Về một Backdoor bất đối xứng trong sinh khóa RSA tuân thủ điều kiện 'lỏng' theo chuẩn FIPS 186-4

Bài viết trình bày đề xuất về một thuật toán sinh khóa RSA chứa backdoor bất đối xứng tuân thủ điều kiện “lỏng” về tham số khóa theo chuẩn FIPS 186-4 [1]. Thuật toán đề xuất dựa trên ý tưởng của thuật toán PAP trong [2] và sử dụng kết quả của Coppersmith [3] để giảm lượng thông tin backdoor cần nhúng
Nội dung trích xuất từ tài liệu:
Về một Backdoor bất đối xứng trong sinh khóa RSA tuân thủ điều kiện “lỏng” theo chuẩn FIPS 186-4 Công nghệ thông tin VỀ MỘT BACKDOOR BẤT ĐỐI XỨNG TRONG SINH KHÓA RSA TUÂN THỦ ĐIỀU KIỆN “LỎNG” THEO CHUẨN FIPS 186-4 Lê Quang Huy* Tóm tắt: Bài báo trình bày đề xuất về một thuật toán sinh khóa RSA chứa backdoor bất đối xứng tuân thủ điều kiện “lỏng” về tham số khóa theo chuẩn FIPS 186-4 [1]. Thuật toán đề xuất dựa trên ý tưởng của thuật toán PAP trong [2] và sử dụng kết quả của Coppersmith [3] để giảm lượng thông tin backdoor cần nhúng. Từ khóa: Mật mã, Sinh khóa, RSA, Backdoor. 1. ĐẶT VẤN ĐỀ Mật mã (khóa công khai) được sử dụng rộng rãi để đảm bảo an toàn cho các giao dịch điện tử. Tuy nhiên, khi ứng dụng mật mã, thì xuất hiện nguy cơ sử dụng mật mã để thực hiện các hành vi tội phạm: tạo mã độc tấn công hệ thống thông tin của nhà máy điện hạt nhân, vệ tinh, vũ khí quân sự;giữ bí mật thông tin phục vụ hoạt động: khủng bố, buôn bán vũ khí, ma túy, tống tiền, giết người. Từ các nguy cơ nêu trên nảy sinh nhu cầu khôi phục, giải mã (lấy được bản rõ) các dữ liệu đã mã mật (phá vỡ tính bảo mật) để đảm bảo an ninh cho cộng đồng. Để phá vỡ tính bảo mật cách truyền thống là sử dụng thám mã (phá vỡ hệ mật bằng phương pháp toán học), tuy nhiên, với sự phát triển của các hệ mật mã hiện đại, việc thám mã trở nên ngày càng khó và không khả thi. Sử dụng backdoor để phá vỡ tính bảo mật là hướng được nghiên cứu mới trong thời gian gần đây. Backdoor có nhược điểm làm giảm không gian khóa nhưng có ưu điểm khôi phục lại bản mã nhanh, tất định, chi phí thấp, khó bị phát hiện khi cài đặt trong những sản phẩm mật mã dạng hộp đen. Hiện tại hệ mật RSA được dùng phổ biến trong các sản phẩm mật mã ở thế giới và Việt Nam. Do đó, nghiên cứu backdoor trong hệ mật RSA là việc làm cần thiết để đảm bảo an ninh cho cộng đồng khi sử dụng mật mã. Để có thể xây dựng được thuật toán backdoor trong sinh khóa RSA hiệu quả, bài báo tập trung nghiên cứu các thuật toán sinh khóa RSA chứa backdoor và đề xuất một thuật toán sinh khóa RSA chứa backdoor mới tuân thủ điều kiện “lỏng” về tham số khóa tại Appendix B.3.1. FIPS 186-4 [1]. Thực hiện mục tiêu trên, bài báo được tổ chức thành 4 phần: Mục 1 - Đặt vấn đề, nêu lên sự cần thiết nghiên cứu; Mục 2 - Các định nghĩa và cơ sở phục vụ cho việc phân tích backdoor; Mục 3 - Đề xuất backdoor mới; Mục 4 - Kết luận tóm tắt các kết quả nghiên cứu và hướng phát triển. 