[PPT] - Tightly Secure Signatures and Public-Key Encryp8on Dennis PowerPoint Presentation

SLIDE 1

Tightly ¡Secure ¡Signatures ¡and ¡ Public-‑Key ¡Encryp8on ¡

Dennis ¡Ho<einz ¡and ¡Tibor ¡Jager ¡

Karlsruhe ¡Ins,tute ¡of ¡Technology ¡

¡ ¡

CRYPTO ¡2012 ¡

¡

1 ¡

SLIDE 2

Instance ¡of ¡P ¡ Solu8on ¡

“Tight” ¡Security ¡

New ¡cryptosystems ¡usually ¡come ¡with ¡proof ¡that ¡

– under ¡certain ¡complexity ¡assump/ons ¡ – the ¡scheme ¡has ¡certain ¡security ¡proper8es ¡(“security ¡proof”) ¡

Standard ¡outline ¡of ¡a ¡security ¡proof: ¡

1. Define ¡a ¡security ¡model ¡ 2. Show ¡that ¡an ¡efficient ¡a4acker ¡A ¡implies ¡an ¡efficient ¡ algorithm ¡R(A) ¡solving ¡some ¡hard ¡problem ¡P ¡

2 ¡

Algorithm ¡R(A) ¡

Security ¡proof ¡is ¡“/ght”, ¡if ¡R(A) ¡has ¡(about) ¡the ¡ same ¡running ¡/me ¡and ¡success ¡probability ¡as ¡A ¡

pk, ¡c ¡ m ¡ AWacker ¡A ¡

SLIDE 3

Secure ¡Public-‑Key ¡Encryp8on ¡

3 ¡

Classical ¡security ¡models ¡

for ¡public-‑key ¡encryp8on: ¡

– IND-‑CPA ¡security ¡ – IND-‑CCA ¡security ¡

Many ¡schemes ¡with ¡

8ght ¡security ¡proof ¡

Note ¡that ¡these ¡models ¡

consider ¡

– only ¡one ¡pk, ¡and ¡ – only ¡one ¡ciphertext ¡ – “(1,1)-‑security” ¡ ¡

m ¡ “real”/”random” ¡ pk ¡ C Dec(sk,C) ¡ Enc(pk,m) ¡or ¡Enc(pk,rand) ¡

SLIDE 4

Public-‑Key ¡Encryp8on ¡ in ¡the ¡Mul8-‑User ¡Se\ng ¡

In ¡reality: ¡

N ¡public ¡keys ¡
L ¡ciphertexts ¡per ¡

public ¡key ¡

“(N,L)-‑security” ¡

4 ¡

(1,1)-‑security ¡⇒ ¡(N,L)-‑security ¡

[Bellare, ¡Boldyreva, ¡Micali ¡’00] ¡

Enc(pk2,m2,1) ¡ Enc(pkN,mN,1) ¡ … ¡ Enc(pk1,m1,L) ¡ Enc(pk1,m1,2) ¡ Enc(pk1,m1,1) ¡ Enc(pk1,m1,2) ¡ … ¡ Enc(pk2,m2,L) ¡ Enc(pk2,m2,2) ¡ Enc(pk2,m2,2) ¡ … ¡ Enc(pkN,mN,L) ¡ Enc(pkN,mN,2) ¡ Enc(pkN,mN,2) ¡ … ¡

pk1 ¡ pk2 ¡ pkN ¡ … ¡ … ¡

But ¡the ¡reduc8on ¡is ¡not ¡/ght ¡

(loses ¡a ¡factor ¡of ¡N·√L ¡of ¡success ¡probability) ¡

SLIDE 5

An ¡Example ¡

(Following ¡[Bellare, ¡Boldyreva, ¡Micali`00]) ¡

5 ¡

2-‑60 ¡ (N,L) ¡= ¡(#pk,#ciphertexts ¡per ¡pk) ¡ 2-‑30 ¡ 2-‑46 ¡ (27,27) ¡ (1,1) ¡ (220,210) ¡

