calculados por x e, xi, como o tempo necess´ario para codificar ou decodificar o i-´esimo texto, o desvio padr˜ao amostral pode ser obtido pela f´ormula:
σ = v u u t1000X i=1 (xi− x)2 n − 1 (5.1)
lembrando que x = (P1000i=1)/n.
Considerando tamb´em, que o tempo em microssegundos gasto por um procedimento ´e uma medida um tanto vol´atil (visto que bastaria a alterac¸˜ao do computador ou sistema operacional para que os resultados fossem muitas vezes bruscamente alterados), adotamos uma medida que acreditamos ser menos inst´avel denominada Speedup. Speedup pode ser entendido como ganho relativo, ou seja, descreve quantas vezes um algoritmo ´e mais r´apido que outro.
Denotamos os termos SpeedupRSA e SpeedupQC sobre um m´odulo de n bits, que ser˜ao simbolizados como SRSA(n) e SQC(n), respectivamente, e definidos da seguinte maneira:
SRSA(n) = TRSA(n) TAP(n) (5.2) SQC(n) = TQC(n) TAP(n) (5.3)
onde TRSA(n) ´e a m´edia aritm´etica do tempo das decriptografias usando o RSA tradicional em microssegundos sobre m´odulos de n bits, TQC(n) ´e a m´edia aritm´etica do tempo das decripto- grafias usando RSA QC em microssegundos sobre m´odulos n bits e TAP(n) ´e a m´edia aritm´etica do tempo das decriptografias do algoritmo proposto em microssegundos sobre m´odulos de n bits.
5.2
Public-Key Cryptography Standards - PKCS
O PKCS [17] ´e uma s´erie de especificac¸˜oes produzidas pelos Laboratorios RSA em cooperac¸˜ao com desenvolvedores de sistemas de seguranc¸a de v´arias partes do mundo, que visa acelerar, atrav´es de padronizac¸˜ao, a utilizac¸˜ao e o desenvolvimento de algoritmos de chave p´ublica. Surgiu em 1991, como resultado de encontros de um pequeno grupo de precursores no uso da tecnologia de chave p´ublica e desde ent˜ao tem se tornado referˆencia at´e mesmo para padr˜oes j´a estabelecidos, como ANSI X9, PKIX, SET, S/MIME e SSL. Atualmente seu desenvolvimento
Cap´ıtulo 5 — M´etodo e Ferramentas utilizadas 51
ocorre basicamente atrav´es de lista de discuss˜oes e ocasionais workshops.
Como pode ser visto na tabela 5.1, a especificac¸˜ao PKCS respons´avel pela padronizac¸˜ao da criptografia/verificac¸˜ao de assinatura e pela decriptografia/gerac¸˜ao de assinatura utilizando o criptossistema RSA ´e dada pelo PKCS#1. As especificac¸˜oes referentes ao PKCS#2 e PKCS#4 foram incorporadas a esta. Al´em de especificar as primitivas criptogr´aficas , o PKCS#1 define tamb´em padr˜oes de convers˜oes de dados, como o I2OSP e OS2IP ( permitindo que uma dada mensagem X > N − 1 possa ser codificada ou decodificada corretamente), func¸˜oes hash (para serem utilizadas, por exemplo, para assinaturas) e tipos de chaves a serem utilizadas com as primitivas criptogr´aficas.
N ´umero Tema
1 RSA Cryptography Standard
3 Diffie-Hellman Key Agreement Standard
5 Password-Based Cryptography Standard
6 Extended-Certificate Syntax Standard
7 Cryptographic Message Syntax Standard
8 Private-Key Information Syntax Standard
9 Selected Attribute Types
10 Certification Request Syntax Standard 11 Cryptographic Token Interface Standard 12 Personal Information Exchange Syntax Standard
13 Elliptic Curve Cryptography Standard
15 Cryptographic Token Information Format Standard Tabela 5.1: Temas tratados pelas especificac¸˜oes PKCS.
Em nossas implementac¸˜oes tentamos gerar chaves que se aproximavam ao m´aximo das especificadas nas primitivas criptogr´aficas da vers˜ao 2.1 do PKCS#1 (vers˜ao mais recente at´e a presente data, lanc¸ada em 14 de junho de 2002). A representac¸˜ao da chave p´ublica no PKCS#1 ´e a mesma utilizada no decorrer deste documento, ou seja, < N, e >. J´a a representac¸˜ao da chave particular pode ser dada tanto pelo par < N, d > (veja sec¸˜ao3.2), como pela qu´ıntupla
< p, q, dp, dq, qInv > e uma opcional seq¨uˆencia de triplas < pi, di, ti >, i = 3, ..., u, uma para cada primo n˜ao pertencente `a qu´ıntupla, onde os componentes destas seq¨uˆencias s˜ao descritos abaixo:
52 5.2Public-Key Cryptography Standards- PKCS
• q : o segundo fator primo, um inteiro positivo.
