Fast one-4me signatures and applica4ons Dan Boneh - PowerPoint PPT Presentation

Online ¡Cryptography ¡Course ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Dan ¡Boneh ¡ Sigs. ¡with ¡special ¡proper4es ¡ Fast ¡one-­‑4me ¡signatures ¡ and ¡applica4ons ¡ Dan ¡Boneh ¡

One-­‑4me ¡signatures: ¡ ¡defini4on ¡ Suppose ¡signing ¡key ¡is ¡used ¡to ¡sign ¡a ¡single ¡message ¡ Can ¡we ¡give ¡a ¡simple ¡(fast) ¡construc4on ¡ ¡SS=(Gen,S,V) ¡ ¡ ¡? ¡ ¡ vk ¡ Chal. ¡ Adv. ¡A ¡ m 1 ¡ ∈ ¡M ¡ (sk,vk) ← Gen ¡ σ 1 ¡ ← ¡S(sk,m 1 ) ¡ (m,σ) ¡ A ¡wins ¡if ¡ ¡V(vk,m,σ) ¡= ¡`accept ’ and ¡ ¡m ¡≠ ¡m 1 ¡ Security: ¡ ¡ ¡for ¡all ¡“efficient” ¡A, ¡ ¡ ¡ ¡Adv 1-­‑SIG [A,SS] ¡ ¡= ¡ ¡Pr[ ¡A ¡wins] ¡ ¡≤ ¡ ¡negl ¡ ¡ Dan ¡Boneh ¡

Applica4on: ¡ ¡authen4ca4ng ¡streams ¡ 1. ¡Next ¡sec4on: ¡ ¡ ¡ ¡ ¡ ¡secure ¡one-­‑4me ¡sigs ¡ ¡ ⇒ ¡ ¡secure ¡many-­‑4me ¡sigs ¡ ¡ 2. ¡ ¡Authen4ca4ng ¡a ¡video ¡stream: ¡ vk ¡ ⋯ ¡ sk ¡ vk ¡ Too ¡slow: ¡ ¡signing ¡every ¡packet ¡with ¡sk ¡ Dan ¡Boneh ¡

Solu4on ¡using ¡a ¡fast ¡one-­‑4me ¡sig ¡ (sk,vk): ¡ ¡ ¡key-­‑pair ¡for ¡a ¡many-­‑4me ¡signature ¡scheme ¡ (Gen 1T , ¡S 1T , ¡V 1T ): ¡ ¡ ¡ ¡secure ¡one-­‑4me ¡signature ¡ ¡(fast) ¡ packet ¡#1 ¡ packet ¡#0 ¡ packet ¡#2 ¡ sk ¡ ⋯ ¡ (data 0 , ¡vk 1 , ¡σ 0 ) ¡ (data 1 , ¡vk 2 , ¡σ 1 ) ¡ (data 2 , ¡vk 3 , ¡σ 2 ) ¡ Packet ¡#0: ¡ ¡ ¡ ¡(sk 1 ,vk 1 ) ¡ ¡ ⟵ ¡ ¡Gen 1T ¡ ¡ ¡, ¡ ¡ ¡ ¡ ¡σ 0 ¡ ⟵ ¡ ¡S ¡ ( sk, ¡(data 0 , ¡vk 1 ) ) ¡ ¡ Packet ¡#1: ¡ ¡ ¡ ¡(sk 2 ,vk 2 ) ¡ ¡ ⟵ ¡ ¡Gen 1T ¡ ¡ ¡, ¡ ¡ ¡ ¡ ¡σ 1 ¡ ⟵ ¡S 1T ( sk 1 , ¡(data 1 , ¡vk 2 ) ) ¡ ¡ Packet ¡#2: ¡ ¡ ¡ ¡(sk 3 ,vk 3 ) ¡ ¡ ⟵ ¡ ¡Gen 1T ¡ ¡ ¡, ¡ ¡ ¡ ¡ ¡σ 2 ¡ ⟵ ¡S 1T ( sk 2 , ¡(data 2 , ¡vk 3 ) ) ¡ ¡ ¡ Dan ¡Boneh ¡

