Serangan ciphertext yang dipilih, di mana musuh diizinkan untuk mendapatkan dekripsi dari setiap ciphertext pilihannya (dengan satu batasan teknis; lihat definisi formal di bawah ini), sama pentingnya dengan pengaturan kunci publik seperti pada pengaturan kunci privat. Boleh dibilang, pada kenyataannya, mereka lebih menjadi perhatian dalam pengaturan kunci publik karena penerima dalam pengaturan kunci publik mengharapkan untuk menerima ciphertext dari beberapa pengirim, mungkin tidak diketahui di muka, sedangkan penerima dalam pengaturan kunci pribadi hanya bermaksud untuk berkomunikasi dengan pengirim tunggal yang dikenal menggunakan kunci rahasia tertentu meskipun pada pandangan pertama mungkin tampak tidak masuk akal untuk memodelkan seorang penyerang karena dapat berinteraksi dengan oracle dekripsi. yang mendekripsi ciphertext sewenang-wenang dari pilihan musuh, ada skenario realistis di mana model ini masuk akal. Asumsikan seorang penyadap telinga A mengamati ciphertext c yang dikirim oleh pengirim S ke penerima R. Dalam kunci publik Pengaturan satu dapat membayangkan dua kelas luas serangan ciphertext yang dipilih itu mungkin terjadi:
Skenario 1. Ucapkan pengguna S login ke rekening banknya dengan mengirim enkripsi kata sandi pw ke bank. (Masuk dengan cara ini memiliki masalah lain, tetapi kami mengabaikan ini untuk saat ini.) Asumsikan lebih lanjut bahwa ada dua jenis pesan kesalahan yang dikirim bank setelah gagal masuk: setelah menerima (an enkripsi) pw dari pengguna S, yang dianggap memiliki akun dengan bank, bank mengirim \ tidak valid kata sandi "jika pw berisi non-alfanumerik karakter, dan mengembalikan \ kata sandi salah "jika pw adalah kata sandi yang valid tetapi itu tidak cocok dengan kata sandi yang disimpan dari S.
Jika musuh mendapatkan ciphertext c yang dikirim oleh S ke bank, lawan sekarang dapat me-mount serangan ciphertext (parsial) yang dipilih dengan mengirimkan ciphertext c0 ke bank dan mengamati pesan kesalahan yang dikembalikan bank. Ini informasi mungkin cukup untuk memungkinkan musuh menentukan pengguna
Skenario 2. Say S mengirim e-mail terenkripsi c ke R, dan e-mail ini diamati oleh A. Jika A mengirim e-mail terenkripsi c0 ke R (atas namanya sendiri), maka R mungkin membalas e-mail ini dan mengutip teks yang didekripsi m0 yang sesuai ke c0. (Perhatikan bahwa meskipun R mengenkripsi respons ini menggunakan kunci publik A, itu akan mungkin bagi A untuk mendekripsi respons dan memperoleh m0.) Dalam hal ini, R persis bertindak sebagai ramalan dekripsi untuk A dan mungkin berpotensi mendekripsi setiap ciphertext yang dikirim A itu. Di sisi lain, jika A mengirimkan c dirinya ke R maka R mungkin merasa curiga dan menolak untuk merespons.
Skenario 3. Sangat terkait dengan masalah keamanan teks-dipilih adalah kemungkinan kelenturan ciphertext. Karena definisi formal cukup terlibat, kami tidak mengejar satu di sini tetapi hanya memberikan ide intuitif. Mengatakan skema enkripsi memiliki properti yang memberikan enkripsi c dari beberapa pesan tidak dikenal m, dimungkinkan untuk membuat ciphertext c0 yang merupakan enkripsi pesan yang tidak dikenal m0 yang terkait dalam beberapa cara yang diketahui ke m. Sebagai contoh, mungkin diberi enkripsi c dari m, dimungkinkan untuk membangun ciphertext c0 yang merupakan enkripsi 2m. (Kita akan melihat contoh alami dari skema dengan properti ini lebih lanjut di bagian ini.)
