INSTITUTUL DE MATEMATIC SIMION STOILOW AL
ACADEMIEI ROMAcircNE
Protocoale CriptograceRezumat
Coordonator sup3tiinmicroic Doctorand
Ferucio Laurenmicroiu iplea George Tesup3eleanu
Tez prezentat pentru obmicroinerea titlului de
Doctor icircn Informatic
Bucuresup3ti August 2021
Capitolul 1
Prefamicro
De-a lungul istoriei rolul principal al criptograei a fost s p streze informamicroiile sensibile
private chiar sup3i icircn prezenmicroa unui adversar care demicroine controlul asupra canalului de co-
municamicroii Chiar dac condenmicroialitatea r macircne esenmicroial pentru criptograe domeniul
s-a extins sup3i icircncorporeaz sup3i alte obiective cum ar integritatea sup3i autenticitatea datelor
controlul accesului sau pl microile electronice
Icircn trecut folosit doar de c tre armat criptograa este icircn prezent utilizat pe scar larg
sup3i oamenii beneciaz de aceasta zilnic chiar sup3i f r s o sup3tie De exemplu atunci cacircnd
cump ramicroi un articol online un canal securizat este utilizat pentru a procesa tranzacmicroia
sup3i implicit pentru a asigura condenmicroialitatea cardului dumneavoastr de credit Sau
atunci cacircnd comunic m prin aplicamicroii de mesagerie conversamicroiile noastre private sunt
protejate folosind criptarea end-to-end Cu un domeniu de aplicabilitate icircn cresup3tere nu
este surprinz tor faptul c criptograa modern icircmpletesup3te concepte din matematic
informatic inginerie sup3i zic
Desup3i o sup3tiinmicro remarcabil criptograa este de asemenea o art Trebuie s gacircndim asup3a
cum ar faceo un atacator icircn timp ce ap r m sistemul icircmpotriva ameninmicro rilor trebuie s
jongl m icircntre vitez aplicabilitate sup3i securitate trebuie s transform m concepte cunos-
cute pentru a le face s corespund scopului nostru trebuie s proiect m concepte de
nivel icircnalt microinacircnd cont de cele de nivel sc zut etc Inuenmicroat de multitudinea de concepte
pe care un criptograf trebuie s le gestioneze icircn aceast lucrare abord m diferite domenii
ale criptograei sup3i e lu m rolul proiectantului e a atacatorului Prin prezentarea am-
belor femicroe ale aceleiasup3i monede ne dorim ca cititorul s icircnceap s aprecieze frumusemicroea
acestei sup3tiinmicroe enigmatice sup3i s icircnceap s vad relamicroiile care apar icircntre concepte aparent
diferite
1
Prefamicro 2
11 Structura Tezei
Prezent m icircn continuare un scurt rezumat al celor sup3apte capitole principale conmicroinute icircn
aceast lucrare Unul dintre cele mai dicile lucruri legate de structurarea acestei lucr ri
a fost interdependenmicroa unor capitole Am icircncercat s prezent m materialul din aceast
tez icircntr-o ordine logic sup3i natural Mai jos este prezentat structura tezei
Capitolul 2 abordeaz criptograa cu chei simetrice sup3i este icircmp rmicroit icircn trei subcapitole
Primul subcapitol conmicroine o analiz a securit microii cifrului Hill (an) sup3i a modurilor de lucru
corespunz toare Denimicroiile sup3i informamicroiile preliminare sunt prezentate icircn Secmicroiunea 211
Partea principal a primului subcapitol const din Secmicroiunile 212 sup3i 213 care conmicroin mai
multe modalit microi de clasare a cheilor sup3i o serie de atacuri care utilizeaz numai text cifrat
Rezultatele experimentale sunt furnizate icircn Secmicroiunea 214 iar unele direcmicroii posibile de
cercetare sunt prezentate icircn Secmicroiunea 215 Frecvenmicroele literelor sup3i atacul asupra cifrului
Vigenegravere utilizate icircn Secmicroiunea 214 sunt prezentate icircn Anexele A sup3i B Cacircteva metode
pentru cresup3terea complexit microii formicroei brute aplicabile familiei de cifruri ux Grain sunt
prezentate icircn a doua parte a acestui capitol Notamicroiile utilizate sup3i specicamicroiile tehnice
ale familiei de cifruri Grain sunt prezentate icircn Secmicroiunea 221 Secmicroiunea 222 conmicroine o
serie de atacuri generice icircmpotriva cifrurilor Grain Icircn Secmicroiunea 223 oferim cititorului
o analiz de securitate a schemelor de padding utilizate icircn cadrul cifrurilor Grain Cacircteva
idei interesante ce pot abordate in viitor sunt prezentate icircn Secmicroiunea 224 Reamintim
specicamicroile cifrului Grain v1 icircn Anexa C cifrului Grain-128 icircn Anexa D sup3i cifrului Grain-
128a icircn Anexa E Icircn aceast lucrare nu descriem parametrii corespunz tori cifrului Grain
v0 chiar dac rezultatele prezentate icircn aceast secmicroiune sunt valabile sup3i icircn acest caz
Icircn Anexele F sup3i G oferim vectori de test pentru algoritmii propusup3i Ultima parte a
acestui capitol studiaz efectul utiliz rii cvasigrupurilor izotope cu grupuri la proiectarea
structurilor de tip SPN Astfel nomicroiunile preliminare sunt prezentate icircn Secmicroiunea 231
O generalizare a structurilor de tip SPN este introdus icircn Secmicroiunea 232 iar securitatea
sa este studiat icircn secmicroiunea 233
Icircn Capitolul 3 discut m mai multe protocoale cu chei publice sup3i cacircteva aplicamicroii posibile
pentru acestea Icircn primul subcapitol introducem cacircteva presupuneri de securitate nece-
sare pentru a demonstra securitatea protocoalelor introduse Protocoalele de tip zero
knowledge sunt studiate icircn a doua parte a acestui capitol Astfel reamintim conceptele
de baz a protocoalelor de tip zero knowledge icircn Secmicroiunea 321 Inspiramicroi de protocolul
Unied-Zero Knowledge introdus de Maurer icircn Secmicroiunea 322 introducem un protocol
numit Unied Generic Zero-Knowledge sup3i demonstr m c acesta este sigur Oferim citi-
torului cacircteva cazuri particulare ale protocolului UGZK icircn Secmicroiunea 323 O variant a
protocolului care utilizeaz funcmicroii hash este prezentat icircn Secmicroiunea 324 icircmpreun cu
analiza sa de securitate Ca o posibil aplicamicroie pentru protocolul UGZK icircn Secmicroiunea
Prefamicro 3
325 descriem un protocol de autenticare de tip lightweight discut m securitatea sup3i
complexitatea acestuia sup3i prezent m o serie de implement ri optimizate care apar din
mici variamicroii ale protocolului propus Icircn Secmicroiunea 326 subliniem posibile viitoarele di-
recmicroii de lucru A treia parte a acestui capitol conmicroine o semn tur digital inspirat de
paradigma UZK a lui Maurer Nomicroiunile preliminare necesare sunt prezentate icircn Secmicroi-
unea 331 iar detaliile exacte ale semn turii UDS sunt furnizate icircn Secmicroiunea 332
O aplicamicroie pentru semn tura UDS este prezentat icircn a patra parte a acestui capitol
Mai precis dup introducerea nomicroiunilor preliminare icircn Secmicroiunea 341 introducem icircn
Secmicroiunea 342 un protocol de co-semn tur bazat pe protocolul introdus de Ferradi
et al Discut m cacircteva probleme deschise icircn Secmicroiunea 343 Dou criptosisteme cu
cheie public sunt prezentate icircn partea a cincea icircn Secmicroiunea 351 introducem denimicroi-
ile presupunerile de securitate sup3i criptosistemele utilizate icircn aceast secmicroiune Mai icircntacirci
introducem icircn Secmicroiunea 352 o modicare a schemei de criptare ElGamal generalizat
care va utilizat icircntr-un capitol ulterior Apoi inspiramicroi de schema Joye-Libert PKE
sup3i dorind s obmicroinem o generalizare relevant icircn Secmicroiunea 353 propunem un nou crip-
tosistem bazat pe reziduuri de ordin 2k demonstr m c protocolul este sigur icircn modelul
standard sup3i analiz m performanmicroa acestuia icircn comparamicroie cu alte criptosisteme icircnrudite
Posibile direcmicroii de cercetare sunt prezentate icircn Secmicroiunea 3535 sup3i icircn Anexa H prezen-
t m cacircmicroiva algoritmi de decriptare optimizamicroi pentru schema propus Ultima parte a
acestui capitol ofer cititorului o aplicamicroie a schemei noastre bazate pe criptosistemul
Joye-Libert la autenticarea biometric Astfel denimicroiile sup3i presupunerile de securitate
sunt prezentate icircn Secmicroiunea 361 iar protocolul nostru de autenticare propus este
descris icircn Secmicroiunea 362
Cacircteva rezultate utile pentru icircntelegerea securit microii criptosistemului bazat pe identitate
introdus de Cocks sup3i a anumitor variamicroii ale acestuia sunt furnizate icircn Capitolul 4 Nomicroiu-
nile de baz sup3i schema Cocks sunt prezentate icircn prima parte a capitolului A doua parte
consider mulmicroimi de forma a ` X ldquo tpa ` xq mod n | x P Xu unde n este un num r
prim sau produsul a dou numere prime n ldquo pq sup3i X este o submulmicroime a lui Z˚n ale
c rei elemente au un anumit simbol Jacobi modulo factorii primi ai lui n A treia parte
a capitolului conmicroine dou aplicamicroii ale rezultatelor menmicroionate anterior Prima ofer o
analiz detalizat a unor distribumicroii legate de criptosistemul IBE introdus de Cocks sup3i a
testului Galbraith oferind astfel o analiz riguroas a testul Galbraith A doua aplicamicroie
discutat se refer la indistingibilitatea computamicroional a unor distribumicroii utilizate pen-
tru a demonstra securitatea unor variante ale IBE-ului Cocks Am reusup3it s demonstr m
indistingibilitatea statistic a acestor distribumicroii f r nici o presupunere de securitate
Capitolul se icircncheie cu Secmicroiunea 44
Prefamicro 4
O metod neconvenmicroional pentru a insera backdoor-uri icircn sistemele criptograce este
studiat icircn Capitolul 5 Nomicroiunile de baz despre atacurile cleptograce sunt prezen-
tate icircn Secmicroiunea 51 Icircn prima parte a acestui capitol este descris un atac cleptograc
partajat care poate implementat icircn semn tura digital ElGamal generalizat Astfel
icircn Secmicroiunea 521 descriem un atac simplicat asupra semn turii ElGamal generalizat
sup3i apoi acest rezultat icircl extindem icircn Secmicroiunea 522 O serie de semn turi digitale care
permit implementarea atacului nostru sunt furnizate icircn Secmicroiunea 523 Cacircteva direcmicroii
de cercetare sunt prezentate icircn Secmicroiunea 524 sup3i un protocol malimicroios de co-semn tur
este descris icircn Anexa I O serie de mecanisme cleptograce adimicroionale sunt prezentate icircn
Anexa J O metod de infectare a protocolului UZK este studiat icircn a doua parte a aces-
tui capitol Icircn Secmicroiunile 531 sup3i 532 prezent m o serie de metode cleptograce generice
si demonstr m c acestea sunt sigure Instanmicroieri ale atacurilor propuse pot reg site icircn
Secmicroiunea 533 Cacircteva posibile direcmicroii de cercetare sunt prezentate icircn Secmicroiunea 534
Icircn a treia parte introducem un model de marketing potrivit pentru vacircnzarea dispozi-
tivelor infectate Astfel o serie de nomicroiuni preliminarii sunt descrise icircn Secmicroiunea 541
Pe baza algoritmului de criptare ElGamal o serie de abonamente cleptograce care se
potrivesc diferitelor scenarii sunt furnizate icircn Secmicroiunile 542 la 544 Discut m cacircteva
probleme deschise icircn Secmicroiunea 545 Canalele hash sunt abordate icircn ultima parte a
capitolului Prin adaptarea sup3i icircmbun t microirea mecanismului introdus de Wu introducem
o serie de noi canale hash icircn Secmicroiunea 551 O serie de rezultate experimentale sunt
prezentate icircn Secmicroiunea 552 iar cacircteva aplicamicroii sunt furnizate icircn Secmicroiunea 553
Icircn Capitolul 6 studiem generatoarele de numere (pseudo-)aleatoare Prima parte a capi-
tolului trateaz o vulnerabilitate a generatorul de numere pseudo-aleatoare utilizat de
c tre Adobe Flash Player 1 pentru constant blinding Introducem nomicroiunile preliminare
necesare icircn Secmicroiunea 611 Mecanismului nostru de recuperare a seed-ului se regasesup3te
icircn Secmicroiunile 612 sup3i 613 Mai precis aceste dou subcapitole conmicroin o serie de algo-
ritmi utilizamicroi pentru a inversa o versiune generalizat a funcmicroiei hash utilizat icircn cadrul
Flash Player Rezultatele experimentale sunt prezentate icircn Secmicroiunea 614 Algoritmii
auxiliari pot reg simicroi icircn Anexa K A doua parte conmicroine o arhitectur care poate
utilizat pentru a implementa teste de health pentru generatoarele de numere aleatoare
Denimicroiile sup3i nomicroiunile preliminare sunt prezentate icircn Secmicroiunea 621 Dou clase de ltre
digitale care amplic bias-urile deja existente sunt descrise icircn Secmicroiunile 622 sup3i 623
Unele aplicamicroii posibile sunt prezentate icircn Secmicroiunea 624 Icircn Secmicroiunea 625 utiliz m
arhitectura propus pentru surse de zgomot de tip Bernoulli sup3i prezent m cacircteva rezul-
tate experimentale Modelul teoretic este furnizat icircn Secmicroiunea 626 Unele m sur tori
mai ne sunt furnizate icircn Secmicroiunea 627 Icircn Secmicroiunea 628 propunem unele posibile
direcmicroii de cercetare1versiunile 2400221 sup3i anterioare
Prefamicro 5
Capitolul 7 conmicroine mai multe protocoale care se icircncadreaz icircn categoria criptograei
recreamicroionale Astfel icircn Secmicroiunea 71 descriem diferite protocoale care vizeaz rezolvarea
problemei milionarilor introdus de Yao sup3i furniz m cititorului analizele de securitate
corespunz toare Icircn Secmicroiunea 72 prezent m un set de protocoale care furnizeaz o
solumicroie pentru compararea informamicroiilor f r a le dezv lui sup3i discut m securitatea acestora
Icircn Secmicroiunea 73 descriem un criptosistem cu cheie public construit prin intermediul
unei scheme electrice sup3i abord m securitatea acestuia Icircn Anexa L amintim diverse
solumicroii criptograce recreamicroionale care au ap rut icircn literatur de specialitate icircn timp ce
icircn Anexa M prezent m un protocol generic de criptare cu cheii publice care utilizeaz
diferite sisteme zice Protocolul introdus este util pentru prezentarea icircn cadrul orelor
de curs a diferitelor propriet microi inerente acestor sisteme zice
12 Articole Publicate
[P1] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[P2] Diana Maimumicro and George Tesup3eleanu Secretly Embedding Trapdoors into Contract
Signing Protocols In SECITC 2017 volume 10543 of Lecture Notes in Computer
Science pages 166186 Springer 2017
[P3] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[P4] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[P5] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[P6] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[P7] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Sci-
ence pages 401414 Springer 2017
Prefamicro 6
[P8] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[P9] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[P10] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[P11] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[P12] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of
Communications in Computer and Information Science pages 149165 Springer
2019
[P13] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[P14] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
[P15] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[P16] Ferucio Laurentiu Tiplea Sorin Iftene George tese and Anca-Maria Nica On the
Distribution of Quadratic Residues and Non-residues Modulo Composite Integers
and Applications to Cryptography Appl Math Comput 372 2020
[P17] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
Capitolul 2
Criptograe cu Chei Simetrice
Cea mai simpl sup3i de asemenea cea mai comun metod pentru protejarea condenmicroial-
it microii mesajelor sau pentru autenticarea unei informamicroii este utilizarea unei chei secrete
comun icircntre expeditor sup3i receptor Aceasta metod se numesup3te criptograe cu cheie
secret simetric Icircn acest scenariu ambii participanmicroi utilizeaz funcmicroii dependente de
aceeasup3i cheie predeterminat De obicei cheia comun este generat aleatoriu
Se presupune c algoritmii cu cheii simetrice icircsup3i p streaz propriet microile de securitate
atacircta timp cacirct adversarii nu pot deduce cheia utilizat Acest lucru poate icircnsemna trei
lucruri e cheia este p strat icircn mod sigur de c tre utilizatorii care o folosesc e cheia
este sucient de mare pentru a evita atacurile de tip formicro brut sau algoritmul este
singur din punct de vedere informamicroional Icircn acest capitol ne vom ocupa de dou dintre
aspectele menmicroionate anterior Mai precis vom ar ta cum cifrul Hill (an) sup3i modurile
lor corespunz toare de lucru ofer atacatorului informamicroii critice prin intermediul textul
cifrat Apoi vom descrie o metod pentru extinderea duratei de viamicro a instanmicroierilor
cifrului ux Grain prin cresup3terea complexit microii corespunz toare atacurilor de tip formicro
brut Icircn ultima parte prezent m cititorului instanmicroieri echivalente ale structurilor de
tip substitumicroie-permutare
21 Cifrul Hill (An)
Dou cifruri clasice bazate pe algebr liniar sunt cifrul Hill [144] sup3i versiunea sa an
[145] Ambele folosesc matrici inversabile modulo a pentru a cifra mesajele unde a este
dimensiunea alfabetului A Primul pas al procesului de criptare este codicarea ec rei
litere din text icircntr-un echivalent numeric Cea mai simpl codicare este a ldquo 0 b ldquo 1
sup3i asup3a mai departe Dup codicare textul este icircmp rmicroit icircn blocuri de dimensiunea k sup3i
7
Criptograe cu Chei Simetrice 8
apoi ecare bloc este icircnmulmicroit cu o matrice inversabil de dimensiune k Icircn cazul an
la rezultat se adun o a doua matrice Dup transformarea ec rui bloc rezultatul este
convertit din nou icircn litere Pentru a descifra mesajele trebuie s efectuamicroi pasup3ii de mai
sus icircn sens invers
Desup3i ambele cifruri sunt vulnerabile la atacuri ce utilizeaz text cunoscut1 atacuri e-
ciente ce utilizeaz numai text cifrat au fost dezvoltate acum doar un deceniu [42] sup3i
numai pentru cifrul Hill cu k mic Remicroinemicroi c pe m sur ce k cresup3te atacurile simple de
tip formicro brut esup3ueaz De exemplu icircn cazul cifrului Hill cu a ldquo 26 avem icircn jur de 217
chei pentru k ldquo 2 240 chei pentru k ldquo 3 sup3i 273 chei pentru k ldquo 4 [42] Conform [201 43]
dat ind a sup3i k se poate calcula num rul exact de matrici inversabile Menmicroion m c icircn
cazul cifrului Hill an efortul de calcul f cut pentru atacurile de tip formicroa brut icircmpotriva
cifrul Hill este icircnmulmicroit cu ak
Icircn 2007 Bauer sup3i Millward [42] au introdus un atac ce utilizeaz doar text cifrat pentru
a ataca cifrul Hill2 atac ce a fost ulterior icircmbun t microit icircn [266 167 178] Atacul a fost
publicat independent de Khazaei sup3i Ahmadi [154] Ideea principal a acestor atacuri este
de a face un atac de tip formicro brut pe racircndurile cheii icircn loc de icircntreaga matrice sup3i apoi
de a recupera matricea de decriptare
Icircn [157] Kiele sugereaz utilizarea modurilor de lucru pentru a icircngreuna tehnicile alge-
brice criptanalitice dezvoltate pentru cifrul Hill Vom ar ta icircn aceast secmicroiune cum s
adapt m atacurile descrise icircn [42 266 154] la diferite moduri de operare atacirct pentru
cifrul Hill cacirct sup3i pentru versiunea sa an Remicroinemicroi c unele moduri de lucru nu necesit
ca cheia s e inversabil astfel c atacul prezentat icircn [167] nu funcmicroioneaz pentru toate
modurile de lucru bazate pe Hill Pentru uniformitate vom extinde doar atacul lui Yum
sup3i Lee sup3i vom studia icircn viitor extinderea [167] la moduri care necesit matrici inversabile
Subliniem c dintre cele trei atacuri [42 266 154] atacul lui Yum sup3i Lee are cel mai bun
raport de performanmicro per recuperarea mesajelor
O alt lucrare care a motivat acest studiu este [41] Autorii [41] presupun c cea de-a
patra criptogram a sculpturii Kryptos [9] este e criptat utilizacircnd cifrul Hill an e un
mod de operare al cifrului Oferim cititorului un studiu preliminar al acestor presupuneri
Pentru a dovedi sau respinge aceste presupuneri trebuie s g sim o modalitate de a
adapta toate atacurile ce utilizeaz text cifrat prezentate la versiunile cu codicare secret
ale cifrului Hill (an) sup3i a modurilor lor de lucru corespunz toare Diverse r spunsuri
parmicroiale pentru versiunea cu codicare secret a cifrului Hill sunt furnizate icircn [266]
1ie dup ce un num r de mesaje cunoscute sunt criptate se pot recupera cu usup3urinmicro cheile decriptare dac atacatorul are acces la textele cifrat corespunz toare
2Atacul lui Bauer sup3i Millward pentru k ldquo 3 a fost descris anterior online sup3i icircn mod independent deWutka [257]
Criptograe cu Chei Simetrice 9
22 Familia de Cifruri Flux Grain
Familia de cifruri ux Grain const din patru instanmicroieri Grain v0 [140] Grain v1 [141]
Grain-128 [139] sup3i Grain-128a [211] Grain v1 este un nalist al portofoliului hardware
eSTREAM [4] o competimicroie pentru alegerea cifrurilor ux sigure sup3i eciente atacirct pentru
hardware cacirct sup3i pentru software
Designul familiei de cifruri ux Grain include un LFSR Icircnc rcarea LFSR-ului const
dintr-un vector de inimicroializare (IV) sup3i un anumit sup3ir de bimicroi P al c rui lungime sup3i structur
depinde de versiunea cifrului Urmacircnd terminologia utilizat icircn [39] consider m c IV-
ul este concatenat cu P Astfel icircn toat aceast secmicroiune folosim termenul de padding
pentru a indica P Remicroinemicroi c Grain v1 sup3i Grain-128 folosesc un padding periodic sup3i
Grain-128a utilizeaz un padding aperiodic
Icircn ultimul deceniu o serie de atacuri icircmpotriva tehnicilor de padding a familiei Grain au
ap rut icircn literatura de specialitate [38 39 64 162] Icircn lumina acestor atacuri propunem
prima analiz de securitate3 a schemelor de padding generice pentru cifrurile Grain icircn
cazurile periodic precum sup3i aperiodic
Icircn acest context problemele care apar sunt stracircns legate de impactul asupra securit microii
a diferimicroilor parametri ai paddingului cum ar pozimicroia sup3i structura blocului de padding
Mai mult icircn cadrul studiului nostru lu m icircn considerare atacirct blocurile de padding com-
pacte cacirct sup3i fragmentate Ne referim la schemele originale de padding ale cifrurilor Grain
ca ind compacte (ie se folosesup3te un singur bloc de padding) Consider m ca padding
fragmentat un bloc de padding divizat icircn blocuri mai mici de lungime egal 4
Examinacircnd structura paddingului sup3i analizacircnd versiunile sale compacte sup3i mai ales frag-
mentate studiem de fapt conceptul de a extinde durata de viamicroa a cheii Acesta din urm
ar putea realizat prin introducerea unui padding variabil icircn funcmicroie de constracircngerile
adecvate Prin urmare icircntrebarea general care apare este urm toarea ce trebuie icircnc r-
cat icircn LFSR-urile cifrurilor Grain pentru a obmicroine instanmicroieri sigure Remicroinemicroi c studiul
nostru este preliminar luacircnd icircn considerare doar atacurile de tip slide Consider m alte
tipuri de atacuri icircntr-un studiu viitor
Subliniem c g sirea unor atacuri mai bune decacirct cele prezentate deja icircn literatur nu
intr icircn scopul acestei secmicroiuni deoarece obiectivul nostru principal este de a stabili
versiuni personalizate sigure ale cifrului Grain Prin urmare munca noastr nu are nicio
implicamicroie imediat asupra spargerii oricarui cifru din familia Grain Cu toate acestea
observamicroiile noastre devin semnicative e icircn scenariul criptograei de tip lightweight e
3icircmpotriva atacurilor de tip slide4consider m c aceste blocuri mai mici sunt r spacircndite icircntre datele registrului liniar
Criptograe cu Chei Simetrice 10
icircn cazul unui context de securitate icircmbun t microit (de exemplu aplicamicroii guvernamentale
sigure)
Criptograa de tip lightweight se a la intersecmicroia dintre criptograe informatic sup3i in-
ginerie electric Astfel trebuie luate icircn considerare compromisurile icircntre performanmicro
securitate sup3i cost Avacircnd icircn vedere astfel de constracircngeri sup3i faptul c dispozitivele icircncor-
porate funcmicroioneaz icircn medii ostile exist o nevoie tot mai mare de solumicroii de securitate
noi sup3i variate construite icircn principal avacircnd icircn vedere actuala tendinmicro computamicroional
Icircntrucacirct familia Grain se a tocmai icircn categoria primitivelor de tip lightweight credem
c studiul prezentat icircn secmicroiunea curent este de interes pentru industrie sup3i icircn special
pentru organizamicroiile guvernamentale
23 Stucturi Substitumicroie-Permutare Bazate pe Cvasigrupuri
Icircn forma sa de baz criptanaliza diferenmicroial [55] prezice modul icircn care anumite modi-
c ri ale textului se propag printr-un cifru Cacircnd se considerar un cifru ideal probabil-
itatea de a prezice aceste modic ri este 12n unde n este num rul de bimicroi al datelor de
intrare Astfel icircn cazul ideal este imposibil ca un atacator s foloseasc aceste predicmicroii
atunci cacircnd n este de exemplu 128 Din p cate proiectanmicroii folosesc estim ri teoretice
bazate pe anumite ipoteze care nu sunt icircntotdeauna valabile icircn practic Prin urmare
criptanaliza diferenmicroial este adesea cel mai ecient instrument icircmpotriva algoritmilor
criptograci cu cheie simetric [188]
Cvasigrupurile sunt structuri asem n toare grupurilor care spre deosebire de grupuri nu
trebuie s e asociative sup3i s posede un element identitate Utilizarea cvasigrupurilor ca
elemente de baz pentru primitive criptograce nu este foarte obisup3nuit Totusup3i diverse
astfel de criptosisteme pot g site icircn literatura [164 117 116 35 90 160]
Icircn aceast subsecmicroiune introducem o generalizare a structurilor substitumicroie-permutare
(SPN) sup3i studiem securitatea acesteia Prin icircnlocuirea operamicroiei de grup lsaquo icircntre cheii
sup3i texte (intermediare) cu o operamicroie de cvasigrup b am urm rit extinderea utiliz rii
cvasigrupurilor Din p cate utilizacircnd criptanaliza diferenmicroial demonstr m c icircn cazul
cvasigrupurilor izotope cu un grup5 problema atac rii unui SPN folosind b se reduce la
atacarea unui SPN folosind lsaquo sup3i o tabel de substitumicroie (s-box) diferit de cea inimicroial
Astfel dac inimicroializ m SPN-ul cu un s-box secret aleator icircnlocuirea lsaquo cu b nu aduce
nici o securitate suplimentar 6 Icircn cazul s-box-urilor statice schimbarea lsaquo cu b poate
afecta chiar securitatea SPN-ului5Aceasta este cea mai popular metod de generare a cvasigrupurilor6ie obmicroinem pur sup3i simplu o alt instanmicro a SPN
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Capitolul 1
Prefamicro
De-a lungul istoriei rolul principal al criptograei a fost s p streze informamicroiile sensibile
private chiar sup3i icircn prezenmicroa unui adversar care demicroine controlul asupra canalului de co-
municamicroii Chiar dac condenmicroialitatea r macircne esenmicroial pentru criptograe domeniul
s-a extins sup3i icircncorporeaz sup3i alte obiective cum ar integritatea sup3i autenticitatea datelor
controlul accesului sau pl microile electronice
Icircn trecut folosit doar de c tre armat criptograa este icircn prezent utilizat pe scar larg
sup3i oamenii beneciaz de aceasta zilnic chiar sup3i f r s o sup3tie De exemplu atunci cacircnd
cump ramicroi un articol online un canal securizat este utilizat pentru a procesa tranzacmicroia
sup3i implicit pentru a asigura condenmicroialitatea cardului dumneavoastr de credit Sau
atunci cacircnd comunic m prin aplicamicroii de mesagerie conversamicroiile noastre private sunt
protejate folosind criptarea end-to-end Cu un domeniu de aplicabilitate icircn cresup3tere nu
este surprinz tor faptul c criptograa modern icircmpletesup3te concepte din matematic
informatic inginerie sup3i zic
Desup3i o sup3tiinmicro remarcabil criptograa este de asemenea o art Trebuie s gacircndim asup3a
cum ar faceo un atacator icircn timp ce ap r m sistemul icircmpotriva ameninmicro rilor trebuie s
jongl m icircntre vitez aplicabilitate sup3i securitate trebuie s transform m concepte cunos-
cute pentru a le face s corespund scopului nostru trebuie s proiect m concepte de
nivel icircnalt microinacircnd cont de cele de nivel sc zut etc Inuenmicroat de multitudinea de concepte
pe care un criptograf trebuie s le gestioneze icircn aceast lucrare abord m diferite domenii
ale criptograei sup3i e lu m rolul proiectantului e a atacatorului Prin prezentarea am-
belor femicroe ale aceleiasup3i monede ne dorim ca cititorul s icircnceap s aprecieze frumusemicroea
acestei sup3tiinmicroe enigmatice sup3i s icircnceap s vad relamicroiile care apar icircntre concepte aparent
diferite
1
Prefamicro 2
11 Structura Tezei
Prezent m icircn continuare un scurt rezumat al celor sup3apte capitole principale conmicroinute icircn
aceast lucrare Unul dintre cele mai dicile lucruri legate de structurarea acestei lucr ri
a fost interdependenmicroa unor capitole Am icircncercat s prezent m materialul din aceast
tez icircntr-o ordine logic sup3i natural Mai jos este prezentat structura tezei
Capitolul 2 abordeaz criptograa cu chei simetrice sup3i este icircmp rmicroit icircn trei subcapitole
Primul subcapitol conmicroine o analiz a securit microii cifrului Hill (an) sup3i a modurilor de lucru
corespunz toare Denimicroiile sup3i informamicroiile preliminare sunt prezentate icircn Secmicroiunea 211
Partea principal a primului subcapitol const din Secmicroiunile 212 sup3i 213 care conmicroin mai
multe modalit microi de clasare a cheilor sup3i o serie de atacuri care utilizeaz numai text cifrat
Rezultatele experimentale sunt furnizate icircn Secmicroiunea 214 iar unele direcmicroii posibile de
cercetare sunt prezentate icircn Secmicroiunea 215 Frecvenmicroele literelor sup3i atacul asupra cifrului
Vigenegravere utilizate icircn Secmicroiunea 214 sunt prezentate icircn Anexele A sup3i B Cacircteva metode
pentru cresup3terea complexit microii formicroei brute aplicabile familiei de cifruri ux Grain sunt
prezentate icircn a doua parte a acestui capitol Notamicroiile utilizate sup3i specicamicroiile tehnice
ale familiei de cifruri Grain sunt prezentate icircn Secmicroiunea 221 Secmicroiunea 222 conmicroine o
serie de atacuri generice icircmpotriva cifrurilor Grain Icircn Secmicroiunea 223 oferim cititorului
o analiz de securitate a schemelor de padding utilizate icircn cadrul cifrurilor Grain Cacircteva
idei interesante ce pot abordate in viitor sunt prezentate icircn Secmicroiunea 224 Reamintim
specicamicroile cifrului Grain v1 icircn Anexa C cifrului Grain-128 icircn Anexa D sup3i cifrului Grain-
128a icircn Anexa E Icircn aceast lucrare nu descriem parametrii corespunz tori cifrului Grain
v0 chiar dac rezultatele prezentate icircn aceast secmicroiune sunt valabile sup3i icircn acest caz
