Esquemas de Criptograa de Threshold

Universidade da Beira Interior

Departamento de Informtica Adolfo Peixinho

Resumo
Conceitos de Criptograa funes one-way hash pseudo-aleatoriadade Secret Sharing esquemas de threshold exemplos de esquemas aplicaes, observaes, questes ...
2

Conceitos de Criptograa
Objectivo
Construir sistemas fceis de operar, mas difceis de deslindar

Caractersticas
Disponibilidade Integridade Controle de Acesso Autenticao No Repudiao Privacidade (Condencialidade)
3

Conceitos de Criptograa

Conceitos de Criptograa
One-Way Hash
Funes one-way hash so ecientes de computar, mas inviveis/difceis de inverter (na mdia dos casos)

fcil

x
difcil

f(x)

Conceitos de Criptograa
Pseudo-aleatoriedade
Equiprobabilidade Imprevisibilidade

Gerador Pseudo-aleatrio
Sequncias determinsticas cclicas, aparentemente aleatrias
6

Secret Sharing
(partilha de segredo)
1 2 11

11 Cientistas pretendem guardar um segredo num cacifo

7

Secret Sharing
(partilha de segredo)
1 6

So necessrios 6, ou mais, cientistas para abrir o cacifo

8

Secret Sharing
(partilha de segredo)
Da abordagem combinatria, conclumos: so necessrios cada uma das k entidades necessitam

Secret Sharing
(partilha de segredo)

O que ? Mtodo de distribuir um segredo entre um grupo de entidades, em que cada entidade recebe um quota (ou shadow) do segredo

10

Secret Sharing
(Threshold)
Como Dividir/Distribuir ? dividir o segredo D em n partes de maneira que qualquer grupo de k entidades consegue reconstruir o segredo, mas um grupo de cardinalidade menor que k no consegue Denomina-se um esquema de Threshold (k,n)
11

Esquema de Threshold (k,n)

Mais formalmente, dividir um conjunto de dados D em n partes Di ... Dn i [1,n] de forma que :
conhecimento de k, ou mais, partes de Di torna D facilmente computvel (disponibilidade) conhecimento de k-1, ou menos, partes de Di deixa D indeterminado * (condencialidade)
Se k=n todas as partes so requeridas na reconstituio do segredo

Seguindo distribuio uniforme todos os valores so equiprovveis garantindo condencialidade

12

Esquema de Threshold (k,n)

Sendo o segredo S partilhado por n entidades e a cada (1 t n) entidades distribudas a sua Di parcela, para t ndices {D1,D2,...,Dt} :

H (S | Dt1 , Dt2 , ... , Dt ) = 0 n k t H (S | Dt1 , Dt2 , ... , Dt ) > 0 k < t

* P rob (S

= s | D1 , ... , Dt ) = 1
13

Esquema de Threshold (k,n)

Requisitos de esquema de

Perfect Secret Sharing:

*

H (S | Dt1 , Dt2 , ... , Dt ) = H (S) k < t

H (Dt ) H (S) t = 1, 2, ..., n

considerado um PSS Ideal se: H (Dt ) = H (S) ou

P rob (S = s | D1 , ... , Dt1 ) = P rob (S = s)
*
Condio necessria para um esquema de threshold perfeito [Karnin,83]
14

Esquema de Threshold (k,n)

Porqu a necessidade de um esquema (k,n) ?
Segurana vs Conabilidade porque no manter uma chave num sitio seguro ? porque no existem mltiplas cpias ? Segurana vs Comodidade cpias so convenientes, mas fceis de usar incorrectamente exigir que todos os partidos tomem parte inconveniente
15

Esquema de Threshold (k,n)

Blakley [1979] Shamir [1979]

Hiperplanos n-dimensionais

Esquema Criptogrco Threshold (k,n)

Interpolao Polinomial de Lagrange

16

Esquema de Threshold (k,n) - Shamir

Fundamento matemtico Dados k pontos num plano (xi,yi) ... (xk,yk), para xi distintos um nico polinmio de grau k-1 : f(xi) = yi i Prova construtiva: dados estes k pontos, podemos reconstruir f usando a Frmula de Interpolao Polinomial de Lagrange Tambm vlido no corpo p , p primo
17

Esquema de Threshold (k,n) - Shamir

Seja s um segredo do corpo p , p primo Seleccionar um polinmio aleatoriamente

Seleccionar/Atribuir f1 ... fk-1 Atribuir f0 s

Rp

(R ~ )

