Or´ aculo Aleat´ orio - Proposta de Esquemas de Criptografia e de Assinatura sob Modelo de Crip

Dada uma fun¸cão H(), diz-se que há colisão se existe um par de leg´ıveis x1, x2, com x16= x2, que acarreta H(x₁) = H(x₂). Deseja-se que H() seja de tal forma que a probabilidade de ocorrerem colisões seja m´ınima. Sendo assim, o valor H(x) é um representante de x no sentido de que, se y ≈ x (isto é, y difere de x em poucos bits), então a desigualdade H(y) 6= H(x) ocorre com alta probabilidade.

Algumas pessoas interpretam H() como uma fun¸cão de ciframento sem chave, pois com grande probabilidade H(x) é o único representante de x e H−1(y) = x pode ser recuperado por um destinatário que possuir os pares (x, H(x)) previamente calculados para todos os poss´ıveis x que um remetente possa lhe enviar (TERADA, 2000).

Formalmente, definimos uma fun¸c˜ao de hash, de tamanho n, como sendo uma fun¸c˜ao H : {0, 1}∗→ {0, 1}nque satisfaz as propriedades a seguir (MENEZES; VANSTONE; OORSCHOT, 1996):

• Dada uma cadeia binária h de comprimento n é computacionalmente inviável encontrar uma mensagem M tal que H(M ) = h;

• Dada uma cadeia bin´aria h de comprimento n e uma mensagem M tal que H(M ) = h, ´

e computacionalmente inviável encontrar outra mensagem M⁰ tal que H(M⁰) = h; • É computacionalmente inviável encontrar duas mensagens M e M⁰ tais que H(M ) =

H(M⁰), independentemente do valor de H(M ).

3.8 Or´aculo Aleat´orio

Uma no¸cão de extensão do conceito de fun¸cão de hash é obtida com a defini¸cão de oráculo aleatório, desenvolvida por (BELLARE; ROGAWAY, 1993). Informalmente falando, o modelo de oráculo aleatório é um mundo em que todas as partes (incluindo os adversários) têm acesso a um oráculo público que gera valores ao acaso. Não há como se distinguir entre a sa´ıda de um oráculo aleatório de uma cadeia verdadeiramente aleatória.

Formalmente, um oráculo aleatório é um mapeamento R : {0, 1}^∗→ {0, 1}∞, onde cada bit de R(x) é escolhido independentemente e de modo uniforme, para todo x. A nota¸cão {0, 1}∞

refere-se a cadeias suficientemente longas, geradas pelo or´aculo.

Fun¸cões de hash populares, como SHA e MD5, não podem ser consideradas aproxima¸cões razoáveis de oráculos aleatórios por possu´ırem estruturas que induzem uma pseudo-aleatoriedade na sa´ıda. Há, entretanto, constru¸cões que potencialmente simulam bem o comportamento de oráculos aleatórios (BELLARE; ROGAWAY, 1993).

3.8 Or´aculo Aleat´orio 41

padrão de comprova¸cão de seguran¸ca. Além disso, permite que sejam estabelecidas rela¸cões entre as no¸cões de seguran¸ca mais populares para esquemas de criptografia de chave pública, conforme abordado na se¸cão 3.6. Sob o modelo de oráculo aleatório, surgiram trabalhos im-portantes, como por exemplo as transforma¸cões de Fujisaki-Okamoto que possibilitam que es-quemas de chave pública, que alcan¸cam certa no¸cão de seguran¸ca mais fraca, sejam melhorados com a adi¸cão de oráculos aleatórios em seus protocolos (FUJISAKI; OKAMOTO, 1999) e (FU-JISAKI; OKAMOTO, 2000).

3.8.1 Discuss˜oes

Entretanto, alguns autores questionam o modelo de oráculo aleatório e preferem seguir o modelo padrão de seguran¸ca que se pode provar (o modelo padrão é descrito parcialmente na se¸cão 3.6). Provar que um esquema é seguro no modelo do oráculo aleatório não garante sua seguran¸ca em implementa¸cões reais. Por (CANETTI; GOLDREICH; HALEVI, 1998) foram apresentados exemplos de esquemas criptográficos que se mostram seguros no modelo do oráculo aleatório, porém são inseguros em qualquer implementa¸cão real.

Apesar dos exemplos de (CANETTI; GOLDREICH; HALEVI, 1998), que foram dire-cionadamente fabricados para fazer com que o paradigma do oráculo aleatório falhasse, as preocupa¸cões induzidas por esses casos não se aplicam a nenhum dos esquemas práticos con-cretos que foram provados seguros no modelo do oráculo aleatório (FUJISAKI; OKAMOTO, 2000). Comentários semelhantes são feitos em (KOBLITZ; MENEZES, 2004) a outros artigos posteriores que também colocam em dúvida o uso dos oráculos aleatórios.

