2. ALGORİTMA/ÜRÜN HAKKINDA
Ronald Cramer ve Victor Shoup tarafından 1998
yılında Diffie-Hellman tarafından geliştirilen elGamal
kripto sisteminin bir uzantısıdır.
4. ALGORİTMA/ÜRÜN HAKKINDA
RONALD CRAMER
• 1968 doğumlu Hollandalı Profesör Amsterdam'daki Centrum
Wiskunde & Informatica'da (CWI) ve Leiden Üniversitesi ETH Zürih
teorik Bilgisayar Bilimleri Enstitüsü'nde akademik çalışmalarını
sürdürmektedir.
6. ALGORİTMA/ÜRÜN HAKKINDA
VICTOR SHOUP
Bilgisayar bilimcisi ve matematikçi. 1989 yılında Wisconsin-Madison
Üniversitesi'nden bilgisayar bilimleri alanında doktora yaptı ve lisans
eğitimini Wisconsin-Eau Claire Üniversitesi'nde yaptı. New York
Üniversitesi'ndeki Courant Matematik Bilimleri Enstitüsü'nde
algoritma ve şifreleme derslerine odaklanan bir profesördür. At&T
Bell Labs, Toronto Üniversitesi, Saarland Üniversitesinde IBM Zürih
Araştırma Laboratuvarı’nda görev almıştır.
7. Çalışması
• Cramer-Shoup sistemi, asimetrik anahtarlı şifreleme algoritmasıdır
ve standart kriptografik varsayımlar kullanılarak uyarlanabilir
seçilmiş şifreli metin saldırısına karşı güvenli olduğu kanıtlanmış ilk
verimli şemadır. Ronald Cramer ve Victor Shoup 1998 yılında
Diffie-Hellman tarafından geliştirilen elGamal kripto sisteminin bir
uzantısıdır. Son derece biçimlendirilebilir elGamal aksine, Cramer-
Shoup becerikli bir saldırgana karşı bile koruma sağlamak için SHA1
fonksiyonunu kullanır. Bu biçimlendirilebilirdik evrensel tek yönlü
hash fonksiyonu ve ek hesaplamalar kullanımı ile elde edilir,
ElGamal’ a göre iki kat daha büyük bir şifre metini elde edilir.
9. ÇALIŞMASI
Elgamal ve Cramer Shoup arasında bulunan en temel
farkın hash algoritmasının işleme katılmasıdır.
Öncelikle Elgamal şifreleme sistemini anlatılarak
Cramer Shoup sisteminin temelini anlamamıza
yardımcı olacaktır.
10. ELGAMAL ÇALIŞMASI
Bu şema, büyük bir asal p ile çalışır ve "mod p" aritmetik
işlemleri gerçekleştiren küme ile oluşturulur.
Zp = {‘0, . . . , p − 1},
Teknik nedenlerden dolayı, p, q'nun da asal olduğu formda
olmalıdır. Bu tür asal sayılar kolaylıkla inşa edilebilir.
11. ELGAMAL ÇALIŞMASI
P ile bölünemeyen belirli bir sayı için, mod p, x = 1 mod p
olacak şekilde en küçük pozitif tam sayı x olarak tanımlanır.
Böyle bir x her zaman vardır ve aslında, p = 2q + 1'in özel
formu nedeniyle x ya 1, 2, q veya 2q olmalıdır.
p = 2q + 1,
12. ELGAMAL ÇALIŞMASI
ElGamal şifreleme şemasını tanımlamak için, Zp'de sırası q
olan bir g sayısı seçmemiz gerekir. Yani, gq = 1 mod p ve bu
daha küçük sayı için geçerli değildir.
Bunu yaptıktan sonra (bu işlem hesaplama açısından
kolaydır), mod p sayıları azaltılmış dizisinin hiç kopya
içermediği ortaya çıkar. Yani G'yi bu sayılar kümesi olarak
tanımlıyoruz.
1, g, g2 , . . . , gq−1,
13. ELGAMAL ÇALIŞMASI
G'nin birçok özelliği vardır. İlk olarak G’nin asal sayı olması,
gx (mod p) 'deki elemanları çarptığımızda veya
böldüğümüzde, G'deki x elemanını geri elde ederiz. Teknik
olarak, G bir gruptur.
İkincisi, G için ax mod p hesaplamak istediğimizde, her
zaman x mod q değerini azaltabilir ve aynı sonucu elde
edebiliriz. Eğer axy mod p'yi hesaplamak istersek, önce xy
mod q ürününü küçültebiliriz ve çalışmak için çok daha
küçük bir sayı elde edebiliriz.
14. ELGAMAL ÇALIŞMASI
Üçüncüsü, hesaplama deneyimi, G'deki üs alma
sürecini "geri almanın" çok zor olduğunu gösterir.
Yani, gx mod p verildiğinde, x'i hesaplamak çok zordur.
