este tempo seja exponencial no parâmetro de segurança, podemos fazer log(t ) n. Daqui retiramos l(n) 2 n, hoje com n 80. (Estas conclusões não se aplicam em termos assimptóticos e a modelos de segurança mais fracos.)

43 Construções resistentes a colisões A construção de Merkle-Damgård permite estender qualquer função de hash para mensagens de tamanho fixo e CR-segura para mensagens de tamanho variável. Vamos supor uma função de hash (Gen, h) com h s : 2 l(n) l(n). Esta função chama-se a função de compressão. Algorithm Gen(1 n ) s $ Gen (1 n ) Return s Algorithm H s (x) Se x 2 l(n) Return B x /l(n) x pad(x, 0, l(n)) (x 1,..., x B ) partition(x, l(n)) x B+1 x z 0 0 l(n) // Vector de inicialização (IV) For i [1... B + 1], z i h s (z i 1 x i ) Return B i+1 pad completa a mensagem com 0 até um múltiplo de l(n). partition parte a mensagem em blocos de tamanho l(n). x é codificado como uma sequência em {0, 1} l(n).

44 Segurança da construção Merkle-Damgård Teorema Se (Gen, h) é CR-segura para mensagens de tamanho fixo 2 l(n), então a construção anterior é CR-segura para mensagens de tamanho variável, até um máximo de 2 l(n) 1. Prova.

45 Segurança da construção Merkle-Damgård Teorema Se (Gen, h) é CR-segura para mensagens de tamanho fixo 2 l(n), então a construção anterior é CR-segura para mensagens de tamanho variável, até um máximo de 2 l(n) 1. Prova. Intuição: Uma colisão no valor final da cadeia só pode acontecer se houver uma colisão em h s num dos passos intermédios. Consideram-se duas situações: x x. Neste caso a colisão acontece no último bloco. x = x. Neste caso, é fácil justificar que existe um ponto na sequência tal que inputs diferentes a h s (justificados por x x ) produzem outputs iguais (justificados por H s (x) = H s (x )).

46 Funções de hash criptográficas na prática Existem construções de funções de hash CR-seguras com provas de segurança que as relacionam com problemas de teoria de números. No entanto, aquelas utilizadas na prática (e.g., SHA-1) são, geralmente, desenhadas de forma ad-hoc.

47 Funções de hash criptográficas na prática Existem construções de funções de hash CR-seguras com provas de segurança que as relacionam com problemas de teoria de números. No entanto, aquelas utilizadas na prática (e.g., SHA-1) são, geralmente, desenhadas de forma ad-hoc. Estas funções não têm chaves. Podemos ver esta opção como a geração de uma única chave s que é fixada na descrição de H. Formalmente existe sempre um algoritmo que quebra esta função: Consideremos o algoritmo que tem fixas na sua descrição duas mensagens x e x tal que H s (x) = H s (x ). Este algoritmo certamente existe e consegue encontrar uma colisão com probabilidade 1.

48 Funções de hash criptográficas na prática Existem construções de funções de hash CR-seguras com provas de segurança que as relacionam com problemas de teoria de números. No entanto, aquelas utilizadas na prática (e.g., SHA-1) são, geralmente, desenhadas de forma ad-hoc. Estas funções não têm chaves. Podemos ver esta opção como a geração de uma única chave s que é fixada na descrição de H. Formalmente existe sempre um algoritmo que quebra esta função: Consideremos o algoritmo que tem fixas na sua descrição duas mensagens x e x tal que H s (x) = H s (x ). Este algoritmo certamente existe e consegue encontrar uma colisão com probabilidade 1. Na prática assume-se que é impraticável construir este algoritmo, o que é difícil de formalizar. Conclusão: As provas de segurança que se baseiam em CR-segurança não são estritamente válidas.

49 NMAC O NMAC (nested MAC) usa uma construção tipo Merkle-Damgård em que a função de compressão é utilizada para misturar chaves secretas com as mensagens. m 1 m 2 m k 2 s h s h s h k 1 s h t A prova de segurança assume que o último passo é um MAC para mensagens de tamanho fixo e que h é resistente a colisões.

50 HMAC Se quisermos utilizar o NMAC com uma função de hash criptográfica standardizada, então o vector de inicialização da construção Merkle-Damgård tem de ser alterado. Na realidade o NMAC não é muito utilizado na prática, mas sim o seu antecessor HMAC, que é uma norma internacional. O HMAC computa simplesmente t H s ((k opad) H s ((k ipad) m)) O HMAC é extremamente eficiente e implementável com componentes off-the-shelf.

