Gửi lúc: 04/04/2019 13:59:39
Bookmark and Share

Một số phân tích an toàn về đặc điểm thiết kế của chế độ EME2

Bài báo này phân tích về đặc điểm thiết kế của EME2. Các phân tích được đưa ra dựa vào sự cần thiết của các thành phần: hàm biến đổi dữ liệu liên kết, phép cộng XOR liên kết sự phụ thuộc các biến và phép mã hóa thêm vào khi đầu vào không chẵn khối. Ngoài ra, bài báo cũng đưa ra chứng minh tính không phân biệt được của hàm biến đổi dữ liệu liên kết với một họ hàm giả ngẫu nhiên. Từ đó, kết hợp với các kết quả đã có [4], bài báo cung cấp cho người đọc cách nhìn khá đầy đủ về đặc điểm thiết kế của EME2.

1. Giới thiệu 

Mã hóa trong thiết bị lưu trữ có những đặc tính mà các chế độ mã hóa thông thường không đáp ứng được. Vì vậy, để đáp ứng trong môi trường này, mã khối tinh chỉnh được và các lược đồ mã hóa tinh chỉnh được đã đề xuất trong sử dụng một giá trị tinh chỉnh (còn được gọi là dữ liệu liên kết khi ám chỉ độ dài thay đổi) là một đầu vào bổ sung trong thủ tục mã hóa/giải mã mà không cần giữ bí mật. Việc mong muốn các phép biến đổi này là một phép biến đổi bảo toàn độ dài đã đặt ra các định nghĩa an toàn phù hợp. Khái niệm mạnh nhất cho độ an toàn của một phép biến đổi bảo toàn độ dài là không phân biệt được với hoán vị ngẫu nhiên trước tấn công lựa chọn bản mã (pseudorandom permutation under chosen ciphertext attack - prp-cca) được định nghĩa bởi Luby và Rackoff. Sau đó Liskov đã mở rộng thành độ an toàn không phân biệt được với hoán vị ngẫu nhiên tinh chỉnh được trước tấn công lựa chọn bản mã (tweakable pseudorandom permutation under chosen ciphertext attack - tprp-cca) cho lược đồ mã hóa tinh chỉnh được.

Các công trình liên quan

Gần đây, một vài chế độ hiệu quả đảm bảo độ an toàn prp-tcca đã được mô tả bởi Halevi và Rogaway để sử dụng trong ứng dụng mã hóa ở mức độ sector. Tuy nhiên, chế độ này tồn tại một số hạn chế như: chỉ mã hóa được với thông điệp đầu vào có độ dài là bội của kích cỡ mã khối cơ sở . Ngoài ra, chế độ CMC có tính tuần tự (chỉ được chứng minh an toàn trong mô hình mà tất cả các thông điệp cùng độ dài), trong khi chế độ EME chỉ hạn chế cho các thông điệp có độ dài tối đa là  bit. Các nghiên cứu gần đây hướng tới mục tiêu loại trừ những hạn chế trên. Năm 2004, nhà khoa học Shai Halevi đã dựa trên EME đề xuất chế độ EME* có thể áp dụng cho thông điệp có độ dài gần như bất kỳ và đạt được độ an toàn prp-tcca. Chế độ EME2-AES là một trường hợp đặc biệt của EME*, được khuyến cáo sử dụng trong môi trường lưu trữ bởi IEEE P 1619.2 có thể vận dụng cho các khối có độ dài hầu như bất kỳ, nhưng không ngắn hơn kích cỡ của mã khối cơ sở. Cấu trúc của EME2-AES bao gồm 2 tầng mã hóa ECB và một tầng trộn nhẹ, có tính song song hóa và được chứng minh là không thể phân biệt được với hoán vị ngẫu nhiên trước tấn công lựa chọn bản mã.

Bài báo này phân tích các đặc điểm thiết kế của EME2 trên cơ sở các phản ví dụ (nếu như không có các thành phần này thì sẽ dẫn đến một chế độ không an toàn). Ngoài ra, bài báo đã chứng minh Bổ đề 3 đã được phát biểu về tính không phân biệt được của hàm biến đổi dữ liệu liên kết. 

Nội dung bài báo chia làm 3 phần: Sau phần giới thiệu, Phần 2 nhắc lại một số khái niệm cơ bản và tóm tắt các kết quả an toàn của EME2 đã có. Phần 3 đưa ra các phân tích đánh giá độ an toàn trong thiết kế của chế độ EME2.

Xem toàn bộ bài báo tại đây.

Nguyễn Tuấn Anh