Sekarang bayangkan R menjalankan lelang, di mana dua pihak S dan A mengirimkan penawaran mereka dengan mengenkripsi mereka menggunakan kunci publik R. Jika CPA-secure skema enkripsi yang memiliki properti di atas digunakan, dimungkinkan untuk musuh A untuk selalu menempatkan tawaran tertinggi (tanpa menawar maksimum) dengan melakukan serangan berikut: tunggu sampai S mengirim ciphertext c sesuai dengan penawarannya m (yang tidak diketahui oleh A); kemudian, kirim ciphertext c0 sesuai dengan tawaran m0 = 2m. Perhatikan bahwa m dan m0 tetap tidak diketahui ke A (sampai R mengumumkan hasilnya), dan kemungkinan serangan seperti itu tidak bertentangan dengan fakta bahwa skema enkripsi aman untuk CPA. Kami sekarang menyajikan definisi formal keamanan terhadap ciphertext yang dipilih serangan yang persis paralel dengan Definisi 3.31. (Perbedaan kosmetik adalah itu kami tidak memberikan akses musuh ke oracle enkripsi; seperti yang dibahas sebelumnya, sebuah enkripsi orakel tidak memberikan daya tambahan apa pun kepada
2. Musuh A diberikan pk dan akses ke oracle dekripsi Decsk (·), menampilkan sepasang pesan m0; m1 dengan jm0j = jm1j. (Pesan-pesan ini harus dalam ruang teks biasa yang terkait dengan pk.)
3. Sedikit acak b f0; 1g dipilih, dan kemudian ciphertext c Encpk (mb) dihitung dan diberikan kepada A.
4. A dapat terus berinteraksi dengan oracle dekripsi, tetapi mungkin tidak meminta dekripsi c itu sendiri. Akhirnya, A menghasilkan a bit b0.
5. Output dari percobaan didefinisikan sebagai 1 jika b0 = b, dan 0 sebaliknya
DEFINISI 10.22 Skema enkripsi kunci publik Π = (Gen; Enc; Dec) memiliki enkripsi yang tidak dapat dibedakan di bawah serangan ciphertext yang dipilih (atau CCAsecure) jika untuk semua kemungkinan, musuh waktu polinomial-waktu A ada fungsi diabaikan diabaikan sedemikian rupa sehingga di mana probabilitas diambil alih koin acak yang digunakan untuk menghasilkan (pk; sk), pilih b, dan enkripsi
- Contoh Serangan Pilihan-Ciphertext
Kerentanan skema enkripsi untuk serangan ciphertext yang dipilih tidak hanya kemungkinan teoretis. Kami tunjukkan di sini bahwa semua skema telah kami lihat sejauh ini tidak aman di bawah serangan tersebut.
- Enkripsi RSA Buku Teks.
Dalam diskusi kami sebelumnya, kami mencatat bahwa skema enkripsi RSA buku teks setidaknya memenuhi properti keamanan berikut (dengan asumsi masalah RSA sulit untuk GenRSA): jika pesan m dipilih
Pengantar Kriptografi Modern
seragam secara acak dari Z ∗ N dan dienkripsi sehubungan dengan kunci publik hN; ei, maka musuh yang menguping tidak dapat memulihkan m secara keseluruhan. Itu tidak sulit untuk melihat bahwa bahkan properti lemah ini tidak lagi berlaku jika musuh dibiarkan melakukan serangan ciphertext yang dipilih. Ucapkan musuh A memotong ciphertext c = me mod N. Lalu musuh dapat memilih a acak r Z ∗ N dan hitung ciphertext c0 = [re · c mod N]. Mengingat dekripsi m0 dari ciphertext ini, A dapat memulihkan m = [m0 · r − 1 mod N]. Untuk melihat bahwa ini berhasil, perhatikan itu di mana d adalah nilai yang terkandung dalam kunci pribadi penerima dan digunakan untuk mendekripsi c0 (dan juga ed = 1 mod φ (N)).
Enkripsi RSA buku teks juga rentan dalam skenario lelang yang dibahas sebelumnya (skenario 3). Kami menunjukkan bagaimana melakukan serangan dengan tepat ditampilkan di sana. Katakanlah musuh mengamati ciphertext c = me mod N dienkripsi sehubungan dengan kunci publik hN; ei. Kemudian kami mengklaim bahwa ciphertext c0 = [2ec mod N] didekripsi menjadi 2m. Ini berlaku karena.