Recipient ¡accepts ¡packet ¡#2 ¡= ¡(data 2 , ¡vk 3 , ¡σ 2 ) ¡once ¡it ¡verifies ¡σ 2 ¡ ¡ How ¡does ¡the ¡recipient ¡verify ¡the ¡signature ¡σ 2 ¡in ¡packet ¡#2? ¡ Accept ¡if ¡σ 0 ¡and ¡σ 1 ¡were ¡valid ¡and: ¡ ¡ V 1T ( ¡ vk 3 , ¡ ¡(data 2 , ¡vk 3 ), ¡ ¡σ 2 ) ¡ ¡ = ¡“accept” ¡ V ( ¡ vk, ¡ ¡(data 2 , ¡vk 3 ), ¡ ¡σ 2 ) ¡ ¡ = ¡“accept” ¡ V 1T ( ¡ vk 2 , ¡ ¡(data 2 , ¡vk 3 ), ¡ ¡σ 2 ) ¡ ¡ = ¡“accept” ¡ V ( ¡ vk 2 , ¡ ¡(data 2 , ¡vk 3 ), ¡ ¡σ 2 ) ¡ ¡ = ¡“accept” ¡

Applica4on: ¡ ¡authen4ca4ng ¡streams ¡ Prac4cal ¡difficul4es: ¡ • Packet ¡loss, ¡ ¡ ¡ ¡out ¡of ¡order ¡delivery ¡ • Many ¡solu4ons: ¡ ¡ ¡ ¡see ¡further ¡reading ¡at ¡end ¡of ¡module ¡ ¡ Authen4ca4ng ¡streams ¡with ¡a ¡MAC: ¡ • Harder, ¡but ¡can ¡be ¡done: ¡ ¡ ¡ ¡TESLA ¡ Dan ¡Boneh ¡

End ¡of ¡Segment ¡ Dan ¡Boneh ¡

Online ¡Cryptography ¡Course ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Dan ¡Boneh ¡ Sigs. ¡with ¡special ¡proper4es ¡ Construc4ng ¡fast ¡ ¡ one-­‑4me ¡signatures ¡ Dan ¡Boneh ¡

One-­‑4me ¡signatures ¡ Secure ¡when ¡sk ¡only ¡signs ¡a ¡single ¡message ¡ Aeacker: ¡gets ¡vk ¡and ¡can ¡ask ¡for ¡sig. ¡on ¡any ¡single ¡m 1 ¡of ¡her ¡choice. ¡ ¡should ¡be ¡unable ¡to ¡forge ¡signature ¡on ¡m ¡≠ ¡m 1 ¡ ¡ This ¡module: ¡ ¡ ¡one-­‑4me ¡sigs ¡from ¡fast ¡ one-­‑way ¡func/ons ¡ (OWF) ¡ • f: ¡ ¡X ¡ ⟶ ¡Y ¡ ¡is ¡a ¡OWF ¡if ¡(1) ¡ ¡ ¡f(x) ¡ ¡ ¡is ¡efficiently ¡computable, ¡ ¡ ¡(2) ¡ ¡ ¡hard ¡to ¡invert ¡on ¡random ¡f(x) ¡ • Examples: ¡ ¡ ¡(1) ¡ ¡ ¡f(x) ¡= ¡AES(x, ¡0 128 ) ¡ ¡ ¡ ¡, ¡ ¡ ¡ ¡ ¡(2) ¡ ¡ ¡f(x) ¡= ¡SHA256(x) ¡ key ¡ Dan ¡Boneh ¡

Lamport ¡one-­‑4me ¡signatures ¡ ¡ (simple) ¡ f: ¡X ¡ ⟶ ¡Y ¡ ¡a ¡one-­‑way ¡func4on. ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Msg ¡space: ¡ ¡ ¡M ¡= ¡{0,1} 256 ¡ Gen: ¡ ¡ ¡generate ¡ ¡2×256 ¡ ¡random ¡elements ¡in ¡X ¡ ¡ ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ sk ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ f ¡ f ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ f ¡ vk ¡ f ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ Dan ¡Boneh ¡

Lamport ¡one-­‑4me ¡signatures ¡ ¡ (simple) ¡ f: ¡X ¡ ⟶ ¡Y ¡ ¡a ¡one-­‑way ¡func4on. ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Msg ¡space: ¡ ¡ ¡M ¡= ¡{0,1} 256 ¡ Gen: ¡ ¡ ¡generate ¡ ¡2×256 ¡ ¡random ¡elements ¡in ¡X ¡ ¡ ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ sk ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ m ¡= ¡ ¡ ¡ ¡ ¡0 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡1 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡1 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ ¡ ¡ ¡ 0 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡0 ¡ ¡ ¡ S(sk, ¡ ¡m): ¡ ¡ ¡ ¡ ¡ σ ¡= ¡(pre-­‑images ¡corresponding ¡to ¡bits ¡of ¡m) ¡ Dan ¡Boneh ¡