• dp : primeiro coeficiente do TCR, d mod p − 1 , um inteiro positivo.
• dq: segundo coeficiente do TCR, d mod q − 1, um inteiro positivo.
• qInv : a inversa de q m´odulo p, um inteiro positivo.
• pi: i-´esimo fator primo (para i= 3, 4, ...), um inteiro positivo.
• di : i-´esimo coeficiente do TCR, d mod pi− 1 (para i= 3, 4, ...), um inteiro positivo.
• ti : p1p2...pi−1ti ≡ 1 (mod pi), um inteiro positivo (onde p1= p e p2 = q).
Este tipo de chave ´e necess´aria pois esta especificac¸˜ao utiliza o algoritmo de Garner na aplicac¸˜ao do Teorema Chinˆes do Resto (sec¸˜ao 2.5). Assim, ao implementarmos os algoritmos descritos no cap´ıtulo anterior, se quisermos que estes estejam de acordo com a especificac¸˜ao acima, devemos antes adapt´a-los de tal forma que produzam e sejam capazes de utilizar as chaves na forma apresentada aqui. Este modelo de chaves foi criado com o intuito de suportar tanto o RSA tradicional quanto o RSA QC e o RSA com M´ultiplos Primos. Todavia, sabemos que o RSA Rebalanceado utiliza o mesmo tipo de chaves que o RSA QC (com a ´unica diferenc¸a que o expoente p´ublico e ´e maior que o convencional) e portanto, tamb´em est´a de acordo com a especificac¸˜ao. O mesmo ocorre com o RSA Rebalanceado com M´ultiplos Primos, que utiliza o mesmo tipo de chaves que o RSA com M´ultiplos Primos. Concluindo, as ´unicas variac¸˜oes do quarto cap´ıtulo que n˜ao se enquadram no PKCS #1 s˜ao as do RSA em Lote e do RSA com M´ultiplas Potˆencias, que utilizam o expoente p´ublico na decriptografia.
O algoritmo de decriptografia utilizado pelo PKCS#1 em sua ´ultima vers˜ao depende ent˜ao do tipo da chave particular utilizada. Se a chave particular for da forma < N, d > calculamos
M fazendo M = Cd mod N como habitual. Se a chave particular for da segunda forma
< p, q, dp, dq, qInv > e < pi, di, ti >, procedemos como segue:
Entrada: C, (p, q, dp, dq, qInv) e triplas opcionais (pi, di, ti) Saida: M
Cap´ıtulo 5 — M´etodo e Ferramentas utilizadas 53
M1 ← Cdp mod p
M2 ← Cdq mod q.
Se (u > 2)
Para i ← 3 at´e u fac¸a
Mi← Cdimod pi
h ← (m1− m2)qInv mod p.
M ← M2+ qh.
Se (u > 2)
R = p1
Para i ← 3 at´e u fac¸a
R = Rpi−1.
h = (mi− m)ti(mod pi).
M = M + Rh.
: Calcula M1e M2como no RSA QC
: Se utilizarmos mais de 2 primos, calcula os M s restantes
: Utiliza o algoritmo de Garner para 2 primos
: Utiliza o algoritmo de Garner para os primos restantes
Observe a conformidade do c´odigo acima com os algoritmos de decriptografia do RSA QC e do RSA com M´ultiplos Primos, e note a possibilidade de utilizac¸˜ao das chaves do RSA Rebalanceado e do RSA Rebalanceado com M´ultiplos Primos.
A adequac¸˜ao das variac¸˜oes com o PKCS #1 permite a comunicac¸˜ao entre sistemas padroni- zados, por´em, n˜ao garante que as chaves utilizadas sejam seguras. Para isso, devemos seguir as recomendac¸˜oes descritas no terceiro cap´ıtulo. A primeira destas recomendac¸˜oes ´e a utilizac¸˜ao de primos grandes (com centenas de bits). Mas para efetuarmos tal processo necessitamos de uma ferramenta denominada GMP, que descrevemos a seguir.