(c0)d = (2eme)d = 2edmed = 2m mod N
PKCS # 1 v1.5. Ingat bahwa skema enkripsi kunci publik digunakan sebagai bagian standar PKCS # 1 v1.5 menggunakan varian enkripsi RSA empuk di mana sebagian padding dilakukan dengan cara tertentu (dan tidak dapat terdiri bit sewenang-wenang). Jika ciphertext didekripsi dan ditemukan tidak memiliki format yang benar, pesan kesalahan dikembalikan. Ternyata dengan adanya pesan-pesan kesalahan ini cukup untuk memungkinkan serangan terhadap ciphertext yang dipilih skema. Artinya, diberi ciphertext c yang dihasilkan dengan benar, seorang penyerang dapat memulihkan pesan yang mendasarinya m dengan mengirimkan beberapa ciphertexts c0
dan hanya mengamati ciphertext mana yang berhasil didekripsi dan yang mana menghasilkan kesalahan. Karena informasi semacam ini mudah diperoleh, serangan itu cukup praktis. Keberadaan serangan ciphertext terpilih yang praktis pada skema tersebut datang sebagai sesuatu yang mengejutkan, dan mendorong upaya untuk membakukan suatu skema enkripsi yang ditingkatkan yang dapat dibuktikan aman terhadap serangan chosenciphertext. Upaya-upaya ini memuncak dalam (varian) skema itu kita bahas dalam Bagian 13.2.3.
Enkripsi El Gamal. Skema enkripsi El Gamal sama rapuhnya serangan ciphertext yang dipilih sebagai enkripsi RSA buku teks. Ini mungkin agak mengejutkan karena kami telah membuktikan bahwa skema enkripsi El Gamal adalah Aman BPA, tetapi kami menekankan lagi bahwa tidak ada kontradiksi sejak kami sekarang dalam model serangan yang lebih kuat
Enkripsi Kunci Publik
Ini artinya
c1 = gy and c2 = hy · m
untuk beberapa y 2 Zq tidak diketahui oleh A. Namun demikian, jika musuh menghitung c0 2: = c2 · m0 maka mudah untuk melihat bahwa ciphertext c0 = hc1; c0 2i adalah enkripsi pesan m · m0. Pengamatan ini mengarah pada serangan chosenciphertext yang mudah, dan juga menunjukkan bahwa enkripsi El Gamal rentan skenario lelang yang disebutkan di atas.
Orang mungkin keberatan bahwa penerima akan curiga jika menerima dua ciphertexts c; c0 yang memiliki komponen pertama yang sama. (Memang, untuk ciphertext yang dibuat dengan jujur ini hanya terjadi dengan probabilitas yang dapat diabaikan.) Namun, ini mudah untuk dihindari musuh. Membiarkan c1; c2; m; m0 seperti di atas, A can sekarang pilih y00 Zq acak dan hitung c00 1: = c1 · gy00 dan c00 2: = c2 · hy00 · m0; kemudian
c00 1 = gy · gy00 = gy+y00 and c00 2 = hym · hy00 m0 = hy+y00 mm0;
dan ciphertext c00 = hc00 1; c00 2i juga merupakan enkripsi m · m0 tetapi dengan komponen pertama yang sepenuhnya acak.
created by :
Azzahrah Maulya Safira
17.01.071.016
Inf.A Kriptografi
klik this link for more information about UTS :www.uts.ac.id
terimakasih sudah mampir :)
Jika musuh mendapatkan ciphertext c yang dikirim oleh S ke bank, lawan sekarang dapat me-mount serangan ciphertext (parsial) yang dipilih dengan mengirimkan ciphertext c0 ke bank dan mengamati pesan kesalahan yang dikembalikan bank. Ini informasi mungkin cukup untuk memungkinkan musuh menentukan pengguna
Skenario 2. Say S mengirim e-mail terenkripsi c ke R, dan e-mail ini diamati oleh A. Jika A mengirim e-mail terenkripsi c0 ke R (atas namanya sendiri), maka R mungkin membalas e-mail ini dan mengutip teks yang didekripsi m0 yang sesuai ke c0. (Perhatikan bahwa meskipun R mengenkripsi respons ini menggunakan kunci publik A, itu akan mungkin bagi A untuk mendekripsi respons dan memperoleh m0.) Dalam hal ini, R persis bertindak sebagai ramalan dekripsi untuk A dan mungkin berpotensi mendekripsi setiap ciphertext yang dikirim A itu. Di sisi lain, jika A mengirimkan c dirinya ke R maka R mungkin merasa curiga dan menolak untuk merespons.