Bu problem, ayrık logaritma problemi olarak bilinir ve
birkaç yıldır yoğun bir çalışmaya rağmen, onu verimli
bir şekilde çözmek için iyi bir algoritma
geliştirilememiştir.
15. ELGAMAL ÇALIŞMASI
Ayrık logaritma problemiyle ilgili birkaç sorun vardır. Diffie ve
Hellman’in anahtar değişim protokolüyle bağlantılı olarak ortaya
çıkan sözde Diffie-Hellman sorunu var. Sorun şudur: gx ve gy
verildiğinde, gxy 'yi hesaplayın. Açıktır ki, ayrık logaritma
problemini verimli bir şekilde çözebilirsek, o zaman Diffie-Hellman
problemini de verimli bir şekilde çözebiliriz: x'i hesaplayın, y'yi
hesaplayın ve sonra gxy 'yi hesaplayın. Bu problemi çözmek
potansiyel olarak ayrık logaritma probleminden daha kolaydır,
ancak şu anda tüm kanıtlar durumun böyle olmadığını
göstermektedir.
16. ELGAMAL ÇALIŞMASI
Bir de Diffie-Hellman probleminin kesin versiyonu var. Sorun şudur: gx, gy ve
gz verildiğinde, gz = gxy olup olmadığını belirleyin. Açıktır ki, ayrık logaritma
problemini veya Diffie-Hellman problemini verimli bir şekilde çözebilirsek, bu
problemi de verimli bir şekilde çözebiliriz. Bu problem aynı zamanda
potansiyel olarak ayrık logaritma ve Diffie-Hellman problemlerinden daha
kolaydır, ancak şu anda tüm kanıtlar durumun böyle olmadığını
göstermektedir.
Karar verici Diffie-Hellman problemi, orijinal Diffie-Hellman anahtar değişim
protokolü dahil olmak üzere birçok kriptografik protokolün temelini
oluşturur. Karar verici Diffie-Hellman varsayımının kullanıldığı diğer yerler
şunlardır: Bu şemada, mesajların aslında yapılması kolay olan G'deki öğeler
olarak kodlanabileceğini varsayıyoruz.
18. ELGAMAL ÇALIŞMASI
ElGamal şifreleme, kararlı Diffie-Hellman sorununun zor
olduğunu varsayarak anlamsal olarak güvenlidir. Ancak,
seçilmiş şifreli metin saldırısına karşı güvenli değildir.
Özellikle, önemsiz bir şekilde (u, e) m'yi şifrelerse, o zaman
(u, ea) ma'yı şifreler.
19. CRAMER-SHOUP CRYPTOSYSTEM ÇALIŞMASI
Cramer-Shoup Cryptosystem, ElGamal'ın bir uzantısıdır.
Çıktısı Zq'da bir sayı olarak yorumlanabilen bir H (hash)
fonksiyonuna ihtiyacımız var. H'de çarpışmaları bulmak zor
olmalı. Şifreleme için SHA-1 hash işlevini kullanmaktır.
Aslında, maliyet ve karmaşıklıkta oldukça küçük bir artışla,
H'yi tamamen ortadan kaldırabiliriz.
21. CRAMER-SHOUP CRYPTOSYSTEM ÇALIŞMASI
(u1, e) bir ElGamal şifrelemesidir. u2 ve v, aslında çok özel bir "hata tespit
kodu" türüdür. Düzgün oluşturulmuş şifreli metin için, u1 = g1
r1 ve u2 = g2
r2
ise, r1 = r2 olduğunu her zaman saklamaktadır. Bu tür şifreli metinlere
"doğru" diyelim. Artık, seçilmiş bir şifreli metin saldırısı gerçekleştirirken, r1’
in r2’ye eşit olmadığı durumlarda şifresi çözülememektedir. Şifre çözme
algoritmasındaki testin amacı budur. Bu test, esasen tüm yasal olmayan
şifreli metinlerin reddedilmesini sağlayacaktır. Şifrelemedeki v grup öğesi,
şifre çözme algoritması ile doğrulanmasını sağlar. Hesaplamadaki α = H (u1,
u2, e) hash fonksiyonunun amacı, diğer şifreli metinin ele geçirilmesini
önlemektir.
v ?=? u1
x1+α1y1u2
x2+αy2
22. CRAMER-SHOUP CRYPTOSYSTEM ÇALIŞMASI
Bu tür yasadışı şifreli metinleri reddederek, gizli anahtar
hakkında hiçbir bilginin sızdırılmadığı ve bu da seçilen şifreli
metin saldırısını etkin bir şekilde "etkisiz hale getirdiği"
ortaya çıktı. Hata kodu bilgisi herhangi bir yararlı bilgiyi
sızdırmaz.
Cramer-Shoup hem hesaplama süresi hem de şifreleme
boyutu açısından ElGamal'dan yaklaşık iki kat uzundur.