Bound ¡on ¡a4acker’s ¡ success ¡probability ¡ implied ¡by ¡choice ¡of ¡ parameters ¡and ¡ (1,1)-‑security ¡proof ¡

Assume ¡an ¡encryp8on ¡scheme ¡with ¡

(1,1)-‑security ¡proof ¡

Proven ¡security ¡level ¡decreases ¡with ¡increasing ¡ number ¡of ¡users ¡and ¡ciphertexts ¡

SLIDE 6

Can ¡we ¡avoid ¡this ¡security ¡loss? ¡

Trivial ¡solu8ons: ¡

– based ¡on ¡non-‑standard ¡/ ¡parametrized ¡ complexity ¡assump8ons ¡ – in ¡the ¡Random ¡Oracle ¡Model ¡

Bellare, ¡Boldyreva, ¡Micali ¡(Eurocrypt ¡‘00): ¡

– ElGamal ¡is ¡/ghtly ¡(N,L)-‑IND-‑CPA ¡secure ¡ – Cramer-‑Shoup ¡is ¡/ghtly ¡(N,1)-‑IND-‑CCA ¡secure ¡

6 ¡

Our ¡goal: ¡Construct ¡a ¡public-‑key ¡encryp8on ¡scheme ¡with ¡

/ght ¡(N,L)-‑IND-‑CCA ¡security ¡proof ¡
in ¡the ¡standard ¡model ¡
based ¡on ¡a ¡standard ¡assump/on ¡

SLIDE 7

Known ¡techniques ¡exploit ¡that ¡

there ¡is ¡only ¡one ¡challenge-‑ ciphertext, ¡for ¡instance: ¡

– “Naor-‑Yung ¡paradigm” ¡[NY’90] ¡ with ¡one-‑/me ¡simula8on-‑sound ¡ NIZK ¡ – All-‑but-‑one ¡simula8ons ¡ (e.g. ¡ABO ¡lossy ¡TDFs ¡[PW’08]) ¡ – … ¡

7 ¡

A4acker ¡A ¡ m ¡ C* ¡ “real”/ ”rand.” ¡ pk ¡ C Dec(sk,C) ¡

(1,1)-‑IND-‑CCA ¡Security ¡Experiment ¡

The ¡Difficulty ¡of ¡Tight ¡IND-‑CCA ¡ Security ¡in ¡the ¡Mul8-‑User ¡Se\ng ¡

SLIDE 8

8 ¡

A4acker ¡A ¡ m1 ¡ C1 ¡ “real”/”rand.” ¡ pk1, ¡…, ¡pkN ¡ C Dec(sk,C) ¡

(N,L)-‑IND-‑CCA ¡Security ¡Experiment ¡

CNL ¡ mNL ¡ … ¡

The ¡Difficulty ¡of ¡Tight ¡IND-‑CCA ¡ Security ¡in ¡the ¡Mul8-‑User ¡Se\ng ¡

A4acker ¡A ¡ m ¡ C* ¡ “real”/ ”rand.” ¡ pk ¡ C Dec(sk,C) ¡

(1,1)-‑IND-‑CCA ¡Security ¡Experiment ¡

SLIDE 9

The ¡Difficulty ¡of ¡Tight ¡IND-‑CCA ¡ Security ¡in ¡the ¡Mul8-‑User ¡Se\ng ¡

9 ¡

Known ¡techniques ¡not ¡

immediately ¡applicable ¡

Can ¡we ¡adopt ¡them ¡to ¡the ¡

mul8-‑user ¡se\ng? ¡

– “Naor-‑Yung ¡paradigm” ¡uses ¡

ne-‑/me ¡ssNIZKs ¡
Do ¡many-‑/me ¡ssNIZKs ¡help? ¡
Can ¡we ¡construct ¡them, ¡

with ¡/ght ¡security ¡proof? ¡

A4acker ¡A ¡ m1 ¡ C1 ¡ “real”/”rand.” ¡ pk1, ¡…, ¡pkN ¡ C Dec(sk,C) ¡

(N,L)-‑IND-‑CCA ¡Security ¡Experiment ¡

CNL ¡ mNL ¡ … ¡

SLIDE 10

Our ¡Approach ¡

New ¡construc8ons ¡
Known ¡concepts ¡
All ¡building ¡blocks ¡based ¡on ¡DLIN ¡in ¡