Skenario 3. Sangat terkait dengan masalah keamanan teks-dipilih adalah kemungkinan kelenturan ciphertext. Karena definisi formal cukup terlibat, kami tidak mengejar satu di sini tetapi hanya memberikan ide intuitif. Mengatakan skema enkripsi memiliki properti yang memberikan enkripsi c dari beberapa pesan tidak dikenal m, dimungkinkan untuk membuat ciphertext c0 yang merupakan enkripsi pesan yang tidak dikenal m0 yang terkait dalam beberapa cara yang diketahui ke m. Sebagai contoh, mungkin diberi enkripsi c dari m, dimungkinkan untuk membangun ciphertext c0 yang merupakan enkripsi 2m. (Kita akan melihat contoh alami dari skema dengan properti ini lebih lanjut di bagian ini.)
Sekarang bayangkan R menjalankan lelang, di mana dua pihak S dan A mengirimkan penawaran mereka dengan mengenkripsi mereka menggunakan kunci publik R. Jika CPA-secure skema enkripsi yang memiliki properti di atas digunakan, dimungkinkan untuk musuh A untuk selalu menempatkan tawaran tertinggi (tanpa menawar maksimum) dengan melakukan serangan berikut: tunggu sampai S mengirim ciphertext c sesuai dengan penawarannya m (yang tidak diketahui oleh A); kemudian, kirim ciphertext c0 sesuai dengan tawaran m0 = 2m. Perhatikan bahwa m dan m0 tetap tidak diketahui ke A (sampai R mengumumkan hasilnya), dan kemungkinan serangan seperti itu tidak bertentangan dengan fakta bahwa skema enkripsi aman untuk CPA. Kami sekarang menyajikan definisi formal keamanan terhadap ciphertext yang dipilih serangan yang persis paralel dengan Definisi 3.31. (Perbedaan kosmetik adalah itu kami tidak memberikan akses musuh ke oracle enkripsi; seperti yang dibahas sebelumnya, sebuah enkripsi orakel tidak memberikan daya tambahan apa pun kepada
2. Musuh A diberikan pk dan akses ke oracle dekripsi Decsk (·), menampilkan sepasang pesan m0; m1 dengan jm0j = jm1j. (Pesan-pesan ini harus dalam ruang teks biasa yang terkait dengan pk.)
3. Sedikit acak b f0; 1g dipilih, dan kemudian ciphertext c Encpk (mb) dihitung dan diberikan kepada A.
4. A dapat terus berinteraksi dengan oracle dekripsi, tetapi mungkin tidak meminta dekripsi c itu sendiri. Akhirnya, A menghasilkan a bit b0.
5. Output dari percobaan didefinisikan sebagai 1 jika b0 = b, dan 0 sebaliknya
DEFINISI 10.22 Skema enkripsi kunci publik Π = (Gen; Enc; Dec) memiliki enkripsi yang tidak dapat dibedakan di bawah serangan ciphertext yang dipilih (atau CCAsecure) jika untuk semua kemungkinan, musuh waktu polinomial-waktu A ada fungsi diabaikan diabaikan sedemikian rupa sehingga di mana probabilitas diambil alih koin acak yang digunakan untuk menghasilkan (pk; sk), pilih b, dan enkripsi
- Contoh Serangan Pilihan-Ciphertext
Kerentanan skema enkripsi untuk serangan ciphertext yang dipilih tidak hanya kemungkinan teoretis. Kami tunjukkan di sini bahwa semua skema telah kami lihat sejauh ini tidak aman di bawah serangan tersebut.
- Enkripsi RSA Buku Teks.
