Cifrado y negabilidad

Navega tus respuestas
0

Tengo el siguiente problema: Alice quiere enviarle un mensaje a Bob para que sepa que es de Alice, pero al mismo tiempo no puede probar que Alice le envió este mensaje.

La solución que se me ocurrió, usando RSA, es:

  1. Alice elige una clave aleatoria K y encripta el mensaje M usando esta clave K. M '= aes (K, M)
  2. Alice pulsa la clave pública de K y Bob para obtener H. H = sha (clave pública de K + Bob)
  3. Alice firma H usando su clave privada. S = rsa_sign (clave privada de Alicia, H)
  4. Alice cifra K y S usando la clave pública de Bob. P = rsa_encprypt (clave pública de Bob, K + S)
  5. Alice envía P, M 'a Bob

Bob recibe P, M ':

  1. Utiliza su clave privada para obtener K, S.
  2. Utiliza la clave pública de Alice para verificar S
  3. Utiliza K para descifrar M '.

¿Ves algún agujero en esto?

¡Gracias!

    
pregunta 29.01.2014 - 01:02
fuente

1 respuesta

3

Dado el paso P = ras_encrypt(Bob's public key, K + S) , realmente no hay una manera de que Alice niegue que conocía a K, y por lo tanto sabía (o podría haber conocido) el contenido de M, y por lo tanto no puede negar plausiblemente que ella Envié el mensaje M a Bob. Alguna otra persona que sabe que K podría crear H, y Alice podría haber sido engañada para que creara S de H. Sin embargo, el paso que genera P requiere que Alicia conozca a K, por lo que no puede negar plausiblemente que pueda leer M ', lo que para todos los propósitos prácticos significa que ella sabe lo que estaba en M y, por lo tanto, envió M a Bob (y él tiene pruebas de que lo hizo).

Sin embargo, podemos considerar una variación en el protocolo propuesto, lo que significaría que Bob sabe que Alice reenvió el mensaje, pero no prueba que Alice supiera el contenido del mensaje que reenvió. La solución alternativa, utilizando cualquier criptosistema de clave pública (PKCS) apropiado, es:

  1. Alice elige una clave aleatoria K y cifra el mensaje M utilizando esta clave K.
    M' = AES(K, M)
  2. Alicia hace clic en la clave pública de K y Bob.
    H = SHA(K + Bob's Public Key)
  3. Alice encripta K (más material extra arbitrario si la clave se considera demasiado corta) usando la clave pública de Bob:
    K' = PKCS(Bob's public key, K)
  4. Alice cifra H usando su clave privada.
    S = PKCS(Alice's private key, H)
  5. Alice cifra K 'y S usando la clave pública de Bob.
    P = PKCS(Bob's public key, K' + S)
  6. Alice envía P, M 'a Bob.

Cuando Bob recibe P, M ', él:

  1. Utiliza su clave privada para descifrar P y obtener K ', S.
  2. Utiliza la clave pública de Alicia para descifrar S y obtener H.
  3. Utiliza su clave privada para descifrar K 'y obtener K.
  4. Utiliza su clave pública y K para validar H.
  5. Usa K para descifrar M 'y obtener M.

Alice ahora puede negar la creación del mensaje porque podría haber sido engañada por Mallory (la maliciosa) para tomar M ', H y K' y producir S y luego P, y enviar P y M 'a Bob, sin realmente saber K o lo que hay en M. Requeriría cierta credibilidad para haber sido engañado de esa manera, pero la negabilidad puede requerir la apariencia de crédula.

Si Eve (el que escucha) intercepta P y M ', ella no puede hacer nada. Ella no puede descifrar P porque no tiene la clave privada de Bob. Por lo tanto, ella no puede recuperar K 'o S, y por lo tanto no puede obtener el K o M original.

Claramente, SHA y AES pueden ser cualquier algoritmo hash seguro acordado y algoritmo de clave simétrica (privada).

¿O me he equivocado en alguna parte?

    
respondido por el Jonathan Leffler 29.01.2014 - 03:32
fuente

Lea otras preguntas en las etiquetas

¿Es el cifrado menos resistente a la fuerza bruta comparado con el hash? Buscar el puerto del cortafuegos que filtra el tráfico de Internet [cerrado]