Scalable deniable group key establishment Kashi Neupane - - PowerPoint PPT Presentation

Scalable ¡deniable ¡group ¡key ¡ establishment ¡

Kashi ¡Neupane ¡ Rainer ¡Steinwandt ¡ Adriana ¡Suárez ¡Corona ¡

FPS ¡2012, ¡Montreal, ¡25 ¡October ¡2012 ¡

Outline ¡

• IntroducDon ¡
• Security ¡definiDons. ¡Deniability ¡
• Compiler ¡to ¡get ¡authenDcaDon ¡and ¡deniability ¡
• Conclusion ¡

Group ¡Key ¡Establishment ¡

• Establishment ¡of ¡a ¡common ¡key ¡among ¡a ¡set ¡
• f ¡users ¡
• Key ¡used ¡for ¡symmetric ¡key ¡encrypDon ¡

scheme, ¡MAC… ¡

Compiler ¡

• Generic ¡soluDon ¡
• Can ¡be ¡applied ¡to ¡independently ¡designed ¡

protocols ¡

• Add ¡extra ¡features ¡
• Allows ¡modular ¡design ¡

¡ ¡ ¡P ¡

Compiler( ¡ ¡ ¡ ¡) ¡=P’ ¡

Compiler: ¡Examples ¡

• Katz ¡& ¡Yung ¡2003: ¡ ¡

¡ ¡ ¡unauthenDcated ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡authenDcated ¡ ¡

• Abdalla ¡et ¡al. ¡2007: ¡ ¡

¡ ¡ ¡ ¡ ¡2-­‑party ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡n-­‑party ¡

Security ¡Goals: ¡SemanDc ¡Security ¡

• The ¡adversary ¡cannot ¡disDnguish ¡the ¡established ¡key ¡from ¡a ¡random ¡key ¡with ¡

more ¡than ¡negligible ¡probability ¡ ¡ ¡

• Under ¡which ¡circumstances? ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Security ¡model ¡

¡ ¡ ¡ ¡ ¡ ¡We ¡follow ¡Katz ¡and ¡Yung ¡03 ¡security ¡model ¡

• Secure ¡against ¡passive ¡adversaries ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡unauthenDcated ¡ ¡protocol ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡

e ¡

• Secure ¡against ¡acDve ¡adversaries ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡authenDcated ¡protocol ¡

e ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡

Deniability ¡in ¡the ¡group ¡se`ng ¡

• Protocol ¡transcript ¡cannot ¡be ¡used ¡to ¡

evidence ¡involvement ¡of ¡a ¡user ¡in ¡the ¡protocol ¡

• Formalized ¡by ¡Bohli ¡and ¡Steinwandt ¡for ¡the ¡

group ¡se`ng ¡ ¡

• ExisDng ¡protocols: ¡

– BS06: ¡4-­‑round ¡soluDon ¡in ¡RO ¡model ¡ – Zhang ¡et ¡al.10: ¡3-­‑round ¡soluDon ¡in ¡standard ¡ model ¡(slightly ¡different ¡deniability ¡definiDon) ¡ ¡

Deniability ¡

¡ ¡ ¡A ¡group ¡key ¡establishment ¡protocol ¡is ¡ ¡ ¡ ¡deniable ¡if ¡for ¡every ¡ppt ¡adversary ¡A ¡(with ¡access ¡ to ¡Corrupt, ¡Send ¡and ¡Reveal) ¡there ¡exists ¡a ¡ppt ¡ simulator ¡S ¡(with ¡access ¡to ¡Corrupt) ¡such ¡that ¡: ¡

• # ¡of ¡Corrupt-­‑queries ¡of ¡S ¡≤ # ¡Corrupt-­‑queries ¡of ¡A. ¡
• For ¡each ¡ppt ¡disDnguisher ¡X, ¡the ¡advantage ¡in ¡

disDnguishing ¡the ¡author ¡of ¡a ¡transcript ¡is ¡

• negligible. ¡

Compiler ¡to ¡get ¡authenDcaDon: ¡ Katz&Yung ¡(Sketch) ¡

• IniDalizaDon: ¡GeneraDon ¡of ¡(pk,sk) ¡of ¡SUF-­‑CMA ¡

signature ¡scheme ¡ ¡ ¡

• Round ¡0: ¡users ¡broadcast ¡nonces ¡

¡

• Round ¡j: ¡users ¡sign ¡message ¡and ¡nonces ¡with ¡

and ¡send ¡the ¡message ¡& ¡signature. ¡ ¡ ¡ ¡ ¡Users ¡verify ¡the ¡signatures ¡of ¡messages ¡received ¡