Icircn Anexele F sup3i G oferim vectori de test pentru algoritmii propusup3i Ultima parte a
acestui capitol studiaz efectul utiliz rii cvasigrupurilor izotope cu grupuri la proiectarea
structurilor de tip SPN Astfel nomicroiunile preliminare sunt prezentate icircn Secmicroiunea 231
O generalizare a structurilor de tip SPN este introdus icircn Secmicroiunea 232 iar securitatea
sa este studiat icircn secmicroiunea 233
Icircn Capitolul 3 discut m mai multe protocoale cu chei publice sup3i cacircteva aplicamicroii posibile
pentru acestea Icircn primul subcapitol introducem cacircteva presupuneri de securitate nece-
sare pentru a demonstra securitatea protocoalelor introduse Protocoalele de tip zero
knowledge sunt studiate icircn a doua parte a acestui capitol Astfel reamintim conceptele
de baz a protocoalelor de tip zero knowledge icircn Secmicroiunea 321 Inspiramicroi de protocolul
Unied-Zero Knowledge introdus de Maurer icircn Secmicroiunea 322 introducem un protocol
numit Unied Generic Zero-Knowledge sup3i demonstr m c acesta este sigur Oferim citi-
torului cacircteva cazuri particulare ale protocolului UGZK icircn Secmicroiunea 323 O variant a
protocolului care utilizeaz funcmicroii hash este prezentat icircn Secmicroiunea 324 icircmpreun cu
analiza sa de securitate Ca o posibil aplicamicroie pentru protocolul UGZK icircn Secmicroiunea
Prefamicro 3
325 descriem un protocol de autenticare de tip lightweight discut m securitatea sup3i
complexitatea acestuia sup3i prezent m o serie de implement ri optimizate care apar din
mici variamicroii ale protocolului propus Icircn Secmicroiunea 326 subliniem posibile viitoarele di-
recmicroii de lucru A treia parte a acestui capitol conmicroine o semn tur digital inspirat de
paradigma UZK a lui Maurer Nomicroiunile preliminare necesare sunt prezentate icircn Secmicroi-
unea 331 iar detaliile exacte ale semn turii UDS sunt furnizate icircn Secmicroiunea 332
O aplicamicroie pentru semn tura UDS este prezentat icircn a patra parte a acestui capitol
Mai precis dup introducerea nomicroiunilor preliminare icircn Secmicroiunea 341 introducem icircn
Secmicroiunea 342 un protocol de co-semn tur bazat pe protocolul introdus de Ferradi
et al Discut m cacircteva probleme deschise icircn Secmicroiunea 343 Dou criptosisteme cu
cheie public sunt prezentate icircn partea a cincea icircn Secmicroiunea 351 introducem denimicroi-
ile presupunerile de securitate sup3i criptosistemele utilizate icircn aceast secmicroiune Mai icircntacirci
introducem icircn Secmicroiunea 352 o modicare a schemei de criptare ElGamal generalizat
care va utilizat icircntr-un capitol ulterior Apoi inspiramicroi de schema Joye-Libert PKE
sup3i dorind s obmicroinem o generalizare relevant icircn Secmicroiunea 353 propunem un nou crip-
tosistem bazat pe reziduuri de ordin 2k demonstr m c protocolul este sigur icircn modelul
standard sup3i analiz m performanmicroa acestuia icircn comparamicroie cu alte criptosisteme icircnrudite
Posibile direcmicroii de cercetare sunt prezentate icircn Secmicroiunea 3535 sup3i icircn Anexa H prezen-
t m cacircmicroiva algoritmi de decriptare optimizamicroi pentru schema propus Ultima parte a
acestui capitol ofer cititorului o aplicamicroie a schemei noastre bazate pe criptosistemul
Joye-Libert la autenticarea biometric Astfel denimicroiile sup3i presupunerile de securitate
sunt prezentate icircn Secmicroiunea 361 iar protocolul nostru de autenticare propus este
descris icircn Secmicroiunea 362
Cacircteva rezultate utile pentru icircntelegerea securit microii criptosistemului bazat pe identitate
introdus de Cocks sup3i a anumitor variamicroii ale acestuia sunt furnizate icircn Capitolul 4 Nomicroiu-
nile de baz sup3i schema Cocks sunt prezentate icircn prima parte a capitolului A doua parte
consider mulmicroimi de forma a ` X ldquo tpa ` xq mod n | x P Xu unde n este un num r
prim sau produsul a dou numere prime n ldquo pq sup3i X este o submulmicroime a lui Z˚n ale
c rei elemente au un anumit simbol Jacobi modulo factorii primi ai lui n A treia parte
a capitolului conmicroine dou aplicamicroii ale rezultatelor menmicroionate anterior Prima ofer o
analiz detalizat a unor distribumicroii legate de criptosistemul IBE introdus de Cocks sup3i a
testului Galbraith oferind astfel o analiz riguroas a testul Galbraith A doua aplicamicroie
discutat se refer la indistingibilitatea computamicroional a unor distribumicroii utilizate pen-
tru a demonstra securitatea unor variante ale IBE-ului Cocks Am reusup3it s demonstr m
indistingibilitatea statistic a acestor distribumicroii f r nici o presupunere de securitate
Capitolul se icircncheie cu Secmicroiunea 44
Prefamicro 4
O metod neconvenmicroional pentru a insera backdoor-uri icircn sistemele criptograce este
studiat icircn Capitolul 5 Nomicroiunile de baz despre atacurile cleptograce sunt prezen-
tate icircn Secmicroiunea 51 Icircn prima parte a acestui capitol este descris un atac cleptograc
partajat care poate implementat icircn semn tura digital ElGamal generalizat Astfel
icircn Secmicroiunea 521 descriem un atac simplicat asupra semn turii ElGamal generalizat
sup3i apoi acest rezultat icircl extindem icircn Secmicroiunea 522 O serie de semn turi digitale care
permit implementarea atacului nostru sunt furnizate icircn Secmicroiunea 523 Cacircteva direcmicroii
de cercetare sunt prezentate icircn Secmicroiunea 524 sup3i un protocol malimicroios de co-semn tur
este descris icircn Anexa I O serie de mecanisme cleptograce adimicroionale sunt prezentate icircn
Anexa J O metod de infectare a protocolului UZK este studiat icircn a doua parte a aces-
tui capitol Icircn Secmicroiunile 531 sup3i 532 prezent m o serie de metode cleptograce generice
si demonstr m c acestea sunt sigure Instanmicroieri ale atacurilor propuse pot reg site icircn
Secmicroiunea 533 Cacircteva posibile direcmicroii de cercetare sunt prezentate icircn Secmicroiunea 534
Icircn a treia parte introducem un model de marketing potrivit pentru vacircnzarea dispozi-
tivelor infectate Astfel o serie de nomicroiuni preliminarii sunt descrise icircn Secmicroiunea 541
Pe baza algoritmului de criptare ElGamal o serie de abonamente cleptograce care se
potrivesc diferitelor scenarii sunt furnizate icircn Secmicroiunile 542 la 544 Discut m cacircteva
probleme deschise icircn Secmicroiunea 545 Canalele hash sunt abordate icircn ultima parte a
capitolului Prin adaptarea sup3i icircmbun t microirea mecanismului introdus de Wu introducem
o serie de noi canale hash icircn Secmicroiunea 551 O serie de rezultate experimentale sunt
prezentate icircn Secmicroiunea 552 iar cacircteva aplicamicroii sunt furnizate icircn Secmicroiunea 553
Icircn Capitolul 6 studiem generatoarele de numere (pseudo-)aleatoare Prima parte a capi-
tolului trateaz o vulnerabilitate a generatorul de numere pseudo-aleatoare utilizat de
c tre Adobe Flash Player 1 pentru constant blinding Introducem nomicroiunile preliminare
necesare icircn Secmicroiunea 611 Mecanismului nostru de recuperare a seed-ului se regasesup3te
icircn Secmicroiunile 612 sup3i 613 Mai precis aceste dou subcapitole conmicroin o serie de algo-
ritmi utilizamicroi pentru a inversa o versiune generalizat a funcmicroiei hash utilizat icircn cadrul
Flash Player Rezultatele experimentale sunt prezentate icircn Secmicroiunea 614 Algoritmii
auxiliari pot reg simicroi icircn Anexa K A doua parte conmicroine o arhitectur care poate
utilizat pentru a implementa teste de health pentru generatoarele de numere aleatoare
Denimicroiile sup3i nomicroiunile preliminare sunt prezentate icircn Secmicroiunea 621 Dou clase de ltre
digitale care amplic bias-urile deja existente sunt descrise icircn Secmicroiunile 622 sup3i 623
Unele aplicamicroii posibile sunt prezentate icircn Secmicroiunea 624 Icircn Secmicroiunea 625 utiliz m
arhitectura propus pentru surse de zgomot de tip Bernoulli sup3i prezent m cacircteva rezul-
tate experimentale Modelul teoretic este furnizat icircn Secmicroiunea 626 Unele m sur tori
mai ne sunt furnizate icircn Secmicroiunea 627 Icircn Secmicroiunea 628 propunem unele posibile
direcmicroii de cercetare1versiunile 2400221 sup3i anterioare
Prefamicro 5
Capitolul 7 conmicroine mai multe protocoale care se icircncadreaz icircn categoria criptograei
recreamicroionale Astfel icircn Secmicroiunea 71 descriem diferite protocoale care vizeaz rezolvarea
problemei milionarilor introdus de Yao sup3i furniz m cititorului analizele de securitate
corespunz toare Icircn Secmicroiunea 72 prezent m un set de protocoale care furnizeaz o
solumicroie pentru compararea informamicroiilor f r a le dezv lui sup3i discut m securitatea acestora
Icircn Secmicroiunea 73 descriem un criptosistem cu cheie public construit prin intermediul
unei scheme electrice sup3i abord m securitatea acestuia Icircn Anexa L amintim diverse
solumicroii criptograce recreamicroionale care au ap rut icircn literatur de specialitate icircn timp ce
icircn Anexa M prezent m un protocol generic de criptare cu cheii publice care utilizeaz
diferite sisteme zice Protocolul introdus este util pentru prezentarea icircn cadrul orelor
de curs a diferitelor propriet microi inerente acestor sisteme zice
12 Articole Publicate
[P1] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[P2] Diana Maimumicro and George Tesup3eleanu Secretly Embedding Trapdoors into Contract
Signing Protocols In SECITC 2017 volume 10543 of Lecture Notes in Computer
Science pages 166186 Springer 2017
[P3] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[P4] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[P5] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[P6] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[P7] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Sci-
ence pages 401414 Springer 2017
Prefamicro 6
[P8] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[P9] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[P10] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[P11] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[P12] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of
Communications in Computer and Information Science pages 149165 Springer
2019
[P13] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[P14] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
[P15] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[P16] Ferucio Laurentiu Tiplea Sorin Iftene George tese and Anca-Maria Nica On the
Distribution of Quadratic Residues and Non-residues Modulo Composite Integers
and Applications to Cryptography Appl Math Comput 372 2020
[P17] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
Capitolul 2
Criptograe cu Chei Simetrice
Cea mai simpl sup3i de asemenea cea mai comun metod pentru protejarea condenmicroial-
it microii mesajelor sau pentru autenticarea unei informamicroii este utilizarea unei chei secrete
comun icircntre expeditor sup3i receptor Aceasta metod se numesup3te criptograe cu cheie
secret simetric Icircn acest scenariu ambii participanmicroi utilizeaz funcmicroii dependente de
aceeasup3i cheie predeterminat De obicei cheia comun este generat aleatoriu
Se presupune c algoritmii cu cheii simetrice icircsup3i p streaz propriet microile de securitate
atacircta timp cacirct adversarii nu pot deduce cheia utilizat Acest lucru poate icircnsemna trei
lucruri e cheia este p strat icircn mod sigur de c tre utilizatorii care o folosesc e cheia
este sucient de mare pentru a evita atacurile de tip formicro brut sau algoritmul este
singur din punct de vedere informamicroional Icircn acest capitol ne vom ocupa de dou dintre
aspectele menmicroionate anterior Mai precis vom ar ta cum cifrul Hill (an) sup3i modurile
lor corespunz toare de lucru ofer atacatorului informamicroii critice prin intermediul textul
cifrat Apoi vom descrie o metod pentru extinderea duratei de viamicro a instanmicroierilor
cifrului ux Grain prin cresup3terea complexit microii corespunz toare atacurilor de tip formicro
brut Icircn ultima parte prezent m cititorului instanmicroieri echivalente ale structurilor de
tip substitumicroie-permutare
21 Cifrul Hill (An)
Dou cifruri clasice bazate pe algebr liniar sunt cifrul Hill [144] sup3i versiunea sa an
[145] Ambele folosesc matrici inversabile modulo a pentru a cifra mesajele unde a este
dimensiunea alfabetului A Primul pas al procesului de criptare este codicarea ec rei
litere din text icircntr-un echivalent numeric Cea mai simpl codicare este a ldquo 0 b ldquo 1
sup3i asup3a mai departe Dup codicare textul este icircmp rmicroit icircn blocuri de dimensiunea k sup3i
7
Criptograe cu Chei Simetrice 8
apoi ecare bloc este icircnmulmicroit cu o matrice inversabil de dimensiune k Icircn cazul an
la rezultat se adun o a doua matrice Dup transformarea ec rui bloc rezultatul este
convertit din nou icircn litere Pentru a descifra mesajele trebuie s efectuamicroi pasup3ii de mai
sus icircn sens invers
Desup3i ambele cifruri sunt vulnerabile la atacuri ce utilizeaz text cunoscut1 atacuri e-
ciente ce utilizeaz numai text cifrat au fost dezvoltate acum doar un deceniu [42] sup3i
numai pentru cifrul Hill cu k mic Remicroinemicroi c pe m sur ce k cresup3te atacurile simple de
tip formicro brut esup3ueaz De exemplu icircn cazul cifrului Hill cu a ldquo 26 avem icircn jur de 217
chei pentru k ldquo 2 240 chei pentru k ldquo 3 sup3i 273 chei pentru k ldquo 4 [42] Conform [201 43]
dat ind a sup3i k se poate calcula num rul exact de matrici inversabile Menmicroion m c icircn
cazul cifrului Hill an efortul de calcul f cut pentru atacurile de tip formicroa brut icircmpotriva
cifrul Hill este icircnmulmicroit cu ak
Icircn 2007 Bauer sup3i Millward [42] au introdus un atac ce utilizeaz doar text cifrat pentru
a ataca cifrul Hill2 atac ce a fost ulterior icircmbun t microit icircn [266 167 178] Atacul a fost
publicat independent de Khazaei sup3i Ahmadi [154] Ideea principal a acestor atacuri este
de a face un atac de tip formicro brut pe racircndurile cheii icircn loc de icircntreaga matrice sup3i apoi
de a recupera matricea de decriptare
Icircn [157] Kiele sugereaz utilizarea modurilor de lucru pentru a icircngreuna tehnicile alge-
brice criptanalitice dezvoltate pentru cifrul Hill Vom ar ta icircn aceast secmicroiune cum s
adapt m atacurile descrise icircn [42 266 154] la diferite moduri de operare atacirct pentru
cifrul Hill cacirct sup3i pentru versiunea sa an Remicroinemicroi c unele moduri de lucru nu necesit
ca cheia s e inversabil astfel c atacul prezentat icircn [167] nu funcmicroioneaz pentru toate
modurile de lucru bazate pe Hill Pentru uniformitate vom extinde doar atacul lui Yum
sup3i Lee sup3i vom studia icircn viitor extinderea [167] la moduri care necesit matrici inversabile
Subliniem c dintre cele trei atacuri [42 266 154] atacul lui Yum sup3i Lee are cel mai bun
raport de performanmicro per recuperarea mesajelor
O alt lucrare care a motivat acest studiu este [41] Autorii [41] presupun c cea de-a
patra criptogram a sculpturii Kryptos [9] este e criptat utilizacircnd cifrul Hill an e un
mod de operare al cifrului Oferim cititorului un studiu preliminar al acestor presupuneri
Pentru a dovedi sau respinge aceste presupuneri trebuie s g sim o modalitate de a
adapta toate atacurile ce utilizeaz text cifrat prezentate la versiunile cu codicare secret
ale cifrului Hill (an) sup3i a modurilor lor de lucru corespunz toare Diverse r spunsuri
parmicroiale pentru versiunea cu codicare secret a cifrului Hill sunt furnizate icircn [266]
1ie dup ce un num r de mesaje cunoscute sunt criptate se pot recupera cu usup3urinmicro cheile decriptare dac atacatorul are acces la textele cifrat corespunz toare
2Atacul lui Bauer sup3i Millward pentru k ldquo 3 a fost descris anterior online sup3i icircn mod independent deWutka [257]
Criptograe cu Chei Simetrice 9
22 Familia de Cifruri Flux Grain
Familia de cifruri ux Grain const din patru instanmicroieri Grain v0 [140] Grain v1 [141]
Grain-128 [139] sup3i Grain-128a [211] Grain v1 este un nalist al portofoliului hardware
eSTREAM [4] o competimicroie pentru alegerea cifrurilor ux sigure sup3i eciente atacirct pentru
hardware cacirct sup3i pentru software
Designul familiei de cifruri ux Grain include un LFSR Icircnc rcarea LFSR-ului const
dintr-un vector de inimicroializare (IV) sup3i un anumit sup3ir de bimicroi P al c rui lungime sup3i structur
depinde de versiunea cifrului Urmacircnd terminologia utilizat icircn [39] consider m c IV-
ul este concatenat cu P Astfel icircn toat aceast secmicroiune folosim termenul de padding
pentru a indica P Remicroinemicroi c Grain v1 sup3i Grain-128 folosesc un padding periodic sup3i
Grain-128a utilizeaz un padding aperiodic
Icircn ultimul deceniu o serie de atacuri icircmpotriva tehnicilor de padding a familiei Grain au
ap rut icircn literatura de specialitate [38 39 64 162] Icircn lumina acestor atacuri propunem
prima analiz de securitate3 a schemelor de padding generice pentru cifrurile Grain icircn
cazurile periodic precum sup3i aperiodic
Icircn acest context problemele care apar sunt stracircns legate de impactul asupra securit microii
a diferimicroilor parametri ai paddingului cum ar pozimicroia sup3i structura blocului de padding
Mai mult icircn cadrul studiului nostru lu m icircn considerare atacirct blocurile de padding com-
pacte cacirct sup3i fragmentate Ne referim la schemele originale de padding ale cifrurilor Grain
ca ind compacte (ie se folosesup3te un singur bloc de padding) Consider m ca padding
fragmentat un bloc de padding divizat icircn blocuri mai mici de lungime egal 4
Examinacircnd structura paddingului sup3i analizacircnd versiunile sale compacte sup3i mai ales frag-
mentate studiem de fapt conceptul de a extinde durata de viamicroa a cheii Acesta din urm
ar putea realizat prin introducerea unui padding variabil icircn funcmicroie de constracircngerile
adecvate Prin urmare icircntrebarea general care apare este urm toarea ce trebuie icircnc r-
cat icircn LFSR-urile cifrurilor Grain pentru a obmicroine instanmicroieri sigure Remicroinemicroi c studiul
nostru este preliminar luacircnd icircn considerare doar atacurile de tip slide Consider m alte
tipuri de atacuri icircntr-un studiu viitor
Subliniem c g sirea unor atacuri mai bune decacirct cele prezentate deja icircn literatur nu
intr icircn scopul acestei secmicroiuni deoarece obiectivul nostru principal este de a stabili
versiuni personalizate sigure ale cifrului Grain Prin urmare munca noastr nu are nicio
implicamicroie imediat asupra spargerii oricarui cifru din familia Grain Cu toate acestea
observamicroiile noastre devin semnicative e icircn scenariul criptograei de tip lightweight e
3icircmpotriva atacurilor de tip slide4consider m c aceste blocuri mai mici sunt r spacircndite icircntre datele registrului liniar
Criptograe cu Chei Simetrice 10
icircn cazul unui context de securitate icircmbun t microit (de exemplu aplicamicroii guvernamentale
sigure)
Criptograa de tip lightweight se a la intersecmicroia dintre criptograe informatic sup3i in-
ginerie electric Astfel trebuie luate icircn considerare compromisurile icircntre performanmicro
securitate sup3i cost Avacircnd icircn vedere astfel de constracircngeri sup3i faptul c dispozitivele icircncor-
porate funcmicroioneaz icircn medii ostile exist o nevoie tot mai mare de solumicroii de securitate
noi sup3i variate construite icircn principal avacircnd icircn vedere actuala tendinmicro computamicroional
Icircntrucacirct familia Grain se a tocmai icircn categoria primitivelor de tip lightweight credem
c studiul prezentat icircn secmicroiunea curent este de interes pentru industrie sup3i icircn special
pentru organizamicroiile guvernamentale
23 Stucturi Substitumicroie-Permutare Bazate pe Cvasigrupuri
Icircn forma sa de baz criptanaliza diferenmicroial [55] prezice modul icircn care anumite modi-
c ri ale textului se propag printr-un cifru Cacircnd se considerar un cifru ideal probabil-
itatea de a prezice aceste modic ri este 12n unde n este num rul de bimicroi al datelor de
intrare Astfel icircn cazul ideal este imposibil ca un atacator s foloseasc aceste predicmicroii
atunci cacircnd n este de exemplu 128 Din p cate proiectanmicroii folosesc estim ri teoretice
bazate pe anumite ipoteze care nu sunt icircntotdeauna valabile icircn practic Prin urmare
criptanaliza diferenmicroial este adesea cel mai ecient instrument icircmpotriva algoritmilor
criptograci cu cheie simetric [188]
Cvasigrupurile sunt structuri asem n toare grupurilor care spre deosebire de grupuri nu
trebuie s e asociative sup3i s posede un element identitate Utilizarea cvasigrupurilor ca
elemente de baz pentru primitive criptograce nu este foarte obisup3nuit Totusup3i diverse
astfel de criptosisteme pot g site icircn literatura [164 117 116 35 90 160]
Icircn aceast subsecmicroiune introducem o generalizare a structurilor substitumicroie-permutare
(SPN) sup3i studiem securitatea acesteia Prin icircnlocuirea operamicroiei de grup lsaquo icircntre cheii
sup3i texte (intermediare) cu o operamicroie de cvasigrup b am urm rit extinderea utiliz rii
cvasigrupurilor Din p cate utilizacircnd criptanaliza diferenmicroial demonstr m c icircn cazul
cvasigrupurilor izotope cu un grup5 problema atac rii unui SPN folosind b se reduce la
atacarea unui SPN folosind lsaquo sup3i o tabel de substitumicroie (s-box) diferit de cea inimicroial
Astfel dac inimicroializ m SPN-ul cu un s-box secret aleator icircnlocuirea lsaquo cu b nu aduce
nici o securitate suplimentar 6 Icircn cazul s-box-urilor statice schimbarea lsaquo cu b poate
afecta chiar securitatea SPN-ului5Aceasta este cea mai popular metod de generare a cvasigrupurilor6ie obmicroinem pur sup3i simplu o alt instanmicro a SPN
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Prefamicro 2
11 Structura Tezei
Prezent m icircn continuare un scurt rezumat al celor sup3apte capitole principale conmicroinute icircn
aceast lucrare Unul dintre cele mai dicile lucruri legate de structurarea acestei lucr ri
a fost interdependenmicroa unor capitole Am icircncercat s prezent m materialul din aceast
tez icircntr-o ordine logic sup3i natural Mai jos este prezentat structura tezei
Capitolul 2 abordeaz criptograa cu chei simetrice sup3i este icircmp rmicroit icircn trei subcapitole
Primul subcapitol conmicroine o analiz a securit microii cifrului Hill (an) sup3i a modurilor de lucru
corespunz toare Denimicroiile sup3i informamicroiile preliminare sunt prezentate icircn Secmicroiunea 211
Partea principal a primului subcapitol const din Secmicroiunile 212 sup3i 213 care conmicroin mai
multe modalit microi de clasare a cheilor sup3i o serie de atacuri care utilizeaz numai text cifrat
Rezultatele experimentale sunt furnizate icircn Secmicroiunea 214 iar unele direcmicroii posibile de
cercetare sunt prezentate icircn Secmicroiunea 215 Frecvenmicroele literelor sup3i atacul asupra cifrului
Vigenegravere utilizate icircn Secmicroiunea 214 sunt prezentate icircn Anexele A sup3i B Cacircteva metode
pentru cresup3terea complexit microii formicroei brute aplicabile familiei de cifruri ux Grain sunt
prezentate icircn a doua parte a acestui capitol Notamicroiile utilizate sup3i specicamicroiile tehnice
ale familiei de cifruri Grain sunt prezentate icircn Secmicroiunea 221 Secmicroiunea 222 conmicroine o
serie de atacuri generice icircmpotriva cifrurilor Grain Icircn Secmicroiunea 223 oferim cititorului
o analiz de securitate a schemelor de padding utilizate icircn cadrul cifrurilor Grain Cacircteva
idei interesante ce pot abordate in viitor sunt prezentate icircn Secmicroiunea 224 Reamintim
specicamicroile cifrului Grain v1 icircn Anexa C cifrului Grain-128 icircn Anexa D sup3i cifrului Grain-
128a icircn Anexa E Icircn aceast lucrare nu descriem parametrii corespunz tori cifrului Grain
v0 chiar dac rezultatele prezentate icircn aceast secmicroiune sunt valabile sup3i icircn acest caz
Icircn Anexele F sup3i G oferim vectori de test pentru algoritmii propusup3i Ultima parte a
acestui capitol studiaz efectul utiliz rii cvasigrupurilor izotope cu grupuri la proiectarea
structurilor de tip SPN Astfel nomicroiunile preliminare sunt prezentate icircn Secmicroiunea 231
O generalizare a structurilor de tip SPN este introdus icircn Secmicroiunea 232 iar securitatea
sa este studiat icircn secmicroiunea 233
Icircn Capitolul 3 discut m mai multe protocoale cu chei publice sup3i cacircteva aplicamicroii posibile
pentru acestea Icircn primul subcapitol introducem cacircteva presupuneri de securitate nece-
sare pentru a demonstra securitatea protocoalelor introduse Protocoalele de tip zero
knowledge sunt studiate icircn a doua parte a acestui capitol Astfel reamintim conceptele
de baz a protocoalelor de tip zero knowledge icircn Secmicroiunea 321 Inspiramicroi de protocolul
Unied-Zero Knowledge introdus de Maurer icircn Secmicroiunea 322 introducem un protocol
numit Unied Generic Zero-Knowledge sup3i demonstr m c acesta este sigur Oferim citi-
torului cacircteva cazuri particulare ale protocolului UGZK icircn Secmicroiunea 323 O variant a
protocolului care utilizeaz funcmicroii hash este prezentat icircn Secmicroiunea 324 icircmpreun cu
analiza sa de securitate Ca o posibil aplicamicroie pentru protocolul UGZK icircn Secmicroiunea
Prefamicro 3
325 descriem un protocol de autenticare de tip lightweight discut m securitatea sup3i
complexitatea acestuia sup3i prezent m o serie de implement ri optimizate care apar din
mici variamicroii ale protocolului propus Icircn Secmicroiunea 326 subliniem posibile viitoarele di-
recmicroii de lucru A treia parte a acestui capitol conmicroine o semn tur digital inspirat de
paradigma UZK a lui Maurer Nomicroiunile preliminare necesare sunt prezentate icircn Secmicroi-
unea 331 iar detaliile exacte ale semn turii UDS sunt furnizate icircn Secmicroiunea 332
O aplicamicroie pentru semn tura UDS este prezentat icircn a patra parte a acestui capitol
Mai precis dup introducerea nomicroiunilor preliminare icircn Secmicroiunea 341 introducem icircn
Secmicroiunea 342 un protocol de co-semn tur bazat pe protocolul introdus de Ferradi
et al Discut m cacircteva probleme deschise icircn Secmicroiunea 343 Dou criptosisteme cu
cheie public sunt prezentate icircn partea a cincea icircn Secmicroiunea 351 introducem denimicroi-
ile presupunerile de securitate sup3i criptosistemele utilizate icircn aceast secmicroiune Mai icircntacirci
introducem icircn Secmicroiunea 352 o modicare a schemei de criptare ElGamal generalizat
care va utilizat icircntr-un capitol ulterior Apoi inspiramicroi de schema Joye-Libert PKE
sup3i dorind s obmicroinem o generalizare relevant icircn Secmicroiunea 353 propunem un nou crip-
tosistem bazat pe reziduuri de ordin 2k demonstr m c protocolul este sigur icircn modelul
standard sup3i analiz m performanmicroa acestuia icircn comparamicroie cu alte criptosisteme icircnrudite
Posibile direcmicroii de cercetare sunt prezentate icircn Secmicroiunea 3535 sup3i icircn Anexa H prezen-
t m cacircmicroiva algoritmi de decriptare optimizamicroi pentru schema propus Ultima parte a
acestui capitol ofer cititorului o aplicamicroie a schemei noastre bazate pe criptosistemul
Joye-Libert la autenticarea biometric Astfel denimicroiile sup3i presupunerile de securitate
sunt prezentate icircn Secmicroiunea 361 iar protocolul nostru de autenticare propus este
descris icircn Secmicroiunea 362
Cacircteva rezultate utile pentru icircntelegerea securit microii criptosistemului bazat pe identitate
introdus de Cocks sup3i a anumitor variamicroii ale acestuia sunt furnizate icircn Capitolul 4 Nomicroiu-
nile de baz sup3i schema Cocks sunt prezentate icircn prima parte a capitolului A doua parte
consider mulmicroimi de forma a ` X ldquo tpa ` xq mod n | x P Xu unde n este un num r
prim sau produsul a dou numere prime n ldquo pq sup3i X este o submulmicroime a lui Z˚n ale
c rei elemente au un anumit simbol Jacobi modulo factorii primi ai lui n A treia parte
a capitolului conmicroine dou aplicamicroii ale rezultatelor menmicroionate anterior Prima ofer o
analiz detalizat a unor distribumicroii legate de criptosistemul IBE introdus de Cocks sup3i a
testului Galbraith oferind astfel o analiz riguroas a testul Galbraith A doua aplicamicroie
discutat se refer la indistingibilitatea computamicroional a unor distribumicroii utilizate pen-
tru a demonstra securitatea unor variante ale IBE-ului Cocks Am reusup3it s demonstr m
indistingibilitatea statistic a acestor distribumicroii f r nici o presupunere de securitate
Capitolul se icircncheie cu Secmicroiunea 44
Prefamicro 4
O metod neconvenmicroional pentru a insera backdoor-uri icircn sistemele criptograce este
studiat icircn Capitolul 5 Nomicroiunile de baz despre atacurile cleptograce sunt prezen-
tate icircn Secmicroiunea 51 Icircn prima parte a acestui capitol este descris un atac cleptograc
partajat care poate implementat icircn semn tura digital ElGamal generalizat Astfel
icircn Secmicroiunea 521 descriem un atac simplicat asupra semn turii ElGamal generalizat
sup3i apoi acest rezultat icircl extindem icircn Secmicroiunea 522 O serie de semn turi digitale care
permit implementarea atacului nostru sunt furnizate icircn Secmicroiunea 523 Cacircteva direcmicroii
de cercetare sunt prezentate icircn Secmicroiunea 524 sup3i un protocol malimicroios de co-semn tur
este descris icircn Anexa I O serie de mecanisme cleptograce adimicroionale sunt prezentate icircn
Anexa J O metod de infectare a protocolului UZK este studiat icircn a doua parte a aces-
tui capitol Icircn Secmicroiunile 531 sup3i 532 prezent m o serie de metode cleptograce generice
si demonstr m c acestea sunt sigure Instanmicroieri ale atacurilor propuse pot reg site icircn
Secmicroiunea 533 Cacircteva posibile direcmicroii de cercetare sunt prezentate icircn Secmicroiunea 534
Icircn a treia parte introducem un model de marketing potrivit pentru vacircnzarea dispozi-
tivelor infectate Astfel o serie de nomicroiuni preliminarii sunt descrise icircn Secmicroiunea 541
Pe baza algoritmului de criptare ElGamal o serie de abonamente cleptograce care se
potrivesc diferitelor scenarii sunt furnizate icircn Secmicroiunile 542 la 544 Discut m cacircteva
probleme deschise icircn Secmicroiunea 545 Canalele hash sunt abordate icircn ultima parte a
capitolului Prin adaptarea sup3i icircmbun t microirea mecanismului introdus de Wu introducem
