CHƯƠNG 3. CÁC HỆ MẬT DỰA TRÊN VÀNH ĐA THỨC CHẴN

13

3.2.3. Thủ tục mã hóa

Mỗi phiên mã hóa n  1 bit bản rõ m nào đó, Alice sử dụng

thủ tục tạo khóa trên để tạo và chia sẻ với Bob một khóa ngẫu nhiên

mới s 



. Tiếp theo, Alice tính n bit M   w(m)  1 mod 2.x n 1  m



sau đó tính n bit bản mã c  M  s.

3.2.4. Thủ tục giải mã

Để giải mã n bit bản mã c , đầu tiên Bob tính n bit M  c  s 1

trong đó s 1 là nghịch đảo của s trong R2k tính bằng Thuật toán 2-1.

Tiếp đó Bob khôi phục (n  1) bit bản rõ m  M n1.x n1  M với M n 1

là hệ số ứng với đơn thức x n 1 trong biểu diễn đa thức của M .

3.2.5. Phân tích độ an toàn lý thuyết của RISKE

Kẻ tấn công



có thể sử dụng phương pháp vét cạn để tìm



khóa bí mật s . Tuy nhiên, với độ an toàn khóa

để



 2 N  1 xác suất



đoán đúng khóa là 1 / (2 N  1) . Đây một hàm không đáng kể của



N nên có thể coi RISKE là an toàn đối với loại tấn công này.



Về lý thuyết,

có thể sử dụng tấn công vét cạn để tìm bản rõ

nhưng điều này là không thực tế vì trong RIKSE độ an toàn bản rõ là

 2n1 còn lớn hơn cả độ an toàn khóa.



Ngoài ra, RISKE còn có độ an toàn ngữ nghĩa IND-CPA (được

chứng minh chi tiết trong định lý 3-2 của luận án).

3.2.6. Phân tích hiệu năng lý thuyết của RISKE

Ưu điểm quan trọng của RISKE là độ phức tạp tính toán thấp,

cả thuật toán mã hóa và giải mã chỉ sử dụng một phép cộng và nhân đa

thức trong vành đa thức chẵn tuyệt đối R2k với độ phức tạp tính toán



14



(n 2 ) . So với hệ mật OTP, khóa bí mật s trong RISKE có độ dài N

nhỏ hơn độ dài n của bản rõ.

Tương tự OTP, nhược điểm của RISKE là phải thay đổi khóa

ngẫu nhiên mới s  theo từng phiên. Vì lý do này, RISKE nên được

sử dụng kết hợp với một hệ mật khóa công khai nào đó để xây dựng

một hệ mật lai ghép theo mô hình KEM/DEM. Ngoài ra, nếu hệ mật

khóa công khai được chọn có hệ số mở rộng bản tin lớn, ta có thể điều

chỉnh N và n để giảm giá trị này.

3.3. HỆ MẬT LAI GHÉP QRHE

3.3.1. Giới thiệu

Mọi đa thức trong R2n , tương ứng với mọi bản tin 2n bit, luôn

có thể biểu diễn dưới dạng m  (1  x n )  k  l trong đó, l  m2 và

k







tU



x t đều là các đa thức bậc tối đa (n  1) và được biểu diễn



bởi các chuỗi n bit.

Ý tưởng chính ở đây là, nếu coi k là một khóa bí mật và che

giấu khóa này bằng một hệ mật khóa công khai nào đó theo mô hình

KEM/DEM thì l  (1  x n )  k  m là một bản mã mà nếu không biết

k sẽ không dễ phát hiện ra m từ l vì có đến 2 n phương án phải thử

sai.



3.3.2. Sơ đồ hệ mật lai ghép QRHE

Sơ đồ hệ mật lai ghép QRHE (Quadratic Residue Hybrid

Encryption scheme) được mô tả chi tiết trong Hình 3-1.



15



Thám

mã



Alice



mi



c1,i



mi2



x

DEM



t



tU



Bob



ki



c1,i  ki  (1  x n )



KEM



c2,i



KEM



mi



ki

DEM



Hình 3-1: Sơ đồ hệ mật QRHE

3.3.3. Thủ tục tạo khóa

Với 2n bit bản rõ mi , dựa trên Bổ đề 2-2, Alice sẽ tính n bit

khóa bí mật ki với kij  mi ( j  n ) . Khóa bí mật này sau đó sẽ được mã

hóa bằng một hệ mật khóa công khai nào đó (phần KEM), ví dụ như

hệ mật RSA để tạo từ mã c2,i . Kích thước của c2,i còn phụ thuộc vào

hệ mật khóa công khai được chọn.

3.3.4. Thủ tục mã hóa

Bằng Bổ đề 2-1, Alice sẽ xác định được các hệ số của bản mã

c1,i với c1,ij  (mij  mi ( j  n) ) mod 2 | 0  j  n  1 . Tiếp đó Alice gửi cặp

bản mã c1,i và c2,i gửi tới Bob.

3.3.5. Thủ tục giải mã

Khi nhận được cặp bản mã (c1,i , c2,i ) , Bob sẽ:

1) Sử dụng thuật toán giải mã của phần KEM tính ki từ c2,i ;

2) Sử dụng ki để tính mi từ c1,i với



16



mij  (c1,ij  kij ) mod 2 | 0  j  n  1

mij  ki ( j n ) | n  j  2n  1.

3.3.6. Phân tích độ an toàn lý thuyết của QRHE

Với độ an toàn khóa



 2n , xác suất để kẻ tấn công



đoán



đúng khóa là 2  n là một hàm không đáng kể của biến n nên có thể coi

là an toàn với tấn công này. Trên thực tế cần chọn n  1024 và cỡ

khoảng 4096 (tương ứng với độ dài bit của giá trị modulus được

khuyến nghị của hệ mật RSA trên thực tế.

Về lý thuyết,

có thể sử dụng tấn công vét cạn để tìm bản rõ

nhưng điều này là không thực tế vì trong QRHE, độ an toàn bản rõ còn

lớn gấp đôi độ an toàn khóa.

Để tránh được các tấn công EAV và CPA, cần lựa chọn KEM

là các hệ mật xác suất, ví dụ OAEP-RSA. Ngoài ra, để khắc phục

nhược điểm này, có thể sử dụng QRHE ở chế độ CBC.

3.3.7. Phân tích hiệu năng lý thuyết của QRHE

Các thuật toán tạo khóa, mã hóa và giải mã của QRHE đều chỉ

là các phép cộng đa thức trong R2n với độ phức tạp tính toán O ( n) dễ

dàng thực hiện bằng phần cứng và phần mềm.

3.4. HỆ MẬT KHÓA CÔNG KHAI IPKE

3.4.1. Giới thiệu

Việc sử dụng các phần tử khả nghịch trên vành Rn,q trong mật

mã khóa công khai đã được hiện thực hóa với hệ mật NTRU. Tuy

nhiên, NTRU phải lưu tới hai khóa bí mật, hệ số mở rộng bản tin trong

khá cao (khoảng từ 3 đến 5) và chưa có độ an toàn ngữ nghĩa. Vấn đề

đặt ra là có thể xây dựng một hệ mật khóa công khai trên vành đa thức

chẵn để khắc phục những hạn chế này.