groups ¡with ¡symmetric ¡pairing ¡

10 ¡

Tightly-‑secure ¡ many-‑/me ¡ssNIZK ¡ Naor-‑Yung ¡ paradigm ¡ ¡ (preserves ¡ 8ghtness) ¡ Tightly ¡ ¡ (N,L)-‑IND-‑CCA ¡ secure ¡encryp8on ¡ Tightly ¡ (N,L)-‑IND-‑CPA ¡ secure ¡encryp8on ¡ Tightly-‑secure ¡ signature ¡scheme ¡ (“structure-‑ preserving”) ¡ Groth-‑Sahai ¡ proofs ¡[GS`08] ¡

SLIDE 11

Structure-‑Preserving ¡Signatures ¡(SPS) ¡

“Structure-‑preserving”: ¡

– Public-‑keys, ¡messages, ¡and ¡signatures ¡are ¡ group ¡elements ¡(in ¡bilinear ¡group ¡se\ng) ¡ – Signature ¡verifica8on ¡checks ¡conjunc/on ¡of ¡pairing ¡ product ¡equa/ons ¡(PPE) ¡

Blend ¡nicely ¡with ¡Groth-‑Sahai ¡proofs ¡[GS’08] ¡

– Useful ¡tool ¡for ¡efficient ¡cryptographic ¡construc/ons ¡

No ¡known ¡SPS ¡with ¡8ght ¡reduc8on ¡to ¡standard ¡

assump8on ¡

11 ¡

SLIDE 12

One-‑8me ¡SPS ¡Scheme ¡

Let ¡G ¡be ¡a ¡group ¡with ¡pairing ¡e ¡: ¡G ¡x ¡G ¡à ¡GT ¡
Let ¡E((a,b,c),d) ¡:= ¡(e(a,d),e(b,d),e(c,d)) ¡
Signature ¡scheme ¡with ¡message ¡space ¡Gn ¡
pk ¡= ¡(g,h,k, ¡U1,…, ¡Un,X,z) ¡where ¡

– g,h,k,z ¡ß ¡G ¡ ¡ – Ui ¡= ¡(gui,hvi,kui+vi)∈G3 ¡ ¡and ¡X ¡= ¡(gx,hy,kx+y)∈G3 ¡ ¡

To ¡sign ¡(m1,…,mn)∈Gn, ¡compute ¡σ ¡= ¡(s,t) ¡with ¡

¡

¡ ¡∏i∈[n]E(Ui,mi) ¡·√ ¡E((g,1,k),s) ¡·√ ¡E((1,h,k),t) ¡= ¡E(X,z) ¡

12 ¡

Tightly ¡secure ¡(EUF-‑1-‑naCMA) ¡under ¡DLIN ¡

SLIDE 13

Tightly ¡Secure ¡Tree-‑based ¡Signature ¡

13 ¡

(Xroot,zroot) ¡ (X0,z0) ¡ (X1,z1) ¡ (X00,z00) ¡ (X01,z01) ¡ (X10,z10) ¡ (X11,z11) ¡

(g,h,k, ¡U1,…, ¡U8) ¡

Assign ¡fresh ¡(X,z)∈G3 ¡x ¡G ¡to ¡each ¡node ¡
Fix ¡(g,h,k, ¡U1,…, ¡U8) ¡for ¡whole ¡tree ¡
Intui8on: ¡each ¡node ¡assigned ¡with ¡pk ¡of ¡one-‑/me ¡sig ¡