o serie de noi canale hash icircn Secmicroiunea 551 O serie de rezultate experimentale sunt
prezentate icircn Secmicroiunea 552 iar cacircteva aplicamicroii sunt furnizate icircn Secmicroiunea 553
Icircn Capitolul 6 studiem generatoarele de numere (pseudo-)aleatoare Prima parte a capi-
tolului trateaz o vulnerabilitate a generatorul de numere pseudo-aleatoare utilizat de
c tre Adobe Flash Player 1 pentru constant blinding Introducem nomicroiunile preliminare
necesare icircn Secmicroiunea 611 Mecanismului nostru de recuperare a seed-ului se regasesup3te
icircn Secmicroiunile 612 sup3i 613 Mai precis aceste dou subcapitole conmicroin o serie de algo-
ritmi utilizamicroi pentru a inversa o versiune generalizat a funcmicroiei hash utilizat icircn cadrul
Flash Player Rezultatele experimentale sunt prezentate icircn Secmicroiunea 614 Algoritmii
auxiliari pot reg simicroi icircn Anexa K A doua parte conmicroine o arhitectur care poate
utilizat pentru a implementa teste de health pentru generatoarele de numere aleatoare
Denimicroiile sup3i nomicroiunile preliminare sunt prezentate icircn Secmicroiunea 621 Dou clase de ltre
digitale care amplic bias-urile deja existente sunt descrise icircn Secmicroiunile 622 sup3i 623
Unele aplicamicroii posibile sunt prezentate icircn Secmicroiunea 624 Icircn Secmicroiunea 625 utiliz m
arhitectura propus pentru surse de zgomot de tip Bernoulli sup3i prezent m cacircteva rezul-
tate experimentale Modelul teoretic este furnizat icircn Secmicroiunea 626 Unele m sur tori
mai ne sunt furnizate icircn Secmicroiunea 627 Icircn Secmicroiunea 628 propunem unele posibile
direcmicroii de cercetare1versiunile 2400221 sup3i anterioare
Prefamicro 5
Capitolul 7 conmicroine mai multe protocoale care se icircncadreaz icircn categoria criptograei
recreamicroionale Astfel icircn Secmicroiunea 71 descriem diferite protocoale care vizeaz rezolvarea
problemei milionarilor introdus de Yao sup3i furniz m cititorului analizele de securitate
corespunz toare Icircn Secmicroiunea 72 prezent m un set de protocoale care furnizeaz o
solumicroie pentru compararea informamicroiilor f r a le dezv lui sup3i discut m securitatea acestora
Icircn Secmicroiunea 73 descriem un criptosistem cu cheie public construit prin intermediul
unei scheme electrice sup3i abord m securitatea acestuia Icircn Anexa L amintim diverse
solumicroii criptograce recreamicroionale care au ap rut icircn literatur de specialitate icircn timp ce
icircn Anexa M prezent m un protocol generic de criptare cu cheii publice care utilizeaz
diferite sisteme zice Protocolul introdus este util pentru prezentarea icircn cadrul orelor
de curs a diferitelor propriet microi inerente acestor sisteme zice
12 Articole Publicate
[P1] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[P2] Diana Maimumicro and George Tesup3eleanu Secretly Embedding Trapdoors into Contract
Signing Protocols In SECITC 2017 volume 10543 of Lecture Notes in Computer
Science pages 166186 Springer 2017
[P3] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[P4] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[P5] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[P6] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[P7] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Sci-
ence pages 401414 Springer 2017
Prefamicro 6
[P8] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[P9] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[P10] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[P11] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[P12] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of
Communications in Computer and Information Science pages 149165 Springer
2019
[P13] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[P14] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
[P15] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[P16] Ferucio Laurentiu Tiplea Sorin Iftene George tese and Anca-Maria Nica On the
Distribution of Quadratic Residues and Non-residues Modulo Composite Integers
and Applications to Cryptography Appl Math Comput 372 2020
[P17] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
Capitolul 2
Criptograe cu Chei Simetrice
Cea mai simpl sup3i de asemenea cea mai comun metod pentru protejarea condenmicroial-
it microii mesajelor sau pentru autenticarea unei informamicroii este utilizarea unei chei secrete
comun icircntre expeditor sup3i receptor Aceasta metod se numesup3te criptograe cu cheie
secret simetric Icircn acest scenariu ambii participanmicroi utilizeaz funcmicroii dependente de
aceeasup3i cheie predeterminat De obicei cheia comun este generat aleatoriu
Se presupune c algoritmii cu cheii simetrice icircsup3i p streaz propriet microile de securitate
atacircta timp cacirct adversarii nu pot deduce cheia utilizat Acest lucru poate icircnsemna trei
lucruri e cheia este p strat icircn mod sigur de c tre utilizatorii care o folosesc e cheia
este sucient de mare pentru a evita atacurile de tip formicro brut sau algoritmul este
singur din punct de vedere informamicroional Icircn acest capitol ne vom ocupa de dou dintre
aspectele menmicroionate anterior Mai precis vom ar ta cum cifrul Hill (an) sup3i modurile
lor corespunz toare de lucru ofer atacatorului informamicroii critice prin intermediul textul
cifrat Apoi vom descrie o metod pentru extinderea duratei de viamicro a instanmicroierilor
cifrului ux Grain prin cresup3terea complexit microii corespunz toare atacurilor de tip formicro
brut Icircn ultima parte prezent m cititorului instanmicroieri echivalente ale structurilor de
tip substitumicroie-permutare
21 Cifrul Hill (An)
Dou cifruri clasice bazate pe algebr liniar sunt cifrul Hill [144] sup3i versiunea sa an
[145] Ambele folosesc matrici inversabile modulo a pentru a cifra mesajele unde a este
dimensiunea alfabetului A Primul pas al procesului de criptare este codicarea ec rei
litere din text icircntr-un echivalent numeric Cea mai simpl codicare este a ldquo 0 b ldquo 1
sup3i asup3a mai departe Dup codicare textul este icircmp rmicroit icircn blocuri de dimensiunea k sup3i
7
Criptograe cu Chei Simetrice 8
apoi ecare bloc este icircnmulmicroit cu o matrice inversabil de dimensiune k Icircn cazul an
la rezultat se adun o a doua matrice Dup transformarea ec rui bloc rezultatul este
convertit din nou icircn litere Pentru a descifra mesajele trebuie s efectuamicroi pasup3ii de mai
sus icircn sens invers
Desup3i ambele cifruri sunt vulnerabile la atacuri ce utilizeaz text cunoscut1 atacuri e-
ciente ce utilizeaz numai text cifrat au fost dezvoltate acum doar un deceniu [42] sup3i
numai pentru cifrul Hill cu k mic Remicroinemicroi c pe m sur ce k cresup3te atacurile simple de
tip formicro brut esup3ueaz De exemplu icircn cazul cifrului Hill cu a ldquo 26 avem icircn jur de 217
chei pentru k ldquo 2 240 chei pentru k ldquo 3 sup3i 273 chei pentru k ldquo 4 [42] Conform [201 43]
dat ind a sup3i k se poate calcula num rul exact de matrici inversabile Menmicroion m c icircn
cazul cifrului Hill an efortul de calcul f cut pentru atacurile de tip formicroa brut icircmpotriva
cifrul Hill este icircnmulmicroit cu ak
Icircn 2007 Bauer sup3i Millward [42] au introdus un atac ce utilizeaz doar text cifrat pentru
a ataca cifrul Hill2 atac ce a fost ulterior icircmbun t microit icircn [266 167 178] Atacul a fost
publicat independent de Khazaei sup3i Ahmadi [154] Ideea principal a acestor atacuri este
de a face un atac de tip formicro brut pe racircndurile cheii icircn loc de icircntreaga matrice sup3i apoi
de a recupera matricea de decriptare
Icircn [157] Kiele sugereaz utilizarea modurilor de lucru pentru a icircngreuna tehnicile alge-
brice criptanalitice dezvoltate pentru cifrul Hill Vom ar ta icircn aceast secmicroiune cum s
adapt m atacurile descrise icircn [42 266 154] la diferite moduri de operare atacirct pentru
cifrul Hill cacirct sup3i pentru versiunea sa an Remicroinemicroi c unele moduri de lucru nu necesit
ca cheia s e inversabil astfel c atacul prezentat icircn [167] nu funcmicroioneaz pentru toate
modurile de lucru bazate pe Hill Pentru uniformitate vom extinde doar atacul lui Yum
sup3i Lee sup3i vom studia icircn viitor extinderea [167] la moduri care necesit matrici inversabile
Subliniem c dintre cele trei atacuri [42 266 154] atacul lui Yum sup3i Lee are cel mai bun
raport de performanmicro per recuperarea mesajelor
O alt lucrare care a motivat acest studiu este [41] Autorii [41] presupun c cea de-a
patra criptogram a sculpturii Kryptos [9] este e criptat utilizacircnd cifrul Hill an e un
mod de operare al cifrului Oferim cititorului un studiu preliminar al acestor presupuneri
Pentru a dovedi sau respinge aceste presupuneri trebuie s g sim o modalitate de a
adapta toate atacurile ce utilizeaz text cifrat prezentate la versiunile cu codicare secret
ale cifrului Hill (an) sup3i a modurilor lor de lucru corespunz toare Diverse r spunsuri
parmicroiale pentru versiunea cu codicare secret a cifrului Hill sunt furnizate icircn [266]
1ie dup ce un num r de mesaje cunoscute sunt criptate se pot recupera cu usup3urinmicro cheile decriptare dac atacatorul are acces la textele cifrat corespunz toare
2Atacul lui Bauer sup3i Millward pentru k ldquo 3 a fost descris anterior online sup3i icircn mod independent deWutka [257]
Criptograe cu Chei Simetrice 9
22 Familia de Cifruri Flux Grain
Familia de cifruri ux Grain const din patru instanmicroieri Grain v0 [140] Grain v1 [141]
Grain-128 [139] sup3i Grain-128a [211] Grain v1 este un nalist al portofoliului hardware
eSTREAM [4] o competimicroie pentru alegerea cifrurilor ux sigure sup3i eciente atacirct pentru
hardware cacirct sup3i pentru software
Designul familiei de cifruri ux Grain include un LFSR Icircnc rcarea LFSR-ului const
dintr-un vector de inimicroializare (IV) sup3i un anumit sup3ir de bimicroi P al c rui lungime sup3i structur
depinde de versiunea cifrului Urmacircnd terminologia utilizat icircn [39] consider m c IV-
ul este concatenat cu P Astfel icircn toat aceast secmicroiune folosim termenul de padding
pentru a indica P Remicroinemicroi c Grain v1 sup3i Grain-128 folosesc un padding periodic sup3i
Grain-128a utilizeaz un padding aperiodic
Icircn ultimul deceniu o serie de atacuri icircmpotriva tehnicilor de padding a familiei Grain au
ap rut icircn literatura de specialitate [38 39 64 162] Icircn lumina acestor atacuri propunem
prima analiz de securitate3 a schemelor de padding generice pentru cifrurile Grain icircn
cazurile periodic precum sup3i aperiodic
Icircn acest context problemele care apar sunt stracircns legate de impactul asupra securit microii
a diferimicroilor parametri ai paddingului cum ar pozimicroia sup3i structura blocului de padding
Mai mult icircn cadrul studiului nostru lu m icircn considerare atacirct blocurile de padding com-
pacte cacirct sup3i fragmentate Ne referim la schemele originale de padding ale cifrurilor Grain
ca ind compacte (ie se folosesup3te un singur bloc de padding) Consider m ca padding
fragmentat un bloc de padding divizat icircn blocuri mai mici de lungime egal 4
Examinacircnd structura paddingului sup3i analizacircnd versiunile sale compacte sup3i mai ales frag-
mentate studiem de fapt conceptul de a extinde durata de viamicroa a cheii Acesta din urm
ar putea realizat prin introducerea unui padding variabil icircn funcmicroie de constracircngerile
adecvate Prin urmare icircntrebarea general care apare este urm toarea ce trebuie icircnc r-
cat icircn LFSR-urile cifrurilor Grain pentru a obmicroine instanmicroieri sigure Remicroinemicroi c studiul
nostru este preliminar luacircnd icircn considerare doar atacurile de tip slide Consider m alte
tipuri de atacuri icircntr-un studiu viitor
Subliniem c g sirea unor atacuri mai bune decacirct cele prezentate deja icircn literatur nu
intr icircn scopul acestei secmicroiuni deoarece obiectivul nostru principal este de a stabili
versiuni personalizate sigure ale cifrului Grain Prin urmare munca noastr nu are nicio
implicamicroie imediat asupra spargerii oricarui cifru din familia Grain Cu toate acestea
observamicroiile noastre devin semnicative e icircn scenariul criptograei de tip lightweight e
3icircmpotriva atacurilor de tip slide4consider m c aceste blocuri mai mici sunt r spacircndite icircntre datele registrului liniar
Criptograe cu Chei Simetrice 10
icircn cazul unui context de securitate icircmbun t microit (de exemplu aplicamicroii guvernamentale
sigure)
Criptograa de tip lightweight se a la intersecmicroia dintre criptograe informatic sup3i in-
ginerie electric Astfel trebuie luate icircn considerare compromisurile icircntre performanmicro
securitate sup3i cost Avacircnd icircn vedere astfel de constracircngeri sup3i faptul c dispozitivele icircncor-
porate funcmicroioneaz icircn medii ostile exist o nevoie tot mai mare de solumicroii de securitate
noi sup3i variate construite icircn principal avacircnd icircn vedere actuala tendinmicro computamicroional
Icircntrucacirct familia Grain se a tocmai icircn categoria primitivelor de tip lightweight credem
c studiul prezentat icircn secmicroiunea curent este de interes pentru industrie sup3i icircn special
pentru organizamicroiile guvernamentale
23 Stucturi Substitumicroie-Permutare Bazate pe Cvasigrupuri
Icircn forma sa de baz criptanaliza diferenmicroial [55] prezice modul icircn care anumite modi-
c ri ale textului se propag printr-un cifru Cacircnd se considerar un cifru ideal probabil-
itatea de a prezice aceste modic ri este 12n unde n este num rul de bimicroi al datelor de
intrare Astfel icircn cazul ideal este imposibil ca un atacator s foloseasc aceste predicmicroii
atunci cacircnd n este de exemplu 128 Din p cate proiectanmicroii folosesc estim ri teoretice
bazate pe anumite ipoteze care nu sunt icircntotdeauna valabile icircn practic Prin urmare
criptanaliza diferenmicroial este adesea cel mai ecient instrument icircmpotriva algoritmilor
criptograci cu cheie simetric [188]
Cvasigrupurile sunt structuri asem n toare grupurilor care spre deosebire de grupuri nu
trebuie s e asociative sup3i s posede un element identitate Utilizarea cvasigrupurilor ca
elemente de baz pentru primitive criptograce nu este foarte obisup3nuit Totusup3i diverse
astfel de criptosisteme pot g site icircn literatura [164 117 116 35 90 160]
Icircn aceast subsecmicroiune introducem o generalizare a structurilor substitumicroie-permutare
(SPN) sup3i studiem securitatea acesteia Prin icircnlocuirea operamicroiei de grup lsaquo icircntre cheii
sup3i texte (intermediare) cu o operamicroie de cvasigrup b am urm rit extinderea utiliz rii
cvasigrupurilor Din p cate utilizacircnd criptanaliza diferenmicroial demonstr m c icircn cazul
cvasigrupurilor izotope cu un grup5 problema atac rii unui SPN folosind b se reduce la
atacarea unui SPN folosind lsaquo sup3i o tabel de substitumicroie (s-box) diferit de cea inimicroial
Astfel dac inimicroializ m SPN-ul cu un s-box secret aleator icircnlocuirea lsaquo cu b nu aduce
nici o securitate suplimentar 6 Icircn cazul s-box-urilor statice schimbarea lsaquo cu b poate
afecta chiar securitatea SPN-ului5Aceasta este cea mai popular metod de generare a cvasigrupurilor6ie obmicroinem pur sup3i simplu o alt instanmicro a SPN
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Prefamicro 3
325 descriem un protocol de autenticare de tip lightweight discut m securitatea sup3i
complexitatea acestuia sup3i prezent m o serie de implement ri optimizate care apar din
mici variamicroii ale protocolului propus Icircn Secmicroiunea 326 subliniem posibile viitoarele di-
recmicroii de lucru A treia parte a acestui capitol conmicroine o semn tur digital inspirat de
paradigma UZK a lui Maurer Nomicroiunile preliminare necesare sunt prezentate icircn Secmicroi-
unea 331 iar detaliile exacte ale semn turii UDS sunt furnizate icircn Secmicroiunea 332
O aplicamicroie pentru semn tura UDS este prezentat icircn a patra parte a acestui capitol
Mai precis dup introducerea nomicroiunilor preliminare icircn Secmicroiunea 341 introducem icircn
Secmicroiunea 342 un protocol de co-semn tur bazat pe protocolul introdus de Ferradi
et al Discut m cacircteva probleme deschise icircn Secmicroiunea 343 Dou criptosisteme cu
cheie public sunt prezentate icircn partea a cincea icircn Secmicroiunea 351 introducem denimicroi-
ile presupunerile de securitate sup3i criptosistemele utilizate icircn aceast secmicroiune Mai icircntacirci
introducem icircn Secmicroiunea 352 o modicare a schemei de criptare ElGamal generalizat
care va utilizat icircntr-un capitol ulterior Apoi inspiramicroi de schema Joye-Libert PKE
sup3i dorind s obmicroinem o generalizare relevant icircn Secmicroiunea 353 propunem un nou crip-
tosistem bazat pe reziduuri de ordin 2k demonstr m c protocolul este sigur icircn modelul
standard sup3i analiz m performanmicroa acestuia icircn comparamicroie cu alte criptosisteme icircnrudite
Posibile direcmicroii de cercetare sunt prezentate icircn Secmicroiunea 3535 sup3i icircn Anexa H prezen-
t m cacircmicroiva algoritmi de decriptare optimizamicroi pentru schema propus Ultima parte a
acestui capitol ofer cititorului o aplicamicroie a schemei noastre bazate pe criptosistemul
Joye-Libert la autenticarea biometric Astfel denimicroiile sup3i presupunerile de securitate
sunt prezentate icircn Secmicroiunea 361 iar protocolul nostru de autenticare propus este
descris icircn Secmicroiunea 362
Cacircteva rezultate utile pentru icircntelegerea securit microii criptosistemului bazat pe identitate
introdus de Cocks sup3i a anumitor variamicroii ale acestuia sunt furnizate icircn Capitolul 4 Nomicroiu-
nile de baz sup3i schema Cocks sunt prezentate icircn prima parte a capitolului A doua parte
consider mulmicroimi de forma a ` X ldquo tpa ` xq mod n | x P Xu unde n este un num r
prim sau produsul a dou numere prime n ldquo pq sup3i X este o submulmicroime a lui Z˚n ale
c rei elemente au un anumit simbol Jacobi modulo factorii primi ai lui n A treia parte
a capitolului conmicroine dou aplicamicroii ale rezultatelor menmicroionate anterior Prima ofer o
analiz detalizat a unor distribumicroii legate de criptosistemul IBE introdus de Cocks sup3i a
testului Galbraith oferind astfel o analiz riguroas a testul Galbraith A doua aplicamicroie
discutat se refer la indistingibilitatea computamicroional a unor distribumicroii utilizate pen-
tru a demonstra securitatea unor variante ale IBE-ului Cocks Am reusup3it s demonstr m
indistingibilitatea statistic a acestor distribumicroii f r nici o presupunere de securitate
Capitolul se icircncheie cu Secmicroiunea 44
Prefamicro 4
O metod neconvenmicroional pentru a insera backdoor-uri icircn sistemele criptograce este
studiat icircn Capitolul 5 Nomicroiunile de baz despre atacurile cleptograce sunt prezen-
tate icircn Secmicroiunea 51 Icircn prima parte a acestui capitol este descris un atac cleptograc
partajat care poate implementat icircn semn tura digital ElGamal generalizat Astfel
icircn Secmicroiunea 521 descriem un atac simplicat asupra semn turii ElGamal generalizat
sup3i apoi acest rezultat icircl extindem icircn Secmicroiunea 522 O serie de semn turi digitale care
permit implementarea atacului nostru sunt furnizate icircn Secmicroiunea 523 Cacircteva direcmicroii
de cercetare sunt prezentate icircn Secmicroiunea 524 sup3i un protocol malimicroios de co-semn tur
este descris icircn Anexa I O serie de mecanisme cleptograce adimicroionale sunt prezentate icircn
Anexa J O metod de infectare a protocolului UZK este studiat icircn a doua parte a aces-
tui capitol Icircn Secmicroiunile 531 sup3i 532 prezent m o serie de metode cleptograce generice
si demonstr m c acestea sunt sigure Instanmicroieri ale atacurilor propuse pot reg site icircn
Secmicroiunea 533 Cacircteva posibile direcmicroii de cercetare sunt prezentate icircn Secmicroiunea 534
Icircn a treia parte introducem un model de marketing potrivit pentru vacircnzarea dispozi-
tivelor infectate Astfel o serie de nomicroiuni preliminarii sunt descrise icircn Secmicroiunea 541
Pe baza algoritmului de criptare ElGamal o serie de abonamente cleptograce care se
potrivesc diferitelor scenarii sunt furnizate icircn Secmicroiunile 542 la 544 Discut m cacircteva
probleme deschise icircn Secmicroiunea 545 Canalele hash sunt abordate icircn ultima parte a
capitolului Prin adaptarea sup3i icircmbun t microirea mecanismului introdus de Wu introducem
o serie de noi canale hash icircn Secmicroiunea 551 O serie de rezultate experimentale sunt
prezentate icircn Secmicroiunea 552 iar cacircteva aplicamicroii sunt furnizate icircn Secmicroiunea 553
Icircn Capitolul 6 studiem generatoarele de numere (pseudo-)aleatoare Prima parte a capi-
tolului trateaz o vulnerabilitate a generatorul de numere pseudo-aleatoare utilizat de
c tre Adobe Flash Player 1 pentru constant blinding Introducem nomicroiunile preliminare
necesare icircn Secmicroiunea 611 Mecanismului nostru de recuperare a seed-ului se regasesup3te
icircn Secmicroiunile 612 sup3i 613 Mai precis aceste dou subcapitole conmicroin o serie de algo-
ritmi utilizamicroi pentru a inversa o versiune generalizat a funcmicroiei hash utilizat icircn cadrul
Flash Player Rezultatele experimentale sunt prezentate icircn Secmicroiunea 614 Algoritmii
auxiliari pot reg simicroi icircn Anexa K A doua parte conmicroine o arhitectur care poate
utilizat pentru a implementa teste de health pentru generatoarele de numere aleatoare
Denimicroiile sup3i nomicroiunile preliminare sunt prezentate icircn Secmicroiunea 621 Dou clase de ltre
digitale care amplic bias-urile deja existente sunt descrise icircn Secmicroiunile 622 sup3i 623
Unele aplicamicroii posibile sunt prezentate icircn Secmicroiunea 624 Icircn Secmicroiunea 625 utiliz m
arhitectura propus pentru surse de zgomot de tip Bernoulli sup3i prezent m cacircteva rezul-
tate experimentale Modelul teoretic este furnizat icircn Secmicroiunea 626 Unele m sur tori
mai ne sunt furnizate icircn Secmicroiunea 627 Icircn Secmicroiunea 628 propunem unele posibile
direcmicroii de cercetare1versiunile 2400221 sup3i anterioare
Prefamicro 5
Capitolul 7 conmicroine mai multe protocoale care se icircncadreaz icircn categoria criptograei
recreamicroionale Astfel icircn Secmicroiunea 71 descriem diferite protocoale care vizeaz rezolvarea
problemei milionarilor introdus de Yao sup3i furniz m cititorului analizele de securitate
corespunz toare Icircn Secmicroiunea 72 prezent m un set de protocoale care furnizeaz o
solumicroie pentru compararea informamicroiilor f r a le dezv lui sup3i discut m securitatea acestora
Icircn Secmicroiunea 73 descriem un criptosistem cu cheie public construit prin intermediul
unei scheme electrice sup3i abord m securitatea acestuia Icircn Anexa L amintim diverse
solumicroii criptograce recreamicroionale care au ap rut icircn literatur de specialitate icircn timp ce
icircn Anexa M prezent m un protocol generic de criptare cu cheii publice care utilizeaz
diferite sisteme zice Protocolul introdus este util pentru prezentarea icircn cadrul orelor
de curs a diferitelor propriet microi inerente acestor sisteme zice
12 Articole Publicate
[P1] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[P2] Diana Maimumicro and George Tesup3eleanu Secretly Embedding Trapdoors into Contract
Signing Protocols In SECITC 2017 volume 10543 of Lecture Notes in Computer
Science pages 166186 Springer 2017
[P3] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[P4] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[P5] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[P6] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[P7] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Sci-
ence pages 401414 Springer 2017
Prefamicro 6
[P8] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[P9] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[P10] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[P11] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[P12] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of
Communications in Computer and Information Science pages 149165 Springer
2019
[P13] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[P14] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
[P15] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[P16] Ferucio Laurentiu Tiplea Sorin Iftene George tese and Anca-Maria Nica On the
Distribution of Quadratic Residues and Non-residues Modulo Composite Integers
and Applications to Cryptography Appl Math Comput 372 2020
[P17] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
Capitolul 2
Criptograe cu Chei Simetrice
Cea mai simpl sup3i de asemenea cea mai comun metod pentru protejarea condenmicroial-
it microii mesajelor sau pentru autenticarea unei informamicroii este utilizarea unei chei secrete
comun icircntre expeditor sup3i receptor Aceasta metod se numesup3te criptograe cu cheie
secret simetric Icircn acest scenariu ambii participanmicroi utilizeaz funcmicroii dependente de
aceeasup3i cheie predeterminat De obicei cheia comun este generat aleatoriu
Se presupune c algoritmii cu cheii simetrice icircsup3i p streaz propriet microile de securitate
atacircta timp cacirct adversarii nu pot deduce cheia utilizat Acest lucru poate icircnsemna trei
lucruri e cheia este p strat icircn mod sigur de c tre utilizatorii care o folosesc e cheia
este sucient de mare pentru a evita atacurile de tip formicro brut sau algoritmul este
singur din punct de vedere informamicroional Icircn acest capitol ne vom ocupa de dou dintre
aspectele menmicroionate anterior Mai precis vom ar ta cum cifrul Hill (an) sup3i modurile
lor corespunz toare de lucru ofer atacatorului informamicroii critice prin intermediul textul
cifrat Apoi vom descrie o metod pentru extinderea duratei de viamicro a instanmicroierilor
cifrului ux Grain prin cresup3terea complexit microii corespunz toare atacurilor de tip formicro
brut Icircn ultima parte prezent m cititorului instanmicroieri echivalente ale structurilor de
tip substitumicroie-permutare
21 Cifrul Hill (An)
Dou cifruri clasice bazate pe algebr liniar sunt cifrul Hill [144] sup3i versiunea sa an
[145] Ambele folosesc matrici inversabile modulo a pentru a cifra mesajele unde a este
dimensiunea alfabetului A Primul pas al procesului de criptare este codicarea ec rei
litere din text icircntr-un echivalent numeric Cea mai simpl codicare este a ldquo 0 b ldquo 1
sup3i asup3a mai departe Dup codicare textul este icircmp rmicroit icircn blocuri de dimensiunea k sup3i
7
Criptograe cu Chei Simetrice 8
apoi ecare bloc este icircnmulmicroit cu o matrice inversabil de dimensiune k Icircn cazul an
la rezultat se adun o a doua matrice Dup transformarea ec rui bloc rezultatul este
convertit din nou icircn litere Pentru a descifra mesajele trebuie s efectuamicroi pasup3ii de mai
sus icircn sens invers
Desup3i ambele cifruri sunt vulnerabile la atacuri ce utilizeaz text cunoscut1 atacuri e-
ciente ce utilizeaz numai text cifrat au fost dezvoltate acum doar un deceniu [42] sup3i
numai pentru cifrul Hill cu k mic Remicroinemicroi c pe m sur ce k cresup3te atacurile simple de
tip formicro brut esup3ueaz De exemplu icircn cazul cifrului Hill cu a ldquo 26 avem icircn jur de 217
chei pentru k ldquo 2 240 chei pentru k ldquo 3 sup3i 273 chei pentru k ldquo 4 [42] Conform [201 43]
dat ind a sup3i k se poate calcula num rul exact de matrici inversabile Menmicroion m c icircn
cazul cifrului Hill an efortul de calcul f cut pentru atacurile de tip formicroa brut icircmpotriva
cifrul Hill este icircnmulmicroit cu ak
Icircn 2007 Bauer sup3i Millward [42] au introdus un atac ce utilizeaz doar text cifrat pentru
a ataca cifrul Hill2 atac ce a fost ulterior icircmbun t microit icircn [266 167 178] Atacul a fost
publicat independent de Khazaei sup3i Ahmadi [154] Ideea principal a acestor atacuri este
de a face un atac de tip formicro brut pe racircndurile cheii icircn loc de icircntreaga matrice sup3i apoi
de a recupera matricea de decriptare
Icircn [157] Kiele sugereaz utilizarea modurilor de lucru pentru a icircngreuna tehnicile alge-
brice criptanalitice dezvoltate pentru cifrul Hill Vom ar ta icircn aceast secmicroiune cum s
adapt m atacurile descrise icircn [42 266 154] la diferite moduri de operare atacirct pentru
cifrul Hill cacirct sup3i pentru versiunea sa an Remicroinemicroi c unele moduri de lucru nu necesit
ca cheia s e inversabil astfel c atacul prezentat icircn [167] nu funcmicroioneaz pentru toate
modurile de lucru bazate pe Hill Pentru uniformitate vom extinde doar atacul lui Yum
sup3i Lee sup3i vom studia icircn viitor extinderea [167] la moduri care necesit matrici inversabile
Subliniem c dintre cele trei atacuri [42 266 154] atacul lui Yum sup3i Lee are cel mai bun
raport de performanmicro per recuperarea mesajelor
O alt lucrare care a motivat acest studiu este [41] Autorii [41] presupun c cea de-a
patra criptogram a sculpturii Kryptos [9] este e criptat utilizacircnd cifrul Hill an e un
mod de operare al cifrului Oferim cititorului un studiu preliminar al acestor presupuneri
Pentru a dovedi sau respinge aceste presupuneri trebuie s g sim o modalitate de a
adapta toate atacurile ce utilizeaz text cifrat prezentate la versiunile cu codicare secret
ale cifrului Hill (an) sup3i a modurilor lor de lucru corespunz toare Diverse r spunsuri
parmicroiale pentru versiunea cu codicare secret a cifrului Hill sunt furnizate icircn [266]
1ie dup ce un num r de mesaje cunoscute sunt criptate se pot recupera cu usup3urinmicro cheile decriptare dac atacatorul are acces la textele cifrat corespunz toare
2Atacul lui Bauer sup3i Millward pentru k ldquo 3 a fost descris anterior online sup3i icircn mod independent deWutka [257]
Criptograe cu Chei Simetrice 9
22 Familia de Cifruri Flux Grain
Familia de cifruri ux Grain const din patru instanmicroieri Grain v0 [140] Grain v1 [141]
Grain-128 [139] sup3i Grain-128a [211] Grain v1 este un nalist al portofoliului hardware
eSTREAM [4] o competimicroie pentru alegerea cifrurilor ux sigure sup3i eciente atacirct pentru
hardware cacirct sup3i pentru software
Designul familiei de cifruri ux Grain include un LFSR Icircnc rcarea LFSR-ului const
dintr-un vector de inimicroializare (IV) sup3i un anumit sup3ir de bimicroi P al c rui lungime sup3i structur
depinde de versiunea cifrului Urmacircnd terminologia utilizat icircn [39] consider m c IV-
ul este concatenat cu P Astfel icircn toat aceast secmicroiune folosim termenul de padding