Dalam diskusi kami sebelumnya, kami mencatat bahwa skema enkripsi RSA buku teks setidaknya memenuhi properti keamanan berikut (dengan asumsi masalah RSA sulit untuk GenRSA): jika pesan m dipilih
Pengantar Kriptografi Modern
seragam secara acak dari Z ∗ N dan dienkripsi sehubungan dengan kunci publik hN; ei, maka musuh yang menguping tidak dapat memulihkan m secara keseluruhan. Itu tidak sulit untuk melihat bahwa bahkan properti lemah ini tidak lagi berlaku jika musuh dibiarkan melakukan serangan ciphertext yang dipilih. Ucapkan musuh A memotong ciphertext c = me mod N. Lalu musuh dapat memilih a acak r Z ∗ N dan hitung ciphertext c0 = [re · c mod N]. Mengingat dekripsi m0 dari ciphertext ini, A dapat memulihkan m = [m0 · r − 1 mod N]. Untuk melihat bahwa ini berhasil, perhatikan itu di mana d adalah nilai yang terkandung dalam kunci pribadi penerima dan digunakan untuk mendekripsi c0 (dan juga ed = 1 mod φ (N)).
Enkripsi RSA buku teks juga rentan dalam skenario lelang yang dibahas sebelumnya (skenario 3). Kami menunjukkan bagaimana melakukan serangan dengan tepat ditampilkan di sana. Katakanlah musuh mengamati ciphertext c = me mod N dienkripsi sehubungan dengan kunci publik hN; ei. Kemudian kami mengklaim bahwa ciphertext c0 = [2ec mod N] didekripsi menjadi 2m. Ini berlaku karena.
(c0)d = (2eme)d = 2edmed = 2m mod N
PKCS # 1 v1.5. Ingat bahwa skema enkripsi kunci publik digunakan sebagai bagian standar PKCS # 1 v1.5 menggunakan varian enkripsi RSA empuk di mana sebagian padding dilakukan dengan cara tertentu (dan tidak dapat terdiri bit sewenang-wenang). Jika ciphertext didekripsi dan ditemukan tidak memiliki format yang benar, pesan kesalahan dikembalikan. Ternyata dengan adanya pesan-pesan kesalahan ini cukup untuk memungkinkan serangan terhadap ciphertext yang dipilih skema. Artinya, diberi ciphertext c yang dihasilkan dengan benar, seorang penyerang dapat memulihkan pesan yang mendasarinya m dengan mengirimkan beberapa ciphertexts c0
dan hanya mengamati ciphertext mana yang berhasil didekripsi dan yang mana menghasilkan kesalahan. Karena informasi semacam ini mudah diperoleh, serangan itu cukup praktis. Keberadaan serangan ciphertext terpilih yang praktis pada skema tersebut datang sebagai sesuatu yang mengejutkan, dan mendorong upaya untuk membakukan suatu skema enkripsi yang ditingkatkan yang dapat dibuktikan aman terhadap serangan chosenciphertext. Upaya-upaya ini memuncak dalam (varian) skema itu kita bahas dalam Bagian 13.2.3.
Enkripsi El Gamal. Skema enkripsi El Gamal sama rapuhnya serangan ciphertext yang dipilih sebagai enkripsi RSA buku teks. Ini mungkin agak mengejutkan karena kami telah membuktikan bahwa skema enkripsi El Gamal adalah Aman BPA, tetapi kami menekankan lagi bahwa tidak ada kontradiksi sejak kami sekarang dalam model serangan yang lebih kuat
Enkripsi Kunci Publik
Ini artinya
c1 = gy and c2 = hy · m
untuk beberapa y 2 Zq tidak diketahui oleh A. Namun demikian, jika musuh menghitung c0 2: = c2 · m0 maka mudah untuk melihat bahwa ciphertext c0 = hc1; c0 2i adalah enkripsi pesan m · m0. Pengamatan ini mengarah pada serangan chosenciphertext yang mudah, dan juga menunjukkan bahwa enkripsi El Gamal rentan skenario lelang yang disebutkan di atas.