– E.g., ¡node ¡(X0,z0) ¡with ¡pk0 ¡= ¡(g,h,k, ¡U1,…, ¡U8,X0,z0) ¡

Gives ¡rise ¡to ¡“Merkle ¡tree” ¡scheme ¡[Mer’79] ¡

SLIDE 14

Summary ¡

14 ¡

Tightly-‑secure ¡ ssNIZK ¡ (for ¡pairing ¡ product ¡equa8ons) ¡ Naor-‑ Yung ¡ paradigm ¡ Tightly ¡ ¡ (N,L)-‑IND-‑CCA ¡ secure ¡encryp8on ¡ Tightly-‑secure ¡ ¡

ne-‑/me ¡SPS ¡

Tightly ¡ (N,L)-‑IND-‑CPA ¡ secure ¡encryp8on ¡ Tightly-‑secure ¡ tree-‑based ¡ SPS ¡ Groth-‑Sahai ¡ proofs ¡

New ¡construc8ons ¡
Known ¡concepts ¡
All ¡building ¡blocks ¡based ¡on ¡DLIN ¡in ¡

groups ¡with ¡symmetric ¡pairing ¡

SLIDE 15

Open ¡Problems ¡

Further ¡applica/ons ¡to ¡8ghtly-‑secure ¡

construc8ons? ¡

– ssNIZK ¡+ ¡[Camenisch, ¡Chandran, ¡Shoup’09] ¡ = ¡/ght ¡KDM-‑CCA-‑secure ¡encryp8on ¡

Shorter ¡tree-‑based ¡SPS? ¡

– Abe ¡et ¡al. ¡(Asiacrypt ¡`12): ¡ more ¡efficient ¡one-‑/me ¡SPS ¡ ⇒more ¡efficient ¡tree-‑based ¡SPS ¡

SPS ¡with ¡

– Short ¡signatures ¡and ¡public ¡keys ¡ – /ght ¡security ¡from ¡simple ¡ complexity ¡assump8on? ¡

15 ¡

Tightly ¡Secure ¡Signatures ¡and ¡ Public-­‑Key ¡Encryp8on ¡

Dennis ¡Ho<einz ¡and ¡Tibor ¡Jager ¡

“Tight” ¡Security ¡

– under ¡certain ¡complexity ¡assump/ons ¡ – the ¡scheme ¡has ¡certain ¡security ¡proper8es ¡(“security ¡proof”) ¡

1. Define ¡a ¡security ¡model ¡ 2. Show ¡that ¡an ¡efficient ¡a4acker ¡A ¡implies ¡an ¡efficient ¡ algorithm ¡R(A) ¡solving ¡some ¡hard ¡problem ¡P ¡

Security ¡proof ¡is ¡“/ght”, ¡if ¡R(A) ¡has ¡(about) ¡the ¡ same ¡running ¡/me ¡and ¡success ¡probability ¡as ¡A ¡

Secure ¡Public-­‑Key ¡Encryp8on ¡

for ¡public-­‑key ¡encryp8on: ¡

– IND-­‑CPA ¡security ¡ – IND-­‑CCA ¡security ¡

8ght ¡security ¡proof ¡

consider ¡

– only ¡one ¡pk, ¡and ¡ – only ¡one ¡ciphertext ¡ – “(1,1)-­‑security” ¡ ¡

Public-­‑Key ¡Encryp8on ¡ in ¡the ¡Mul8-­‑User ¡Se\ng ¡

In ¡reality: ¡

public ¡key ¡

(1,1)-­‑security ¡⇒ ¡(N,L)-­‑security ¡

[Bellare, ¡Boldyreva, ¡Micali ¡’00] ¡

But ¡the ¡reduc8on ¡is ¡not ¡/ght ¡

(loses ¡a ¡factor ¡of ¡N·√L ¡of ¡success ¡probability) ¡

An ¡Example ¡

(Following ¡[Bellare, ¡Boldyreva, ¡Micali`00]) ¡

2-­‑60 ¡ (N,L) ¡= ¡(#pk,#ciphertexts ¡per ¡pk) ¡ 2-­‑30 ¡ 2-­‑46 ¡ (27,27) ¡ (1,1) ¡ (220,210) ¡

Bound ¡on ¡a4acker’s ¡ success ¡probability ¡ implied ¡by ¡choice ¡of ¡ parameters ¡and ¡ (1,1)-­‑security ¡proof ¡