Σ Σ

Deniable? ¡

Compiler ¡to ¡get ¡authenDcaDon ¡and ¡ deniability ¡

• Can ¡we ¡modify ¡Katz&Yung ¡to ¡get ¡deniability ¡

along ¡with ¡authenDcaDon? ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡How ¡to ¡exchange ¡the ¡key ¡used? ¡

• User ¡choose ¡the ¡Key ¡and ¡sign ¡it ¡with ¡a ¡ring ¡

signature ¡and ¡encrypt ¡it ¡to ¡the ¡other ¡users ¡ (mulD ¡key ¡encapsulaDon-­‑symmetric ¡ encrypDon) ¡ ¡

Macs? ¡

¡ ¡ ¡ Signature ¡that ¡can ¡be ¡ verified ¡by ¡several ¡ verificaDon ¡keys ¡ Bender ¡et ¡al ¡06 ¡ ¡ ¡ ¡ Anonymous ¡ Unforgeable ¡ ¡ ¡ Key ¡EncapsulaDon ¡with ¡ mulDple ¡recipients ¡ Smart ¡04 ¡ ¡ IND-­‑CCA ¡

IniDalizaDon ¡Phase ¡ModificaDon ¡

• Ui ¡runs ¡mKeyGen ¡and ¡RKeyGen ¡and ¡make ¡the ¡

public ¡keys ¡eki ¡and ¡vki ¡available ¡

Compiler: ¡Round ¡0 ¡

k i

{0,1} r ∈

Ui U1 U2

Initiator

i i

r || || U

Compiler: ¡Round ¡0 ¡

) MKeyGen(1 K

k 0 ←

) pid , r || || U || pid || (K RSig σ

sk0

=

) d mEncaps(pi C) (K, ←

Initiator

U U U

tag || E) (C, || || U

σ) || r || || U || pid || (K Enc E

K

=

E) (C, Tag tag

K 0 =

Compiler: ¡Aker ¡Round ¡0 ¡

)) r , (U ),..., r , ((U nonces

n n 1 1 Ui =

(C) mDecaps K

i

dk

←

) pid σ, , r || || U || pid || RVerify(K (E) Dec σ || r || || U || pid || K

K

←

E)) (C, , (tag Verify

K0

? pid pid

i 0 =

Use ¡K0 ¡for ¡ ¡ authenDcaDon ¡ ¡ ¡ ¡ ¡

ModificaDon ¡of ¡Round ¡j ¡

• User ¡i ¡sends ¡mi,j ¡in ¡protocol ¡P ¡

) nonces || (m Tag tag

i

U j i, K j i, = j i, j i,

tag || m

• ¡User ¡i ¡sends ¡

¡

Check ¡aker ¡Round ¡j ¡

• User ¡i ¡receives ¡ml,j ¡from ¡Ul ¡

) K , Verify(tag

j l, l

pid U ∈

P P'

sk sk =

Sid=concatenaDon ¡ ¡

• f ¡all ¡messages ¡

Protocol ¡security ¡

Theorem ¡ P ¡unauthenDcated ¡protocol ¡ mKEM ¡is ¡IND-­‑CCA ¡ Symmetric ¡encrypDon ¡is ¡ROR-­‑CCA ¡ Ring ¡signature ¡is ¡UF ¡ MAC ¡ ¡is ¡SUF-­‑CMA ¡ ¡ ¡ ¡ Compiled ¡protocol ¡is ¡ ¡ authenDcated ¡ ¡ semanDcally ¡secure ¡

Protocol ¡security ¡

Theorem ¡ P ¡unauthenDcated ¡ ¡ ¡ P ¡does ¡not ¡involve ¡ ¡long-­‑term ¡secret ¡keys ¡ ¡ Ring ¡Signature ¡is ¡anonymous ¡ ¡ Symmetric ¡encrypDon ¡is ¡ROR-­‑CCA ¡ ¡ Compiled ¡protocol ¡is ¡ ¡ deniable ¡

Example ¡

P=Burmester&Desmedt ¡94 ¡modified ¡ protocol ¡(2 ¡rounds) ¡

¡ ¡ ¡

P

Compilador( ¡ ¡ ¡ ¡) ¡=P’ ¡

P’ ¡=3-­‑round ¡deniable ¡authenDcated ¡protocol ¡

¡ Conclusions ¡ ¡

• Compiler ¡adding ¡authenDcaDon ¡and ¡

deniability ¡

• AlternaDve ¡to ¡Katz&Yung ¡compiler ¡when ¡

privacy ¡mamers ¡

• Provides ¡a ¡3-­‑round ¡deniable ¡authenDcated ¡

soluDon ¡

Thank ¡you! ¡