Возможно ли шифрование в другом порядке, чем расшифровка?

Question

Можно ли зашифровать в одном порядке и расшифровать в другом? Например, у меня есть следующее:

• plain_text.txt
• Пара открытых / закрытых ключей 1
• Пара открытых / закрытых ключей 2

Пример

Шифрование:

public1(public2(plain_text.txt))

дешифрование:

private1(private2(encrypted))

Есть ли алгоритм шифрования, который позволяет это? Это вообще возможно?

Answer 1

В большинстве случаев вы не можете изменить порядок расшифровки. Схемы, позволяющие изменить порядок дешифрования, называются коммутативными криптосистемами. Одна криптосистема с открытым ключом, которую можно использовать для построения коммутативной криптосистемы, шифрование Эль-Гамаля .

Вот только основная идея: предположим, что g является генератором подходящая группа G, для которой сложно вычислить дискретные логарифмы. Пусть x _A и x _B будут двумя закрытыми ключами, h _A = g ^{x _A} и ч _В = г ^{х _В} быть соответствующими открытыми ключами. Обе пары ключей используют одну группу G (то есть тот же модуль p, если мы используем G = Z / (p)). Это одно из преимуществ Схема ElGamal, что он все еще безопасен, если два пользователя совместно используют одну группу (или модуль). RSA, с другой стороны, будет небезопасным.

Шифрование сообщения m с помощью h _A дает зашифрованный текст

(м ч _A ^r , г ^r ).

Обратите внимание, что знание секретного ключа x _A позволяет расшифровать, потому что

(г ^r ) ^{x _A} = h _A ^r

Чтобы зашифровать зашифрованный текст во второй раз, нужно сначала повторно зашифровать существующий зашифрованный текст с открытым ключом А. Он выбирает случайный r 'и вычисляет

(мч _A ^r h _A ^{r '}, g ^r g ^r' ) = (мч _A ^{r + r '}, g ^{r + r'} ).

Результатом является еще одно действительное шифрование с открытым ключом А. Это повторное шифрование необходимо, чтобы избежать атаки, которая работает, например, против RSA с равным модулем, как показано ниже. Затем можно было бы зашифровать с открытым ключом B, давая

(mh _A ^{r + r '} h _B ^s , g ^{r + r'} , г * 1 092 * S ).

Расшифровка возможна в любом порядке, например, зная x _A позволяет вычислить

(g ^{r + r '}) ^{x _A} = h _A ^{r + r'}

и, следовательно, можно вычислить

(м ч _В ^с , г ^с ),

именно этого мы и хотим: шифрование m открытым ключом B.

Существует ряд тонкостей, которые необходимо соблюдать, чтобы получить безопасную реализацию. И понять это не так просто. Для получения дополнительной информации см., Например, Phd Стивена Вейса , который содержит главу о коммутативном шифровании.

---

Существует ряд проблем, если использовать ту же идею с «учебником RSA». Во-первых, чтобы сделать шифрование коммутативным, необходимо, чтобы оба пользователя A и B использовали один и тот же модуль. Например. A использует (n, e _A , d _A ), а B использует (n, e _B , d _B ), где n это модуль, e _A , e _B открытые ключи и d _A , d _B секретные ключи. Однако, например, зная (n, e _A , d _A ), можно вычислить n и, следовательно, вычислить секретный ключ B, который, конечно, является одним большим недостатком.

Теперь мы можем зашифровать m как

м ^{е _А} мод н,

снова зашифровать как

м ^{е _А е _В} мод n,

расшифровывает с секретным ключом А, давая

м ^{е _В} мод н,

и расшифровываем снова с секретным ключом B, чтобы получить m. Это выглядит хорошо, пока никто не заметит, что злоумышленник, который может перехватить два шифротекста c = m ^{e _A} mod n и c '= m ^{e _B} mod n, может использовать Алгоритм Евклида, чтобы найти r, s такой, что

r e _A + s e _B = 1

, а затем вычислить

m = c ^r (c ') ^s мод №.

Эта идея также работает против решения с использованием RC4, предложенного в другом ответе. Тезис Вейса содержит подробное описание атаки.

Answer 2

В большинстве публичных реализаций RSA это было бы невозможно. Процедура дешифрования ожидает, что открытый текст будет в определенном формате (то есть правильно заполнен) и завершится неудачей, если это не так. Опять же, при шифровании он применяет заполнение к открытому тексту, а не использует блоб как есть.

/ * Математика RSA учитывает это, AFAIK, при условии, что модули двух ключей взаимно просты (что верно почти всегда). Но вам, вероятно, придется свернуть собственную реализацию. * /

Другая проблема заключается в том, что числовое значение блока открытого текста должно быть меньше модуля. Таким образом, модуль первого ключа должен быть меньше, чем у второго ключа, в противном случае нет никакой гарантии, что первый зашифрованный текст будет надлежащим открытым текстом для второго раунда шифрования.

OpenSSL имеет, я смутно помню, режим без заполнения. Возможно, вам повезет с этим.

РЕДАКТИРОВАТЬ: в общем, придумывать свои собственные криптографические примитивы - плохая идея в 99,9% случаев. Если ваш интерес чисто академический, то будьте моим гостем; но если вам нужен определенный фрагмент прикладной функциональности (то есть что-то зашифровывать, так что для расшифровки необходимо согласие двух не доверяющих сторон), то вы определенно на ложном пути.

EDIT2: математика RSA учитывает это, если модули идентичны. Вычеркните абзац второй. Но наличие двух ключей с одинаковым модулем очень сильно подрывает безопасность. Если Алиса имеет закрытый ключ (m, d) и Синди как закрытый ключ (m, d ') - при условии того же m - тогда Алиса может определить d' за O (m) времени, учитывая одну пару открытого текста / шифротекста от Синди. Не хорошо.

Answer 3

Это будет верно только в том случае, если алгоритм шифрования ведет себя как особый тип математической группы . Большинство (все?) Алгоритмов блочного шифрования не являются такими группами.

Answer 4

С шифрованием открытым ключом / закрытым ключом ответ - нет. PubK1(PubK2(plain.text)) => encrypted.text. Вы должны расшифровать с PrivK2(PrivK1(encrypted.text)).

Однако, если вы используете симметричный потоковый шифр, такой как RC4, вы можете изменить порядок дешифрования (A xor B xor C = C xor B xor A). Но это, очевидно, не алгоритм открытого / закрытого ключа.

Answer 5

Нет, это не работает. Проще говоря, вы не можете гарантировать уникальную расшифровку, потому что один модуль больше другого.

РЕДАКТИРОВАТЬ: я предполагаю, что это RSA. Если нет, то мне придется подумать о некоторых других.

РЕДАКТИРОВАТЬ2: Если вы всегда готовы сначала использовать меньший модуль, тогда он работает.

Answer 6

AFAIK это должно быть возможно с небольшим изменением RSA.Хотя я не знаю ни одного инструмента, который мог бы это сделать.