pentru a indica P Remicroinemicroi c Grain v1 sup3i Grain-128 folosesc un padding periodic sup3i
Grain-128a utilizeaz un padding aperiodic
Icircn ultimul deceniu o serie de atacuri icircmpotriva tehnicilor de padding a familiei Grain au
ap rut icircn literatura de specialitate [38 39 64 162] Icircn lumina acestor atacuri propunem
prima analiz de securitate3 a schemelor de padding generice pentru cifrurile Grain icircn
cazurile periodic precum sup3i aperiodic
Icircn acest context problemele care apar sunt stracircns legate de impactul asupra securit microii
a diferimicroilor parametri ai paddingului cum ar pozimicroia sup3i structura blocului de padding
Mai mult icircn cadrul studiului nostru lu m icircn considerare atacirct blocurile de padding com-
pacte cacirct sup3i fragmentate Ne referim la schemele originale de padding ale cifrurilor Grain
ca ind compacte (ie se folosesup3te un singur bloc de padding) Consider m ca padding
fragmentat un bloc de padding divizat icircn blocuri mai mici de lungime egal 4
Examinacircnd structura paddingului sup3i analizacircnd versiunile sale compacte sup3i mai ales frag-
mentate studiem de fapt conceptul de a extinde durata de viamicroa a cheii Acesta din urm
ar putea realizat prin introducerea unui padding variabil icircn funcmicroie de constracircngerile
adecvate Prin urmare icircntrebarea general care apare este urm toarea ce trebuie icircnc r-
cat icircn LFSR-urile cifrurilor Grain pentru a obmicroine instanmicroieri sigure Remicroinemicroi c studiul
nostru este preliminar luacircnd icircn considerare doar atacurile de tip slide Consider m alte
tipuri de atacuri icircntr-un studiu viitor
Subliniem c g sirea unor atacuri mai bune decacirct cele prezentate deja icircn literatur nu
intr icircn scopul acestei secmicroiuni deoarece obiectivul nostru principal este de a stabili
versiuni personalizate sigure ale cifrului Grain Prin urmare munca noastr nu are nicio
implicamicroie imediat asupra spargerii oricarui cifru din familia Grain Cu toate acestea
observamicroiile noastre devin semnicative e icircn scenariul criptograei de tip lightweight e
3icircmpotriva atacurilor de tip slide4consider m c aceste blocuri mai mici sunt r spacircndite icircntre datele registrului liniar
Criptograe cu Chei Simetrice 10
icircn cazul unui context de securitate icircmbun t microit (de exemplu aplicamicroii guvernamentale
sigure)
Criptograa de tip lightweight se a la intersecmicroia dintre criptograe informatic sup3i in-
ginerie electric Astfel trebuie luate icircn considerare compromisurile icircntre performanmicro
securitate sup3i cost Avacircnd icircn vedere astfel de constracircngeri sup3i faptul c dispozitivele icircncor-
porate funcmicroioneaz icircn medii ostile exist o nevoie tot mai mare de solumicroii de securitate
noi sup3i variate construite icircn principal avacircnd icircn vedere actuala tendinmicro computamicroional
Icircntrucacirct familia Grain se a tocmai icircn categoria primitivelor de tip lightweight credem
c studiul prezentat icircn secmicroiunea curent este de interes pentru industrie sup3i icircn special
pentru organizamicroiile guvernamentale
23 Stucturi Substitumicroie-Permutare Bazate pe Cvasigrupuri
Icircn forma sa de baz criptanaliza diferenmicroial [55] prezice modul icircn care anumite modi-
c ri ale textului se propag printr-un cifru Cacircnd se considerar un cifru ideal probabil-
itatea de a prezice aceste modic ri este 12n unde n este num rul de bimicroi al datelor de
intrare Astfel icircn cazul ideal este imposibil ca un atacator s foloseasc aceste predicmicroii
atunci cacircnd n este de exemplu 128 Din p cate proiectanmicroii folosesc estim ri teoretice
bazate pe anumite ipoteze care nu sunt icircntotdeauna valabile icircn practic Prin urmare
criptanaliza diferenmicroial este adesea cel mai ecient instrument icircmpotriva algoritmilor
criptograci cu cheie simetric [188]
Cvasigrupurile sunt structuri asem n toare grupurilor care spre deosebire de grupuri nu
trebuie s e asociative sup3i s posede un element identitate Utilizarea cvasigrupurilor ca
elemente de baz pentru primitive criptograce nu este foarte obisup3nuit Totusup3i diverse
astfel de criptosisteme pot g site icircn literatura [164 117 116 35 90 160]
Icircn aceast subsecmicroiune introducem o generalizare a structurilor substitumicroie-permutare
(SPN) sup3i studiem securitatea acesteia Prin icircnlocuirea operamicroiei de grup lsaquo icircntre cheii
sup3i texte (intermediare) cu o operamicroie de cvasigrup b am urm rit extinderea utiliz rii
cvasigrupurilor Din p cate utilizacircnd criptanaliza diferenmicroial demonstr m c icircn cazul
cvasigrupurilor izotope cu un grup5 problema atac rii unui SPN folosind b se reduce la
atacarea unui SPN folosind lsaquo sup3i o tabel de substitumicroie (s-box) diferit de cea inimicroial
Astfel dac inimicroializ m SPN-ul cu un s-box secret aleator icircnlocuirea lsaquo cu b nu aduce
nici o securitate suplimentar 6 Icircn cazul s-box-urilor statice schimbarea lsaquo cu b poate
afecta chiar securitatea SPN-ului5Aceasta este cea mai popular metod de generare a cvasigrupurilor6ie obmicroinem pur sup3i simplu o alt instanmicro a SPN
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Prefamicro 4
O metod neconvenmicroional pentru a insera backdoor-uri icircn sistemele criptograce este
studiat icircn Capitolul 5 Nomicroiunile de baz despre atacurile cleptograce sunt prezen-
tate icircn Secmicroiunea 51 Icircn prima parte a acestui capitol este descris un atac cleptograc
partajat care poate implementat icircn semn tura digital ElGamal generalizat Astfel
icircn Secmicroiunea 521 descriem un atac simplicat asupra semn turii ElGamal generalizat
sup3i apoi acest rezultat icircl extindem icircn Secmicroiunea 522 O serie de semn turi digitale care
permit implementarea atacului nostru sunt furnizate icircn Secmicroiunea 523 Cacircteva direcmicroii
de cercetare sunt prezentate icircn Secmicroiunea 524 sup3i un protocol malimicroios de co-semn tur
este descris icircn Anexa I O serie de mecanisme cleptograce adimicroionale sunt prezentate icircn
Anexa J O metod de infectare a protocolului UZK este studiat icircn a doua parte a aces-
tui capitol Icircn Secmicroiunile 531 sup3i 532 prezent m o serie de metode cleptograce generice
si demonstr m c acestea sunt sigure Instanmicroieri ale atacurilor propuse pot reg site icircn
Secmicroiunea 533 Cacircteva posibile direcmicroii de cercetare sunt prezentate icircn Secmicroiunea 534
Icircn a treia parte introducem un model de marketing potrivit pentru vacircnzarea dispozi-
tivelor infectate Astfel o serie de nomicroiuni preliminarii sunt descrise icircn Secmicroiunea 541
Pe baza algoritmului de criptare ElGamal o serie de abonamente cleptograce care se
potrivesc diferitelor scenarii sunt furnizate icircn Secmicroiunile 542 la 544 Discut m cacircteva
probleme deschise icircn Secmicroiunea 545 Canalele hash sunt abordate icircn ultima parte a
capitolului Prin adaptarea sup3i icircmbun t microirea mecanismului introdus de Wu introducem
o serie de noi canale hash icircn Secmicroiunea 551 O serie de rezultate experimentale sunt
prezentate icircn Secmicroiunea 552 iar cacircteva aplicamicroii sunt furnizate icircn Secmicroiunea 553
Icircn Capitolul 6 studiem generatoarele de numere (pseudo-)aleatoare Prima parte a capi-
tolului trateaz o vulnerabilitate a generatorul de numere pseudo-aleatoare utilizat de
c tre Adobe Flash Player 1 pentru constant blinding Introducem nomicroiunile preliminare
necesare icircn Secmicroiunea 611 Mecanismului nostru de recuperare a seed-ului se regasesup3te
icircn Secmicroiunile 612 sup3i 613 Mai precis aceste dou subcapitole conmicroin o serie de algo-
ritmi utilizamicroi pentru a inversa o versiune generalizat a funcmicroiei hash utilizat icircn cadrul
Flash Player Rezultatele experimentale sunt prezentate icircn Secmicroiunea 614 Algoritmii
auxiliari pot reg simicroi icircn Anexa K A doua parte conmicroine o arhitectur care poate
utilizat pentru a implementa teste de health pentru generatoarele de numere aleatoare
Denimicroiile sup3i nomicroiunile preliminare sunt prezentate icircn Secmicroiunea 621 Dou clase de ltre
digitale care amplic bias-urile deja existente sunt descrise icircn Secmicroiunile 622 sup3i 623
Unele aplicamicroii posibile sunt prezentate icircn Secmicroiunea 624 Icircn Secmicroiunea 625 utiliz m
arhitectura propus pentru surse de zgomot de tip Bernoulli sup3i prezent m cacircteva rezul-
tate experimentale Modelul teoretic este furnizat icircn Secmicroiunea 626 Unele m sur tori
mai ne sunt furnizate icircn Secmicroiunea 627 Icircn Secmicroiunea 628 propunem unele posibile
direcmicroii de cercetare1versiunile 2400221 sup3i anterioare
Prefamicro 5
Capitolul 7 conmicroine mai multe protocoale care se icircncadreaz icircn categoria criptograei
recreamicroionale Astfel icircn Secmicroiunea 71 descriem diferite protocoale care vizeaz rezolvarea
problemei milionarilor introdus de Yao sup3i furniz m cititorului analizele de securitate
corespunz toare Icircn Secmicroiunea 72 prezent m un set de protocoale care furnizeaz o
solumicroie pentru compararea informamicroiilor f r a le dezv lui sup3i discut m securitatea acestora
Icircn Secmicroiunea 73 descriem un criptosistem cu cheie public construit prin intermediul
unei scheme electrice sup3i abord m securitatea acestuia Icircn Anexa L amintim diverse
solumicroii criptograce recreamicroionale care au ap rut icircn literatur de specialitate icircn timp ce
icircn Anexa M prezent m un protocol generic de criptare cu cheii publice care utilizeaz
diferite sisteme zice Protocolul introdus este util pentru prezentarea icircn cadrul orelor
de curs a diferitelor propriet microi inerente acestor sisteme zice
12 Articole Publicate
[P1] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[P2] Diana Maimumicro and George Tesup3eleanu Secretly Embedding Trapdoors into Contract
Signing Protocols In SECITC 2017 volume 10543 of Lecture Notes in Computer
Science pages 166186 Springer 2017
[P3] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[P4] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[P5] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[P6] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[P7] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Sci-
ence pages 401414 Springer 2017
Prefamicro 6
[P8] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[P9] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[P10] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[P11] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[P12] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of
Communications in Computer and Information Science pages 149165 Springer
2019
[P13] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[P14] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
[P15] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[P16] Ferucio Laurentiu Tiplea Sorin Iftene George tese and Anca-Maria Nica On the
Distribution of Quadratic Residues and Non-residues Modulo Composite Integers
and Applications to Cryptography Appl Math Comput 372 2020
[P17] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
Capitolul 2
Criptograe cu Chei Simetrice
Cea mai simpl sup3i de asemenea cea mai comun metod pentru protejarea condenmicroial-
it microii mesajelor sau pentru autenticarea unei informamicroii este utilizarea unei chei secrete
comun icircntre expeditor sup3i receptor Aceasta metod se numesup3te criptograe cu cheie
secret simetric Icircn acest scenariu ambii participanmicroi utilizeaz funcmicroii dependente de
aceeasup3i cheie predeterminat De obicei cheia comun este generat aleatoriu
Se presupune c algoritmii cu cheii simetrice icircsup3i p streaz propriet microile de securitate
atacircta timp cacirct adversarii nu pot deduce cheia utilizat Acest lucru poate icircnsemna trei
lucruri e cheia este p strat icircn mod sigur de c tre utilizatorii care o folosesc e cheia
este sucient de mare pentru a evita atacurile de tip formicro brut sau algoritmul este
singur din punct de vedere informamicroional Icircn acest capitol ne vom ocupa de dou dintre
aspectele menmicroionate anterior Mai precis vom ar ta cum cifrul Hill (an) sup3i modurile
lor corespunz toare de lucru ofer atacatorului informamicroii critice prin intermediul textul
cifrat Apoi vom descrie o metod pentru extinderea duratei de viamicro a instanmicroierilor
cifrului ux Grain prin cresup3terea complexit microii corespunz toare atacurilor de tip formicro
brut Icircn ultima parte prezent m cititorului instanmicroieri echivalente ale structurilor de
tip substitumicroie-permutare
21 Cifrul Hill (An)
Dou cifruri clasice bazate pe algebr liniar sunt cifrul Hill [144] sup3i versiunea sa an
[145] Ambele folosesc matrici inversabile modulo a pentru a cifra mesajele unde a este
dimensiunea alfabetului A Primul pas al procesului de criptare este codicarea ec rei
litere din text icircntr-un echivalent numeric Cea mai simpl codicare este a ldquo 0 b ldquo 1
sup3i asup3a mai departe Dup codicare textul este icircmp rmicroit icircn blocuri de dimensiunea k sup3i
7
Criptograe cu Chei Simetrice 8
apoi ecare bloc este icircnmulmicroit cu o matrice inversabil de dimensiune k Icircn cazul an
la rezultat se adun o a doua matrice Dup transformarea ec rui bloc rezultatul este
convertit din nou icircn litere Pentru a descifra mesajele trebuie s efectuamicroi pasup3ii de mai
sus icircn sens invers
Desup3i ambele cifruri sunt vulnerabile la atacuri ce utilizeaz text cunoscut1 atacuri e-
ciente ce utilizeaz numai text cifrat au fost dezvoltate acum doar un deceniu [42] sup3i
numai pentru cifrul Hill cu k mic Remicroinemicroi c pe m sur ce k cresup3te atacurile simple de
tip formicro brut esup3ueaz De exemplu icircn cazul cifrului Hill cu a ldquo 26 avem icircn jur de 217
chei pentru k ldquo 2 240 chei pentru k ldquo 3 sup3i 273 chei pentru k ldquo 4 [42] Conform [201 43]
dat ind a sup3i k se poate calcula num rul exact de matrici inversabile Menmicroion m c icircn
cazul cifrului Hill an efortul de calcul f cut pentru atacurile de tip formicroa brut icircmpotriva
cifrul Hill este icircnmulmicroit cu ak
Icircn 2007 Bauer sup3i Millward [42] au introdus un atac ce utilizeaz doar text cifrat pentru
a ataca cifrul Hill2 atac ce a fost ulterior icircmbun t microit icircn [266 167 178] Atacul a fost
publicat independent de Khazaei sup3i Ahmadi [154] Ideea principal a acestor atacuri este
de a face un atac de tip formicro brut pe racircndurile cheii icircn loc de icircntreaga matrice sup3i apoi
de a recupera matricea de decriptare
Icircn [157] Kiele sugereaz utilizarea modurilor de lucru pentru a icircngreuna tehnicile alge-
brice criptanalitice dezvoltate pentru cifrul Hill Vom ar ta icircn aceast secmicroiune cum s
adapt m atacurile descrise icircn [42 266 154] la diferite moduri de operare atacirct pentru
cifrul Hill cacirct sup3i pentru versiunea sa an Remicroinemicroi c unele moduri de lucru nu necesit
ca cheia s e inversabil astfel c atacul prezentat icircn [167] nu funcmicroioneaz pentru toate
modurile de lucru bazate pe Hill Pentru uniformitate vom extinde doar atacul lui Yum
sup3i Lee sup3i vom studia icircn viitor extinderea [167] la moduri care necesit matrici inversabile
Subliniem c dintre cele trei atacuri [42 266 154] atacul lui Yum sup3i Lee are cel mai bun
raport de performanmicro per recuperarea mesajelor
O alt lucrare care a motivat acest studiu este [41] Autorii [41] presupun c cea de-a
patra criptogram a sculpturii Kryptos [9] este e criptat utilizacircnd cifrul Hill an e un
mod de operare al cifrului Oferim cititorului un studiu preliminar al acestor presupuneri
Pentru a dovedi sau respinge aceste presupuneri trebuie s g sim o modalitate de a
adapta toate atacurile ce utilizeaz text cifrat prezentate la versiunile cu codicare secret
ale cifrului Hill (an) sup3i a modurilor lor de lucru corespunz toare Diverse r spunsuri
parmicroiale pentru versiunea cu codicare secret a cifrului Hill sunt furnizate icircn [266]
1ie dup ce un num r de mesaje cunoscute sunt criptate se pot recupera cu usup3urinmicro cheile decriptare dac atacatorul are acces la textele cifrat corespunz toare
2Atacul lui Bauer sup3i Millward pentru k ldquo 3 a fost descris anterior online sup3i icircn mod independent deWutka [257]
Criptograe cu Chei Simetrice 9
22 Familia de Cifruri Flux Grain
Familia de cifruri ux Grain const din patru instanmicroieri Grain v0 [140] Grain v1 [141]
Grain-128 [139] sup3i Grain-128a [211] Grain v1 este un nalist al portofoliului hardware
eSTREAM [4] o competimicroie pentru alegerea cifrurilor ux sigure sup3i eciente atacirct pentru
hardware cacirct sup3i pentru software
Designul familiei de cifruri ux Grain include un LFSR Icircnc rcarea LFSR-ului const
dintr-un vector de inimicroializare (IV) sup3i un anumit sup3ir de bimicroi P al c rui lungime sup3i structur
depinde de versiunea cifrului Urmacircnd terminologia utilizat icircn [39] consider m c IV-
ul este concatenat cu P Astfel icircn toat aceast secmicroiune folosim termenul de padding
pentru a indica P Remicroinemicroi c Grain v1 sup3i Grain-128 folosesc un padding periodic sup3i
Grain-128a utilizeaz un padding aperiodic
Icircn ultimul deceniu o serie de atacuri icircmpotriva tehnicilor de padding a familiei Grain au
ap rut icircn literatura de specialitate [38 39 64 162] Icircn lumina acestor atacuri propunem
prima analiz de securitate3 a schemelor de padding generice pentru cifrurile Grain icircn
cazurile periodic precum sup3i aperiodic
Icircn acest context problemele care apar sunt stracircns legate de impactul asupra securit microii
a diferimicroilor parametri ai paddingului cum ar pozimicroia sup3i structura blocului de padding
Mai mult icircn cadrul studiului nostru lu m icircn considerare atacirct blocurile de padding com-
pacte cacirct sup3i fragmentate Ne referim la schemele originale de padding ale cifrurilor Grain
ca ind compacte (ie se folosesup3te un singur bloc de padding) Consider m ca padding
fragmentat un bloc de padding divizat icircn blocuri mai mici de lungime egal 4
Examinacircnd structura paddingului sup3i analizacircnd versiunile sale compacte sup3i mai ales frag-
mentate studiem de fapt conceptul de a extinde durata de viamicroa a cheii Acesta din urm
ar putea realizat prin introducerea unui padding variabil icircn funcmicroie de constracircngerile
adecvate Prin urmare icircntrebarea general care apare este urm toarea ce trebuie icircnc r-
cat icircn LFSR-urile cifrurilor Grain pentru a obmicroine instanmicroieri sigure Remicroinemicroi c studiul
nostru este preliminar luacircnd icircn considerare doar atacurile de tip slide Consider m alte
tipuri de atacuri icircntr-un studiu viitor
Subliniem c g sirea unor atacuri mai bune decacirct cele prezentate deja icircn literatur nu
intr icircn scopul acestei secmicroiuni deoarece obiectivul nostru principal este de a stabili
versiuni personalizate sigure ale cifrului Grain Prin urmare munca noastr nu are nicio
implicamicroie imediat asupra spargerii oricarui cifru din familia Grain Cu toate acestea
observamicroiile noastre devin semnicative e icircn scenariul criptograei de tip lightweight e
3icircmpotriva atacurilor de tip slide4consider m c aceste blocuri mai mici sunt r spacircndite icircntre datele registrului liniar
Criptograe cu Chei Simetrice 10
icircn cazul unui context de securitate icircmbun t microit (de exemplu aplicamicroii guvernamentale
sigure)
Criptograa de tip lightweight se a la intersecmicroia dintre criptograe informatic sup3i in-
ginerie electric Astfel trebuie luate icircn considerare compromisurile icircntre performanmicro
securitate sup3i cost Avacircnd icircn vedere astfel de constracircngeri sup3i faptul c dispozitivele icircncor-
porate funcmicroioneaz icircn medii ostile exist o nevoie tot mai mare de solumicroii de securitate
noi sup3i variate construite icircn principal avacircnd icircn vedere actuala tendinmicro computamicroional
Icircntrucacirct familia Grain se a tocmai icircn categoria primitivelor de tip lightweight credem
c studiul prezentat icircn secmicroiunea curent este de interes pentru industrie sup3i icircn special
pentru organizamicroiile guvernamentale
23 Stucturi Substitumicroie-Permutare Bazate pe Cvasigrupuri
Icircn forma sa de baz criptanaliza diferenmicroial [55] prezice modul icircn care anumite modi-
c ri ale textului se propag printr-un cifru Cacircnd se considerar un cifru ideal probabil-
itatea de a prezice aceste modic ri este 12n unde n este num rul de bimicroi al datelor de
intrare Astfel icircn cazul ideal este imposibil ca un atacator s foloseasc aceste predicmicroii
atunci cacircnd n este de exemplu 128 Din p cate proiectanmicroii folosesc estim ri teoretice
bazate pe anumite ipoteze care nu sunt icircntotdeauna valabile icircn practic Prin urmare
criptanaliza diferenmicroial este adesea cel mai ecient instrument icircmpotriva algoritmilor
criptograci cu cheie simetric [188]
Cvasigrupurile sunt structuri asem n toare grupurilor care spre deosebire de grupuri nu
trebuie s e asociative sup3i s posede un element identitate Utilizarea cvasigrupurilor ca
elemente de baz pentru primitive criptograce nu este foarte obisup3nuit Totusup3i diverse
astfel de criptosisteme pot g site icircn literatura [164 117 116 35 90 160]
Icircn aceast subsecmicroiune introducem o generalizare a structurilor substitumicroie-permutare
(SPN) sup3i studiem securitatea acesteia Prin icircnlocuirea operamicroiei de grup lsaquo icircntre cheii
sup3i texte (intermediare) cu o operamicroie de cvasigrup b am urm rit extinderea utiliz rii
cvasigrupurilor Din p cate utilizacircnd criptanaliza diferenmicroial demonstr m c icircn cazul
cvasigrupurilor izotope cu un grup5 problema atac rii unui SPN folosind b se reduce la
atacarea unui SPN folosind lsaquo sup3i o tabel de substitumicroie (s-box) diferit de cea inimicroial
Astfel dac inimicroializ m SPN-ul cu un s-box secret aleator icircnlocuirea lsaquo cu b nu aduce
nici o securitate suplimentar 6 Icircn cazul s-box-urilor statice schimbarea lsaquo cu b poate
afecta chiar securitatea SPN-ului5Aceasta este cea mai popular metod de generare a cvasigrupurilor6ie obmicroinem pur sup3i simplu o alt instanmicro a SPN
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Prefamicro 5
Capitolul 7 conmicroine mai multe protocoale care se icircncadreaz icircn categoria criptograei
recreamicroionale Astfel icircn Secmicroiunea 71 descriem diferite protocoale care vizeaz rezolvarea
problemei milionarilor introdus de Yao sup3i furniz m cititorului analizele de securitate
corespunz toare Icircn Secmicroiunea 72 prezent m un set de protocoale care furnizeaz o
solumicroie pentru compararea informamicroiilor f r a le dezv lui sup3i discut m securitatea acestora
Icircn Secmicroiunea 73 descriem un criptosistem cu cheie public construit prin intermediul
unei scheme electrice sup3i abord m securitatea acestuia Icircn Anexa L amintim diverse
solumicroii criptograce recreamicroionale care au ap rut icircn literatur de specialitate icircn timp ce
icircn Anexa M prezent m un protocol generic de criptare cu cheii publice care utilizeaz
diferite sisteme zice Protocolul introdus este util pentru prezentarea icircn cadrul orelor
de curs a diferitelor propriet microi inerente acestor sisteme zice
12 Articole Publicate
[P1] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[P2] Diana Maimumicro and George Tesup3eleanu Secretly Embedding Trapdoors into Contract
Signing Protocols In SECITC 2017 volume 10543 of Lecture Notes in Computer
Science pages 166186 Springer 2017
[P3] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[P4] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[P5] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[P6] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[P7] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Sci-
ence pages 401414 Springer 2017
Prefamicro 6
[P8] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[P9] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[P10] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[P11] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[P12] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of
Communications in Computer and Information Science pages 149165 Springer
2019
[P13] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[P14] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
[P15] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[P16] Ferucio Laurentiu Tiplea Sorin Iftene George tese and Anca-Maria Nica On the
Distribution of Quadratic Residues and Non-residues Modulo Composite Integers
and Applications to Cryptography Appl Math Comput 372 2020
[P17] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
Capitolul 2
Criptograe cu Chei Simetrice
Cea mai simpl sup3i de asemenea cea mai comun metod pentru protejarea condenmicroial-
it microii mesajelor sau pentru autenticarea unei informamicroii este utilizarea unei chei secrete
comun icircntre expeditor sup3i receptor Aceasta metod se numesup3te criptograe cu cheie
secret simetric Icircn acest scenariu ambii participanmicroi utilizeaz funcmicroii dependente de
aceeasup3i cheie predeterminat De obicei cheia comun este generat aleatoriu
Se presupune c algoritmii cu cheii simetrice icircsup3i p streaz propriet microile de securitate
atacircta timp cacirct adversarii nu pot deduce cheia utilizat Acest lucru poate icircnsemna trei
lucruri e cheia este p strat icircn mod sigur de c tre utilizatorii care o folosesc e cheia
este sucient de mare pentru a evita atacurile de tip formicro brut sau algoritmul este
singur din punct de vedere informamicroional Icircn acest capitol ne vom ocupa de dou dintre
aspectele menmicroionate anterior Mai precis vom ar ta cum cifrul Hill (an) sup3i modurile
lor corespunz toare de lucru ofer atacatorului informamicroii critice prin intermediul textul
cifrat Apoi vom descrie o metod pentru extinderea duratei de viamicro a instanmicroierilor
cifrului ux Grain prin cresup3terea complexit microii corespunz toare atacurilor de tip formicro
brut Icircn ultima parte prezent m cititorului instanmicroieri echivalente ale structurilor de
tip substitumicroie-permutare
21 Cifrul Hill (An)
Dou cifruri clasice bazate pe algebr liniar sunt cifrul Hill [144] sup3i versiunea sa an
[145] Ambele folosesc matrici inversabile modulo a pentru a cifra mesajele unde a este
dimensiunea alfabetului A Primul pas al procesului de criptare este codicarea ec rei
litere din text icircntr-un echivalent numeric Cea mai simpl codicare este a ldquo 0 b ldquo 1
sup3i asup3a mai departe Dup codicare textul este icircmp rmicroit icircn blocuri de dimensiunea k sup3i
7
Criptograe cu Chei Simetrice 8
apoi ecare bloc este icircnmulmicroit cu o matrice inversabil de dimensiune k Icircn cazul an
la rezultat se adun o a doua matrice Dup transformarea ec rui bloc rezultatul este
convertit din nou icircn litere Pentru a descifra mesajele trebuie s efectuamicroi pasup3ii de mai
sus icircn sens invers
Desup3i ambele cifruri sunt vulnerabile la atacuri ce utilizeaz text cunoscut1 atacuri e-
ciente ce utilizeaz numai text cifrat au fost dezvoltate acum doar un deceniu [42] sup3i
numai pentru cifrul Hill cu k mic Remicroinemicroi c pe m sur ce k cresup3te atacurile simple de
tip formicro brut esup3ueaz De exemplu icircn cazul cifrului Hill cu a ldquo 26 avem icircn jur de 217
chei pentru k ldquo 2 240 chei pentru k ldquo 3 sup3i 273 chei pentru k ldquo 4 [42] Conform [201 43]
dat ind a sup3i k se poate calcula num rul exact de matrici inversabile Menmicroion m c icircn
cazul cifrului Hill an efortul de calcul f cut pentru atacurile de tip formicroa brut icircmpotriva
cifrul Hill este icircnmulmicroit cu ak
Icircn 2007 Bauer sup3i Millward [42] au introdus un atac ce utilizeaz doar text cifrat pentru
a ataca cifrul Hill2 atac ce a fost ulterior icircmbun t microit icircn [266 167 178] Atacul a fost
publicat independent de Khazaei sup3i Ahmadi [154] Ideea principal a acestor atacuri este
de a face un atac de tip formicro brut pe racircndurile cheii icircn loc de icircntreaga matrice sup3i apoi
de a recupera matricea de decriptare
Icircn [157] Kiele sugereaz utilizarea modurilor de lucru pentru a icircngreuna tehnicile alge-
brice criptanalitice dezvoltate pentru cifrul Hill Vom ar ta icircn aceast secmicroiune cum s
adapt m atacurile descrise icircn [42 266 154] la diferite moduri de operare atacirct pentru
cifrul Hill cacirct sup3i pentru versiunea sa an Remicroinemicroi c unele moduri de lucru nu necesit
ca cheia s e inversabil astfel c atacul prezentat icircn [167] nu funcmicroioneaz pentru toate
modurile de lucru bazate pe Hill Pentru uniformitate vom extinde doar atacul lui Yum
sup3i Lee sup3i vom studia icircn viitor extinderea [167] la moduri care necesit matrici inversabile
Subliniem c dintre cele trei atacuri [42 266 154] atacul lui Yum sup3i Lee are cel mai bun
raport de performanmicro per recuperarea mesajelor
O alt lucrare care a motivat acest studiu este [41] Autorii [41] presupun c cea de-a
patra criptogram a sculpturii Kryptos [9] este e criptat utilizacircnd cifrul Hill an e un
mod de operare al cifrului Oferim cititorului un studiu preliminar al acestor presupuneri
Pentru a dovedi sau respinge aceste presupuneri trebuie s g sim o modalitate de a
adapta toate atacurile ce utilizeaz text cifrat prezentate la versiunile cu codicare secret
ale cifrului Hill (an) sup3i a modurilor lor de lucru corespunz toare Diverse r spunsuri
parmicroiale pentru versiunea cu codicare secret a cifrului Hill sunt furnizate icircn [266]
1ie dup ce un num r de mesaje cunoscute sunt criptate se pot recupera cu usup3urinmicro cheile decriptare dac atacatorul are acces la textele cifrat corespunz toare
2Atacul lui Bauer sup3i Millward pentru k ldquo 3 a fost descris anterior online sup3i icircn mod independent deWutka [257]
Criptograe cu Chei Simetrice 9
22 Familia de Cifruri Flux Grain
Familia de cifruri ux Grain const din patru instanmicroieri Grain v0 [140] Grain v1 [141]
Grain-128 [139] sup3i Grain-128a [211] Grain v1 este un nalist al portofoliului hardware
eSTREAM [4] o competimicroie pentru alegerea cifrurilor ux sigure sup3i eciente atacirct pentru
hardware cacirct sup3i pentru software