Lamport ¡one-­‑4me ¡signatures ¡ ¡ (simple) ¡ f: ¡X ¡ ⟶ ¡Y ¡ ¡a ¡one-­‑way ¡func4on. ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Msg ¡space: ¡ ¡ ¡M ¡= ¡{0,1} 256 ¡ Gen: ¡ ¡ ¡generate ¡ ¡2×256 ¡ ¡random ¡elements ¡in ¡X ¡ ¡ ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ ∈ ¡X 256 ¡ ¡ ¡ ¡ (2KB) ¡ σ ¡= ¡ ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ m ¡= ¡ ¡ ¡ ¡ ¡0 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡1 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡1 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ ¡ ¡ ¡ 0 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡0 ¡ ¡ ¡ S(sk, ¡ ¡m): ¡ ¡ ¡ ¡ ¡ σ ¡= ¡(pre-­‑images ¡corresponding ¡to ¡bits ¡of ¡m) ¡ Dan ¡Boneh ¡

Lamport ¡one-­‑4me ¡signatures ¡ ¡ (simple) ¡ f: ¡X ¡ ⟶ ¡Y ¡ ¡a ¡one-­‑way ¡func4on. ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Msg ¡space: ¡ ¡ ¡M ¡= ¡{0,1} 256 ¡ Gen: ¡ ¡ ¡generate ¡ ¡2×256 ¡ ¡random ¡elements ¡in ¡X ¡ ¡ ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ ∈ ¡X 256 ¡ ¡ ¡ ¡ (2KB) ¡ σ ¡= ¡ ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ m ¡= ¡ ¡ ¡ ¡ ¡0 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡1 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡1 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ ¡ ¡ ¡ 0 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡0 ¡ ¡ ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ vk ¡ ¡ ¡ ⋯ ¡ ¡ ¡ ¡ V( ¡vk, ¡ ¡m, ¡σ ¡): ¡ ¡ ¡ ¡ ¡ accept ¡if ¡all ¡pre-­‑images ¡in ¡σ ¡match ¡values ¡in ¡vk ¡ Dan ¡Boneh ¡

Very ¡fast ¡signature ¡system. ¡ ¡ ¡ ¡ ¡Will ¡prove ¡one-­‑4me ¡security ¡in ¡a ¡bit. ¡ ¡ Is ¡it ¡two-­‑4me ¡secure? ¡ ¡ ¡ ¡That ¡is, ¡if ¡ sk ¡is ¡used ¡to ¡sign ¡two ¡messages, ¡ ¡ can ¡an ¡aeacker ¡do ¡an ¡existen4al ¡forgery? ¡ No, ¡one-­‑4me ¡security ¡implies ¡two-­‑4me ¡security ¡ It ¡depends ¡on ¡the ¡one-­‑way ¡func4on ¡used ¡ The ¡aeacker ¡can ¡ask ¡for ¡a ¡signature ¡on ¡0 128 ¡and ¡on ¡1 128 . ¡ He ¡gets ¡all ¡of ¡ sk ¡which ¡he ¡can ¡use ¡to ¡sign ¡new ¡messages. ¡

Abstrac4on: ¡ ¡cover ¡free ¡set ¡systems ¡ 1 2 3 4 n Sets: ¡ ¡S 1 , ¡ ¡ ¡S 2 , ¡ ¡ ¡…, ¡ ¡ ¡S 2256 ¡ ¡ ¡ ¡ ⊆ ¡ ¡ ¡{1, ¡…., ¡ ¡n} ¡ ¡ Def: ¡ ¡ ¡ S ¡= ¡{S 1 , ¡ ¡ ¡S 2 , ¡ ¡ ¡…, ¡ ¡ ¡S 2256 ¡} ¡ ¡ ¡is ¡ cover-­‑free ¡if ¡ ¡ ¡ S i ¡ ⊄ ¡S j ¡ ¡ ¡ ¡ for ¡all ¡i≠j ¡ ¡ Example: ¡ ¡ ¡ ¡if ¡all ¡sets ¡in ¡ S ¡have ¡the ¡same ¡size ¡k ¡then ¡ S ¡is ¡cover ¡free ¡ Dan ¡Boneh ¡