51 Integridade e autenticação de mensagens Message Authentication Codes Funções de hash resistentes a colisões Combinação de confidencialidade e integridade

52 Cifras seguras contra chosen-ciphertext attacks Definição Seja o jogo Priv cca A,Π aquele definido em baixo e seja Π = (Gen, Enc, Dec) um esquema de cifra simétrico. Então Π é IND-CCA-seguro se, para qualquer adversário PPT A = (A 1, A 2 ), existe uma função negligenciável negl tal que: Pr[ Priv cca A,Π(1 n ) T ] negl(n). Game Priv cpa A,Π (1n ): k $ Gen(1 n ) (m 0, m 1, st) $ A Encrypt,Decrypt 1 (1 n ) b $ {0, 1} c $ Enc k (m b ) b $ A Encrypt,Decrypt 2 (c, st) Return b = b Oracle Encrypt(m): c $ Enc k (m) Return c Oracle Decrypt(c): m $ Dec k (c) Return m O adversário é legitimo se m 0 = m 1 e se A 2 não inclui c nas suas chamadas a Decrypt.

53 Propriedades do modelo IND-CCA Nenhum esquema pode ser seguro se não se excluir c das chamadas a Decrypt. Porquê? Poderá ser possível com estado. Como para o modelo IND-CPA, verifica-se a seguinte propriedade. Teorema Qualquer esquema de cifra simétrico que é IND-CCA-seguro, oferece o mesmo nível de segurança para múltiplas mensagens.

54 Propriedades do modelo IND-CCA Nenhum esquema pode ser seguro se não se excluir c das chamadas a Decrypt. Porquê? Poderá ser possível com estado. Como para o modelo IND-CPA, verifica-se a seguinte propriedade. Teorema Qualquer esquema de cifra simétrico que é IND-CCA-seguro, oferece o mesmo nível de segurança para múltiplas mensagens. Segurança neste modelo implica segurança IND-CPA. Implica também que os criptogramas são não-maleáveis. Porquê? Nenhum dos esquemas de cifra simétrica IND-CPA que estudámos atinge este nível de segurança.

55 Construção de um esquema IND-CCA Seja Π E = (Gen E, Enc, Dec) um esquema de cifra simétrico e seja Π M = (Gen M, Mac, Ver) um esquema de MAC. Define-se um esquema de cifra simétrico Π = (Gen, Enc, Dec ) da seguinte forma. Algorithm Gen (1 n ) k 1 $ Gen E (1 n ) k 2 $ Gen M (1 n ) Return (k 1, k 2 ) Algorithm Enc (k 1,k 2 ) (m) c $ Enc k1 (m) t $ Mac k2 (c) Return (c, t) k 1 k 2 m Enc c Mac Algorithm Dec (k 1,k 2 )(c, t) If Ver k2 (c, t) = F Return Return Dec k1 (c) t c

56 Análise do esquema O algoritmo de decifração retorna um símbolo de falha quando detecta um criptograma inválido. Teorema Se Π E é IND-CPA-segura e Π M é UF-CMA segura e gera tags únicas, então Π é IND-CCA-segura. Prova. Intuição: O adversário não consegue fazer nenhuma chamada a Decrypt sem quebrar Π M. Excluída esta possibilidade, então o adversário essencialmente a quebrar a segurança de Π E. A segurança depende de uma propriedade especial do Mac. Porquê?

57 Análise do esquema O algoritmo de decifração retorna um símbolo de falha quando detecta um criptograma inválido. Teorema Se Π E é IND-CPA-segura e Π M é UF-CMA segura e gera tags únicas, então Π é IND-CCA-segura. Prova. Intuição: O adversário não consegue fazer nenhuma chamada a Decrypt sem quebrar Π M. Excluída esta possibilidade, então o adversário essencialmente a quebrar a segurança de Π E. A segurança depende de uma propriedade especial do Mac. Porquê? Definição Um esquema de MAC Π = (Gen, Mac, Ver) gera tags únicas se, para todas as chaves k geradas por Gen, e todas as mensagens m, existir apenas uma única tag t tal que Ver k (t, m) = T.

58 Canais seguros Geralmente na implementação de um canal seguro impomos garantias de confidencialidade e autenticidade. Será que todas as combinações de cifras e MACs são seguras? Encrypt-and-authenticate Authenticate-then-encrypt Encrypt-then-authenticate Algorithm Enc (k1,k 2)(m) c $ Enc k1 (m) t $ Mac k2 (m) Return (c, t) Algorithm Enc (k1,k 2)(m) t $ Mac k2 (m) c $ Enc k1 (m t) Return c Algorithm Enc (k1,k 2)(m) c $ Enc k1 (m) t $ Mac k2 (c) Return (c, t)

59 Canais seguros Antes de analisarmos a segurança das construções anteriores, é necessário definir o que entendemos por segurança neste contexto. Definimos um protocolo de transmissão de mensagens elementar entre dois parceiros e baseado numa cifra Π da seguinte forma: Os dois parceiros A e B executam num ambiente seguro o algoritmo k $ Gen(1 n ), e armazenam k. Se A pretende enviar uma mensagem m a B, calcula c $ Enc k (m) e envia-a pelo canal. Quando B recebe c, calcula m Dec k (c). Se m =, assinala um erro. Caso contrário, assinala a recepção de m. (Os protocolos práticos são muito mais complexos do que este, e necessitam de tratar múltiplas sessões entre múltiplos parceiros.)