Designul familiei de cifruri ux Grain include un LFSR Icircnc rcarea LFSR-ului const
dintr-un vector de inimicroializare (IV) sup3i un anumit sup3ir de bimicroi P al c rui lungime sup3i structur
depinde de versiunea cifrului Urmacircnd terminologia utilizat icircn [39] consider m c IV-
ul este concatenat cu P Astfel icircn toat aceast secmicroiune folosim termenul de padding
pentru a indica P Remicroinemicroi c Grain v1 sup3i Grain-128 folosesc un padding periodic sup3i
Grain-128a utilizeaz un padding aperiodic
Icircn ultimul deceniu o serie de atacuri icircmpotriva tehnicilor de padding a familiei Grain au
ap rut icircn literatura de specialitate [38 39 64 162] Icircn lumina acestor atacuri propunem
prima analiz de securitate3 a schemelor de padding generice pentru cifrurile Grain icircn
cazurile periodic precum sup3i aperiodic
Icircn acest context problemele care apar sunt stracircns legate de impactul asupra securit microii
a diferimicroilor parametri ai paddingului cum ar pozimicroia sup3i structura blocului de padding
Mai mult icircn cadrul studiului nostru lu m icircn considerare atacirct blocurile de padding com-
pacte cacirct sup3i fragmentate Ne referim la schemele originale de padding ale cifrurilor Grain
ca ind compacte (ie se folosesup3te un singur bloc de padding) Consider m ca padding
fragmentat un bloc de padding divizat icircn blocuri mai mici de lungime egal 4
Examinacircnd structura paddingului sup3i analizacircnd versiunile sale compacte sup3i mai ales frag-
mentate studiem de fapt conceptul de a extinde durata de viamicroa a cheii Acesta din urm
ar putea realizat prin introducerea unui padding variabil icircn funcmicroie de constracircngerile
adecvate Prin urmare icircntrebarea general care apare este urm toarea ce trebuie icircnc r-
cat icircn LFSR-urile cifrurilor Grain pentru a obmicroine instanmicroieri sigure Remicroinemicroi c studiul
nostru este preliminar luacircnd icircn considerare doar atacurile de tip slide Consider m alte
tipuri de atacuri icircntr-un studiu viitor
Subliniem c g sirea unor atacuri mai bune decacirct cele prezentate deja icircn literatur nu
intr icircn scopul acestei secmicroiuni deoarece obiectivul nostru principal este de a stabili
versiuni personalizate sigure ale cifrului Grain Prin urmare munca noastr nu are nicio
implicamicroie imediat asupra spargerii oricarui cifru din familia Grain Cu toate acestea
observamicroiile noastre devin semnicative e icircn scenariul criptograei de tip lightweight e
3icircmpotriva atacurilor de tip slide4consider m c aceste blocuri mai mici sunt r spacircndite icircntre datele registrului liniar
Criptograe cu Chei Simetrice 10
icircn cazul unui context de securitate icircmbun t microit (de exemplu aplicamicroii guvernamentale
sigure)
Criptograa de tip lightweight se a la intersecmicroia dintre criptograe informatic sup3i in-
ginerie electric Astfel trebuie luate icircn considerare compromisurile icircntre performanmicro
securitate sup3i cost Avacircnd icircn vedere astfel de constracircngeri sup3i faptul c dispozitivele icircncor-
porate funcmicroioneaz icircn medii ostile exist o nevoie tot mai mare de solumicroii de securitate
noi sup3i variate construite icircn principal avacircnd icircn vedere actuala tendinmicro computamicroional
Icircntrucacirct familia Grain se a tocmai icircn categoria primitivelor de tip lightweight credem
c studiul prezentat icircn secmicroiunea curent este de interes pentru industrie sup3i icircn special
pentru organizamicroiile guvernamentale
23 Stucturi Substitumicroie-Permutare Bazate pe Cvasigrupuri
Icircn forma sa de baz criptanaliza diferenmicroial [55] prezice modul icircn care anumite modi-
c ri ale textului se propag printr-un cifru Cacircnd se considerar un cifru ideal probabil-
itatea de a prezice aceste modic ri este 12n unde n este num rul de bimicroi al datelor de
intrare Astfel icircn cazul ideal este imposibil ca un atacator s foloseasc aceste predicmicroii
atunci cacircnd n este de exemplu 128 Din p cate proiectanmicroii folosesc estim ri teoretice
bazate pe anumite ipoteze care nu sunt icircntotdeauna valabile icircn practic Prin urmare
criptanaliza diferenmicroial este adesea cel mai ecient instrument icircmpotriva algoritmilor
criptograci cu cheie simetric [188]
Cvasigrupurile sunt structuri asem n toare grupurilor care spre deosebire de grupuri nu
trebuie s e asociative sup3i s posede un element identitate Utilizarea cvasigrupurilor ca
elemente de baz pentru primitive criptograce nu este foarte obisup3nuit Totusup3i diverse
astfel de criptosisteme pot g site icircn literatura [164 117 116 35 90 160]
Icircn aceast subsecmicroiune introducem o generalizare a structurilor substitumicroie-permutare
(SPN) sup3i studiem securitatea acesteia Prin icircnlocuirea operamicroiei de grup lsaquo icircntre cheii
sup3i texte (intermediare) cu o operamicroie de cvasigrup b am urm rit extinderea utiliz rii
cvasigrupurilor Din p cate utilizacircnd criptanaliza diferenmicroial demonstr m c icircn cazul
cvasigrupurilor izotope cu un grup5 problema atac rii unui SPN folosind b se reduce la
atacarea unui SPN folosind lsaquo sup3i o tabel de substitumicroie (s-box) diferit de cea inimicroial
Astfel dac inimicroializ m SPN-ul cu un s-box secret aleator icircnlocuirea lsaquo cu b nu aduce
nici o securitate suplimentar 6 Icircn cazul s-box-urilor statice schimbarea lsaquo cu b poate
afecta chiar securitatea SPN-ului5Aceasta este cea mai popular metod de generare a cvasigrupurilor6ie obmicroinem pur sup3i simplu o alt instanmicro a SPN
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Prefamicro 6
[P8] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[P9] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[P10] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[P11] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[P12] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of
Communications in Computer and Information Science pages 149165 Springer
2019
[P13] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[P14] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
[P15] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[P16] Ferucio Laurentiu Tiplea Sorin Iftene George tese and Anca-Maria Nica On the
Distribution of Quadratic Residues and Non-residues Modulo Composite Integers
and Applications to Cryptography Appl Math Comput 372 2020
[P17] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
Capitolul 2
Criptograe cu Chei Simetrice
Cea mai simpl sup3i de asemenea cea mai comun metod pentru protejarea condenmicroial-
it microii mesajelor sau pentru autenticarea unei informamicroii este utilizarea unei chei secrete
comun icircntre expeditor sup3i receptor Aceasta metod se numesup3te criptograe cu cheie
secret simetric Icircn acest scenariu ambii participanmicroi utilizeaz funcmicroii dependente de
aceeasup3i cheie predeterminat De obicei cheia comun este generat aleatoriu
Se presupune c algoritmii cu cheii simetrice icircsup3i p streaz propriet microile de securitate
atacircta timp cacirct adversarii nu pot deduce cheia utilizat Acest lucru poate icircnsemna trei
lucruri e cheia este p strat icircn mod sigur de c tre utilizatorii care o folosesc e cheia
este sucient de mare pentru a evita atacurile de tip formicro brut sau algoritmul este
singur din punct de vedere informamicroional Icircn acest capitol ne vom ocupa de dou dintre
aspectele menmicroionate anterior Mai precis vom ar ta cum cifrul Hill (an) sup3i modurile
lor corespunz toare de lucru ofer atacatorului informamicroii critice prin intermediul textul
cifrat Apoi vom descrie o metod pentru extinderea duratei de viamicro a instanmicroierilor
cifrului ux Grain prin cresup3terea complexit microii corespunz toare atacurilor de tip formicro
brut Icircn ultima parte prezent m cititorului instanmicroieri echivalente ale structurilor de
tip substitumicroie-permutare
21 Cifrul Hill (An)
Dou cifruri clasice bazate pe algebr liniar sunt cifrul Hill [144] sup3i versiunea sa an
[145] Ambele folosesc matrici inversabile modulo a pentru a cifra mesajele unde a este
dimensiunea alfabetului A Primul pas al procesului de criptare este codicarea ec rei
litere din text icircntr-un echivalent numeric Cea mai simpl codicare este a ldquo 0 b ldquo 1
sup3i asup3a mai departe Dup codicare textul este icircmp rmicroit icircn blocuri de dimensiunea k sup3i
7
Criptograe cu Chei Simetrice 8
apoi ecare bloc este icircnmulmicroit cu o matrice inversabil de dimensiune k Icircn cazul an
la rezultat se adun o a doua matrice Dup transformarea ec rui bloc rezultatul este
convertit din nou icircn litere Pentru a descifra mesajele trebuie s efectuamicroi pasup3ii de mai
sus icircn sens invers
Desup3i ambele cifruri sunt vulnerabile la atacuri ce utilizeaz text cunoscut1 atacuri e-
ciente ce utilizeaz numai text cifrat au fost dezvoltate acum doar un deceniu [42] sup3i
numai pentru cifrul Hill cu k mic Remicroinemicroi c pe m sur ce k cresup3te atacurile simple de
tip formicro brut esup3ueaz De exemplu icircn cazul cifrului Hill cu a ldquo 26 avem icircn jur de 217
chei pentru k ldquo 2 240 chei pentru k ldquo 3 sup3i 273 chei pentru k ldquo 4 [42] Conform [201 43]
dat ind a sup3i k se poate calcula num rul exact de matrici inversabile Menmicroion m c icircn
cazul cifrului Hill an efortul de calcul f cut pentru atacurile de tip formicroa brut icircmpotriva
cifrul Hill este icircnmulmicroit cu ak
Icircn 2007 Bauer sup3i Millward [42] au introdus un atac ce utilizeaz doar text cifrat pentru
a ataca cifrul Hill2 atac ce a fost ulterior icircmbun t microit icircn [266 167 178] Atacul a fost
publicat independent de Khazaei sup3i Ahmadi [154] Ideea principal a acestor atacuri este
de a face un atac de tip formicro brut pe racircndurile cheii icircn loc de icircntreaga matrice sup3i apoi
de a recupera matricea de decriptare
Icircn [157] Kiele sugereaz utilizarea modurilor de lucru pentru a icircngreuna tehnicile alge-
brice criptanalitice dezvoltate pentru cifrul Hill Vom ar ta icircn aceast secmicroiune cum s
adapt m atacurile descrise icircn [42 266 154] la diferite moduri de operare atacirct pentru
cifrul Hill cacirct sup3i pentru versiunea sa an Remicroinemicroi c unele moduri de lucru nu necesit
ca cheia s e inversabil astfel c atacul prezentat icircn [167] nu funcmicroioneaz pentru toate
modurile de lucru bazate pe Hill Pentru uniformitate vom extinde doar atacul lui Yum
sup3i Lee sup3i vom studia icircn viitor extinderea [167] la moduri care necesit matrici inversabile
Subliniem c dintre cele trei atacuri [42 266 154] atacul lui Yum sup3i Lee are cel mai bun
raport de performanmicro per recuperarea mesajelor
O alt lucrare care a motivat acest studiu este [41] Autorii [41] presupun c cea de-a
patra criptogram a sculpturii Kryptos [9] este e criptat utilizacircnd cifrul Hill an e un
mod de operare al cifrului Oferim cititorului un studiu preliminar al acestor presupuneri
Pentru a dovedi sau respinge aceste presupuneri trebuie s g sim o modalitate de a
adapta toate atacurile ce utilizeaz text cifrat prezentate la versiunile cu codicare secret
ale cifrului Hill (an) sup3i a modurilor lor de lucru corespunz toare Diverse r spunsuri
parmicroiale pentru versiunea cu codicare secret a cifrului Hill sunt furnizate icircn [266]
1ie dup ce un num r de mesaje cunoscute sunt criptate se pot recupera cu usup3urinmicro cheile decriptare dac atacatorul are acces la textele cifrat corespunz toare
2Atacul lui Bauer sup3i Millward pentru k ldquo 3 a fost descris anterior online sup3i icircn mod independent deWutka [257]
Criptograe cu Chei Simetrice 9
22 Familia de Cifruri Flux Grain
Familia de cifruri ux Grain const din patru instanmicroieri Grain v0 [140] Grain v1 [141]
Grain-128 [139] sup3i Grain-128a [211] Grain v1 este un nalist al portofoliului hardware
eSTREAM [4] o competimicroie pentru alegerea cifrurilor ux sigure sup3i eciente atacirct pentru
hardware cacirct sup3i pentru software
Designul familiei de cifruri ux Grain include un LFSR Icircnc rcarea LFSR-ului const
dintr-un vector de inimicroializare (IV) sup3i un anumit sup3ir de bimicroi P al c rui lungime sup3i structur
depinde de versiunea cifrului Urmacircnd terminologia utilizat icircn [39] consider m c IV-
ul este concatenat cu P Astfel icircn toat aceast secmicroiune folosim termenul de padding
pentru a indica P Remicroinemicroi c Grain v1 sup3i Grain-128 folosesc un padding periodic sup3i
Grain-128a utilizeaz un padding aperiodic
Icircn ultimul deceniu o serie de atacuri icircmpotriva tehnicilor de padding a familiei Grain au
ap rut icircn literatura de specialitate [38 39 64 162] Icircn lumina acestor atacuri propunem
prima analiz de securitate3 a schemelor de padding generice pentru cifrurile Grain icircn
cazurile periodic precum sup3i aperiodic
Icircn acest context problemele care apar sunt stracircns legate de impactul asupra securit microii
a diferimicroilor parametri ai paddingului cum ar pozimicroia sup3i structura blocului de padding
Mai mult icircn cadrul studiului nostru lu m icircn considerare atacirct blocurile de padding com-
pacte cacirct sup3i fragmentate Ne referim la schemele originale de padding ale cifrurilor Grain
ca ind compacte (ie se folosesup3te un singur bloc de padding) Consider m ca padding
fragmentat un bloc de padding divizat icircn blocuri mai mici de lungime egal 4
Examinacircnd structura paddingului sup3i analizacircnd versiunile sale compacte sup3i mai ales frag-
mentate studiem de fapt conceptul de a extinde durata de viamicroa a cheii Acesta din urm
ar putea realizat prin introducerea unui padding variabil icircn funcmicroie de constracircngerile
adecvate Prin urmare icircntrebarea general care apare este urm toarea ce trebuie icircnc r-
cat icircn LFSR-urile cifrurilor Grain pentru a obmicroine instanmicroieri sigure Remicroinemicroi c studiul
nostru este preliminar luacircnd icircn considerare doar atacurile de tip slide Consider m alte
tipuri de atacuri icircntr-un studiu viitor
Subliniem c g sirea unor atacuri mai bune decacirct cele prezentate deja icircn literatur nu
intr icircn scopul acestei secmicroiuni deoarece obiectivul nostru principal este de a stabili
versiuni personalizate sigure ale cifrului Grain Prin urmare munca noastr nu are nicio
implicamicroie imediat asupra spargerii oricarui cifru din familia Grain Cu toate acestea
observamicroiile noastre devin semnicative e icircn scenariul criptograei de tip lightweight e
3icircmpotriva atacurilor de tip slide4consider m c aceste blocuri mai mici sunt r spacircndite icircntre datele registrului liniar
Criptograe cu Chei Simetrice 10
icircn cazul unui context de securitate icircmbun t microit (de exemplu aplicamicroii guvernamentale
sigure)
Criptograa de tip lightweight se a la intersecmicroia dintre criptograe informatic sup3i in-
ginerie electric Astfel trebuie luate icircn considerare compromisurile icircntre performanmicro
securitate sup3i cost Avacircnd icircn vedere astfel de constracircngeri sup3i faptul c dispozitivele icircncor-
porate funcmicroioneaz icircn medii ostile exist o nevoie tot mai mare de solumicroii de securitate
noi sup3i variate construite icircn principal avacircnd icircn vedere actuala tendinmicro computamicroional
Icircntrucacirct familia Grain se a tocmai icircn categoria primitivelor de tip lightweight credem
c studiul prezentat icircn secmicroiunea curent este de interes pentru industrie sup3i icircn special
pentru organizamicroiile guvernamentale
23 Stucturi Substitumicroie-Permutare Bazate pe Cvasigrupuri
Icircn forma sa de baz criptanaliza diferenmicroial [55] prezice modul icircn care anumite modi-
c ri ale textului se propag printr-un cifru Cacircnd se considerar un cifru ideal probabil-
itatea de a prezice aceste modic ri este 12n unde n este num rul de bimicroi al datelor de
intrare Astfel icircn cazul ideal este imposibil ca un atacator s foloseasc aceste predicmicroii
atunci cacircnd n este de exemplu 128 Din p cate proiectanmicroii folosesc estim ri teoretice
bazate pe anumite ipoteze care nu sunt icircntotdeauna valabile icircn practic Prin urmare
criptanaliza diferenmicroial este adesea cel mai ecient instrument icircmpotriva algoritmilor
criptograci cu cheie simetric [188]
Cvasigrupurile sunt structuri asem n toare grupurilor care spre deosebire de grupuri nu
trebuie s e asociative sup3i s posede un element identitate Utilizarea cvasigrupurilor ca
elemente de baz pentru primitive criptograce nu este foarte obisup3nuit Totusup3i diverse
astfel de criptosisteme pot g site icircn literatura [164 117 116 35 90 160]
Icircn aceast subsecmicroiune introducem o generalizare a structurilor substitumicroie-permutare
(SPN) sup3i studiem securitatea acesteia Prin icircnlocuirea operamicroiei de grup lsaquo icircntre cheii
sup3i texte (intermediare) cu o operamicroie de cvasigrup b am urm rit extinderea utiliz rii
cvasigrupurilor Din p cate utilizacircnd criptanaliza diferenmicroial demonstr m c icircn cazul
cvasigrupurilor izotope cu un grup5 problema atac rii unui SPN folosind b se reduce la
atacarea unui SPN folosind lsaquo sup3i o tabel de substitumicroie (s-box) diferit de cea inimicroial
Astfel dac inimicroializ m SPN-ul cu un s-box secret aleator icircnlocuirea lsaquo cu b nu aduce
nici o securitate suplimentar 6 Icircn cazul s-box-urilor statice schimbarea lsaquo cu b poate
afecta chiar securitatea SPN-ului5Aceasta este cea mai popular metod de generare a cvasigrupurilor6ie obmicroinem pur sup3i simplu o alt instanmicro a SPN
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Capitolul 2
Criptograe cu Chei Simetrice
Cea mai simpl sup3i de asemenea cea mai comun metod pentru protejarea condenmicroial-
it microii mesajelor sau pentru autenticarea unei informamicroii este utilizarea unei chei secrete
comun icircntre expeditor sup3i receptor Aceasta metod se numesup3te criptograe cu cheie
secret simetric Icircn acest scenariu ambii participanmicroi utilizeaz funcmicroii dependente de
aceeasup3i cheie predeterminat De obicei cheia comun este generat aleatoriu
Se presupune c algoritmii cu cheii simetrice icircsup3i p streaz propriet microile de securitate
atacircta timp cacirct adversarii nu pot deduce cheia utilizat Acest lucru poate icircnsemna trei
lucruri e cheia este p strat icircn mod sigur de c tre utilizatorii care o folosesc e cheia
este sucient de mare pentru a evita atacurile de tip formicro brut sau algoritmul este
singur din punct de vedere informamicroional Icircn acest capitol ne vom ocupa de dou dintre
aspectele menmicroionate anterior Mai precis vom ar ta cum cifrul Hill (an) sup3i modurile
lor corespunz toare de lucru ofer atacatorului informamicroii critice prin intermediul textul
cifrat Apoi vom descrie o metod pentru extinderea duratei de viamicro a instanmicroierilor
cifrului ux Grain prin cresup3terea complexit microii corespunz toare atacurilor de tip formicro
brut Icircn ultima parte prezent m cititorului instanmicroieri echivalente ale structurilor de
tip substitumicroie-permutare
21 Cifrul Hill (An)
Dou cifruri clasice bazate pe algebr liniar sunt cifrul Hill [144] sup3i versiunea sa an
[145] Ambele folosesc matrici inversabile modulo a pentru a cifra mesajele unde a este
dimensiunea alfabetului A Primul pas al procesului de criptare este codicarea ec rei
litere din text icircntr-un echivalent numeric Cea mai simpl codicare este a ldquo 0 b ldquo 1
sup3i asup3a mai departe Dup codicare textul este icircmp rmicroit icircn blocuri de dimensiunea k sup3i
7
Criptograe cu Chei Simetrice 8
apoi ecare bloc este icircnmulmicroit cu o matrice inversabil de dimensiune k Icircn cazul an
la rezultat se adun o a doua matrice Dup transformarea ec rui bloc rezultatul este
convertit din nou icircn litere Pentru a descifra mesajele trebuie s efectuamicroi pasup3ii de mai
sus icircn sens invers
Desup3i ambele cifruri sunt vulnerabile la atacuri ce utilizeaz text cunoscut1 atacuri e-
ciente ce utilizeaz numai text cifrat au fost dezvoltate acum doar un deceniu [42] sup3i
numai pentru cifrul Hill cu k mic Remicroinemicroi c pe m sur ce k cresup3te atacurile simple de
tip formicro brut esup3ueaz De exemplu icircn cazul cifrului Hill cu a ldquo 26 avem icircn jur de 217
chei pentru k ldquo 2 240 chei pentru k ldquo 3 sup3i 273 chei pentru k ldquo 4 [42] Conform [201 43]
dat ind a sup3i k se poate calcula num rul exact de matrici inversabile Menmicroion m c icircn
cazul cifrului Hill an efortul de calcul f cut pentru atacurile de tip formicroa brut icircmpotriva
cifrul Hill este icircnmulmicroit cu ak
Icircn 2007 Bauer sup3i Millward [42] au introdus un atac ce utilizeaz doar text cifrat pentru
a ataca cifrul Hill2 atac ce a fost ulterior icircmbun t microit icircn [266 167 178] Atacul a fost
publicat independent de Khazaei sup3i Ahmadi [154] Ideea principal a acestor atacuri este
de a face un atac de tip formicro brut pe racircndurile cheii icircn loc de icircntreaga matrice sup3i apoi
de a recupera matricea de decriptare
Icircn [157] Kiele sugereaz utilizarea modurilor de lucru pentru a icircngreuna tehnicile alge-
brice criptanalitice dezvoltate pentru cifrul Hill Vom ar ta icircn aceast secmicroiune cum s
adapt m atacurile descrise icircn [42 266 154] la diferite moduri de operare atacirct pentru
cifrul Hill cacirct sup3i pentru versiunea sa an Remicroinemicroi c unele moduri de lucru nu necesit
ca cheia s e inversabil astfel c atacul prezentat icircn [167] nu funcmicroioneaz pentru toate
modurile de lucru bazate pe Hill Pentru uniformitate vom extinde doar atacul lui Yum
sup3i Lee sup3i vom studia icircn viitor extinderea [167] la moduri care necesit matrici inversabile
Subliniem c dintre cele trei atacuri [42 266 154] atacul lui Yum sup3i Lee are cel mai bun
raport de performanmicro per recuperarea mesajelor
O alt lucrare care a motivat acest studiu este [41] Autorii [41] presupun c cea de-a
patra criptogram a sculpturii Kryptos [9] este e criptat utilizacircnd cifrul Hill an e un
mod de operare al cifrului Oferim cititorului un studiu preliminar al acestor presupuneri
Pentru a dovedi sau respinge aceste presupuneri trebuie s g sim o modalitate de a
adapta toate atacurile ce utilizeaz text cifrat prezentate la versiunile cu codicare secret
ale cifrului Hill (an) sup3i a modurilor lor de lucru corespunz toare Diverse r spunsuri
parmicroiale pentru versiunea cu codicare secret a cifrului Hill sunt furnizate icircn [266]
1ie dup ce un num r de mesaje cunoscute sunt criptate se pot recupera cu usup3urinmicro cheile decriptare dac atacatorul are acces la textele cifrat corespunz toare
2Atacul lui Bauer sup3i Millward pentru k ldquo 3 a fost descris anterior online sup3i icircn mod independent deWutka [257]
Criptograe cu Chei Simetrice 9
22 Familia de Cifruri Flux Grain
Familia de cifruri ux Grain const din patru instanmicroieri Grain v0 [140] Grain v1 [141]
Grain-128 [139] sup3i Grain-128a [211] Grain v1 este un nalist al portofoliului hardware
eSTREAM [4] o competimicroie pentru alegerea cifrurilor ux sigure sup3i eciente atacirct pentru
hardware cacirct sup3i pentru software
Designul familiei de cifruri ux Grain include un LFSR Icircnc rcarea LFSR-ului const
dintr-un vector de inimicroializare (IV) sup3i un anumit sup3ir de bimicroi P al c rui lungime sup3i structur
depinde de versiunea cifrului Urmacircnd terminologia utilizat icircn [39] consider m c IV-
ul este concatenat cu P Astfel icircn toat aceast secmicroiune folosim termenul de padding
pentru a indica P Remicroinemicroi c Grain v1 sup3i Grain-128 folosesc un padding periodic sup3i
Grain-128a utilizeaz un padding aperiodic
Icircn ultimul deceniu o serie de atacuri icircmpotriva tehnicilor de padding a familiei Grain au
ap rut icircn literatura de specialitate [38 39 64 162] Icircn lumina acestor atacuri propunem
prima analiz de securitate3 a schemelor de padding generice pentru cifrurile Grain icircn
cazurile periodic precum sup3i aperiodic
Icircn acest context problemele care apar sunt stracircns legate de impactul asupra securit microii
a diferimicroilor parametri ai paddingului cum ar pozimicroia sup3i structura blocului de padding
Mai mult icircn cadrul studiului nostru lu m icircn considerare atacirct blocurile de padding com-
pacte cacirct sup3i fragmentate Ne referim la schemele originale de padding ale cifrurilor Grain
ca ind compacte (ie se folosesup3te un singur bloc de padding) Consider m ca padding
fragmentat un bloc de padding divizat icircn blocuri mai mici de lungime egal 4
Examinacircnd structura paddingului sup3i analizacircnd versiunile sale compacte sup3i mai ales frag-
mentate studiem de fapt conceptul de a extinde durata de viamicroa a cheii Acesta din urm
ar putea realizat prin introducerea unui padding variabil icircn funcmicroie de constracircngerile
adecvate Prin urmare icircntrebarea general care apare este urm toarea ce trebuie icircnc r-
cat icircn LFSR-urile cifrurilor Grain pentru a obmicroine instanmicroieri sigure Remicroinemicroi c studiul
nostru este preliminar luacircnd icircn considerare doar atacurile de tip slide Consider m alte
tipuri de atacuri icircntr-un studiu viitor
Subliniem c g sirea unor atacuri mai bune decacirct cele prezentate deja icircn literatur nu
intr icircn scopul acestei secmicroiuni deoarece obiectivul nostru principal este de a stabili
versiuni personalizate sigure ale cifrului Grain Prin urmare munca noastr nu are nicio
implicamicroie imediat asupra spargerii oricarui cifru din familia Grain Cu toate acestea
observamicroiile noastre devin semnicative e icircn scenariul criptograei de tip lightweight e
3icircmpotriva atacurilor de tip slide4consider m c aceste blocuri mai mici sunt r spacircndite icircntre datele registrului liniar
Criptograe cu Chei Simetrice 10
icircn cazul unui context de securitate icircmbun t microit (de exemplu aplicamicroii guvernamentale
sigure)
Criptograa de tip lightweight se a la intersecmicroia dintre criptograe informatic sup3i in-
ginerie electric Astfel trebuie luate icircn considerare compromisurile icircntre performanmicro
securitate sup3i cost Avacircnd icircn vedere astfel de constracircngeri sup3i faptul c dispozitivele icircncor-
porate funcmicroioneaz icircn medii ostile exist o nevoie tot mai mare de solumicroii de securitate
noi sup3i variate construite icircn principal avacircnd icircn vedere actuala tendinmicro computamicroional
Icircntrucacirct familia Grain se a tocmai icircn categoria primitivelor de tip lightweight credem
c studiul prezentat icircn secmicroiunea curent este de interes pentru industrie sup3i icircn special
pentru organizamicroiile guvernamentale
23 Stucturi Substitumicroie-Permutare Bazate pe Cvasigrupuri
Icircn forma sa de baz criptanaliza diferenmicroial [55] prezice modul icircn care anumite modi-
c ri ale textului se propag printr-un cifru Cacircnd se considerar un cifru ideal probabil-
itatea de a prezice aceste modic ri este 12n unde n este num rul de bimicroi al datelor de
intrare Astfel icircn cazul ideal este imposibil ca un atacator s foloseasc aceste predicmicroii
atunci cacircnd n este de exemplu 128 Din p cate proiectanmicroii folosesc estim ri teoretice
bazate pe anumite ipoteze care nu sunt icircntotdeauna valabile icircn practic Prin urmare
criptanaliza diferenmicroial este adesea cel mai ecient instrument icircmpotriva algoritmilor
criptograci cu cheie simetric [188]
Cvasigrupurile sunt structuri asem n toare grupurilor care spre deosebire de grupuri nu
trebuie s e asociative sup3i s posede un element identitate Utilizarea cvasigrupurilor ca
elemente de baz pentru primitive criptograce nu este foarte obisup3nuit Totusup3i diverse
astfel de criptosisteme pot g site icircn literatura [164 117 116 35 90 160]
Icircn aceast subsecmicroiune introducem o generalizare a structurilor substitumicroie-permutare
(SPN) sup3i studiem securitatea acesteia Prin icircnlocuirea operamicroiei de grup lsaquo icircntre cheii
sup3i texte (intermediare) cu o operamicroie de cvasigrup b am urm rit extinderea utiliz rii
cvasigrupurilor Din p cate utilizacircnd criptanaliza diferenmicroial demonstr m c icircn cazul
cvasigrupurilor izotope cu un grup5 problema atac rii unui SPN folosind b se reduce la
atacarea unui SPN folosind lsaquo sup3i o tabel de substitumicroie (s-box) diferit de cea inimicroial
Astfel dac inimicroializ m SPN-ul cu un s-box secret aleator icircnlocuirea lsaquo cu b nu aduce
nici o securitate suplimentar 6 Icircn cazul s-box-urilor statice schimbarea lsaquo cu b poate
afecta chiar securitatea SPN-ului5Aceasta este cea mai popular metod de generare a cvasigrupurilor6ie obmicroinem pur sup3i simplu o alt instanmicro a SPN
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Criptograe cu Chei Simetrice 8
apoi ecare bloc este icircnmulmicroit cu o matrice inversabil de dimensiune k Icircn cazul an
la rezultat se adun o a doua matrice Dup transformarea ec rui bloc rezultatul este
convertit din nou icircn litere Pentru a descifra mesajele trebuie s efectuamicroi pasup3ii de mai
sus icircn sens invers
Desup3i ambele cifruri sunt vulnerabile la atacuri ce utilizeaz text cunoscut1 atacuri e-
ciente ce utilizeaz numai text cifrat au fost dezvoltate acum doar un deceniu [42] sup3i
numai pentru cifrul Hill cu k mic Remicroinemicroi c pe m sur ce k cresup3te atacurile simple de
tip formicro brut esup3ueaz De exemplu icircn cazul cifrului Hill cu a ldquo 26 avem icircn jur de 217
chei pentru k ldquo 2 240 chei pentru k ldquo 3 sup3i 273 chei pentru k ldquo 4 [42] Conform [201 43]
dat ind a sup3i k se poate calcula num rul exact de matrici inversabile Menmicroion m c icircn
cazul cifrului Hill an efortul de calcul f cut pentru atacurile de tip formicroa brut icircmpotriva
cifrul Hill este icircnmulmicroit cu ak
Icircn 2007 Bauer sup3i Millward [42] au introdus un atac ce utilizeaz doar text cifrat pentru
a ataca cifrul Hill2 atac ce a fost ulterior icircmbun t microit icircn [266 167 178] Atacul a fost
publicat independent de Khazaei sup3i Ahmadi [154] Ideea principal a acestor atacuri este
de a face un atac de tip formicro brut pe racircndurile cheii icircn loc de icircntreaga matrice sup3i apoi
de a recupera matricea de decriptare
Icircn [157] Kiele sugereaz utilizarea modurilor de lucru pentru a icircngreuna tehnicile alge-
brice criptanalitice dezvoltate pentru cifrul Hill Vom ar ta icircn aceast secmicroiune cum s