(1,1)-­‑security ¡proof ¡

Proven ¡security ¡level ¡decreases ¡with ¡increasing ¡ number ¡of ¡users ¡and ¡ciphertexts ¡

Can ¡we ¡avoid ¡this ¡security ¡loss? ¡

– based ¡on ¡non-­‑standard ¡/ ¡parametrized ¡ complexity ¡assump8ons ¡ – in ¡the ¡Random ¡Oracle ¡Model ¡

– ElGamal ¡is ¡/ghtly ¡(N,L)-­‑IND-­‑CPA ¡secure ¡ – Cramer-­‑Shoup ¡is ¡/ghtly ¡(N,1)-­‑IND-­‑CCA ¡secure ¡

Our ¡goal: ¡Construct ¡a ¡public-­‑key ¡encryp8on ¡scheme ¡with ¡

there ¡is ¡only ¡one ¡challenge-­‑ ciphertext, ¡for ¡instance: ¡

– “Naor-­‑Yung ¡paradigm” ¡[NY’90] ¡ with ¡one-­‑/me ¡simula8on-­‑sound ¡ NIZK ¡ – All-­‑but-­‑one ¡simula8ons ¡ (e.g. ¡ABO ¡lossy ¡TDFs ¡[PW’08]) ¡ – … ¡

The ¡Difficulty ¡of ¡Tight ¡IND-­‑CCA ¡ Security ¡in ¡the ¡Mul8-­‑User ¡Se\ng ¡

The ¡Difficulty ¡of ¡Tight ¡IND-­‑CCA ¡ Security ¡in ¡the ¡Mul8-­‑User ¡Se\ng ¡

The ¡Difficulty ¡of ¡Tight ¡IND-­‑CCA ¡ Security ¡in ¡the ¡Mul8-­‑User ¡Se\ng ¡

immediately ¡applicable ¡

mul8-­‑user ¡se\ng? ¡

– “Naor-­‑Yung ¡paradigm” ¡uses ¡

with ¡/ght ¡security ¡proof? ¡

Our ¡Approach ¡

groups ¡with ¡symmetric ¡pairing ¡

Structure-­‑Preserving ¡Signatures ¡(SPS) ¡

– Public-­‑keys, ¡messages, ¡and ¡signatures ¡are ¡ group ¡elements ¡(in ¡bilinear ¡group ¡se\ng) ¡ – Signature ¡verifica8on ¡checks ¡conjunc/on ¡of ¡pairing ¡ product ¡equa/ons ¡(PPE) ¡

– Useful ¡tool ¡for ¡efficient ¡cryptographic ¡construc/ons ¡

assump8on ¡

One-­‑8me ¡SPS ¡Scheme ¡

– g,h,k,z ¡ß ¡G ¡ ¡ – Ui ¡= ¡(gui,hvi,kui+vi)∈G3 ¡ ¡and ¡X ¡= ¡(gx,hy,kx+y)∈G3 ¡ ¡

¡ ¡∏i∈[n]E(Ui,mi) ¡·√ ¡E((g,1,k),s) ¡·√ ¡E((1,h,k),t) ¡= ¡E(X,z) ¡

Tightly ¡secure ¡(EUF-­‑1-­‑naCMA) ¡under ¡DLIN ¡

Tightly ¡Secure ¡Tree-­‑based ¡Signature ¡

(g,h,k, ¡U1,…, ¡U8) ¡

– E.g., ¡node ¡(X0,z0) ¡with ¡pk0 ¡= ¡(g,h,k, ¡U1,…, ¡U8,X0,z0) ¡

Summary ¡

groups ¡with ¡symmetric ¡pairing ¡

Open ¡Problems ¡

construc8ons? ¡

– ssNIZK ¡+ ¡[Camenisch, ¡Chandran, ¡Shoup’09] ¡ = ¡/ght ¡KDM-­‑CCA-­‑secure ¡encryp8on ¡

– Abe ¡et ¡al. ¡(Asiacrypt ¡`12): ¡ more ¡efficient ¡one-­‑/me ¡SPS ¡ ⇒more ¡efficient ¡tree-­‑based ¡SPS ¡