60 Canais seguros/cifras autenticadas Definição Seja o jogo Auth mt A,Π aquele definido em baixo e seja Π = (Gen, Enc, Dec) um esquema de cifra. Então Π é uma instanciação segura para o protocolo de transmissão de mensagens anterior se é IND-CCA-seguro e se, para qualquer adversário PPT A, existe uma função negligenciável negl tal que: Pr[ Auth mt A,Π(1 n ) T ] negl(n). Game Auth mt A,Π(1 n ): List [ ] k $ Gen(1 n ) c $ A Encrypt (1 n ) Return Dec k (c) m / List Oracle Encrypt(m): List m : List c $ Enc k (m) Return c O adversário deve ser incapaz de encontrar um criptograma válido por si próprio (mesmo sem saber a mensagem). Realista?

61 Encrypt-and-authenticate Nesta construção, a mensagem é cifrada e autenticada independentemente: Será que combinando: c $ Enc k1 (m) and t $ Mac k2 (m). um esquema de cifra IND-CCA-seguro com um esquema de MAC UF-CMA-seguro, obtemos um esquema de cifra seguro para transmissão de mensagens?

62 Encrypt-and-authenticate Nesta construção, a mensagem é cifrada e autenticada independentemente: Será que combinando: c $ Enc k1 (m) and t $ Mac k2 (m). um esquema de cifra IND-CCA-seguro com um esquema de MAC UF-CMA-seguro, obtemos um esquema de cifra seguro para transmissão de mensagens? Considere-se um esquema de MAC que divulga toda a mensagem nas tags que produz. A combinação deste MAC com qualquer cifra irá produzir uma nova cifra que não oferece qualquer segurança!

63 Authenticate-then-encrypt Nesta construção, a mensagem é primeiro autenticada, sendo a tag cifrada conjuntamente com a mensagem: t $ Mac k2 (m) then c $ Enc k1 (m t). Como anteriormente, será que combinando componentes seguros obtemos um esquema de cifra seguro para transmissão de mensagens?

64 Authenticate-then-encrypt Nesta construção, a mensagem é primeiro autenticada, sendo a tag cifrada conjuntamente com a mensagem: t $ Mac k2 (m) then c $ Enc k1 (m t). Como anteriormente, será que combinando componentes seguros obtemos um esquema de cifra seguro para transmissão de mensagens? Considere-se uma cifra por blocos utilizada em modo CTR, com a alteração de que se cifra a mensagem processada encode(m t). encode expande um bit 0 para 00 e um bit 1 para 10 ou 01. Para decifrar rejeita-se apenas 11. A cifra resultante é ainda IND-CPA segura. No entanto, qualquer esquema de MAC originará um esquema de cifra que não é IND-CCA-segura! Porquê?

65 Encrypt-then-authenticate Nesta construção, a mensagem é primeiro cifrada, sendo o criptograma depois autenticado: c $ Enc k1 (m) then t $ Mac k2 (c). Qualquer combinação de esquemas seguros resulta num esquema seguro! Teorema Se Π E é IND-CPA-segura e Π M é UF-CMA segura e gera tags únicas, então a combinação encrypt-then-mac é uma instanciação segura para o protocolo de transmissão de mensagens. Prova. Será que todos os esquemas IND-CCA são instanciações válidas?

66 Chaves independentes Será que nas construções anteriores é essencial que as chaves k 1 e k 2 sejam independentes? Considere-se uma permutação F fortemente pseudo-aleatória (o adversário tem acesso a F 1 ): Defina-se Enc k (m) = F k (m r) com r $ {0, 1} n/2. Defina-se Mac k (c) = F 1 k (c). Esta utilização da PRF resulta (independentemente) numa cifra IND-CCA-segura e num MAC UF-CMA-seguro. No entanto, a combinação encrypt-then-mac que reutiliza a mesma chave não oferece qualquer segurança. Porquê?

67 Galois-Counter Mode Para além de composições como as anteriores, há esquemas que visam atingir o nível de segurança necessário num canal seguro de forma integrada e optimizada. O modo GCM, standardizado no TLS 1.3 é um deles (Wikipedia):