Algoritmo Blum-Goldwasser

Template:Da tradurre L'algoritmo Blum-Goldwasser è un algoritmo di crittografia asimmetrica proposto da Manuel Blum e Shafi Goldwasser nel 1984. Si tratta di un algoritmo probabilistico semanticamente sicuro, e la dimensione del testo criptato aumenta di un fattore costante rispetto al testo in chiaro. Per criptare un messaggio, l'algoritmo utilizza come chiave uno stream di bit pseudo-casuali generati con l'algoritmo Blum Blum Shub (BBS). Per decrittare un messaggio si utilizza la chiave privata per trovare il seme iniziale con cui sono stati generati i bit della chiave.

Blum-Glodwasser è semanticamente sicuro, assumendo che la fattorizzazione di numeri interi sia un problema intrattabile; in particolare si considera il caso in cui $N=pq$ dove $p,q$ sono numeri primi molto grandi. Quest'algoritmo ha diversi vantaggi su altri algoritmi di crittografia probabilistici. Primo, la sua sicurezza è basata solamente sul problema della fattorizzazione, senza bisogno di altre assunzioni (come l'intrattibilità del problema del residuo quadratico o dell'assunzione RSA). In secondo luogo, è molto più efficiente in termini di occupazione di spazio, perché introduce un aumento costante della dimensione rispetto ai dati in chiaro. È anche piuttosto efficiente in termini computazionali, perché non sfigura a confronto con altri algoritmi quali RSA. Tuttavia, è fortemente vulnerabile ad un attacco di tipo chosen cipher-text.

Poiché per criptare si utilizza un algoritmo probabilistico, uno stesso testo in chiaro può produrre risultati molto diversi ogni volta che viene criptato. Questo porta dei vantaggi significativi, poiché impedisce ad un avversario di riconoscere messaggi intercettati confrontandoli con altri intercettati precedentemente.

Definizione dell'algoritmo

Blum-Goldwasser consiste di tre fasi: la generazione di una coppia di chiavi pubblica e privata, il criptaggio dei dati e il decriptaggio dei dati.

Generazione delle chiavi

Per permettere il decriptaggio, the modulus usato in Blum-Goldwasser encryption should be a Blum integer. Questo valore è generato allo stesso modo as an RSA modulus, except that the prime factors $(p,q)$ must be congruent to 3 mod 4. (Vedi RSA, generazione di chiavi per i dettagli.)

Alice genera due large prime numbers $p\,$ e $q\,$ such that $p\neq q$ , randomly e independently of each other, dove $(p,q)\equiv 3$ mod $4$ .
Alice calcola $N=pq$ .

La chiave pubblica è $N$ . La chiave segreta è the factorization $(p,q)$ .

Message encryption

Supponiamo che Bob desideri inviare un messaggio m ad Alice:

Bob first encodes $m$ as a string of $L$ bits $(m_{0},\dots ,m_{L-1})$ .
Bob sceglie un elemento casuale $r$ , dove $1<r<N$ , e calcola $x_{0}=r^{2}~mod~N$ .
Bob usa il generatore di numeri pseudo-casuali BBS per generare $L$ bits casuali $(b_{0},\dots ,b_{L-1})$ (the keystream), come segue:
1. For $i=0$ to $L-1$ :
2. Set $b_{i}$ equal to the least-significant bit of $x_{i}$ .
3. Increment $i$ .
4. Calcola $x_{i}=(x_{i-1})^{2}~mod~N$ .
Calcola the ciphertext by XORing the plaintext bits with the keystream: ${\vec {c}}={\vec {m}}\oplus {\vec {b}},y=x_{0}^{2^{L}}~mod~N$ .

Bob invia the ciphertext $(c_{0},\dots ,c_{L-1}),y$ .

Per migliorare la performance, il generatore BBS can securely output up to $O(loglogN)$ of the least-significant bits of $x_{i}$ during each round. Vedi Blum Blum Shub per dettagli.

Decriptaggio del messaggio

Alice riceve $(c_{0},\dots ,c_{L-1}),y$ . She can recover $m$ usando la procedura seguente:

Usando the prime factorization $(p,q)$ , Alice calcola $r_{p}=y^{((p+1)/4)^{L}}~mod~p$ e $r_{q}=y^{((q+1)/4)^{L}}~mod~q$ .
Calcola the initial seed $x_{0}=q(q^{-1}~{mod}~p)r_{p}+p(p^{-1}~{mod}~q)r_{q}~{mod}~N$
Da $x_{0}$ , ricalcola the bit-vector ${\vec {b}}$ usando il generatore BBS, come nell'algoritmo di encryption.
Calcola the plaintext by XORing the keystream with the ciphertext: ${\vec {m}}={\vec {c}}\oplus {\vec {b}}$ .

Alice recovers the plaintext $m=(m_{0},\dots ,m_{L-1})$ .

Sicurezza e efficienza

Lo schema Blum-Goldwasser è semanticamente sicuro basato on the hardness of predicting the keystream bits given only the final BBS state $y$ e the public key $N$ . Tuttavia, ciphertexts of the form ${\vec {c}},y$ are vulnerable to an adaptive chosen ciphertext attack in cui the adversary requests the decryption $m^{\prime }$ of a chosen ciphertext ${\vec {a}},y$ . Il decriptaggio $m$ del original ciphertext può essere calcolato as ${\vec {a}}\oplus m^{\prime }\oplus {\vec {c}}$ .

A seconda della dimensione del plaintext, BG può essere più o meno computationally costoso di RSA. Poiché most RSA deployments usano a fixed encryption exponent ottimizzato per minimize encryption time, RSA encryption will typically outperform BG for all but the shortest messages. Tuttavia, as the RSA decryption exponent is randomly distributed, modular exponentiation può richiedere a comparable number of squarings/multiplications to BG decryption for a ciphertext della stessa lunghezza. BG ha il vantaggio of scaling more efficiently to longer ciphertexts, dove RSA richiede multiple separate encryptions. In questi casi, BG può essere significativamente più efficiente.

Riferimenti

M. Blum, S. Goldwasser, "An Efficient Probabilistic Public Key Encryption Scheme which Hides All Partial Information", Proceedings of Advances in Cryptology - CRYPTO '84, pp. 289-299, Springer Verlag, 1985.
Alfred J. Menezes, Scott A. Vanstone, A. J. Menezes, Paul C. van Oorschot. Handbook of Applied Cryptography, CRC Press, 1996.