Para i [1,n], distribuir a parcela si = (i,f(i)) i-sima entidade

18

Esquema de Threshold (k,n) - Shamir

Teorema: o segredo s pode ser reconstrudo de cada subconjunto de k parcelas Prova: interpolao de Lagrange, dados k pontos (xi,yi), i = 1 ... k

19

Exemplo de Threshold (k=2,n) - Shamir

O segredo S partilhado por 2 entidades, tal que :

distribuir/atribuir a cada entidade a sua parcela do segredo Si

20

Exemplo de Threshold (k=2,n) - Shamir

O segredo S reconstrudo pelas 2 entidades :

21

Exemplo de Threshold (k=2,n) - Shamir

Com 1 nico ponto o segredo pode ser qualquer valor em [0,p] com ! probabilidade
22

Exemplo de Threshold (3,5) - Shamir

Supondo que o segredo S partilhado por 5 entidades e que 3 o podem reconstruir :

Escolher p tal que: p > S n Seleccionar/Atribuir coecientes do polinmio f1 ... fk-1 Rp (R~ ) Atribuir f0 s
23

Exemplo de Threshold (3,5) - Shamir

distribuir/atribuir a cada entidade a sua parcela do segredo Si

24

Exemplo de Threshold (3,5) - Shamir

Supondo que as entidades com as parcelas S1 = 4, S2 = 0 e S5 = 4 decidem reconstruir o segredo

25

Exemplo de Threshold (3,5) - Shamir

Supondo que as entidades com as parcelas S1 = 4, S2 = 0 e S5 = 4 decidem reconstruir o segredo

26

Exemplo de Threshold (3,5) - Shamir

27

Esquema de Threshold (k,n) - Blakley

Seja S um segredo do corpo p , p primo Mapear S para um ponto num espao n-dimensional Escolher k planos, no paralelos, aleatrios de (n-1) hiperplanos do espao que contm S Cada plano uma partilha Para reconstruir S necessrio computar a interseco de k hiperplanos Possuindo k-1 partilhas o segredo S mantm-se
28

Esquema de Threshold (k,n) - Blakley

Fundamento matemtico Dado que 2 linhas, no paralelas, no mesmo plano se intersectam num ponto Dado que 3 planos, no paralelos, se intersectam no espao num ponto Generalizando, quaisquer n-dimensionais hiperplanos, no paralelos, intersectam-se num ponto, ou numa recta (bi-dimensionais)
29

Esquema de Threshold (k=2,n) - Blakley

O segredo a interseco de 2 dos hiperplanos bi-dimensionais

30

Esquema de Threshold (k=3,n) - Blakley

O segredo a interseco de 3 dos hiperplanos n-dimensionais

31

Observaes
Threshold (k,n) - Shamir Usando n = 2k-1 requere que adversrios adquiram mais de n/2 = k parcelas Segundo a Teoria de Informao (C. Shannon) perfeito i.e: tamanho(Si) = tamanho (S) Flexibilidade em adicionar ou apagar parcelas sem afectar outras entidades Fcil de criar esquemas hierrquicos Pode ser usado em segredos de segredos
32

Observaes
Threshold (k,n) - Blakley Segundo Teoria de Informao (C. Shannon) no eciente i.e: parcela = k x (tamanho(segredo)) Pode revelar informao desnecessariamente Pode ser adaptado para ser to eciente quanto o esquema de Shamir

33

Aplicaes
Threshold (k,n)
Visual Secret Sharing (imagens) E-Money Propriedades Homomrcas

Aplicaes

E-Voting

Veriable Secret Sharing

Multi Party Computation

34

Bibliograa
Shamir, A. (1979). How to share a secret. Communications of the ACM. Blakley, G. R. (1979). Safeguarding cryptographic keys. aps (p. 313). IEEE Computer Society. Shannon, C. E. (1948). The mathematical theory of communication. Blakley, G. R. (1993). Perfect Threshold Schemes and MDS Codes. Secret Sharing Schemes(acessed in 2011) RSA Security http:/ /www.rsa.com/ rsalabs/node.asp?id=2259 Naor, M., & Shamir, A. (1995). Visual cryptography. In A. D. Santis (Ed.), Advances in Cryptology EuroCrypt 94 (Vol. 950, pp. 1-12). Springer-Verlag. E.D.Karnin, J.W.Greene, and M.E.Heliman (1983) On secret sharing systems, IEEE Transactions on Information Theory. Wikipedia (acessed in 2011) http:/ /en.wikipedia.org/wiki/Secret_sharing
35

Fim Obrigado Questes ???

36