adapt m atacurile descrise icircn [42 266 154] la diferite moduri de operare atacirct pentru
cifrul Hill cacirct sup3i pentru versiunea sa an Remicroinemicroi c unele moduri de lucru nu necesit
ca cheia s e inversabil astfel c atacul prezentat icircn [167] nu funcmicroioneaz pentru toate
modurile de lucru bazate pe Hill Pentru uniformitate vom extinde doar atacul lui Yum
sup3i Lee sup3i vom studia icircn viitor extinderea [167] la moduri care necesit matrici inversabile
Subliniem c dintre cele trei atacuri [42 266 154] atacul lui Yum sup3i Lee are cel mai bun
raport de performanmicro per recuperarea mesajelor
O alt lucrare care a motivat acest studiu este [41] Autorii [41] presupun c cea de-a
patra criptogram a sculpturii Kryptos [9] este e criptat utilizacircnd cifrul Hill an e un
mod de operare al cifrului Oferim cititorului un studiu preliminar al acestor presupuneri
Pentru a dovedi sau respinge aceste presupuneri trebuie s g sim o modalitate de a
adapta toate atacurile ce utilizeaz text cifrat prezentate la versiunile cu codicare secret
ale cifrului Hill (an) sup3i a modurilor lor de lucru corespunz toare Diverse r spunsuri
parmicroiale pentru versiunea cu codicare secret a cifrului Hill sunt furnizate icircn [266]
1ie dup ce un num r de mesaje cunoscute sunt criptate se pot recupera cu usup3urinmicro cheile decriptare dac atacatorul are acces la textele cifrat corespunz toare
2Atacul lui Bauer sup3i Millward pentru k ldquo 3 a fost descris anterior online sup3i icircn mod independent deWutka [257]
Criptograe cu Chei Simetrice 9
22 Familia de Cifruri Flux Grain
Familia de cifruri ux Grain const din patru instanmicroieri Grain v0 [140] Grain v1 [141]
Grain-128 [139] sup3i Grain-128a [211] Grain v1 este un nalist al portofoliului hardware
eSTREAM [4] o competimicroie pentru alegerea cifrurilor ux sigure sup3i eciente atacirct pentru
hardware cacirct sup3i pentru software
Designul familiei de cifruri ux Grain include un LFSR Icircnc rcarea LFSR-ului const
dintr-un vector de inimicroializare (IV) sup3i un anumit sup3ir de bimicroi P al c rui lungime sup3i structur
depinde de versiunea cifrului Urmacircnd terminologia utilizat icircn [39] consider m c IV-
ul este concatenat cu P Astfel icircn toat aceast secmicroiune folosim termenul de padding
pentru a indica P Remicroinemicroi c Grain v1 sup3i Grain-128 folosesc un padding periodic sup3i
Grain-128a utilizeaz un padding aperiodic
Icircn ultimul deceniu o serie de atacuri icircmpotriva tehnicilor de padding a familiei Grain au
ap rut icircn literatura de specialitate [38 39 64 162] Icircn lumina acestor atacuri propunem
prima analiz de securitate3 a schemelor de padding generice pentru cifrurile Grain icircn
cazurile periodic precum sup3i aperiodic
Icircn acest context problemele care apar sunt stracircns legate de impactul asupra securit microii
a diferimicroilor parametri ai paddingului cum ar pozimicroia sup3i structura blocului de padding
Mai mult icircn cadrul studiului nostru lu m icircn considerare atacirct blocurile de padding com-
pacte cacirct sup3i fragmentate Ne referim la schemele originale de padding ale cifrurilor Grain
ca ind compacte (ie se folosesup3te un singur bloc de padding) Consider m ca padding
fragmentat un bloc de padding divizat icircn blocuri mai mici de lungime egal 4
Examinacircnd structura paddingului sup3i analizacircnd versiunile sale compacte sup3i mai ales frag-
mentate studiem de fapt conceptul de a extinde durata de viamicroa a cheii Acesta din urm
ar putea realizat prin introducerea unui padding variabil icircn funcmicroie de constracircngerile
adecvate Prin urmare icircntrebarea general care apare este urm toarea ce trebuie icircnc r-
cat icircn LFSR-urile cifrurilor Grain pentru a obmicroine instanmicroieri sigure Remicroinemicroi c studiul
nostru este preliminar luacircnd icircn considerare doar atacurile de tip slide Consider m alte
tipuri de atacuri icircntr-un studiu viitor
Subliniem c g sirea unor atacuri mai bune decacirct cele prezentate deja icircn literatur nu
intr icircn scopul acestei secmicroiuni deoarece obiectivul nostru principal este de a stabili
versiuni personalizate sigure ale cifrului Grain Prin urmare munca noastr nu are nicio
implicamicroie imediat asupra spargerii oricarui cifru din familia Grain Cu toate acestea
observamicroiile noastre devin semnicative e icircn scenariul criptograei de tip lightweight e
3icircmpotriva atacurilor de tip slide4consider m c aceste blocuri mai mici sunt r spacircndite icircntre datele registrului liniar
Criptograe cu Chei Simetrice 10
icircn cazul unui context de securitate icircmbun t microit (de exemplu aplicamicroii guvernamentale
sigure)
Criptograa de tip lightweight se a la intersecmicroia dintre criptograe informatic sup3i in-
ginerie electric Astfel trebuie luate icircn considerare compromisurile icircntre performanmicro
securitate sup3i cost Avacircnd icircn vedere astfel de constracircngeri sup3i faptul c dispozitivele icircncor-
porate funcmicroioneaz icircn medii ostile exist o nevoie tot mai mare de solumicroii de securitate
noi sup3i variate construite icircn principal avacircnd icircn vedere actuala tendinmicro computamicroional
Icircntrucacirct familia Grain se a tocmai icircn categoria primitivelor de tip lightweight credem
c studiul prezentat icircn secmicroiunea curent este de interes pentru industrie sup3i icircn special
pentru organizamicroiile guvernamentale
23 Stucturi Substitumicroie-Permutare Bazate pe Cvasigrupuri
Icircn forma sa de baz criptanaliza diferenmicroial [55] prezice modul icircn care anumite modi-
c ri ale textului se propag printr-un cifru Cacircnd se considerar un cifru ideal probabil-
itatea de a prezice aceste modic ri este 12n unde n este num rul de bimicroi al datelor de
intrare Astfel icircn cazul ideal este imposibil ca un atacator s foloseasc aceste predicmicroii
atunci cacircnd n este de exemplu 128 Din p cate proiectanmicroii folosesc estim ri teoretice
bazate pe anumite ipoteze care nu sunt icircntotdeauna valabile icircn practic Prin urmare
criptanaliza diferenmicroial este adesea cel mai ecient instrument icircmpotriva algoritmilor
criptograci cu cheie simetric [188]
Cvasigrupurile sunt structuri asem n toare grupurilor care spre deosebire de grupuri nu
trebuie s e asociative sup3i s posede un element identitate Utilizarea cvasigrupurilor ca
elemente de baz pentru primitive criptograce nu este foarte obisup3nuit Totusup3i diverse
astfel de criptosisteme pot g site icircn literatura [164 117 116 35 90 160]
Icircn aceast subsecmicroiune introducem o generalizare a structurilor substitumicroie-permutare
(SPN) sup3i studiem securitatea acesteia Prin icircnlocuirea operamicroiei de grup lsaquo icircntre cheii
sup3i texte (intermediare) cu o operamicroie de cvasigrup b am urm rit extinderea utiliz rii
cvasigrupurilor Din p cate utilizacircnd criptanaliza diferenmicroial demonstr m c icircn cazul
cvasigrupurilor izotope cu un grup5 problema atac rii unui SPN folosind b se reduce la
atacarea unui SPN folosind lsaquo sup3i o tabel de substitumicroie (s-box) diferit de cea inimicroial
Astfel dac inimicroializ m SPN-ul cu un s-box secret aleator icircnlocuirea lsaquo cu b nu aduce
nici o securitate suplimentar 6 Icircn cazul s-box-urilor statice schimbarea lsaquo cu b poate
afecta chiar securitatea SPN-ului5Aceasta este cea mai popular metod de generare a cvasigrupurilor6ie obmicroinem pur sup3i simplu o alt instanmicro a SPN
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Criptograe cu Chei Simetrice 9
22 Familia de Cifruri Flux Grain
Familia de cifruri ux Grain const din patru instanmicroieri Grain v0 [140] Grain v1 [141]
Grain-128 [139] sup3i Grain-128a [211] Grain v1 este un nalist al portofoliului hardware
eSTREAM [4] o competimicroie pentru alegerea cifrurilor ux sigure sup3i eciente atacirct pentru
hardware cacirct sup3i pentru software
Designul familiei de cifruri ux Grain include un LFSR Icircnc rcarea LFSR-ului const
dintr-un vector de inimicroializare (IV) sup3i un anumit sup3ir de bimicroi P al c rui lungime sup3i structur
depinde de versiunea cifrului Urmacircnd terminologia utilizat icircn [39] consider m c IV-
ul este concatenat cu P Astfel icircn toat aceast secmicroiune folosim termenul de padding
pentru a indica P Remicroinemicroi c Grain v1 sup3i Grain-128 folosesc un padding periodic sup3i
Grain-128a utilizeaz un padding aperiodic
Icircn ultimul deceniu o serie de atacuri icircmpotriva tehnicilor de padding a familiei Grain au
ap rut icircn literatura de specialitate [38 39 64 162] Icircn lumina acestor atacuri propunem
prima analiz de securitate3 a schemelor de padding generice pentru cifrurile Grain icircn
cazurile periodic precum sup3i aperiodic
Icircn acest context problemele care apar sunt stracircns legate de impactul asupra securit microii
a diferimicroilor parametri ai paddingului cum ar pozimicroia sup3i structura blocului de padding
Mai mult icircn cadrul studiului nostru lu m icircn considerare atacirct blocurile de padding com-
pacte cacirct sup3i fragmentate Ne referim la schemele originale de padding ale cifrurilor Grain
ca ind compacte (ie se folosesup3te un singur bloc de padding) Consider m ca padding
fragmentat un bloc de padding divizat icircn blocuri mai mici de lungime egal 4
Examinacircnd structura paddingului sup3i analizacircnd versiunile sale compacte sup3i mai ales frag-
mentate studiem de fapt conceptul de a extinde durata de viamicroa a cheii Acesta din urm
ar putea realizat prin introducerea unui padding variabil icircn funcmicroie de constracircngerile
adecvate Prin urmare icircntrebarea general care apare este urm toarea ce trebuie icircnc r-
cat icircn LFSR-urile cifrurilor Grain pentru a obmicroine instanmicroieri sigure Remicroinemicroi c studiul
nostru este preliminar luacircnd icircn considerare doar atacurile de tip slide Consider m alte
tipuri de atacuri icircntr-un studiu viitor
Subliniem c g sirea unor atacuri mai bune decacirct cele prezentate deja icircn literatur nu
intr icircn scopul acestei secmicroiuni deoarece obiectivul nostru principal este de a stabili
versiuni personalizate sigure ale cifrului Grain Prin urmare munca noastr nu are nicio
implicamicroie imediat asupra spargerii oricarui cifru din familia Grain Cu toate acestea
observamicroiile noastre devin semnicative e icircn scenariul criptograei de tip lightweight e
3icircmpotriva atacurilor de tip slide4consider m c aceste blocuri mai mici sunt r spacircndite icircntre datele registrului liniar
Criptograe cu Chei Simetrice 10
icircn cazul unui context de securitate icircmbun t microit (de exemplu aplicamicroii guvernamentale
sigure)
Criptograa de tip lightweight se a la intersecmicroia dintre criptograe informatic sup3i in-
ginerie electric Astfel trebuie luate icircn considerare compromisurile icircntre performanmicro
securitate sup3i cost Avacircnd icircn vedere astfel de constracircngeri sup3i faptul c dispozitivele icircncor-
porate funcmicroioneaz icircn medii ostile exist o nevoie tot mai mare de solumicroii de securitate
noi sup3i variate construite icircn principal avacircnd icircn vedere actuala tendinmicro computamicroional
Icircntrucacirct familia Grain se a tocmai icircn categoria primitivelor de tip lightweight credem
c studiul prezentat icircn secmicroiunea curent este de interes pentru industrie sup3i icircn special
pentru organizamicroiile guvernamentale
23 Stucturi Substitumicroie-Permutare Bazate pe Cvasigrupuri
Icircn forma sa de baz criptanaliza diferenmicroial [55] prezice modul icircn care anumite modi-
c ri ale textului se propag printr-un cifru Cacircnd se considerar un cifru ideal probabil-
itatea de a prezice aceste modic ri este 12n unde n este num rul de bimicroi al datelor de
intrare Astfel icircn cazul ideal este imposibil ca un atacator s foloseasc aceste predicmicroii
atunci cacircnd n este de exemplu 128 Din p cate proiectanmicroii folosesc estim ri teoretice
bazate pe anumite ipoteze care nu sunt icircntotdeauna valabile icircn practic Prin urmare
criptanaliza diferenmicroial este adesea cel mai ecient instrument icircmpotriva algoritmilor
criptograci cu cheie simetric [188]
Cvasigrupurile sunt structuri asem n toare grupurilor care spre deosebire de grupuri nu
trebuie s e asociative sup3i s posede un element identitate Utilizarea cvasigrupurilor ca
elemente de baz pentru primitive criptograce nu este foarte obisup3nuit Totusup3i diverse
astfel de criptosisteme pot g site icircn literatura [164 117 116 35 90 160]
Icircn aceast subsecmicroiune introducem o generalizare a structurilor substitumicroie-permutare
(SPN) sup3i studiem securitatea acesteia Prin icircnlocuirea operamicroiei de grup lsaquo icircntre cheii
sup3i texte (intermediare) cu o operamicroie de cvasigrup b am urm rit extinderea utiliz rii
cvasigrupurilor Din p cate utilizacircnd criptanaliza diferenmicroial demonstr m c icircn cazul
cvasigrupurilor izotope cu un grup5 problema atac rii unui SPN folosind b se reduce la
atacarea unui SPN folosind lsaquo sup3i o tabel de substitumicroie (s-box) diferit de cea inimicroial
Astfel dac inimicroializ m SPN-ul cu un s-box secret aleator icircnlocuirea lsaquo cu b nu aduce
nici o securitate suplimentar 6 Icircn cazul s-box-urilor statice schimbarea lsaquo cu b poate
afecta chiar securitatea SPN-ului5Aceasta este cea mai popular metod de generare a cvasigrupurilor6ie obmicroinem pur sup3i simplu o alt instanmicro a SPN
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Criptograe cu Chei Simetrice 10
icircn cazul unui context de securitate icircmbun t microit (de exemplu aplicamicroii guvernamentale
sigure)
Criptograa de tip lightweight se a la intersecmicroia dintre criptograe informatic sup3i in-
ginerie electric Astfel trebuie luate icircn considerare compromisurile icircntre performanmicro
securitate sup3i cost Avacircnd icircn vedere astfel de constracircngeri sup3i faptul c dispozitivele icircncor-
porate funcmicroioneaz icircn medii ostile exist o nevoie tot mai mare de solumicroii de securitate
noi sup3i variate construite icircn principal avacircnd icircn vedere actuala tendinmicro computamicroional
Icircntrucacirct familia Grain se a tocmai icircn categoria primitivelor de tip lightweight credem
c studiul prezentat icircn secmicroiunea curent este de interes pentru industrie sup3i icircn special
pentru organizamicroiile guvernamentale
23 Stucturi Substitumicroie-Permutare Bazate pe Cvasigrupuri
Icircn forma sa de baz criptanaliza diferenmicroial [55] prezice modul icircn care anumite modi-
c ri ale textului se propag printr-un cifru Cacircnd se considerar un cifru ideal probabil-
itatea de a prezice aceste modic ri este 12n unde n este num rul de bimicroi al datelor de
intrare Astfel icircn cazul ideal este imposibil ca un atacator s foloseasc aceste predicmicroii
atunci cacircnd n este de exemplu 128 Din p cate proiectanmicroii folosesc estim ri teoretice
bazate pe anumite ipoteze care nu sunt icircntotdeauna valabile icircn practic Prin urmare
criptanaliza diferenmicroial este adesea cel mai ecient instrument icircmpotriva algoritmilor
criptograci cu cheie simetric [188]
Cvasigrupurile sunt structuri asem n toare grupurilor care spre deosebire de grupuri nu
trebuie s e asociative sup3i s posede un element identitate Utilizarea cvasigrupurilor ca
elemente de baz pentru primitive criptograce nu este foarte obisup3nuit Totusup3i diverse
astfel de criptosisteme pot g site icircn literatura [164 117 116 35 90 160]
Icircn aceast subsecmicroiune introducem o generalizare a structurilor substitumicroie-permutare
(SPN) sup3i studiem securitatea acesteia Prin icircnlocuirea operamicroiei de grup lsaquo icircntre cheii
sup3i texte (intermediare) cu o operamicroie de cvasigrup b am urm rit extinderea utiliz rii
cvasigrupurilor Din p cate utilizacircnd criptanaliza diferenmicroial demonstr m c icircn cazul
cvasigrupurilor izotope cu un grup5 problema atac rii unui SPN folosind b se reduce la
atacarea unui SPN folosind lsaquo sup3i o tabel de substitumicroie (s-box) diferit de cea inimicroial
Astfel dac inimicroializ m SPN-ul cu un s-box secret aleator icircnlocuirea lsaquo cu b nu aduce
nici o securitate suplimentar 6 Icircn cazul s-box-urilor statice schimbarea lsaquo cu b poate
afecta chiar securitatea SPN-ului5Aceasta este cea mai popular metod de generare a cvasigrupurilor6ie obmicroinem pur sup3i simplu o alt instanmicro a SPN
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Criptograe cu Chei Simetrice 11
Desup3i designul prezentat icircn aceast lucrare nu este unul de succes credem c utilitatea sa
este dubl 1 Majoritatea rapoartelor sup3tiinmicroice sup3i lucr rilor publicate apar ca relat ri
sterile7 sup3i acest lucru ofer oamenilor o viziune distorsionat a cercet rii sup3tiinmicroice [179
146 235 255] Acest lucru duce la o viziune care implic faptul c esup3ecul serendipitatea
sup3i rezultatele neasup3teptate nu sunt o parte normal a sup3tiinmicroei [146 220] Prin urmare
acest subcapitol ofer studenmicroilor o indicamicroie a proceselor reale de experimentare 2
Rezultatele negative sup3i direcmicroiile false sunt rareori raportate [146 248] sup3i prin urmare
oamenii sunt obligamicroi s repete aceleasup3i gresup3eli Prin prezentarea rezultatelor noastre
sper m s oferim celorlalmicroi o oportunitate de a aa unde duce aceast cale Prin urmare
icircmpiedicacircndu-i s fac aceleasup3i gresup3eli8
7Autorii icircsup3i prezint rezultatele ca sup3i cacircnd le-ar obmicroinut icircntr-o manier simpl sup3i nu printr-un procesdezordonat
8In [236] autorul icirci sf tuiesup3te pe oameni s icircsup3i noteze gresup3elile astfel icircncacirct s evite s le comit dinnou icircn viitor
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Capitolul 3
Criptograe cu Chei Publice
Una dintre problemele asociate criptograei cu cheii simetrice este distribuirea cheilor O
solumicroie elegant pentru acest inconvenient este oferit de criptograa cu cheii publiceasi-
metric Icircntr-un cadru asimetric un participant posed o pereche de chei o cheie public
sup3i o cheie secret asociat Cheia public este cunoscut de toat lumea sup3i este legat de
identitatea participantului Folosind cheia public orice utilizator poate trimite mesaje
proprietarului icircn timp ce doar acesta le poate citi folosind cheia sa secret Comparativ
cu sistemele de chei simetrice1 icircn cazul utiliz rii cheiilor publice nu este nevoie de un
canal sigur pentru a disemina cheile publice ale participanmicroilor O alt proprietate atrac-
tiv a algoritmilor asimetrici este c securitatea lor poate icircn majoritatea cazurilor
redus la probleme computamicroionale dicile
Desup3i inimicroial dezvoltat pentru rezolvarea problemei distribumicroiei cheii criptograa cu cheie
public s-a extins sup3i icircncorporeaz sup3i alte aplicamicroii cum ar schemele de criptare semn -
turile digitale sau protocoalele de tip zero-knowledge Icircn acest capitol dezvolt m diverse
exemple pentru aplicamicroiile menmicroionate anterior sup3i le reducem securitatea la unele pre-
supuneri intractabile bine cunoscute
31 Protocoale de Tip Zero-Knowledge
Problema principal abordat de ZKP este reprezentat de schemele de identicare (au-
tenticarea unei entit microi) Astfel bazacircndu-ne pe cel mai important obiectiv pe care icircl
poate atinge un ZKP se pot g si solumicroii elegante la diferite probleme care apar icircn diferite
domenii monede electronice licitamicroii IoT autenticare prin parol sup3i asup3a mai departe
1unde este necesar un canal sigur pentru a distribui cheia de comunicare c tre participanmicroi
12
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Criptograe cu Chei Publice 13
Un protocol de tip zero-knowledge tipic este format dintr-un prover Peggy care posed
o informamicroie secret x asociat cu identitatea ei sup3i dintr-un vericator V ictor a c rui
sarcin este s verice dac Peggy demicroine cu adev rat x Dou exemple clasice de astfel
de protocoale (propuse pentru smartcard-uri) sunt protocolul Schnorr [219] sup3i protocolul
Guillou-Quisquater [131] Lucracircnd icircntr-un cadru abstract Maurer arat icircn [176] c
protocoalele menmicroionate anterior sunt de fapt instanmicroieri ale aceluiasup3i protocol
Bazacircndu-ne pe rezultatul lui Maurer am considerat de mare interes s oferim cititorului
o perspectiv generalizat a protocolului Unied Zero-Knowledge (UZK) precum sup3i o
variant hash a acestuia O consecinmicro important a abord rii noastre generice este
unicarea protocoalelor Maurer [176] Feige-Fiat-Shamir [103] sup3i Chaum-Everste-Van De
Graaf [68] Mai mult un caz special al versiunii hash a protocolului nostru este versiunea
h-variant a schemei Fiat-Shamir [108 115]
Pe m sur ce paradigma IoT s-a dezvoltat dispozitivele de tip lightweight2 au devenit
din ce icircn ce mai populare Datorit naturii distribuite ale dispozitivelor IoT este nece-
sar o securitate adecvat pentru ca icircntreaga remicroea s funcmicroioneze corespunz tor Acum
s analiz m cazul remicroelelor de senzori wireless (WSN) Natura lightweight a nodurilor
senzorilor restricmicroioneaz puternic operamicroiunile criptograce Astfel nevoia de solumicroii
criptograce specice devine evident Protocolul de autenticare distribuit asem n tor
protocolului Fiat-Shamir prezentat icircn [78] reprezint un astfel de exemplu Pe baza aces-
tei construcmicroii anterioare propunem un protocol generic unicat de tip zero-knowledge
La fel ca rezultatul descris icircn [78] protocolul nostru poate aplicat pentru securizarea
WSN-urilor sup3i mai general a solumicroiilor legate de IoT Cu toate acestea construcmicroia noas-
tr ofer exibilitate atunci cacircnd alegemicroi ipotezele pe care se bazeaz securitatea sa O
caracteristic secundar a schemei noastre este posibilitatea de a reutiliza certicatele
existente la implementarea protocolului de autenticare distribuit
32 Semn turi Electronice
Icircn 1986 Fiat s i Shamir [108] au descris o tehnic important pentru derivarea semn -
turilor digitale din protocoalele de tip zero-knowledge Idea de baz const icircn faptul c
semnatarul foloseste o funct ie hash pentru a crea un vericator virtual Aceast tehnic
a fost folosit ulterior de Schnorr pentru a-s i transforma ZKP icircntr-o semn tur digital
Semn tura rezultat a fost dovedit sigur icircn ROM de Pointcheval s i Stern [208 209]
2dispozitive cu costuri reduse cu resurse limitate e ele de calcul sau zice
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Criptograe cu Chei Publice 14
Cadrul UZK icircncorporeaz protocolul Schnorr ZKP Prin urmare este resc s aplic m
transformarea Fiat-Shamir la UZK s i astfel s generaliz m semn tura lui Schnorr Ul-
terior vom folosi semn tura rezultat ca element principal pentru protocolul de co-
semn tur pe care icircl propunem icircn Sect iunea 332
33 Protocoale de Co-Semn tura
Icircn ultimele decenii au fost propuse diferite scheme de semnare a contractelor care se
icircncadreaz icircn trei categorii diferite de proiectare gradual release [122 207 111 127]
optimistic [29 63 181] sup3i concurrent [71 104] Un protocol tipic de co-semn tur implic
doi parteneri care nu au icircncredere unul icircn altul
Icircn comparamicroie cu paradigmele mai vechi cum ar modelele gradual release sau opti-
mistic semn turile concurente nu se bazeaz pe termicroe p rmicroi de icircncredere sup3i nu necesit
prea mult interacmicroiune icircntre semnatari Deoarece astfel de caracteristici sunt mult mai
atractive pentru utilizatori consider m icircn continuare protocoalele de co-semn tur sup3i nu
solumicroiile mai vechi
Inspiramicroi de perspectiva generic a lui Maurer am considerat de mare interes extin-
derea paradigmei sale la protocoalele de semnare a contractelor Prin urmare construim
ideea principal luacircnd icircn considerare problema compatibilit microii schemelor care caracter-
izeaz sistemele de comunicamicroii Exemplele tipice sunt cazurile utiliz rii certicatelor
icircntr-o infrastructur cu cheii publice sup3i problema general a actualiz rii versiunii unui
sistem Astfel lucrul icircntr-un cadru general poate reduce erorile de implementare sup3i poate
economisi timp de dezvoltare (sup3i icircntremicroinere) ale aplicamicroilor
Icircn aceast secmicroiune v prezent m o clas de protocoale de co-semn tur sup3i dovedim
securitatea acesteia Pentru a mai precisup3i v propunem o clas de protocoale de co-
semn tur bazat pe UDS (a se vedea Secmicroiunea 32) care p streaz propriet microile schemei
prezentate icircn [104]
34 O Generalizare a Criptosistemului Goldwasser-Micali
Scopul unei scheme de criptare cu cheii publice este de a oferi condenmicroialitate permimicroacircnd
icircn acelasup3i timp utilizatorilor s distribuie cheile publice utilizacircnd canale nesigure Prin
urmare numai un utilizator care demicroine cheia secret poate decripta mesajele icircn timp
ce oricine demicroine cheia public corespunz toare poate cripta datele pentru a le trimite
acestui utilizator De obicei proiectarea PKE-urilor se bazeaz icircn mod obisup3nuit pe
probleme de calcul intratabile din teoria numerelor
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Criptograe cu Chei Publice 15
Autorii [149] au introdus o schem PKE3 reprezentacircnd o extensie destul de natural a
criptosistemului Goldwasser-Micali (GM) [123 124] prima schem de criptare probabilis-
tic Criptosistemul Goldwasser-Micali realizeaz o indistingibilitate a textului cifrat sub
ipoteza reziduurilor p tratice (qr) Icircn ciuda faptului c este simpl sup3i elegant aceast
schem este destul de neeconomic icircn ceea ce privesup3te l microimea de band 4 Icircn literatura de
specialitate au fost propuse diferite icircncerc ri de generalizare a schemei Goldwasser-Micali
pentru a aborda problema menmicroionat anterior Schema Joye-Libert poate considerat
o consecinmicro a criptosistemelor propuse icircn [190] sup3i [79] sup3i care suport criptarea ecient
a mesajelor mai mari
Inspiramicroi de schema Joye-Libert propunem un nou criptosistem cu cheie public icirci anal-
iz m securitatea sup3i oferim cititorului detalii de implementare sup3i o discumicroie despre per-
formanmicro Construim schema propus de noi pe baza simbolurilor de ordin 2k Gener-
alizarea noastr a criptosistemului Joye-Libert folosesup3te doi parametri importanmicroi atunci
cacircnd vine vorba de funcmicroiile de criptare sup3i decriptare num rul de bimicroi ai unui mesaj
sup3i num rul primelor distincte ale unui modul public n Astfel propunerea noastr nu
doar accept criptarea mesajelor mai mari (ca icircn varianta Joye-Libert) ci opereaz sup3i pe
un num r variabil de numere mari mari (icircn loc de dou icircn cazul Joye-Libert) Ambii
parametri pot alesup3i icircn funcmicroie de aplicamicroia de securitate dorit
Schema noastr poate privit ca o solumicroie exibil caracterizat prin capacitatea de a
face compromisuri adecvate icircntre viteza de criptare sup3i extinderea textului cifrat icircntr-un
context dat
35 Autenticare Biometric
Icircn protocoalele de autenticare biometric atunci cacircnd un utilizator se identic folosind
caracteristicile sale biometrice (captate de un senzor) datele colectate vor varia Astfel
abord rile criptograce tradimicroionale (cum ar stocarea unei valori hash) nu sunt potrivite
icircn acest caz deoarece nu sunt tolerante la erori Ca urmare protocoalele bazate pe
biometrie trebuie construite icircntr-un mod special sup3i icircn plus sistemul trebuie s protejeze
sensibilitatea sup3i condenmicroialitatea caracteristicilor biometrice ale unui utilizator Un
astfel de protocol este propus icircn [61] La baza sa st schema de criptare Goldwasser-
Micali Astfel o extensie natural a protocolului din [61] poate obmicroinut folosind
generalizarea schemei Joye-Libert Astfel descriem un astfel de protocol de autenticare
biometric sup3i discut m securitatea acestuia
3reconsiderat icircn [51]4k uml log2 n bimicroi sunt necesari pentru a cripta un mesaj de k bimicroi unde n este un modul RSA [123 124]
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Capitolul 4
Criptograe Bazat pe Identitate
Criptograa bazat pe identitate a fost propus icircn 1984 de c tre Adi Shamir [222] care
a formulat principiile de baz sup3i a furnizat o schem de semn tur bazat pe identitate
Icircn 2000 Sakai Ohgishi sup3i Kasahara [216] au propus un protocol de schimb de cheii
bazat pe identitate iar un an mai tacircrziu Cocks [77] sup3i Boneh sup3i Franklin [59] au a
propus primele scheme de criptare bazate pe identitate Schema lui Cocks se bazeaz pe
reziduuri p tratice icircn timp ce schema propus de Boneh sup3i Franklin se bazeaz pe perechi
biliniare De atunci alte cacircteva scheme de tip IBE bazate pe reziduuri p tratice au fost
propuse [60 147 31 76 99 100 148] desup3i unele dintre ele nu sunt sigure (consultamicroi
[246] pentru detalii)
Schema Cocks cripteaz mesajele bit cu bit sup3i ecare bit criptat este format dintr-o
pereche de dou numere icircntregi Decriptarea const icircn calcularea simbolului Jacobi a
unuia dintre cele dou numere icircntregi din ecare pereche Desup3i schema IBE a lui Cocks
este ecient numai pentru mesajele mici este foarte elegant sup3i per se revolumicroionar
Schema a atras interesul multor cercet tori [60 31 76 148] O analiz atent a [77 60
31 76 148] arat c numerele icircntregi de forma a ` r unde a este un num r icircntreg sup3i r
este un reziduu p tratic (modulo un num r icircntreg n) joac un rol important icircn aceste
lucr ri Icircn special se observ ca este important cunoasup3terea distribumicroiei reziduurilor
p tratice icircntre toate numerele icircntregi de forma a ` r Un studiu icircn aceast direcmicroie a
fost inimicroiat de Perron [206] pentru cazul unui modul prim p Dar majoritatea aplicamicroiilor
criptograce ale reziduurilor p tratice necesit utilizarea unui modul compus n ldquo pq Ne
confrunt m astfel cu necesitatea extinderii rezultatelor lui Perron la module compuse
Acelasup3i lucru a fost susmicroinut icircn [31] (consultamicroi Secmicroiunea 23 din [31]) Aici autorii au
evitat extinderea rezultatelor lui Perron la module compuse cu premicroul unor rezultate mai
slabe de indistingibilitate (aceaste rezultate vor discutate pe deplin icircn Secmicroiunea 431)
16
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Criptograe Bazat pe Identitate 17
Contribumicroiile prezentate icircn acest capitol sunt structurate icircn dou p rmicroi Icircn prima parte