Bellare afirma que é importante não superestimar nem subestimar o que o paradigma do oráculo aleatório traz em termos de garantias de seguran¸ca. Se, por um lado a fun¸cão R usada no esquema final não é de fato aleatória (o faz com que muitos acreditem que os resultados das demonstra¸cões sob o oráculo são questionáveis), por outro lado, algumas provas sob o modelo padrão também parecem incompletas. Na prática, os ataques sobre esquemas que envolvem teoria dos números e uma fun¸cão de hash h, tratam h como se fosse aleatória. Isto é, a criptanálise desses esquemas “mistos”normalmente é feita sob a hipótese de que h é aleatória. Mas as provas para esses esquemas, no modelo padrão, mostram que tais ataques falham, a menos que o problema da teoria dos números seja fácil. Em outras palavras, essa análise padrão, no m´ınimo, provavelmente exclui uma classe comum de ataques – os chamados ataques genéricos (BELLARE, 1998).

Em meio a discussões sobre a validade ou não do modelo do oráculo aleatório, o próprio Bellare, junto com suas alunas, chegou a apresentar um exemplo prático e real´ıstico, que possu´ıa uma propriedade de seguran¸ca importante sob o oráculo aleatório, porém não instanciável com nenhuma fun¸cão de hash concreta (BELLARE; BOLDYREVA; PALACIO, 2003). Afirmaram,

3.9 Resumo 42

então, que talvez fosse prudente substituir os criptossistemas cuja demonstra¸cão de seguran¸ca dependia da hipótese do oráculo aleatório, por outros cujo argumento de seguran¸ca utilizasse um modelo mais fraco de fun¸cão de hash. No entanto, foi encontrado um erro na argumenta¸cão daquele trabalho. Com esse episódio, Koblitz e Menezes tiraram conclusões favoráveis ao para-digma do oráculo aleatório, conforme exposto a seguir.

A inabilidade dos autores em (BELLARE; BOLDYREVA; PALACIO, 2003) em alcan¸car uma constru¸cão que comprovasse uma restri¸cão ao modelo do oráculo aleatório, sem que hou-vesse viola¸cão de princ´ıpios da prática da criptografia, talvez seja uma evidência que sustenta o modelo (KOBLITZ; MENEZES, 2004). No mesmo artigo, é tra¸cada a seguinte compara¸cão.

A intratabilidade de um problema matemático, como o da fatora¸cão de inteiros, é trazida ao mundo das implementa¸cões reais nos seguintes termos: se os melhores especialistas em teoria dos números conseguiram fatorar no máximo um módulo RSA com 576 bits, então é praticamente consenso se confiar em módulos de 1024 bits. Em racioc´ınio análogo, se um dos maiores especialistas no mundo em comprova¸cão de seguran¸ca empreende o melhor de seus esfor¸cos em minar a validade da hipótese do modelo do oráculo aleatório (que ele próprio concebeu), e se falhou a constru¸cão de (BELLARE; BOLDYREVA; PALACIO, 2003), é o melhor que se pôde fazer até o momento, talvez seja a razão para se confiar no paradigma.

Enquanto permanecem abertas questões sobre qual modelo de demonstra¸cões de seguran¸ca é mais completo, adequado ou válido, pesquisadores buscam por alternativas. Em (BELLARE; PALACIO, 2004), por exemplo, uma das linhas de pesquisa em no¸cões de seguran¸ca alcan¸ca resultados sem a utiliza¸cão de oráculos aleatórios. Em (WATERS, 2004), foi proposto um esquema de criptografia de chave pública baseada em identidades, com n´ıvel de seguran¸ca equivalente ao de (BONEH; FRANKLIN, 2001), sem a utiliza¸cão de oráculos aleatórios.

3.9 Resumo

Neste cap´ıtulo foram apresentadas defini¸cões de criptografia de chave pública, no¸cões de segu-ran¸ca e foram relacionados problemas matemáticos importantes.

Cap´ıtulo 4

Criptografia de Chave P´ublica

sem Certificado

Neste cap´ıtulo é conceituada a criptografia de chave pública sem certificado. Definem-se esque-mas CL-PKE e CL-PKS, respectivamente esqueesque-mas de criptografia e de assinatura, no modelo de criptografia de chave pública sem certificado. Modelos de adversários contra esquemas CL-PKE e CL-PKS também são especificados, com o objetivo de se definir no¸cões de seguran¸ca para esses esquemas.

4.1 Nomenclatura em CL-PKC

Antes da conceitua¸cão do modelo, faz-se necessária uma observa¸cão a respeito da nomenclatura utilizada. A sigla CL-PKE (de Certificateless Public Key Encryption) é adotada com o signifi-cado de esquema (ou protocolo) que especifica procedimentos de criptografia e decriptografia, no modelo de chave pública sem certificado, visando essencialmente o sigilo de mensagens.

CL-PKC (Certificateless Public Key Cryptography) denota qualquer criptossistema de chave pública sem certificado, como, por exemplo, CL-PKE, esquema de assinatura (CL-PKS), pro-tocolo de troca de chaves, criptografia autenticada (CL-Auth-PKE), entre outras poss´ıveis de-riva¸cões de um modelo de criptografia assimétrica.

No documento Proposta de Esquemas de Criptografia e de Assinatura sob Modelo de Criptografia de Chave Pública sem Certificado. Denise Hideko Goya (páginas 45-49)