Orang mungkin keberatan bahwa penerima akan curiga jika menerima dua ciphertexts c; c0 yang memiliki komponen pertama yang sama. (Memang, untuk ciphertext yang dibuat dengan jujur ini hanya terjadi dengan probabilitas yang dapat diabaikan.) Namun, ini mudah untuk dihindari musuh. Membiarkan c1; c2; m; m0 seperti di atas, A can sekarang pilih y00 Zq acak dan hitung c00 1: = c1 · gy00 dan c00 2: = c2 · hy00 · m0; kemudian
c00 1 = gy · gy00 = gy+y00 and c00 2 = hym · hy00 m0 = hy+y00 mm0;
dan ciphertext c00 = hc00 1; c00 2i juga merupakan enkripsi m · m0 tetapi dengan komponen pertama yang sepenuhnya acak.
created by :
Azzahrah Maulya Safira
17.01.071.016
Inf.A Kriptografi
klik this link for more information about UTS :www.uts.ac.id
terimakasih sudah mampir :)
2. Musuh A diberikan pk dan akses ke oracle dekripsi Decsk (·), menampilkan sepasang pesan m0; m1 dengan jm0j = jm1j. (Pesan-pesan ini harus dalam ruang teks biasa yang terkait dengan pk.)
4. A dapat terus berinteraksi dengan oracle dekripsi, tetapi mungkin tidak meminta dekripsi c itu sendiri. Akhirnya, A menghasilkan a bit b0.
Pengantar Kriptografi Modern
Enkripsi RSA buku teks juga rentan dalam skenario lelang yang dibahas sebelumnya (skenario 3). Kami menunjukkan bagaimana melakukan serangan dengan tepat ditampilkan di sana. Katakanlah musuh mengamati ciphertext c = me mod N dienkripsi sehubungan dengan kunci publik hN; ei. Kemudian kami mengklaim bahwa ciphertext c0 = [2ec mod N] didekripsi menjadi 2m. Ini berlaku karena.
(c0)d = (2eme)d = 2edmed = 2m mod N
Enkripsi Kunci Publik
dan ciphertext c00 = hc00 1; c00 2i juga merupakan enkripsi m · m0 tetapi dengan komponen pertama yang sepenuhnya acak.
created by :
Azzahrah Maulya Safira
17.01.071.016
Inf.A Kriptografi
klik this link for more information about UTS :www.uts.ac.id
terimakasih sudah mampir :)
created by :
Azzahrah Maulya Safira
17.01.071.016
Inf.A Kriptografi
klik this link for more information about UTS :www.uts.ac.id
terimakasih sudah mampir :)
bagaimana melakukan serangan dengan tepat ditampilkan di sana. Katakanlah musuh mengamati ciphertext c = me mod N dienkripsi sehubungan dengan kunci publik hN; ei. Kemudian kami mengklaim bahwa ciphertext c0 = [2ec mod N] didekripsi menjadi 2m. Ini berlaku karena.
BalasHapusKerentanan skema enkripsi untuk serangan ciphertext yang dipilih tidak hanya kemungkinan teoretis. Kami tunjukkan di sini bahwa semua skema telah kami lihat sejauh ini tidak aman di bawah serangan tersebut.
Mengatakan skema enkripsi memiliki properti yang memberikan enkripsi c dari beberapa pesan tidak dikenal m, dimungkinkan untuk membuat ciphertext c0 yang merupakan enkripsi pesan yang tidak dikenal m0 yang terkait dalam beberapa cara yang diketahui ke m. Sebagai contoh, mungkin diberi enkripsi c dari m, dimungkinkan untuk membangun ciphertext c0 yang merupakan enkripsi 2m. (Kita akan melihat contoh alami dari skema dengan properti ini lebih lanjut di bagian ini.)
Nama:Babul salam
Nim: 17.01.071.017
Kls: informatika A
#kriptografi
#informatikaUTS
#UniversitasTeknologiSumbawa
#Nusabaca
#Nawassyarif
Nama : Fikri Nuryansah
BalasHapusNIM : 17.01.071.037
Kelas : A
Prodi : Teknik Informatika 2017
Pemaparan materi cukup singat padat, penulisan cukup rapih, tetapi sangat di sayangkan banyak kata yang typo dan kalimat yang kata-katanya terbalik, juga banyak singatkan dan kosa kata yang asing di jumapi tidak di jelaskan atau di jabarkan pengertiannya akan lebih baik lagi jika singaktan dan kosa kata yang asing itu di jelaskan lagi lebih rinci, ada sih yang di jelaskan namun hanya beberapa saja .
terimakasih ...