Discussão sobre a Segurança do Esquema Proposto

Considerando ataques contra um esquema de encriptação assimétrico, ataques que buscam descobrir a chave privada a partir da chave pública e ataques que tentam descobrir alguma informação sobre a mensagem original a partir do texto cifrado são ataques importantes. Esse último define o conceito de segurança semântica e é o mais forte entre os dois. Portanto, essa dissertação analisa as bases de segurança da extensão proposta sobre ambos os ataques.

5.5.1 Recuperação da Chave Privada

A chave privada garante o acesso a todos os dados encriptados. No esquema RSA, as chaves públicas e privadas estão relacionadas através do inverso multiplicativo da aritmética modular, o que torna difícil a recuperação da chave privada a partir da chave pública. O esquema RSA gera a chave privada através da multiplicação de dois números primos grandes, a busca de um número primo entre si com o resultado dessa multiplicação e do cálculo do inverso multiplicativo desse número primo, o que são operações computacionalmente triviais. No entanto, para recuperar essa chave privada tendo a chave pública, precisa-se fatorar a chave pública. Essa operação de fatoração, por sua vez, requer grandes recursos computacionais o que significa que recuperar chaves privadas em chaves RSA de 2048 bits, ou mesmo de 1024 bits, é uma tarefa inviável.

O esquema DGHV gera os elementos da chave pública através de uma sequência de encriptações simétricas do valor zero. Isso significa a escolha de dois números aleatórios qi e ri, que são combinados através da expressão xi = Kpriv × qi + ri.

Desse modo, obter a chave privada a partir dos elementos da chave pública requer o cálculo do máximo divisor comum a partir de termos aproximados, o que é um problema difícil de ser resolvido. Esse problema é conhecido como Máximo Divisor Comum Aproximado (Approximate-GCD) e Nick Howgrave-Graham [95] analisou-o para dois números. Ele provou a segurança de mecanismos baseados no problema.

Por causa dessa análise, define-se os parâmetros η, γ, ρ, ρ0 e τ tanto no esquema DGHV quanto na extensão proposta. Nesses casos, incluir o ruído na chave é a componente fundamental para a segurança. Se não fosse adicionado o ruído, o problema se torna tão simples quando o cálculo do máximo divisor comum (MDC). Portanto, como o ruído requer uma busca exaustiva da chave privada sobre todo o espaço do ruído, quanto maior é o ruído introduzido, maior é a segurança do esquema.

No esquema DGHV original [1], Van Dijk et al. adotaram o ruído máximo de ρ = 2λ_{, o que implica uma busca exaustiva de 2}4λ _{para cada par avaliado entre os}

elementos da chave pública. O procedimento de busca básico precisa descobrir todos os máximos divisores comuns possíveis para cada par de elementos da chave pública. Com esses elementos, define-se um conjunto de possíveis candidatos a chave pública. Esse procedimento deve ser então repetido para todos os pares de elementos da chave pública e o resultado é a interseção dos conjuntos de valores possíveis. Portanto, precisa-se repetir o procedimento até que a interseção seja unitária.

Na extensão proposta, o ruído máximo, ρ, é Bλ_{. Considerando B = 2 como}

a base mínima, o ruído adotado é sempre maior que o ruído adotado no esquema DGHV. De fato, na extensão proposta, o ruído tem um tamanho log2 B maior, o

que aumenta a complexidade do problema. Por questões de segurança, na proposta apresentada nesta dissertação, optou-se por adotar esse ruído maior. No entanto, acredita-se que uma análise mais formal sobre quanto o aumento do ruído provoca de melhora na segurança do esquema pode mostrar que o aumento do ruído não é necessário. Portanto, mesmo que o aumento de segurança com o aumento do ruído não esteja formalmente analisado nessa dissertação, garante-se que a extensão não reduz a complexidade do problema do MDC Aproximado, pois os fundamentos da redução para o problema são os mesmos.

5.5.2 Segurança Semântica

Um esquema criptográfico semanticamente seguro significa que duas mensagens são completamente indistinguíveis após serem encriptadas com esse esquema. Nessa análise, considera-se um jogo entre um desafiante e um atacante. Inicialmente, o atacante recebe a chave pública do desafiante. Após, o atacante envia duas mensagens diferentes com o mesmo tamanho para o desafiante, que escolhe uma das mensagens aleatoriamente e a encripta. Após receber o texto cifrado, o atacante indica qual mensagem gerou o texto cifrado e vence o jogo se acertar. Dessa forma, o esquema é semanticamente seguro se a probabilidade do atacante vencer o jogo é 1/2 + , para ≈ 0.

Aproximado. Mais especificamente, Van Dijk et al. provam que um atacante A, com vantagem pode ser convertido para um algoritmo A para resolver o problema com probabilidade de sucesso de /2, no mínimo. Uma análise similar pode ser desenvolvida para a proposta de extensão dessa dissertação. No entanto, algumas modificações são necessárias. Primeiro, o tamanho dos parâmetros η, γ e ρ devem ser aumentados por um fator log2 B, por causa do uso de uma base maior. Além

disso, a análise deve considerar o maior espaço de mensagens, o que requer pequenas modificações no procedimento de aprendizado do bit menos significativo dos quoci- entes das divisões de números aleatório pela chave privada. Em particular, com o objetivo de garantir a indistinguibilidade da distribuição dos textos cifrados, deve-se somar ao parâmetro τ a parcela log2 B ao invés de apenas uma unidade.

Na extensão proposta, uma vez que a redução para o problema de MDC aproximado utiliza valores maiores de ruído, a segurança semântica tende a ser maior. No entanto, para avaliar se existe um aumento concreto de segurança no esquema proposto, uma análise mais formal precisa ser feita. Essa análise inclui a redução formal do esquema estendido para o problema do Máximo Divisor Comum Aproximado e não foi realizada devido a sua complexidade e a incerteza sobre os ganhos reais, não representando, assim, uma boa relação custo-benefício. No entanto, apesar da falta da análise formal, observa-se que os níveis de segurança da proposta parecem ser os mesmos que os níveis do esquema DGHV, pois os princípios básicos de ambos os esquemas são mantidos.

No documento Migração ao Vivo Sem Perda de Pacotes e Processamento Homomórfico de Números Inteiros para Plataformas de Testes Compartilhadas (páginas 90-92)