2. CÁC ĐỊNH NGHĨA VÀ CƠ SỞ 2.1. Thuật toán sinh khóa chứa backdoor Định nghĩa và các tiêu chuẩn đánh giáthuật toán sinh khóa chứa backdoortrình bày trong phần này sử dụng các kết quả trong [4]. 2.1.1. Định nghĩa thuật toán sinh khóa chứa backdoor Ký hiệu G0, G1 lần lượt là thuật toán sinh khóa trung thực và thuật toán sinh khóa chứa backdoor. Ký hiệu (kpriv , kpub) lần lượt là khóa riêng và khóa công khai được tạo bởi G0 hoặc G1. Ký hiệu kpub* là khóa công khai hoặc một phần của khóa 162 Lê Quang Huy, “Về một backdoor bất đối xứng trong sinh khóa RSA … FIPS 186-4.” Nghiên cứu khoa học công nghệ công khai. Ký hiệu  là tham số an toàn của hệ mật. Ký hiệu B0 , B1 lần lượt là sản phẩm hộp đen được cài đặt thuật toán sinh khóa G0,G1. Ký hiệu R1 là thuật toán khôi phục cặp khóa được tạo bởi G1. Thuật toán sinh khóa chứa backdoor được biểu diễn thông qua 3 hàm sau và các hàm nghịch đảo tương ứng: - Hàm trích thông tin, ký hiệu I, trích từ khóa riêng kpriv thông tin, I(kpriv), để giấu trong khóa công khai kpub sao cho thông tin được trích đủ để khôi phụckpriv. - Hàm giấu thông tin, ký hiệu E, mã mật hóa thông được trích, I(kpriv), tạo ra thông tin che giấu E(I(kpriv)). Hàm E sử dụng hệ mật đối xứng hoặc bất đối xứng sao cho phân phối đầu ra của E không thể phân biệt được với phân phối đều. - Hàm nhúng thông tin, ký hiệu M, nhúng thông tin backdoor đã mã mật hóa, E(I(kpriv)), vào trong khóa công khai, kpub* = M ◦ E ◦ I(kpriv). Định nghĩa thuật toán sinh khóa chứa backdoor an toàn: Các cặp khóa được tạo ra bởi G1 là các cặp khóa chứa backdoor an toàn nếu G1 tạo ra cặp khóa (kpub,kpriv) thỏa mãn các thuộc tính sau: 1. Tính bảo mật: Người thiết kế nhúng một phần khóa riêng vào trong khóa công khai tương ứng, kpub* = M◦E ◦ I(kpriv), người dùng, kẻ tấn công không thể tính toán được khóa riêng từ khóa công khai tương ứng, kpriv ≠ I-1◦E-1◦M-1(kpub). 2. Tính hoàn chỉnh: Tồn tại thuật toán R1 , để người thiết kế có thể khôi phục được khóa riêng từ khóa công khai tương ứng,kpriv = R1(kpub). Hay các hàm M , E , Ikhả nghịch để người thiết kế tính được kpriv= I-1◦E-1◦M-1(kpub). 3. Khả năng ẩn (che) giấu (khả năng không thể phân biệt được): a) Kết quả đầu ra của B0 và B1 không thể phân biệt được về thống kê, tính toán. b) Các đo đạc bên ngoài B0 và B1 không thể phân biệt được một cách rõ ràng. 2.1.2. Một số tiêu chuẩn đánh giá thuật toán sinh khóa chứa backdoor Các tiêu chuẩn đánh giá thuật toán sinh khóa chứa backdoor (mục 5 trong [4]) được tóm tắt trong bảng sau: Bảng 1. Các tiêu chuẩn đánh giá thuật toán sinh khóa chứa backdoor. Đánh giá Tốt Trung bình Kém (thất bại) Tiêu chuẩn Bảo mật lE>= lG1 lG1>= lE>= lG1 /2 lE= - ½ -1/2 > c >= -3/2 c < -3/2 Tính phân phối D G1≈ 0 D G1≈ 0 D G1> 0 Tính tương ∃ thành phần khóa Không tương quan - quan tương quan Tuyến tính (a =< 1 và < bậc 2 (2 > a > 1 >= bậc 2 (a >= 2 Độ phức tạp c =< 1) hoặc 2 > c > 1) hoặc c >= 2) Bộ nhớ Không dùng VM, NM Chỉ dùng VM ...