23. CRAMER-SHOUP CRYPTOSYSTEM ÇALIŞMASI
Cramer-Shoup şifre çözme süresi RSA ile aynıdır.
Genellikle endişelendiğimiz aşırı yüklenmiş bir sunucu
ve birçok protokol ile sunucu şifreleme değil,
çoğunlukla şifre çözme yapmaktadır. Yani bu önemli
senaryoda, Cramer-Shoup RSA ile aynı seviyededir.
24. CRAMER-SHOUP CRYPTOSYSTEM KRIPTOANALIZ
Uyarlanabilir seçilmiş düz metinlere karşı güvenlik,
biçimlendirilememe ile eşdeğerdir. Bu senaryoda, düşman
m'nin c şifreleme bilgisine sahiptir ve kendi seçiminin
şifresini çözebilir. Ancak burada amacı, m ile ilgili başka bir
m’ mesajını şifrelemektir. Şekillendirilmemede m ve m’
arasındaki tek bilinen ilişkinin m’ = m + 1 olduğu varsayımı
altında kanıtlanmıştır.
m’ = γ · m için bir saldırı, γ ∈ G.
25. CRAMER-SHOUP CRYPTOSYSTEM KRIPTOANALIZ
G, ayrık logaritma probleminin çözülemeyeceği bir p asal sayı
grubu olsun ve g bir G üreteci olsun. Privete key, yalnızca kullanıcı
tarafından bilinen bir çift x, y ∈ G tarafından verilir. Genel anahtar
(w1, w2) = (gx, gy) olarak türetilmiştir. Ayrıca H*, çarpışmaya dirençli
hash fonksiyonları ailesi olsun. Bir m ∈ G mesajının şifrelenmesi;
rasgele r ∈ G ve bir hash fonksiyonu h ∈ H∗ ile eşit olarak seçin.
Hash'nin şifre çözme için açıklandığını, ancak r'nin açıklanmadığını
unutmayın. Sonra u = gr, v = m·w1
1, α = h (u, v) ve β = w1
α · w2
r 'yi
hesaplayın. Şifreli metin üçlü (u, v, β) ile verilir.
26. CRAMER-SHOUP CRYPTOSYSTEM KRIPTOANALIZ
Şifre çözme için aşağıdaki algoritmaya sahiptir. İlk olarak α =
h (u, v) hesaplanır. Daha sonra β = w1
α · uy 'un tutup
tutmadığı doğrulanır. Tutmazsa, algoritma "reddet"
sonucunu çıkarır, aksi takdirde şifreli metnin geçerli olduğu
söylenir ve algoritma şifresi çözülmüş m = v · u − x mesajını
çıkarır.
27. CRAMER-SHOUP CRYPTOSYSTEM KRIPTOANALIZ
Saldırı: Bir m mesajının herhangi bir şifrelemesi için, bir
rakibin herhangi bir γ ∈ G için γ · m şifreleme elde
edebileceğini kanıtlıyoruz. Bu, şemanın şekillendirilebilir
olduğu ve dolayısıyla uyarlanabilir seçilmiş şifreli metin
saldırılarına karşı dirençli olmadığı anlamına gelmektedir.
28. CRAMER-SHOUP CRYPTOSYSTEM KRIPTOANALIZ
Mesajın şifrelemesinin (u, v, β) bilinmesine izin verin.
Daha sonra düşman, herhangi bir γ ∈ G değeri için m’
= γ · m 'yi aşağıdaki şekilde şifreleyebilir. İlk olarak r’ =
r ve h’ = h ayarlayın. Devam etmek için r'nin değerini
bilmemize gerek olmadığını unutmayın. Şimdi u’ = gr’
= gr = u olduğunu izler. Daha sonra v’ = m’ · w1
r’ = γ · m
· w1
r = γ · v, α’ = h(u’, v’) ve β’ = w1
α’ · w2
r’ = w1
α’ ·β · w1
-
a, şifreli metni üçlü elde etmek için hesaplayın (u’, v’,
β’).
29. CRAMER-SHOUP CRYPTOSYSTEM KRIPTOANALIZ
Şifreli metin geçerlidir, çünkü β’ = w1
α’ · β · w1
-a = w1
α’. w1
α . uy . w1
-a
= w1
α . u y = w1
α . ( u’ )y
Bu nedenle, şifre çözme algoritması v’ · ( u’ )-x = v ·γ ·u-x = γ ·m = m’
çıktısını verecektir.
Bu, planın şekillendirilebilir olduğu anlamına gelir. Ayrıca,
yukarıdaki yöntemle 2m'lik şifreleme oluşturularak ve ardından
şifresinin çözülmesi sağlanarak uyarlanabilir bir seçilmiş düz metin
saldırısı yapılabilir. Daha sonra m, şimdi elde edilen 2m değerinden
hesaplanabilir.