(Secmicroiunea 42) sunt considerate mulmicroimile de forma a `X ldquo tpa ` xq mod n | x P Xu
unde n este un num r prim sau produsul a dou numere prime n ldquo pq iar X este o
submulmicroime a Z˚n ale c rei elemente au un anumit simbol Jacobi modulo factorii primi
ai lui n De exemplu X poate mulmicroimea tuturor numerelor icircntregi din Z˚n ale c ror
simbol Jacobi modulo p este 1 sup3i modulo q este acute1 (presupunacircnd n ldquo pq) spunem c
sup3ablonul Jacobi al icircntregilor din X icircn acest caz este `acute Apoi avacircnd o mulmicroime de
tip a`X calcul m distribumicroia reziduuri p tratice non-reziduuri p tratice etc icircn a`X
Prezent m rezultatele obmicroinute pentru toate sup3abloanele de lungime Jacobi unu + sup3i -
(aceastea corespund reziduurilor p tratice sup3i non-reziduurilor modulo un num r prim) sup3i
sup3abloane Jacobi de lungime doi `` acute `acute sup3i acute` (aceastea corespund modulelor care
sunt produsul a dou numere prime distincte)
Rezultatele prezentate icircn Secmicroiunea 42 sunt o extensie major a propriet microilor demon-
strate de Perron [206] care a studiat doar distribumicroia reziduurilor p tratice icircn mulmicroimea
a ` QRp unde p este un num r prim Studii conexe cu cele efectuate icircn Secmicroiunea 43
se reg sesc icircn [86 87 204 151] unde autorii calculeaz probabilitatea ca sup3ablonul de
lungime `
JppaqJppa` 1q uml uml uml Jppa` `acute 1q
s coincid cu un sup3ablon dat a priori modulo p atunci cacircnd a este ales aleator din a P Z˚p
(p este un num r prim) Astfel icircn [204] s-a ar tat c num rul icircntregi a cu proprietatea
de mai sus este icircntre p2` acute ε sup3i p2` ` ε unde ε ldquo `p3 `pq Icircmp rmicroind aceste dou
limite cu p obmicroinem probabilitatea ca un icircntreg a s induc un sup3ablon Jacobi dat pentru
` elemente consecutive O extensie direct a acestui rezultat la cazul modulelor de tip
RSA poate duce la o margine mult mai mare decacirct ε Icircn [151] o extensie la modulele
RSA a fost propus prin generalizarea rezultatelor din [87] Astfel autorul a ar tat c
num rul de icircntregi a cu proprietatea de mai sus este n2` `Opn uml log2 nq unde n este
un modul RSA sup3i 1 ď ` ď p12acute δq log2 n pentru 0 ă δ ă 12
Rezultatele dezvoltate icircn acest capitol sunt diferite de cele menmicroionate mai sus din cel
pumicroin dou motive Icircn primul racircnd am dezvoltat formule exacte sup3i nu aproximative
pentru num rul de icircntregi cu un sup3ablon Jacobi dat icircn seturile a`X Icircn al doilea racircnd
factorul de cresup3tere este arbitrar icircn toate studiile noastre icircn timp ce este unu in toate
rezultatele menmicroionate mai sus
A doua parte a contribumicroilor din acest capitolul (Secmicroiunea 43) subliniaz cacircteva aplicamicroii
ale rezultatelor dezvoltate icircn prima parte (Secmicroiunea 42) Exist dou aplicamicroii principale
discutate aici Prima se refer la testul lui Galbraith pentru schema IBE a lui Cocks
Acest test a fost descris pe scurt icircn mai multe lucr ri precum [58 31 148] dar unele
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Criptograe Bazat pe Identitate 18
armamicroii nu au fost riguros formulate sup3isau demonstrate Pe baza rezultatelor dezvoltate
icircn Secmicroiunea 42 am putut face o analiz riguroas a unor distribumicroii ce se reg sesc icircn
schema IBE a lui Cocks sup3i testul lui Galbraith oferind astfel o analiz complet a testului
Galbraith
A doua aplicamicroie discutat icircn Secmicroiunea 43 se refer la indistingibilitatea computamicroion-
al presupunacircnd dicultatea problemei reziduurilor p tratice a unor distribumicroii din
[31 76 148] Pe baza rezultatelor dezvoltate icircn Secmicroiunea 42 am putut demonstra in-
distingibilitatea statistic a acestor distribumicroii (f r nicio presupunere computamicroional )
Pe lacircng aplicamicroiile menmicroionate deja icircn Secmicroiunea 43 credem c studiul nostru din Secmicroi-
unea 42 este important sup3i pentru c contribuie la o mai bun icircnmicroelegere a structurii
mulmicroimii Z˚n icircn ceea ce privesup3te sup3abloanele de lungime Jacobi cel mult doi care sunt
frecvent utilizate icircn criptograe
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016
Capitolul 5
Atacuri Cleptograce
Deoarece din ce icircn ce mai multe micro ri solicit persoanelor zice sup3i furnizorilor s predea
parolele sup3i cheile de decriptare [22] am putea observa o cresup3tere a utiliz rii canalelor
subliminale Canalele subliminale sunt canale secundare de comunicare ascunse icircn in-
teriorul unui canal de comunicare potenmicroial compromis Conceptul a fost introdus de
Simmons [226 227 228] ca solumicroie la problema prizonierilor Problema prizonierilor este
urm toarea Alice sup3i Bob sunt icircnchisup3i sup3i doresc s comunice condenmicroial sup3i nedetectamicroi
de gardianul lor Walter care le impune s citeasc toate comunic rile lor Remicroinemicroi c
Alice sup3i Bob pot schimba o cheie secret icircnainte de a icircncarceramicroi
Modelele clasice de securitate presupun c algoritmii criptograci dintr-un dispozitiv
sunt implementamicroi corect sup3i conform specicamicroiilor tehnice Din p cate icircn lumea real
utilizatorii au un control redus asupra criteriilor de proiectare sau asupra implemen-
t rii unui modul de securitate Cacircnd folosesup3te un dispozitiv hardware de exemplu un
smartcard utilizatorul presupune implicit c produc torul este onest sup3i c acesta con-
struiesup3te dispozitivele conform specicamicroiilor furnizate Ideea unui produc tor malimicroios
care deviaz de la specicamicroiile dispozitivului sau icircncorporeaz un backdoor icircntr-o im-
plementare a fost sugerat mai icircntacirci de Young sup3i Yung [261 262] Pentru a demonstra
fezabilitatea conceptului au dezvoltat atacurile de tip secretly embedded trapdoor with
universal protection (SETUP) Aceste atacuri combin canale subliminale sup3i criptograa
cu cheie public pentru a recupera icircn mod neautorizat cheia privat a unui utilizator sau
un mesaj Young sup3i Yung au presupus un mediu de tip black-box1 menmicroionacircnd icircn acelasup3i
timp existenmicroa altor scenarii Menmicroion m c distribumicroiile de intrare sup3i iesup3ire ale unui dis-
pozitiv cu un mecanism SETUP nu ar trebui s se disting de distribumicroia obisup3nuit Cu
1Un black-box este un dispozitiv proces sau sistem ale c rui intr ri sup3i iesup3iri sunt cunoscute darstructura sa intern sau funcmicroionarea sa nu sunt cunoscute sau accesibile utilizatorului (eg dispozitivetamper proof)
19
Atacuri Cleptograce 20
toate acestea dac dispozitivul este reverse engineered mecanismul implementat poate
detectat
Desup3i atacurile de tip SETUP au fost considerate impractice de unii criptogra eveni-
mentele recente [36 205] sugereaz altfel Icircn consecinmicro acest domeniu de cercetare pare
s fost revitalizat [32 45 94 214] Icircn [47] atacurile de tip SETUP implementate
icircn scheme de criptare simetrice sunt denumite atacuri de substitumicroie algoritmic (ASA)
Autorii [47] subliniaz faptul c gradul ridicat al complexit microii software-ului open-source
(eg OpenSSL) sup3i num rul redus de expermicroi care le revizuiesc fac ASA-urile plauzibile
nu numai icircn modelul black-box ASA-urile icircn cazul simetric sunt studiate icircn continuare
icircn [45 88] sup3i icircn cazul funcmicroiilor hash icircn [28] O leg tur icircntre steganograa cu chei
simetrice sup3i ASA poate g sit icircn [53]
Un exemplu practic de recuperare neautorizat a cheiilor unui utilizator este generatorul
Dual-EC un generator de numere pseudo-aleatoare sigur din punct de vedere criptograc
standardizat de NIST Documentele interne NSA dezv luite de Edward Snowden [36 205]
indicau un backdoor icircncorporat icircn generatorul Dual-EC Dup cum sa menmicroionat icircn [54]
utilizarea generatorului Dual-EC faciliteaz o termicro parte s recupereze cheia privat a
unui utilizator Un astfel de atac este o aplicamicroie natural a atacurilor prezentate de
Young sup3i Yung Cacircteva exemple de atacuri SETUP din lumea real pot g site icircn
[70 69] Bazacircndu-se pe lucr rile anterioare [250] sup3i inuenmicroate de incidentul Dual-EC
[94 89] ofer cititorilor un cadru formal al generatoarelor de numere pseudo-aleatoare
(PRNG)
Un model mai general intitulat subversion attack este luat icircn considerare icircn [32] Acest
model include atacurile SETUP sup3i ASA-uri dar sunt incluse sup3i atacuri generice de tip
malware sup3i virusup3ii Autorii ofer scheme de semn turi rezistente la subversiune icircn mod-
elul propus Munca lor este extins icircn continuare icircn [214 215] unde sunt furnizate solumicroii
rezistente la subversiune pentru funcmicroii one-way scheme de semn turi sup3i PRNG-uri Icircn
[214] autorii subliniaz c modelul din [32] presupune c parametrii sistemului sunt gen-
eramicroi corect (dar acest lucru nu este icircntotdeauna adev rat) Icircn cazul logaritmului discret
exemple de algoritmi pentru generarea numerelor prime cu backdoor-uri incorporate pot
g site icircn [126 110]
O metod diferit pentru protejarea utilizatorilor icircmpotriva atacurilor de subversiune
sunt cryptographic reverse rewalls (RF) RF reprezint dispozitive externe de icircncredere
care sanitizeaz iesup3irile aparatelor infectate Conceptul a fost introdus icircn [184 96] Un
RF pentru schemele de semn turi este furnizat icircn [32]
Atacuri Cleptograce 21
51 Atacuri Cleptograce Partajate
Icircn aceast secmicroiune extindem atacurile SETUP introduse Young sup3i Yung asupra sem-
n turilor digitale Introducem primul mecanism SETUP care recupereaz cheia secret
a unui utilizator numai dac p rmicroile malimicroioase decid s fac acest lucru Presupunem
c schemele de semn turi sunt implementate icircntr-un black-box echipat cu o memorie
volatil sup3tears ori de cacircte ori cineva icircncearc s o acceseze
Icircn cele ce urmeaz oferim cacircteva exemple icircn care poate util o semn tur cleptograc
partajat
Deoarece documentele semnate digital sunt la fel din punct de vedere legal ca semn -
turile pe hacircrtie dac un destinatar primesup3te un document semnat de A el va acmicroiona
conform instrucmicroiunilor lui A G sirea cheii private a lui A poate ajuta o agenmicroie de
aplicare a legii s colecteze informamicroii suplimentare despre A sup3i anturajul s u Pentru a
proteja cet microenii de abuzuri un mandat trebuie emis de o comisie juridic icircnainte de a
icircncepe supravegherea Pentru a ajuta comisia sup3i pentru a preveni abuzul produc torul
dispozitivului A poate implementa un mecanism SETUP partajat ` din n Astfel cheia
A poate recuperat numai dac exist un cvorum icircn favoarea emiterii mandatului
Monedele digitale (eg Bitcoin) au devenit o alternativ popular la monedele zice
Tranzacmicroiile icircntre utilizatori se bazeaz pe semn turi digitale Cacircnd se efectueaz o tran-
zacmicroie cheia public a destinatarului este stracircns legat de banii transferamicroi Numai pro-
prietarul cheii secrete poate cheltui banii Pentru a-sup3i proteja cheile secrete utilizatorul
poate alege s le stocheze icircntr-un dispozitiv tamper proof numit portofel hardware S
presupunem c un grup de entit microi malimicroioase reusup3esup3te s infecteze unele portofele hard-
ware sup3i implementeaz un mecanism SETUP partajat ` din n Cacircnd ` membrii decid
ei pot transfera banii din portofelele infectate f r sup3tirea proprietarului Dac ` acute 1
p rmicroi sunt arestate mecanismul r macircne nedetectabil atacirct timp cacirct dispozitivele nu sunt
reverse engineered
Icircn conformitate cu lucr rile inimicroiale demonstr m c mecanismele SETUP partajate nu se
pot distinge computamicroional de semn turile obisup3nuite Icircn funcmicroie de semn tura infectat
obmicroinem securitate icircn modelul standard sau random oracle (ROM) Pentru obmicroine acest
lucru folosim o schem de criptare cu cheii publice (introdus icircn Secmicroiunea 352) sup3i
schema de partajare a secretelor introdus de Shamir [221] Demonstramicroiile de securitate
icircn ROM sunt usup3or de dedus din demonstramicroiile standard de securitate furnizate icircn acest
secmicroiune Astfel acestea sunt omise
Atacuri Cleptograce 22
52 Metode Cliptograce Generice
Modelul inimicroial propus de Young sup3i Yung este modelul black-box Pentru scopurile noas-
tre acest model este sucient deoarece protocoalele de tip zero-knowledge pe care
le atac m au fost concepute pentru smartcard-uri O proprietate important este c
smartcard-urile infectate ar trebui s aib intr ri sup3i iesup3iri indistingibile de smartcard-
urile obisup3nuite Cu toate acestea dac smartcard-ul este reverse engineered mecanismul
implementat poate detectat
Exist dou metode pentru a icircncorpora backdoor-uri icircntr-un sistem e prin generarea
unor parametri publici speciali (SPP) e prin infectarea numerele aleatorii (IRN) uti-
lizate de sistem Icircn cazul sistemelor bazate pe logaritmul discret SPP sup3i IRN au fost
studiate icircn [261 262 263 264 126 110] Icircn cazul sistemelor bazate pe factorizare am
g sit SPP [83 261 262 265 264] sup3i nu IRN
Folosind acelasup3i nivel de abstractizare ca icircn [176] ar t m cum un atacator (numit
Mallory) poate introduce un backdoor icircn protocolul UZK sup3i poate extrage secretul lui
Peggy Cacircnd este instanmicroiat acest atac ofer o nou perspectiv asupra atacurilor
SETUP Icircn special oferim primul atac IRN asupra unui sistem bazat pe factorizare sup3i
primul atac asupra sistemelor construite cu ajutorul reprezent rilor bazate pe radacini de
ordinul e De asemenea oferim cititorului noi instanmicroieri ale protocolului unicat al lui
Maurer protocolul Girault o nou protocol de tip proof of knowledge pentru reprezent ri
bazate pe logaritmul discret icircn Z˚n sup3i un protocol bazat pe radacini de ordinul e
Al doilea atac SETUP pe care icircl introducem este o generalizare a atacului introdus de
Young sup3i Yung Cacircnd este instanmicroiat cu protocolul Schnorr obmicroinem rezultatele acestora
De asemenea oferim alte exemple nemenmicroionate de Young sup3i Yung
53 Abonamente Cleptograce
Unul dintre modelele clasice de afaceri pentru atacurile cleptograce este urm torul un
client2 C pl tesup3te icircn avans un produc tor M care ulterior va implementa un anumit
backdoor icircntr-un dispozitiv tamper proof sup3i va livra dispozitivul respectiv unei victime
Acest model ofer produc torul un avantaj deoarece acesta poate taxa clientul f r a
implementa backdoor-ul solicitat Deoarece aceast tranzacmicroie este ilegal clientul nu
poate depune placircngere sup3i nu icircsup3i poate recupera legal banii Astfel acest lucru ar putea
speria unii dintre potenmicroialii clienmicroi
2prin denimicroie o entitate malimicroioas
Atacuri Cleptograce 23
Un alt model clasic este urm torul un client pl tesup3te icircn avans produc torului jum tate
din bani sup3i restul dup ce a vericat corectitudinea backdoor-ului Dac produc torul nu
ia anumite m suri de precaumicroie atunci clientul este icircn avantaj De exemplu C veric
corectitudinea backdoor-ului dar nu mai pl teasup3te a doua transup3 Acest lucru poate
usup3or evitat dac o metod de dezactivare a backdoor-ului este implementat in M3
O posibil strategie de dezactivare este ca M s trimit c tre D un input special care
instruiesup3te dispozitivul s sup3tearg toate probele incriminatoare O abordare similar este
utilizat icircn [88 109] pentru a declansup3a backdoor-urile
Ambele abord ri clasice prezint un risc inerent pentru produc tor clientul poate dovedi
cu usup3urinmicro c M a implementat icircn D un backdoor e prin decriptarea tuturor mesajelor
trimise prin dispozitivul respectiv e prin dezv luirea cheilor private stocate icircnD Astfel
pentru a produce prot icircn poda riscurilor produc torul trebuie s icirci perceap lui C o
tax mare de icircncorporare Acest lucru va speria cu siguranmicro anumimicroi clienmicroi constracircnsup3i de
resurse (ie icircntreprinderi mici care nu au resursele unei mari corporamicroii) Pentru a rezolva
aceast problem introducem un model bazat pe abonamente adecvat algoritmului de
criptare ElGamal
Modelul nostru se inspir din serviciile de streaming oferite de companii precum Netix
[6] Amazon [7] sup3i HBO [8] Aceste companii ofer acces la conmicroinutul de streaming
icircn schimbul unei pl microi lunare Icircn cazul nostru un client pl tesup3te pentru un backdoor
care icirci ofer acces la un num r limitat de mesaje private Ulterior clientul trebuie s
icircsup3i reicircnnoiasc abonamentul Acest lucru echilibreaz protul sup3i factorii de risc pentru
produc tor4 sup3i icircn consecinmicro M poate reduce taxele de icircncorporare R macircne totusup3i
un risc nu exist garanmicroii de livrare a produselor pentru clienmicroi Dar acest lucru este
minimizat icircntr-un model bazat pe abonament deoarece obiectivul produc torului este
de a menmicroine clienmicroii mulmicroumimicroi astfel icircncacirct acesup3tia s icircsup3i reicircnnoiasc abonamentul5
Icircn comparamicroie cu modelele clasice modelul nostru propus are o problem diferit care tre-
buie abordat Clienmicroii doresc acces la serviciile lor imediat ce pl tesc Dar tranzacmicroiile
ilegale folosesc icircn cea mai mare parte criptomonede [75] iar timpul mediu de conrmare
pentru acest tip de tranzacmicroii este mare icircn unele cazuri (ie pentru Bitcoin dureaz icircn
medie o or pentru a conrma o tranzacmicroie [2]) Astfel pentru a oferi produc torului
sucient timp pentru a dezactiva backdoor-ul6 dac tranzacmicroia nu este valid folosim un
mecanism similar cu time-lock puzzles [213]
3La fel ca icircn modelul anterior tranzacmicroia este ilegal sup3i prin urmare M nu poate lua m suri legaleicircmpotriva lui C
4M este expus doar pentru o perioad limitat de timp5Icircnsup3elarea unui client va aduce lui M o sum mic de venituri6prin intermediul unor mecanisme speciale
Atacuri Cleptograce 24
Remicroinemicroi c contram surile cleptograce generice [214 215 135] pot proteja utilizatorii
dispozitivului tamper-proof icircmpotriva mecanismelor propuse Din p cate cu excepmicroia
cazului icircn care utilizatorii solicit icircn mod explicit implementarea acestor mijloace de
ap rare produc torul nu este obligat s le implementeze Astfel M este liber s imple-
menteze orice mecanism cleptograc
54 Canale Hash
Majoritatea canalelor subliminale sau a atacurilor de tip SETUP folosesc numere aleatorii
pentru a transmite informat ii nedetectate Icircn consecint toate contram surile propuse
se concentreaz pe igienizarea numerelor aleatorii utilizate de un sistem Icircn cazul semn -
turilor digitale o metod diferit dar laborioas pentru inserarea unui canal subliminal
icircntr-un sistem este prezentat icircn [256] Icircn loc s foloseasc numerele aleatoare ca purt -
tori de informat ie Alice foloseste hash-ul mesajului pentru a transmite mesajul pentru
Bob Pentru a realiza acest lucru Alice face mici modic ri la mesaj pacircn cacircnd hash-ul
are propriet t ile dorite Menmicroion m c metoda prezentat icircn [256] ocoleste toate con-
tram surile ment ionate pacircn acum
Aceast sect iune studiaz o metod generic care permite prizonierilor s comunice prin
semn turile electronice protejate icircmpotriva canalelor subliminale g site icircn [214 215 73
135 32 57] Pentru a ne atinge obiectivul lucr m icircntr-un scenariu icircn care tuturor
mesajelor li se aplic un timestamp icircnaintea semn rii Ret inet i c nu icircnc lc m niciuna
dintre ipotezele f cute de propunerile anti-subversiune Aceast secmicroiune este motivat
de faptul c majoritatea utilizatorilor nu veric armat iile f cute de produc tori7 Mai
mult utilizatorii nu stiu adesea care ar trebui s e output-urile unui dispozitiv [163] Un
incident notabil icircn care utilizatorii care nu stiau output-urile corecte s i au avut icircncredere
icircn dezvoltatori este incidentul Debian [50]
7Produc torii ar putea implementa semn turi anti-subversiune doar icircn scopuri de marketing icircn timpce continu s infecteze unele dintre dispozitivele produse
Capitolul 6
Generatoare de Numere
(Pseudo-)Aleatoare
Unul dintre elementele esenmicroiale ale criptograei sunt generatoarele de numere aleatoare
Icircn special pentru asigurarea condenmicroialit microii sau autenticit microii este vital ca cheile crip-
tograce s e generate aleatoriu Icircn plus majoritatea algoritmilor criptograci sunt
randomizamicroi
Generarea numerelor aleatoare prin intermediul proceselor zice este de obicei consuma-
toare de timp sup3i costisitoare astfel icircn practic majoritatea aplicamicroiilor folosesc generatoare
de numere pseudo-aleatoare Un astfel de generator este un algoritm determinist care
primesup3te ca input un seed aleatoriu de dimensiuni reduse sup3i genereaz o secvenmicro de bimicroi
mult mai lung Nu toate PRNG-urile sunt potrivite pentru aplicamicroii criptograce Un
astfel de exemplu este generatorul folosit de Adobe Flash Player Unele dintre cerinmicroele
de baz ale securit microii PRNG-urilor sunt s nu poat distins de un RNG real sup3i s nu
se poat recupera starea sa intern pornind de la output-ul s u Icircn prima parte a acestui
capitol descriem un algoritm de recuperare a seed-ului pentru Flash Player PRNG
O metod popular pentru generarea cheilor criptograce sau a altor input-uri aleatorii
este de a avea un pool de entropie care acumuleaz date dintr-o surs zic de zgomot sup3i
un PRNG care icircsup3i updateaz periodic starea intern din pool sup3i produce date cu o rat
constant Pentru a asigura o funcmicroionare corect icircnainte de a ad uga date la pool-ul
de entropie acestea se testeaz statistic Icircn a doua parte a acestui capitol vom studia
o posibil arhitectur pentru ad ugarea datelor icircn pool Mai precis oferim cititorului
rezultate experimentale sup3i un model teoretic pentru arhitectura propus
25
Generatoare de Numere (Pseudo-)Aleatoare 26
61 Flash Player PRNG
Compilatoarele JIT (eg JavaScript s i ActionScript) translateaz codul surs sau bytecode-
ul icircn cod mas in la runtime pentru o execut ie mai rapid Datorit faptului c scopul
compilatoarelor JIT este de a produce date executabile acestea sunt icircn mod normal
ignorate de mecanismele de tip data execution prevention (DEP1) Astfel o vulnerabil-
itate icircntr-un compilator JIT ar putea duce la un exploit nedetectabil de c tre DEP Un
astfel de atac numit JIT spraying a fost propus icircn [56] Prin coruperea motorului Ac-
tionScript JIT Blazakis arat cum pot scrise instrucmicroiuni de tip shellcode icircn memoria
executabil astfel ocolind mecanismul DEP Informat ia cheie este c compilatorul JIT
este previzibil s i trebuie s copieze unele constante icircn memoria executabil Prin urmare
aceste constante pot codica instruct iuni mici s i apoi pot controla uxul c tre locat ia
urm toarei constante
Pentru a ap ra sistemele icircmpotriva atacurilor de tip JIT spraying Adobe foloseste o
tehnic numit constant blinding Aceast metod icircmpiedic un atacator s icircs i icircncarce
instruct iunile icircn constante s i astfel blocheaz rularea scriptului s u malimicroios Ideea de
la baza constant blinding-ului este de a evita stocarea constantelor icircn memorie icircn forma
lor original Icircn schimb acestea sunt mai icircntacirci mascate cu un cookie secret generat
aleatoriu s i apoi stocate icircn memorie Dac cookie-ul secret este generat prin intermediul
unei PRNG slab criptograc2 atacatorul icircs i recap t capacitatea de a injecta instruct iuni
malimicroioase
Icircn loc s foloseasc un PRNG demonstrat sigur designerii Flash Player au icircncercat s
icircs i proiecteze propriul PRNG Din p cate icircn [253 1] se arat c designul generatorului
este defectuos Icircn [1] este implementat un atac de tip fort brut icircn timp ce icircn [253] este
prezentat un atac de tip fort brut mai ecient Aceste rezultate au fost raportate c tre
Adobe sub codul CVE-2017-3000 [21] iar vulnerabilitatea a fost reparat icircn versiunea
2500127
Icircn aceast sect iune icircmbun t microim atacul prezentat icircn [253] de la o complexitate de timp
de Op221q la una de Op211q De asemenea ar t m c indiferent de parametrii utilizat i
de PRNG defectul r macircne Mai precis ar t m c pentru orice parametru cel mai slab
atac de tip fort brut necesit Op221q operat iuni Icircn [253] autorii nu prezint algoritmul
complet pentru inversarea PRNG-ului icircn timp ce icircn [1] am g sit algoritmul complet dar
acesta nu a fost optimizat Pentru completitudine icircn Anexa K prezent m s i o versiune
optimizat a algoritmului complet Ret inet i c icircn aceast sect iune ne concentr m doar
1Mecanismul DEP efectueaz veric ri suplimentare asupra memoriei pentru a preveni rularea in-strucmicroiunilor malimicroioase icircn cadrul sistemului
2ie seed-ul utilizat pentru a genera cookie-ul poate recuperat icircntr-un timp rezonabil
Generatoare de Numere (Pseudo-)Aleatoare 27
pe Flash Player PRNG Pentru mai multe detalii despre atacurile de tip JIT spraying s i
constant blinding cititorul poate consulta [33 56 212 253]
62 Amplicatoare de Bias
Icircn [264] autorii propun un mecanism interesant care estompeaz linia dintre ceea ce
constituie un troian sup3i ceea ce nu Pentru a le detecta mecanismul un program trebuie
s fac o diferenmicro cumva icircntre un generator de numere aleatoare (RNG) instabil icircn mod
natural sup3i unul instabil articial (obmicroinut prin intermediul unor transform ri matematice)
Din cacircte sup3tim [264] este singura lucrare anterioar care discut acest subiect
Mai exact icircn [264] este descris un ltru digital De obicei ltrele digitale sunt aplicate
RNG-urilor pentru a corecta bias-urile deja existente3 dar acest ltru are un scop opus
Cacircnd este aplicat unor bimicroi distribuimicroi uniform ltrul este benign Pe de alt parte dac
este aplicat unor bimicroi cu un anumit bias ltrul amplic acest bias Astfel agravacircnd
propriet microile negative ale RNG-ului
Icircn aceast secmicroiune extindem ltrul din [264]4 prezent m o nou clas de ltre sup3i discu-
tam cacircteva noi aplicamicroii posibile Atunci cacircnd proiectam un amplicator de bias trebuie
s respectam cacircteva reguli Prima spune c dac bimicroii de intrare sunt uniform distribuimicroi
sau au bias-ul maxim (ie probabilitatea de a obmicroine 1 este e 0 e 1) ltrul trebuie
s menmicroin bias-ul inimicroial Pentru bimicroii uniform distribuimicroi aceast regul ascunde ex-
istenmicroa amplicatoarelor atacircta timp cacirct sursa de zgomot funcmicroioneaz icircn conformitate
cu parametrii de proiectare inimicroiali Pentru bias maxim regula este una funcmicroional
Deoarece RNG-ul este deja complet stricat schimbarea bias-ului nu are sens (din punct
de vedere al proiect rii) A doua regul arm c ltrul ar trebui s amplice bias-ul
icircn direcmicroia icircn care este deja Aceast regul icircl ajut pe proiectant s amplice bias-ul
icircntr-un mod mai usup3or
Principala aplicamicroie pe care o propunem pentru aceste ltre este testarea RNG-urilor
(eg icircmbun t microirea testele de tip health implementate icircntr-un RNG) Standardele re-
cente [158 249] necesit ca un RNG s poat detecta posibilele defecmicroiunile sup3i o astfel de
metod pentru detectarea timpurie poate aplicarea unui amplicator sup3i apoi efectuarea
unor teste statistice de tip lightweigh5 Pe baza rezultatelor obmicroinute icircn Secmicroiunile 622
sup3i 623 introducem o arhitectur generic pentru implementarea testelor de tip health
icircn Secmicroiunea 6241 Mai precis aplicacircnd un test de tip lightweight pe bimicroii amplicamicroi
3Se numesc extractoare de numere aleatoare [95]4Filtrul prezentat icircn [264] corespunde amplicatorului de tip greedy cu parametrul n ldquo 3 descris icircn
Secmicroiunea 622 5de exemplu testele descrise icircn [134]
Generatoare de Numere (Pseudo-)Aleatoare 28
arhitectura poate detecta abateri de la distribumicroia uniform Pentru a valida arhitectura
noastr am efectuat mai icircntacirci o serie de experimente pe RNG-uri care genereaz bimicroi
uniformi independenmicroi sup3i identic distribuimicroi Ar t m de asemenea c arhitectura noas-
tr poate detecta abaterea de la parametrii inimicroiali ai sursei uiid Icircn Secmicroiunea 625
extindem rezultatele preliminare la sursele de zgomot care au o distribumicroie Bernoulli sup3i
ar t m c arhitectura poate detecta icircncepacircnd din faza de proiectare sursele grav de-
viate Pentru a ne susmicroine rezultatele dezvolt m un model teoretic sup3i oferim cititorului
simul ri bazate pe modelul nostru Menmicroion m c modelul nostru teoretic explic de
asemenea de ce arhitectura noastr poate detecta abaterile de la parametrii inimicroiali
Datorit evenimentelor recente [36 205 50 69] RNG-urile au fost supuse examin rilor
publice Astfel icircntrebarea ce tip de mecanisme pot puse icircn aplicare de c tre o termicro
parte malimicroioas pentru a sl bi sau destabiliza un sistem devine natural Filtrele de
amplicare sunt un posibil mod icircn care se poate realiza acest lucru Pe baza mecanismelor
de detectare a defecmicroiunilor propuse icircn Secmicroiunea 6241 ar t m de exemplu modul icircn
care un produc tor poate manipula arhitectura pentru a deveni malimicroioas
Capitolul 7
Criptograe Recreamicroional
Icircn acest capitol analiz m securitatea unei serii de probleme care pot v zute ca jocuri
abstracte Motivamicroia noastr principal pentru studierea unor astfel de protocoale este
utilitatea lor pedagogic Menmicroion m c nu suntem consup3tienmicroi de nicio aplicamicroie re-
al de orice fel Mai precis aceste probleme se icircncadreaz icircn categoria criptograei
recreamicroionale Desup3i recreamicroionale aceste protocoale pot oferi informamicroii sup3i tehnici intere-
sante care pot utile pentru icircnmicroelegerea conceptelor de baz pe care se bazeaz aceste
protocoale
Criptograa zic [130 44 191 218] folosesup3te propriet microile zice ale sistemelor pen-
tru criptarea sup3isau schimbul de informamicroii (ie f r a utiliza funcmicroii unidirecmicroionale)
Desup3i sunt un instrument didactic foarte interesant se poate demonstra c unele dintre
metodele propuse nu sunt sigure icircn practic Astfel scopul nostru este de a ataca astfel
de protocoale zice folosind metode similare tehnicilor de tip side-channel
Pe lacircng utilitatea pedagogic evident credem c unele dintre schemele abordate icircn
capitolul actual pot utilizate cu succes pentru introducerea conceptelor corespunz toare
altor domenii Oferim cititorului astfel de exemple icircn urm toarele secmicroiuni
Desup3i unii autori recunosc c protocoalele lor propuse sunt utile doar pentru a se juca cu
