No¸ c˜ oes de Seguran¸ ca

• InvCDH_G1 – dados: P, xP ∈ G1; encontrar: x⁻¹P . • InvCDH_G2 – dados: g, gx∈ G2; encontrar: gx⁻¹.

Em (BAO; DENG; ZHU, 2003) ´e demonstrada a equivalˆencia de InvCDH e CDH sobre grupos de ordem prima p. Logo, InvCDH ⇒ CDH.

Para reduzirmos q-SDH a InvCDH_G1, considere a existˆencia de um or´aculo InvCDH_G1, que responde x⁻¹P , dados P e xP . Ent˜ao, dados os geradores P, Q, com P = ψ(Q), e os pontos αQ, α²Q, . . . , α^qQ, o par (c,_α+c¹ P ) ´e obtido com os seguintes passos:

• Escolher c ∈ Z∗ p;

• Calcular cQ e (αQ + cQ) = (α + c)Q.

• Submeter ψ((α + c)Q) ao or´aculo InvCDH_G1, para obter _α+c¹ P

O par (c,_α+c¹ P ) ´e resposta para a instˆancia q-SDH dada. Analogamente, obt´em-se redu¸c˜ao de q-SDH para InvCDH_G2, de modo que:

q-SDH ⇒ InvCDH ⇒ CDH

3.6 No¸c˜oes de Seguran¸ca

A partir do trabalho de (GOLDWASSER; MICALI, 1984), com uma formaliza¸c˜ao de criptogra-fia probabil´ıstica, e contribui¸c˜oes posteriores de diversos autores, foi poss´ıvel se definir no¸c˜oes fortes de seguran¸ca. O conjunto desses trabalhos comp˜oe o que chamamos de modelo padr˜ao de seguran¸ca que se pode provar9.

A express˜ao seguran¸ca que se pode provar, que ´e adotada por muitos autores, pode entre-tanto induzir a interpreta¸c˜oes errˆoneas. Em matem´atica, ´e consenso que algo provado fornece garantia de 100% de certeza a respeito do fato demonstrado. N˜ao ´e o que ocorre no modelo de provas de seguran¸ca, onde o que realmente ´e demonstrado s˜ao redu¸c˜oes de problemas. Por esse motivo, Bellare sugere o uso da express˜ao seguran¸ca reducionista10, em vez de seguran¸ca que se pode provar (BELLARE, 1998).

Vamos descrever, a seguir, os principais conceitos relativos ao modelo padr˜ao.

9Do original inglˆes, provable security.

10

3.6 No¸c˜oes de Seguran¸ca 37

As no¸c˜oes cl´assicas de seguran¸ca em criptografia de chave p´ublica s˜ao classificadas segundo os objetivos desejados para os esquemas e os modelos de advers´ario. De acordo com (BELLARE et al., 1998), s˜ao dois os objetivos e trˆes os modelos de advers´arios de interesse.

Os objetivos desejados para os criptossistemas de chave p´ublica s˜ao:

IND – Incapacidade de Distin¸c˜ao11: o advers´ario escolhe duas mensagens e recebe a cripto-grafia y de uma dessas duas mensagens (escolhida ao acaso pelo desafiante). O advers´ario ´

e incapaz de distinguir (com chance significativamente maior do que 50%) qual das duas mensagens foi escolhida para ser cifrada (detalhes nas se¸c˜oes 3.6.2 e 3.6.3). Incapacidade de distin¸c˜ao ´e provada ser equivalente `a inabilidade do advers´ario em, dado um texto ci-frado y, aprender qualquer informa¸c˜ao a respeito do texto leg´ıvel x (GOLDREICH, 2004). Esse conceito foi desenvolvido por (GOLDWASSER; MICALI, 1984) e ´e conhecido como seguran¸ca semˆantica.

NM – N˜ao-maleabilidade12: define a inabilidade do advers´ario em, dado um texto cifrado y, obter um texto cifrado y⁰, diferente, tal que os correspondentes textos leg´ıveis x e x⁰ sejam significativamente relacionados (por exemplo, x = x⁰+ 1).

