Formbarhet (kryptografi)

Formbarhet är en egenskap hos vissa kryptografiska algoritmer . En krypteringsalgoritm är "formbar" om det är möjligt att omvandla en chiffertext till en annan chiffertext som dekrypterar till en relaterad klartext . Det vill säga, givet en kryptering av en klartext ${\displaystyle m}$ , är det möjligt att generera en annan chiffertext som dekrypterar till ${\displaystyle f(m)}$ , för en känd funktion ${\displaystyle f}$ , utan att nödvändigtvis veta eller lära sig ${\displaystyle m}$ .

Formbarhet är ofta en oönskad egenskap i ett allmänt kryptosystem, eftersom det tillåter en angripare att ändra innehållet i ett meddelande. Anta till exempel att en bank använder ett strömchiffer för att dölja sin finansiella information, och en användare skickar ett krypterat meddelande som innehåller, säg, " ÖVERFÖRA $0000100.00 TILL KONTO #199 ." Om en angripare kan ändra meddelandet på tråden och kan gissa formatet på det okrypterade meddelandet, kan angriparen ändra transaktionsbeloppet eller mottagaren av pengarna, t.ex. "ÖVERFÖRA $0100000.00 TILL KONTO #227 " . Formbarhet hänvisar inte till angriparens förmåga att läsa det krypterade meddelandet. Både före och efter manipulering kan angriparen inte läsa det krypterade meddelandet.

Å andra sidan är vissa kryptosystem formbara genom design. Med andra ord, under vissa omständigheter kan det ses som en funktion att vem som helst kan omvandla en kryptering av ${\displaystyle m}$ till en giltig kryptering av ${\displaystyle f(m)}$ (för vissa begränsade klasser av funktioner ${\displaystyle f}$ ) utan att nödvändigtvis lära sig ${\displaystyle m}$ . Sådana scheman är kända som homomorfa krypteringsscheman .

Ett kryptosystem kan vara semantiskt säkert mot valda klartextattacker eller till och med icke-adaptivt valda chiffertextattacker (CCA1) samtidigt som det är formbart. Säkerhet mot adaptiva valda chiffertextattacker (CCA2) är dock likvärdig med icke-formbarhet.

Exempel på formbara kryptosystem

I ett strömchiffer produceras chiffertexten genom att ta den exklusiva eller av klartexten och en pseudoslumpmässig ström baserat på en hemlig nyckel ${\displaystyle k}$ , eftersom ${\displaystyle E( m)=m\oplus S(k)}$ . En motståndare kan konstruera en kryptering av ${\displaystyle m\oplus t}$ för vilken ${\displaystyle t} som helst$ , eftersom ${\displaystyle E(m)\oplus t=m\oplus t\oplus S(k)=E(m\oplus t)}$ .

I RSA -kryptosystemet är en klartext ${\displaystyle m}$ krypterad som ${\displaystyle E(m)=m^{e}{\bmod {n}}} ,$ där ${\displaystyle (e,n)}$ är den publika nyckeln. Med en sådan chiffertext kan en motståndare konstruera en kryptering av ${\displaystyle mt}$ för vilken ${\displaystyle t} som helst$ , eftersom ${\textstyle E(m)\cdot t^{e}{\bmod {n}}=(mt)^{e}{\bmod {n}}=E(mt)}$ . Av denna anledning används RSA ofta tillsammans med utfyllnadsmetoder som OAEP eller PKCS1.

I ElGamal -kryptosystemet är en klartext ${\displaystyle m}$ krypterad som ${\displaystyle E(m)=(g^{b},mA^{b}) }$ , där ${\displaystyle (g,A)}$ är den publika nyckeln. Med en sådan chiffertext ${\displaystyle (c_{1},c_{2})}$ kan en motståndare beräkna ${\displaystyle (c_{1},t \cdot c_{2})}$ , som är en giltig kryptering av ${\displaystyle tm} ,$ för alla ${\displaystyle t}$ . Däremot Cramer-Shoup-systemet (som är baserat på ElGamal) inte formbart.

I kryptosystemen Paillier , ElGamal och RSA är det också möjligt att kombinera flera chiffertexter tillsammans på ett användbart sätt för att producera en relaterad chiffertext. I Paillier, givet endast den publika nyckeln och en kryptering av ${\displaystyle m_{1}}$ och ${\displaystyle m_{2}}$ , kan man beräkna en giltig kryptering av deras summa ${\ displaystyle m_{1}+m_{2}}$ . I ElGamal och i RSA kan man kombinera krypteringar av ${\displaystyle m_{1}}$ och ${\displaystyle m_{2}}$ för att få en giltig kryptering av deras produkt ${\displaystyle m_{1 }m_{2}}$ .

Blockchiffer i driftsättet för chifferblockkedjning är till exempel delvis formbara: om du vänder lite i ett chiffertextblock kommer den klartext som den dekrypteras till fullständigt att mangla, men kommer att resultera i att samma bit vänds i klartexten i nästa block . Detta gör att en angripare kan "offra" ett block med klartext för att ändra vissa data i nästa, och eventuellt lyckas med skadlig uppsåt att ändra meddelandet. Detta är i grunden kärntanken med utfyllnads-orakelattacken på CBC , som gör att angriparen kan dekryptera nästan en hel chiffertext utan att känna till nyckeln. Av detta och många andra skäl krävs en autentiseringskod för meddelanden för att skydda mot alla manipuleringsmetoder.

Fullständig icke-smidbarhet

Fischlin, 2005, definierade begreppet fullständig icke-smidbarhet som systemets förmåga att förbli icke-smidbart samtidigt som det ger motståndaren ytterligare makt att välja en ny offentlig nyckel som kan vara en funktion av den ursprungliga offentliga nyckeln. Med andra ord, motståndaren ska inte kunna komma på en chiffertext vars underliggande klartext är relaterad till det ursprungliga meddelandet genom en relation som också tar hänsyn till offentliga nycklar.

Se även

• Homomorf kryptering