– Short ¡signatures ¡and ¡public ¡keys ¡ – /ght ¡security ¡from ¡simple ¡ complexity ¡assump8on? ¡

? ¡

Tightly ¡Secure ¡Signatures ¡and ¡ Public-‑Key ¡Encryp8on ¡

Secure ¡Public-‑Key ¡Encryp8on ¡

for ¡public-‑key ¡encryp8on: ¡

– IND-‑CPA ¡security ¡ – IND-‑CCA ¡security ¡

– only ¡one ¡pk, ¡and ¡ – only ¡one ¡ciphertext ¡ – “(1,1)-‑security” ¡ ¡

Public-‑Key ¡Encryp8on ¡ in ¡the ¡Mul8-‑User ¡Se\ng ¡

(1,1)-‑security ¡⇒ ¡(N,L)-‑security ¡

2-‑60 ¡ (N,L) ¡= ¡(#pk,#ciphertexts ¡per ¡pk) ¡ 2-‑30 ¡ 2-‑46 ¡ (27,27) ¡ (1,1) ¡ (220,210) ¡

Bound ¡on ¡a4acker’s ¡ success ¡probability ¡ implied ¡by ¡choice ¡of ¡ parameters ¡and ¡ (1,1)-‑security ¡proof ¡

(1,1)-‑security ¡proof ¡

– based ¡on ¡non-‑standard ¡/ ¡parametrized ¡ complexity ¡assump8ons ¡ – in ¡the ¡Random ¡Oracle ¡Model ¡

– ElGamal ¡is ¡/ghtly ¡(N,L)-‑IND-‑CPA ¡secure ¡ – Cramer-‑Shoup ¡is ¡/ghtly ¡(N,1)-‑IND-‑CCA ¡secure ¡

Our ¡goal: ¡Construct ¡a ¡public-‑key ¡encryp8on ¡scheme ¡with ¡

there ¡is ¡only ¡one ¡challenge-‑ ciphertext, ¡for ¡instance: ¡

– “Naor-‑Yung ¡paradigm” ¡[NY’90] ¡ with ¡one-‑/me ¡simula8on-‑sound ¡ NIZK ¡ – All-‑but-‑one ¡simula8ons ¡ (e.g. ¡ABO ¡lossy ¡TDFs ¡[PW’08]) ¡ – … ¡

The ¡Difficulty ¡of ¡Tight ¡IND-‑CCA ¡ Security ¡in ¡the ¡Mul8-‑User ¡Se\ng ¡

The ¡Difficulty ¡of ¡Tight ¡IND-‑CCA ¡ Security ¡in ¡the ¡Mul8-‑User ¡Se\ng ¡

The ¡Difficulty ¡of ¡Tight ¡IND-‑CCA ¡ Security ¡in ¡the ¡Mul8-‑User ¡Se\ng ¡

mul8-‑user ¡se\ng? ¡

– “Naor-‑Yung ¡paradigm” ¡uses ¡

Structure-‑Preserving ¡Signatures ¡(SPS) ¡

– Public-‑keys, ¡messages, ¡and ¡signatures ¡are ¡ group ¡elements ¡(in ¡bilinear ¡group ¡se\ng) ¡ – Signature ¡verifica8on ¡checks ¡conjunc/on ¡of ¡pairing ¡ product ¡equa/ons ¡(PPE) ¡

One-‑8me ¡SPS ¡Scheme ¡

Tightly ¡secure ¡(EUF-‑1-‑naCMA) ¡under ¡DLIN ¡

Tightly ¡Secure ¡Tree-‑based ¡Signature ¡

– ssNIZK ¡+ ¡[Camenisch, ¡Chandran, ¡Shoup’09] ¡ = ¡/ght ¡KDM-‑CCA-‑secure ¡encryp8on ¡

– Abe ¡et ¡al. ¡(Asiacrypt ¡`12): ¡ more ¡efficient ¡one-‑/me ¡SPS ¡ ⇒more ¡efficient ¡tree-‑based ¡SPS ¡