Os trˆes modelos de advers´ario de interesse s˜ao (defini¸c˜oes foram descritas na se¸c˜ao 3.2):

CPA 13– modelo de ataque por texto leg´ıvel escolhido: o advers´ario tem uma chave p´ublica e pode fazer criptografias de mensagens `a sua escolha;

CCA1 14– modelo de ataque por texto ileg´ıvel escolhido: o advers´ario possui uma chave p´ublica e consulta o or´aculo de decriptografia, por´em somente antes de receber um desafio de texto cifrado;

CCA2 – modelo de ataque adaptativo por texto ileg´ıvel escolhido: o advers´ario possui uma chave p´ublica e consulta o or´aculo de decriptografia a qualquer instante, s´o n˜ao pode solicitar a decriptografia do texto cifrado que lhe ´e dado como desafio.

Os objetivos e os modelos de advers´arios s˜ao combinados aos pares, compondo as seguintes no¸c˜oes de seguran¸ca em criptografia de chave p´ublica: IND-CPA, IND-CCA1, IND-CCA2, NM-CPA, NM-CCA1 e NM-CCA2. Dessas, a no¸c˜ao de seguran¸ca mais forte ´e IND-CCA2, a incapacidade de distin¸c˜ao em ataques adaptativos por texto ileg´ıvel escolhido, que se demonstra ser equivalente a NM-CCA2, a n˜ao-maleabilidade em ataques adaptativos por texto cifrado escolhido.

11Do original inglˆes, indistinguishability.

12

Do original inglˆes, non-malleability.

13

CPA ´e acrˆonimo de Chosen-Plaintext Attack.

3.6 No¸c˜oes de Seguran¸ca 38

3.6.1 Rela¸c˜oes entre as No¸c˜oes

Essas no¸c˜oes de seguran¸ca mantˆem relacionamentos entre si, que foram comprovados por (BEL-LARE et al., 1998). As demonstra¸c˜oes dessas rela¸c˜oes foram feitas com a utiliza¸c˜ao do modelo de or´aculo aleat´orio (descrito na se¸c˜ao 3.8). No mesmo trabalho, s˜ao apresentados ainda outros dois resultados relativos `a no¸c˜ao ciˆencia de texto leg´ıvel (PA15). PA formaliza a inabilidade do advers´ario em criar um texto cifrado y sem o conhecimento de seu respectivo leg´ıvel x.

Na figura 3.2, os resultados conhecidos s˜ao esquematizados de uma forma um pouco dife-renciada da exibida em (BELLARE et al., 1998), por´em equivalente. Para interpretra¸c˜ao, onde se vˆe A → B (A implica B) significa que qualquer esquema de criptografia de chave p´ublica que satisfaz a no¸c˜ao A tamb´em satisfaz a no¸c˜ao B. E onde h´a A 6→ B (A n˜ao implica B), significa que existe pelo menos um esquema assim´etrico que possui a no¸c˜ao A e que n˜ao satisfaz a no¸c˜ao B (FUJISAKI; OKAMOTO, 2000).

NM-CPA

NM-CCA1

NM-CCA2

IND-CPA

IND-CCA1

IND-CCA2

PA

no¸c˜oes menos fortes OOO_O O O O O O O

no¸c˜oes mais fortes

OOO

O

O

Figura 3.2: Rela¸c˜oes entre as no¸c˜oes de seguran¸ca.

3.6.2 Jogo IND-CCA2

Para se chegar `a defini¸c˜ao do que vem a ser um esquema seguro, especifica-se primeiramente uma forma de intera¸c˜ao entre o advers´ario e o criptossistema. Isso se d´a estabelecendo-se um jogo, com regras bem definidas, em que nenhuma das partes (nem o advers´ario, nem seu desafiante) de antem˜ao pode saber se vai ganhar ou n˜ao.

Um jogo IND-CCA2 ocorre entre um desafiante e um advers´ario que imprime ataques adaptativos por texto ileg´ıvel escolhido. ´E composto das seguintes fases: