The One Time Pad Dan Boneh Symmetric Ciphers: - - PowerPoint PPT Presentation

Dan ¡Boneh ¡

Stream ¡ciphers ¡

The ¡One ¡Time ¡Pad ¡

Online ¡Cryptography ¡Course ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Dan ¡Boneh ¡

Dan ¡Boneh ¡

Symmetric ¡Ciphers: ¡ ¡defini<on ¡

Def: ¡ ¡ ¡a ¡cipher ¡defined ¡over ¡ ¡ ¡ ¡is ¡a ¡pair ¡of ¡“efficient” ¡algs ¡ ¡ ¡(E, ¡ ¡D) ¡ ¡ ¡where ¡ ¡ ¡ ¡ ¡

• E ¡ ¡is ¡oFen ¡randomized. ¡ ¡ ¡ ¡ ¡ ¡D ¡ ¡is ¡always ¡determinis<c. ¡

Dan ¡Boneh ¡

The ¡One ¡Time ¡Pad ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡(Vernam ¡1917) ¡

First ¡example ¡of ¡a ¡“secure” ¡cipher ¡ key ¡= ¡(random ¡bit ¡string ¡as ¡long ¡the ¡message) ¡

Dan ¡Boneh ¡

The ¡One ¡Time ¡Pad ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡(Vernam ¡1917) ¡

¡ ¡ ¡

msg: ¡0 ¡ ¡1 ¡ ¡1 ¡ ¡0 ¡ ¡1 ¡ ¡1 ¡ ¡1 ¡ key: ¡1 ¡ ¡0 ¡ ¡1 ¡ ¡1 ¡ ¡0 ¡ ¡1 ¡ ¡0 ¡ CT: ¡ ⊕ ¡

Dan ¡Boneh ¡

You ¡are ¡given ¡a ¡message ¡(m) ¡and ¡its ¡OTP ¡encryp<on ¡(c). ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Can ¡you ¡compute ¡the ¡OTP ¡key ¡from ¡ ¡m ¡ ¡and ¡ ¡c ¡? ¡ ¡ ¡ ¡ ¡ ¡

No, ¡I ¡cannot ¡compute ¡the ¡key. ¡ ¡ Yes, ¡ ¡the ¡key ¡is ¡ ¡ ¡ ¡k ¡= ¡m ¡⊕ ¡c. ¡ ¡ I ¡can ¡only ¡compute ¡half ¡the ¡bits ¡of ¡the ¡key. ¡ Yes, ¡ ¡the ¡key ¡is ¡ ¡ ¡k ¡= ¡m ¡⊕ ¡m. ¡ ¡ ¡

Dan ¡Boneh ¡

The ¡One ¡Time ¡Pad ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡(Vernam ¡1917) ¡

Very ¡fast ¡enc/dec ¡!! ¡ ¡ ¡ ¡ ¡ ¡ ¡… ¡but ¡long ¡keys ¡ ¡ ¡(as ¡long ¡as ¡plaintext) ¡ ¡ ¡ Is ¡the ¡OTP ¡secure? ¡ ¡ ¡ ¡What ¡is ¡a ¡secure ¡cipher? ¡

Dan ¡Boneh ¡

What ¡is ¡a ¡secure ¡cipher? ¡

A\acker’s ¡abili<es: ¡ ¡ ¡ ¡CT ¡only ¡a/ack ¡ ¡ ¡ ¡ ¡ ¡ ¡(for ¡now) ¡ Possible ¡security ¡requirements: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡a\empt ¡#1: ¡ ¡a/acker ¡cannot ¡recover ¡secret ¡key ¡ ¡ ¡ ¡ ¡a\empt ¡#2: ¡ ¡a/acker ¡cannot ¡recover ¡all ¡of ¡plaintext ¡ ¡ ¡ ¡ ¡Shannon’s ¡idea: ¡ ¡ ¡

¡ ¡CT ¡should ¡reveal ¡no ¡“info” ¡about ¡PT ¡ ¡ ¡

Dan ¡Boneh ¡

Informa<on ¡Theore<c ¡Security ¡ ¡ ¡

(Shannon ¡1949) ¡ Def: ¡ ¡A ¡cipher ¡ ¡(E, ¡D) ¡ ¡over ¡ ¡(𝒧, ¡ℳ, ¡𝒟) ¡ ¡has ¡ ¡perfect ¡secrecy ¡ ¡if ¡

Dan ¡Boneh ¡

Informa<on ¡Theore<c ¡Security ¡ ¡ ¡

Def: ¡ ¡ ¡A ¡cipher ¡ ¡(E, ¡D) ¡ ¡over ¡ ¡(𝒧, ¡ℳ, ¡𝒟) ¡ ¡has ¡ ¡perfect ¡secrecy ¡ ¡if ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡∀​𝑛↓0 ,​𝑛↓1 ∈ℳ ¡ ¡ ¡ ¡ ¡(|​𝑛↓0 |=|​𝑛↓1 |) ¡ ¡ ¡ ¡ ¡and ¡ ¡ ¡ ¡ ¡∀𝑑 ¡∈𝒟 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Pr[ ¡E(k, ¡m0) ¡= ¡c] ¡ ¡ ¡= ¡ ¡ ¡Pr[ ¡E(k, ¡m1) ¡= ¡c] ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡where ¡ ¡ ¡ ¡ ¡𝑙← ¡𝒧 ¡

R ¡

Dan ¡Boneh ¡

Lemma: ¡ ¡ ¡ ¡OTP ¡has ¡perfect ¡secrecy. ¡ Proof: ¡

Dan ¡Boneh ¡

Let ¡ ¡ ¡𝑛∈ℳ ¡ ¡ ¡and ¡ ¡ ¡ ¡𝑑∈𝒟 ¡. ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡How ¡many ¡OTP ¡keys ¡map ¡ ¡𝒏 ¡ ¡to ¡ ¡𝒅 ¡ ¡? ¡

None ¡ 1 ¡ 2 ¡ Depends ¡on ¡𝒏 ¡ ¡

Dan ¡Boneh ¡

Lemma: ¡ ¡ ¡ ¡OTP ¡has ¡perfect ¡secrecy. ¡ Proof: ¡

Dan ¡Boneh ¡

The ¡bad ¡news ¡… ¡

Thm: ¡ ¡ ¡ ¡perfect ¡secrecy ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡⇒ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡|𝒧| ¡≥|ℳ| ¡

Dan ¡Boneh ¡

End ¡of ¡Segment ¡