copiii sau pentru a introduce noi concepte publicului non-tehnic autorii articolelor [129
130 128 225] susmicroin c schemele lor pot implementate icircn siguranmicro icircn mod real Icircn [81]
Courtois atac unul dintre protocoalele propuse icircn [129] dar autorii contest rezultatele
sale icircn [130] Am efectuat icircn mod independent o simulare a atacului sup3i rezultatele noastre
conrm armamicroia lui Courtois
29
Bibliograe
[1] A Full Exploit of CVE-2017-3000 on Flash Player Constant Blinding PRNG https
githubcomdangokyoCVE-2017-3000blobmasterExploiteras
[2] Bitcoin Average Conrmation Time httpswwwblockchaincomcharts
avg-confirmation-time
[3] C++ Random Library wwwcpluspluscomreferencerandom
[4] eSTREAM the ECRYPT Stream Cipher Project httpwwwecrypteuorg
stream
[5] Falstad Electronic Circuit httpswwwfalstadcom
[6] Frequently Asked Questions About Netix Billing httpshelpnetflixcom
ennode41049ui_action=kb-article-popular-categories
[7] How to Manage Your Prime Video Channel Subscriptions httpswwwamazon
comgphelpcustomerdisplayhtmlnodeId=201975160
[8] How to Order HBO Subscriptios amp Pricing Options httpswwwhbocom
ways-to-get
[9] Kryptos httpsenwikipediaorgwikiKryptos
[10] Left Shift and Right Shift Operators httpsdocsmicrosoftcomen-us
cppcppleft-shift-and-right-shift-operators-input-and-outputview=
vs-2017
[11] mbed TLS httpstlsmbedorg
[12] Mining Hardware Comparison httpsenbitcoinitwikiMining_hardware_
comparison
[13] NIST SP 800-22 Download Documentation and Software httpscsrcnist
govProjectsRandom-Bit-GenerationDocumentation-and-Software
30
Bibliograe 31
[14] Non-Specialized Hardware Comparison httpsenbitcoinitwiki
Non-specialized_hardware_comparison
[15] OpenMP httpswwwopenmporg
[16] Safe Prime Database https2toncomausafeprimes
[17] Source Code for the Actionscript Virtual Machine httpsgithubcom
adobe-flashavmplustreemastercoreMathUtilscpp
[18] The Die-Hellman Key Exchange Using Paint httpswwwyoutubecomwatch
v=3QnD2c4Xovk
[19] The GNU Multiple Precision Arithmetic Library httpsgmpliborg
[20] Using the GNU Compiler Collection httpsgccgnuorgonlinedocsgcc
Integers-implementationhtml
[21] Vulnerability Details CVE-2017-3000 httpswwwcvedetailscomcve
CVE-2017-3000
[22] World Map of Encryption Laws and Policies httpswwwgp-digitalorg
world-map-of-encryption
[23] FIPS PUB 186-4 Digital Signature Standard (DSS) Technical report NIST 2013
[24] Michel Abdalla Mihir Bellare and Phillip Rogaway DHAES An Encryption
Scheme Based on the Die-Hellman Problem IACR Cryptology ePrint Archive
19997 1999
[25] Michel Abdalla Mihir Bellare and Phillip Rogaway The Oracle Die-Hellman
Assumptions and an Analysis of DHIES In CT-RSA 2001 volume 2020 of Lecture
Notes in Computer Science pages 143158 Springer 2001
[26] Carlisle Adams Pat Cain Denis Pinkas and Robert Zuccherato RFC 3161 Inter-
net X509 Public Key Infrastructure Time-Stamp Protocol (TSP) Technical report
Internet Engineering Task Force 2001
[27] Gorjan Alagic and Alexander Russell Quantum-Secure Symmetric-Key Cryptogra-
phy Based on Hidden Shifts In EUROCRYPT 2018 volume 10212 of Lecture Notes
in Computer Science pages 6593 Springer 2017
[28] Ange Albertini Jean-Philippe Aumasson Maria Eichlseder Florian Mendel and
Martin Schlaumler Malicious Hashing Eves Variant of SHA-1 In SAC 2014 volume
8781 of Lecture Notes in Computer Science pages 119 Springer 2014
Bibliograe 32
[29] N Asokan Matthias Schunter and Michael Waidner Optimistic Protocols for Fair
Exchange In CCS 1997 pages 717 ACM 1997
[30] American Bankers Association et al Working Draft American National Standard
X9 62-1998 Public Key Cryptography for the Financial Services Industry Technical
report 1998
[31] Giuseppe Ateniese and Paolo Gasti Universally Anonymous IBE Based on the
Quadratic Residuosity Assumption In CT-RSA 2009 volume 5473 of Lecture Notes
in Computer Science pages 3247 Springer 2009
[32] Giuseppe Ateniese Bernardo Magri and Daniele Venturi Subversion-Resilient Sig-
nature Schemes In CCS 2015 pages 364375 ACM 2015
[33] Michalis Athanasakis Elias Athanasopoulos Michalis Polychronakis Georgios Por-
tokalidis and Sotiris Ioannidis The Devil is in the Constants Bypassing Defences
in Browser JIT Engines In NDSS 2015 The Internet Society 2015
[34] Jean-Philippe Aumasson Itai Dinur Luca Henzen Willi Meier and Adi Shamir
Ecient FPGA Implementations of High-Dimensional Cube Testers on the Stream
Cipher Grain-128 IACR Cryptology ePrint Archive 2009218 2009
[35] Shahram Bakhtiari Reihaneh Safavi-Naini and Josef Pieprzyk A Message Au-
thentication Code Based on Latin Squares In ACISP 1997 volume 1270 of Lecture
Notes in Computer Science pages 194203 Springer 1997
[36] James Ball Julian Borger and Glenn Greenwald Revealed How US and UK Spy
Agencies Defeat Internet Privacy and Security The Guardian 6 2013
[37] Joacutezsef Balogh Jaacutenos A Csirik Yuval Ishai and Eyal Kushilevitz Private Com-
putation Using a PEZ Dispenser Theoretical Computer Science 306(1-3)6984
2003
[38] Subhadeep Banik Subhamoy Maitra and Santanu Sarkar Some Results on Related
Key-IV Pairs of Grain In SPACE 2012 volume 7644 of Lecture Notes in Computer
Science pages 94110 Springer 2012
[39] Subhadeep Banik Subhamoy Maitra Santanu Sarkar and Turan Meltem Soumlnmez
A Chosen IV Related Key Attack on Grain-128a In ACISP 2013 volume 7959 of
Lecture Notes in Computer Science pages 1326 Springer 2013
[40] Manuel Barbosa Thierry Brouard Steacutephane Cauchie and Simao Melo De Sousa
Secure Biometric Authentication with Improved Accuracy In ACISP 2008 volume
5107 of Lecture Notes in Computer Science pages 2136 Springer 2008
Bibliograe 33
[41] Craig Bauer Gregory Link and Dante Molle James Sanborns Kryptos and the
Matrix Encryption Conjecture Cryptologia 40(6)541552 2016
[42] Craig Bauer and Katherine Millward Cracking Matrix Encryption Row by Row
Cryptologia 31(1)7683 2007
[43] Friedrich Ludwig Bauer Decrypted Secrets Methods and Maxims of Cryptology
Springer 2002
[44] Tim Bell Harold Thimbleby Mike Fellows Ian Witten Neil Koblitz and Matthew
Powell Explaining Cryptographic Systems Computers amp Education 40(3)199215
2003
[45] Mihir Bellare Joseph Jaeger and Daniel Kane Mass-Surveillance without the
State Strongly Undetectable Algorithm-Substitution Attacks In CCS 2015 pages
14311440 ACM 2015
[46] Mihir Bellare Chanathip Namprempre and Gregory Neven Security Proofs
for Identity-Based Identication and Signature Schemes Journal of Cryptology
22(1)161 2009
[47] Mihir Bellare Kenneth G Paterson and Phillip Rogaway Security of Symmetric
Encryption Against Mass Surveillance In CRYPTO 2014 volume 8616 of Lecture
Notes in Computer Science pages 119 Springer 2014
[48] Mihir Bellare and Phillip Rogaway Minimizing the Use of Random Oracles in
Authenticated Encryption Schemes In ICICS 1997 volume 1334 of Lecture Notes
in Computer Science pages 116 Springer 1997
[49] Mihir Bellare and Phillip Rogaway Introduction to Modern Cryptography https
webcsucdavisedu~rogawayclasses227spring05bookmainpdf 2005
[50] Luciano Bello DSA-1571-1 OpenSSLPredictable Random Number Generator
httpswwwdebianorgsecurity2008dsa-1571 2008
[51] Fabrice Benhamouda Javier Herranz Marc Joye and Benoicirct Libert Ecient Cryp-
tosystems from 2k-th Power Residue Symbols Journal of Cryptology 30(2)519549
2017
[52] Cocircme Berbain Henri Gilbert and Alexander Maximov Cryptanalysis of Grain
In FSE 2006 volume 4047 of Lecture Notes in Computer Science pages 1529
Springer 2006
[53] Sebastian Berndt and Maciej Liplusmnkiewicz Algorithm Substitution Attacks from a
Steganographic Perspective In CCS 2017 pages 16491660 ACM 2017
Bibliograe 34
[54] Daniel J Bernstein Tanja Lange and Ruben Niederhagen Dual EC A Stan-
dardized Back Door In The New Codebreakers volume 9100 of Lecture Notes in
Computer Science pages 256281 Springer 2016
[55] Eli Biham and Adi Shamir Dierential Cryptanalysis of DES-like Cryptosystems
In CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 221
Springer 1991
[56] Dionysus Blazakis Interpreter Exploitation In WOOT 2010 USENIX Association
2010
[57] Jens-Matthias Bohli Maria Isabel Gonzalez Vasco and Rainer Steinwandt A
subliminal-free variant of ECDSA In IH 2006 volume 4437 of Lecture Notes in
Computer Science pages 375387 Springer 2006
[58] Dan Boneh Giovanni Di Crescenzo Rafail Ostrovsky and Giuseppe Persiano Pub-
lic Key Encryption with Keyword Search In EUROCRYPT 2004 volume 3027 of
Lecture Notes in Computer Science pages 506522 Springer 2004
[59] Dan Boneh and Matthew K Franklin Identity-Based Encryption from the Weil
Pairing In CRYPTO 2001 volume 2139 of Lecture Notes in Computer Science
pages 213229 Springer 2001
[60] Dan Boneh Craig Gentry and Michael Hamburg Space-ecient Identity Based En-
cryption Without Pairings In FOCS 2007 pages 647657 IEEE Computer Society
2007
[61] Julien Bringer Herveacute Chabanne Malika Izabacheacutene David Pointcheval Qiang
Tang and Seacutebastien Zimmer An Application of the Goldwasser-Micali Cryptosys-
tem to Biometric Authentication In ACISP 2007 pages 96106 Springer 2007
[62] Xavier Bultel Jannik Dreier Pascal Lafourcade and Malika More How to explain
modern security concepts to your children Cryptologia 41(5)422447 2017
[63] Christian Cachin and Jan Camenisch Optimistic Fair Secure Computation In
CRYPTO 2000 volume 1880 of Lecture Notes in Computer Science pages 93111
Springer 2000
[64] Christophe Canniegravere Oumlzguumll Kuumlccediluumlk and Bart Preneel Analysis of Grains Ini-
tialization Algorithm In AFRICACRYPT 2008 volume 5023 of Lecture Notes in
Computer Science pages 276289 Springer 2008
[65] Anne Canteaut Pascale Charpin and Hans Dobbertin Weight Divisibility of Cyclic
Codes Highly Nonlinear Functions on F2m and Crosscorrelation of Maximum-
Length Sequences SIAM J Discrete Math 13(1)105138 2000
Bibliograe 35
[66] Heacutector Martiacuten Cantero Sven Peter and Segher Bushing Console Hacking 2010PS3
Epic Fail In 27th Chaos Communication Congress 2010
[67] Charalambos A Charalambides Enumerative Combinatorics Chapman and Hal-
lCRC 2002
[68] David Chaum Jan-Hendrik Evertse and Jeroen Van De Graaf An Improved Proto-
col for Demonstrating Possession of Discrete Logarithms and Some Generalizations
In EUROCRYPT 1987 volume 304 of Lecture Notes in Computer Science pages
127141 Springer 1987
[69] Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan
Cohney Matthew Green Nadia Heninger Ralf-Philipp Weinmann Eric Rescorla
and Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In
CCS 2016 pages 468479 ACM 2016
[70] Stephen Checkoway Ruben Niederhagen Adam Everspaugh Matthew Green Tanja
Lange Thomas Ristenpart Daniel J Bernstein Jake Maskiewicz Hovav Shacham
and Matthew Fredrikson On the Practical Exploitability of Dual EC in TLS Imple-
mentations In USENIX Security Symposium pages 319335 USENIX Association
2014
[71] Liqun Chen Caroline Kudla and Kenneth G Paterson Concurrent Signatures
In EUROCRYPT 2004 volume 3027 of Lecture Notes in Computer Science pages
287305 Springer 2004
[72] Benoicirct Chevallier-Mames An Ecient CDH-Based Signature Scheme with a Tight
Security Reduction In CRYPTO 2005 volume 3621 of Lecture Notes in Computer
Science pages 511526 Springer 2005
[73] Jong Youl Choi Philippe Golle and Markus Jakobsson Tamper-Evident Digital
Signature Protecting Certication Authorities Against Malware In DASC 2006
pages 3744 IEEE 2006
[74] Jae Cha Choon and Jung Hee Cheon An Identity-Based Signature from Gap Die-
Hellman Groups In PKC 2003 volume 2567 of Lecture Notes in Computer Science
pages 1830 Springer 2003
[75] Nicolas Christin Traveling the Silk Road A Measurement Analysis of a Large
Anonymous Online Marketplace In WWW 2013 pages 213224 ACM 2013
[76] Michael Clear Hitesh Tewari and Ciaraacuten McGoldrick Anonymous IBE from
Quadratic Residuosity with Improved Performance In AFRICACRYPT 2014 vol-
ume 8469 of Lecture Notes in Computer Science pages 377397 Springer 2014
Bibliograe 36
[77] Cliord Cocks An Identity Based Encryption Scheme Based on Quadratic Residues
In IMACC 2001 volume 2260 of Lecture Notes in Computer Science pages 360363
Springer 2001
[78] Simon Cogliani Bao Feng Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David
Naccache Rodrigo Portella do Canto and Guilin Wang Public Key-Based
Lightweight Swarm Authentication In Cyber-Physical Systems Security pages 255
267 Springer 2018
[79] Josh Cohen and Michael Fischer A Robust and Veriable Cryptographically Se-
cure Ellection Scheme (extended abstract) In FOCS 1985 pages 372382 IEEE
Computer Society Press 1985
[80] Mariana Costiuc Diana Maimumicro and George Tesup3eleanu Physical Cryptography In
SECITC 2019 volume 12001 of Lecture Notes in Computer Science pages 156171
Springer 2019
[81] Nicolas T Courtois Cryptanalysis of Grigoriev-Shpilrain Physical Asymmetric
Scheme With Capacitors IACR Cryptology ePrint Archive 2013302 2013
[82] Richard Crandall and Carl Pomerance Prime Numbers A Computational Perspec-
tive Number Theory and Discrete Mathematics Springer 2005
[83] Claude Creacutepeau and Alain Slakmon Simple Backdoors for RSA Key Generation In
CT-RSA 2003 volume 2612 of Lecture Notes in Computer Science pages 403416
Springer 2003
[84] Paul Crowley Mirdek A Card Cipher Inspired by Solitaire httpwww
ciphergothorgcryptomirdek
[85] Joan Daemen and Vincent Rijmen The Design of Rijndael AES - The Advanced
Encryption Standard Springer Science amp Business Media 2013
[86] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-6(1)4954 1931
[87] Harold Davenport On the Distribution of Quadratic Residues (mod p) Journal of
the London Mathematical Society s1-8(1)4652 1933
[88] Jean Paul Degabriele Pooya Farshim and Bertram Poettering A More Cautious
Approach to Security Against Mass Surveillance In FSE 2015 volume 9054 of
Lecture Notes in Computer Science pages 579598 Springer 2015
Bibliograe 37
[89] Jean Paul Degabriele Kenneth G Paterson Jacob CN Schuldt and Joanne
Woodage Backdoors in Pseudorandom Number Generators Possibility and Im-
possibility Results In CRYPTO 2016 volume 9814 of Lecture Notes in Computer
Science pages 403432 Springer 2016
[90] Joacutezsef Deacutenes and A Donald Keedwell A New Authentication Scheme Based on
Latin Squares Discrete Mathematics 106157161 1992
[91] Itai Dinur Tim Guumlneysu Christof Paar Adi Shamir and Ralf Zimmermann An
Experimentally Veried Attack on Full Grain-128 Using Dedicated Recongurable
Hardware In ASIACRYPT 2011 volume 7073 of Lecture Notes in Computer Sci-
ence pages 327343 Springer 2011
[92] Itai Dinur and Adi Shamir Breaking Grain-128 with Dynamic Cube Attacks In FSE
2011 volume 6733 of Lecture Notes in Computer Science pages 167187 Springer
2011
[93] Hans Dobbertin One-to-One Highly Nonlinear Power Functions on GF(2n) Appl
Algebra Eng Commun Comput 9(2)139152 1998
[94] Yevgeniy Dodis Chaya Ganesh Alexander Golovnev Ari Juels and Thomas Ris-
tenpart A Formal Treatment of Backdoored Pseudorandom Generators In EURO-
CRYPT 2015 volume 9056 of Lecture Notes in Computer Science pages 101126
Springer 2015
[95] Yevgeniy Dodis Rosario Gennaro Johan Haringstad Hugo Krawczyk and Tal Rabin
Randomness Extraction and Key Derivation Using the CBC Cascade and HMAC
Modes In CRYPTO 2004 volume 3152 of Lecture Notes in Computer Science
pages 494510 Springer 2004
[96] Yevgeniy Dodis Ilya Mironov and Noah Stephens-Davidowitz Message Transmis-
sion with Reverse FirewallsSecure Communication on Corrupted Machines In
CRYPTO 2016 volume 9814 of Lecture Notes in Computer Science pages 341372
Springer 2016
[97] Vasily Dolmatov and Alexey Degtyarev GOST R 3410-2012 Digital Signature
Algorithm Technical report Internet Engineering Task Force 2013
[98] Morris Dworkin Recommendation for Block Cipher Modes of Operation Methods
and Techniques Technical report NIST 2001
[99] Ibrahim Elashry Yi Mu and Willy Susilo Jhanwar-Baruas Identity-Based Encryp-
tion Revisited In NSS 2014 volume 8792 of Lecture Notes in Computer Science
pages 271284 Springer 2014
Bibliograe 38
[100] Ibrahim Elashry Yi Mu and Willy Susilo An Ecient Variant of Boneh-Gentry-
Hamburgs Identity-Based Encryption Without Pairing In WISA 2014 volume
8909 of Lecture Notes in Computer Science pages 257268 Springer 2015
[101] Taher ElGamal A Public Key Cryptosystem and a Signature Scheme Based on
Discrete Logarithms IEEE Transactions on Information Theory 31(4)469472
1985
[102] Ronald Fagin Moni Naor and Peter Winkler Comparing Information Without
Leaking It Communications of the ACM 39(5)7785 1996
[103] Uriel Feige Amos Fiat and Adi Shamir Zero-Knowledge Proofs of Identity Jour-
nal of Cryptology 1(2)7794 1988
[104] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and David
Pointcheval Legally Fair Contract Signing Without Keystones In ACNS 2016
volume 9696 of Lecture Notes in Computer Science pages 175190 Springer 2016
[105] Houda Ferradi Reacutemi Geacuteraud Diana Maimumicro David Naccache and Amaury
de Wargny Regulating the Pace of von Neumann Correctors Journal of Cryp-
tographic Engineering pages 17 2017
[106] Amos Fiat Batch RSA In CRYPTO 1989 volume 435 of Lecture Notes in
Computer Science pages 175185 Springer 1989
[107] Amos Fiat Batch RSA J Cryptology 10(2)7588 1997
[108] Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Iden-
tication and Signature Problems In CRYPTO 1986 volume 263 of Lecture Notes
in Computer Science pages 186194 Springer 1986
[109] Marc Fischlin Christian Janson and Sogol Mazaheri Backdoored Hash Functions
Immunizing HMAC and HKDF IACR Cryptology ePrint Archive 2018362 2018
[110] Joshua Fried Pierrick Gaudry Nadia Heninger and Emmanuel Thomeacute A Kilobit
Hidden SNFS Discrete Logarithm Computation In EUROCRYPT 2017 volume
10210 of Lecture Notes in Computer Science pages 202231 Springer 2017
[111] Juan Garay Philip MacKenzie Manoj Prabhakaran and Ke Yang Resource Fair-
ness and Composability of Cryptographic Protocols In TCC 2006 volume 3876 of
Lecture Notes in Computer Science pages 404428 Springer 2006
[112] Rosario Gennaro Hugo Krawczyk and Tal Rabin Secure Hashed Die-Hellman
over Non-DDH Groups In EUROCRYPT 2004 volume 3027 of Lecture Notes in
Computer Science pages 361381 Springer 2004
Bibliograe 39
[113] Marc Girault An Identity-based Identication Scheme Based on Discrete Loga-
rithms Modulo a Composite Number In EUROCRYPT 1990 volume 473 of Lecture
Notes in Computer Science pages 481486 Springer 1990
[114] Marc Girault Guillaume Poupard and Jacques Stern On the Fly Authentication
and Signature Schemes Based on Groups of Unknown Order Journal of Cryptology
19(4)463487 2006
[115] Marc Girault and Jacques Stern On the Length of Cryptographic Hash-Values
Used in Identication Schemes In CRYPTO 1994 volume 839 of Lecture Notes in
Computer Science pages 202215 Springer 1994
[116] Danilo Gligoroski Smile Markovski and Svein Johan Knapskog The Stream Ci-
pher Edon80 In New Stream Cipher Designs volume 4986 of Lecture Notes in
Computer Science pages 152169 Springer 2008
[117] Danilo Gligoroski Smile Markovski and Ljupco Kocarev Edon-R An Innite
Family of Cryptographic Hash Functions IJ Network Security 8(3)293300 2009
[118] Eu-Jin Goh and Stanisordfaw Jarecki A Signature Scheme as Secure as the Die-
Hellman Problem In EUROCRYPT 2003 volume 2656 of Lecture Notes in Com-
puter Science pages 401415 Springer 2003
[119] Dirk Goldhahn Thomas Eckart and Uwe Quastho Building Large Monolingual
Dictionaries at the Leipzig Corpora Collection From 100 to 200 Languages In
LREC 2012 volume 29 pages 3143 European Language Resources Association
(ELRA) 2012
[120] Oded Goldreich Foundations of Cryptography Volume 1 Basic Tools Cambridge
University Press 2007
[121] Sha Goldwasser Cocks IBE Scheme Bilinear Maps MIT Lecture Notes 6876
Advanced Cryptography 2004
[122] Sha Goldwasser Leonid Levin and Scott A Vanstone Fair Computation of
General Functions in Presence of Immoral Majority In CRYPT0 1990 volume 537
of Lecture Notes in Computer Science pages 7793 Springer 1991
[123] Sha Goldwasser and Silvio Micali Probabilistic Encryption and How to Play
Mental Poker Keeping Secret All Partial Information In STOC 1982 pages 365
377 ACM 1982
[124] Sha Goldwasser and Silvio Micali Probabilistic Encryption Journal of Computer
and System Sciences 28(2)270299 1984
Bibliograe 40
[125] Sha Goldwasser Silvio Micali and Charles Racko The Knowledge Complexity
of Interactive Proof Systems SIAM J Comput 18(1)186208 1989
[126] Daniel Gordon Designing and Detecting Trapdoors for Discrete Log Cryptosys-
tems In CRYPTO 1992 volume 740 of Lecture Notes in Computer Science pages
6675 Springer 1993
[127] S Dov Gordon Carmit Hazay Jonathan Katz and Yehuda Lindell Complete Fair-
ness in Secure Two-Party Computation Jornal of the ACM 58(6)137 December
2011
[128] Dima Grigoriev Laszlo B Kish and Vladimir Shpilrain Yaos Millionaires Prob-
lem and Public-Key Encryption Without Computational Assumptions Int J
Found Comput Sci 28(4)379390 2017
[129] Dima Grigoriev and Vladimir Shpilrain Secure Information Transmission Based
on Physical Principles In UCNC 2013 volume 7956 of Lecture Notes in Computer
Science pages 113124 Springer 2013
[130] Dima Grigoriev and Vladimir Shpilrain Yaos Millionaires Problem and Decoy-
Based Public Key Encryption by Classical Physics Int J Found Comput Sci
25(4)409418 2014
[131] Louis C Guillou and Jean-Jacques Quisquater A Practical Zero-Knowledge Proto-
col Fitted to Security Microprocessor Minimizing Both Transmission and Memory
In EUROCRYPT 1988 volume 330 of Lecture Notes in Computer Science pages
123128 Springer 1988
[132] Stuart Haber and W Scott Stornetta How to Time-Stamp a Digital Document In
CRYPTO 1990 volume 537 of Lecture Notes in Computer Science pages 437455
Springer 1990
[133] D Halliday R Resnick and J Walker Fundamentals of Physics John Wiley amp
Sons 2010
[134] Mike Hamburg Paul Kocher and Mark E Marson Analysis of Intels Ivy Bridge
Digital Random Number Generator Technical report Rambus 2012
[135] Lucjan Hanzlik Kamil Kluczniak and Mirosordfaw Kutyordfowski Controlled Random-
ness - A Defense against Backdoors in Cryptographic Devices In MyCrypt 2016
volume 10311 of Lecture Notes in Computer Science pages 215232 Springer 2016
[136] Dan Harkins and Dave Carrel RFC 2409 The Internet Key Exchange (IKE)
Technical report Internet Engineering Task Force 1998
Bibliograe 41
[137] Sam Hasino Solving Substitution Ciphers httpspeoplecsailmitedu
hasinoffpubshasinoff-quipster-2003pdf
[138] Philip Hawkes and Luke OConnor XOR and Non-XOR Dierential Probabilities
In EUROCRYPT 1999 volume 1592 of Lecture Notes in Computer Science pages
272285 Springer 1999
[139] Martin Hell Thomas Johansson Alexander Maximov and Willi Meier A Stream
Cipher Proposal Grain-128 In ISIT 2006 pages 16141618 IEEE 2006
[140] Martin Hell Thomas Johansson and Willi Meier Grain - A Stream Cipher for
Constrained Environments Technical Report 010 ECRYPT Stream Cipher Project
Report 2005
[141] Martin Hell Thomas Johansson and Willi Meier Grain A Stream Cipher for
Constrained Environments International Journal of Wireless and Mobile Comput-
ing 2(1)8693 May 2007
[142] Florian Hess Ecient Identity Based Signature Schemes Based On Pairings In
SAC 2002 volume 2595 of Lecture Notes in Computer Science pages 310324
Springer 2002
[143] Howard M Heys A Tutorial on Linear and Dierential Cryptanalysis Cryptologia
26(3)189221 2002
[144] Lester S Hill Cryptography in an Algebraic Alphabet The American Mathematical
Monthly 36(6)306312 1929
[145] Lester S Hill Concerning Certain Linear Transformation Apparatus of Cryptog-
raphy The American Mathematical Monthly 38(3)135154 1931
[146] Susan M Howitt and Anna N Wilson Revisiting Is the Scientic Paper a Fraud
EMBO Reports 15(5)481484 2014
[147] Mahabir Prasad Jhanwar and Rana Barua A Variant of Boneh-Gentry-Hamburgs
Pairing-Free Identity Based Encryption Scheme In INSCRYPT 2008 volume 5487
of Lecture Notes in Computer Science pages 314331 Springer 2009
[148] Marc Joye Identity-Based Cryptosystems and Quadratic Residuosity In PKC
2016 volume 9614 of Lecture Notes in Computer Science pages 225254 Springer
2016
[149] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols In EUROCRYPT 2013 volume 7881 of Lecture Notes in Computer Sci-
ence pages 7692 Springer 2013
Bibliograe 42
[150] Marc Joye and Benoicirct Libert Ecient Cryptosystems from 2k-th Power Residue
Symbols IACR Cryptology ePrint Archive 2013435 2014
[151] Benjamin Justus The Distribution of Quadratic Residues and Non-Residues in
the Goldwasser-Micali Type of Cryptosystem Journal of Mathematical Cryptology
8(8)115140 2014
[152] Jonathan Katz and Nan Wang Eciency Improvements for Signature Schemes
With Tight Security Reductions In CCS 2003 pages 155164 ACM 2003
[153] Charlie Kaufman Paul Homan Yoav Nir Parsi Eronen and Tero Kivinen
RFC7296 Internet Key Exchange Protocol Version 2 (IKEv2) Technical report
Internet Engineering Task Force 2014
[154] Shahram Khazaei and Siavash Ahmadi Ciphertext-Only Attack on d ˆ d Hill in
Opd13dq Information Processing Letters 1182529 2017
[155] Shahram Khazaei Mehdi Hassanzadeh and Mohammad Kiaei Distinguishing
Attack on Grain Technical Report 071 ECRYPT Stream Cipher Project Report
2005
[156] Tanya Khovanova One-Way Functions httpsblogtanyakhovanovacom
201011one-way-functions
[157] William A Kiele A Tensor-Theoretic Enhancement to the Hill Cipher System
Cryptologia 14(3)225233 1990
[158] Wolfgang Killmann and Werner Schindler A Proposal for Functionality Classes
for Random Number Generators version 20 Technical report BSI 2011
[159] Simon Knellwolf Willi Meier and Mariacutea Naya-Plasencia Conditional Dierential
cryptanalysis of NLFSR-Based Cryptosystems In ASIACRYPT 2010 volume 6477
of Lecture Notes in Computer Science pages 130145 Springer 2010
[160] Czesordfaw Koplusmncielny A Method of Constructing Quasigroup-Based Stream-Ciphers
Applied Mathematics and Computer Science 6109122 1996
[161] Daniel Kucner and Mirosordfaw Kutyordfowski Stochastic kleptography detection In
Public-Key Cryptography and Computational Number Theory pages 137149 2001
[162] Oumlzguumll Kuumlccediluumlk Slide Resynchronization Attack on the Initialization of Grain 10
httpwwwecrypteuorgstream 2006
[163] Robin Kwant Tanja Lange and Kimberley Thissen Lattice Klepto - Turning
Post-Quantum Crypto Against Itself In SAC 2017 volume 10719 of Lecture Notes
in Computer Science pages 336354 Springer 2017
Bibliograe 43
[164] Xuejia Lai and James L Massey A Proposal for a New Block Encryption Standard
In EUROCRYPT 1990 volume 473 of Lecture Notes in Computer Science pages
389404 Springer 1991
[165] Xuejia Lai James L Massey and Sean Murphy Markov Ciphers and Dierential
Cryptanalysis In EUROCRYPT 1991 volume 547 of Lecture Notes in Computer
Science pages 1738 Springer 1991
[166] Butler W Lampson A Note on the Connement Problem Communications of the
ACM 16(10)613615 1973
[167] Tom Leap Tim McDevitt Kayla Novak and Nicolette Siermine Further Improve-
ments to the Bauer-Millward Attack on the Hill Cipher Cryptologia 40(5)452468
2016
[168] Chae Hoon Lim and Pil Joong Lee A Study on the Proposed Korean Digital Signa-
ture Algorithm In ASIACRYPT 1998 volume 1514 of Lecture Notes in Computer
Science pages 175186 Springer 1998
[169] Yehuda Lindell Fast Secure Two-Party ECDSA Signing In CRYPTO 2017 volume
10402 of Lecture Notes in Computer Science pages 613644 Springer 2017
[170] James Lyons Practical Cryptography httppracticalcryptographycom
[171] Diana Maimumicro and George Tesup3eleanu A Unied Security Perspective on Legally
Fair Contract Signing Protocols In SECITC 2018 volume 11359 of Lecture Notes
in Computer Science pages 477491 Springer 2018
[172] Diana Maimumicro and George Tesup3eleanu New Congurations of Grain Ciphers Se-
curity Against Slide Attacks In BalkanCrypt 2018 Communications in Computer
and Information Science Springer 2018
[173] Diana Maimumicro and George Tesup3eleanu A Generic View on the Unied Zero-
Knowledge Protocol and its Applications In WISTP 2019 volume 12024 of Lecture
Notes in Computer Science pages 3246 Springer 2019
[174] Diana Maimumicro and George Tesup3eleanu A New Generalisation of the Goldwasser-
Micali Cryptosystem Based on the Gap 2k-Residuosity Assumption In SECITC
2020 Lecture Notes in Computer Science Springer 2020
[175] John Malone-Lee and Nigel P Smart Modications of ECDSA In SAC 2002
volume 2595 of Lecture Notes in Computer Science pages 112 Springer 2002
[176] Ueli Maurer Unifying Zero-Knowledge Proofs of Knowledge In AFRICACRYPT
2009 volume 5580 of Lecture Notes in Computer Science pages 272286 Springer
2009
Bibliograe 44
[177] Kevin McCurley A Key distribution System Equivalent to Factoring Journal of
cryptology 1(2)95105 1988
[178] Tim McDevitt Jessica Lehr and Ting Gu A Parallel Time-memory Tradeo
Attack on the Hill Cipher Cryptologia 42(5)119 2018
[179] Peter Medawar Is the Scientic Paper a Fraud The Listener 70(12)377378
1963
[180] Alfred J Menezes Paul C Van Oorschot and Scott A Vanstone Handbook of
Applied Cryptography CRC press 1996
[181] Silvio Micali Simple and Fast Optimistic Protocols for Fair Electronic Exchange
In PODC 2003 pages 1219 ACM 2003
[182] Markus Michels David Naccache and Holger Petersen GOST 3410-A Brief
Overview of Russias DSA Computers amp Security 15(8)725732 1996
[183] Microprocessor MS Committee et al IEEE Standard Specications for Public-
Key Cryptography IEEE Computer Society 2000
[184] Ilya Mironov and Noah Stephens-Davidowitz Cryptographic Reverse Firewalls
In ASIACRYPT 2015 volume 9057 of Lecture Notes in Computer Science pages
657686 Springer 2015
[185] Arjan J Mooij Nicolae Goga and Jan Willem Wesselink A Distributed Spanning
Tree Algorithm for Topology-Aware Networks Technische Universiteit Eindhoven
Department of Mathematics and Computer Science 2003
[186] Tal Moran and Moni Naor Polling with Physical Envelopes A rigorous Analysis
of a Human-Centric Protocol In EUROCRYPT 2006 volume 4004 of Lecture Notes
in Computer Science pages 88108 Springer 2006
[187] Tal Moran and Moni Naor Basing Cryptographic Protocols on Tamper-Evident
Seals Theoretical Computer Science 411(10)12831310 2010
[188] Nicky Mouha On Proving Security against Dierential Cryptanalysis In CFAIL
2019 2019
[189] David MRaiumlhi David Naccache David Pointcheval and Serge Vaudenay Com-
putational Alternatives to Random Number Generators In SAC 1998 volume 1556
of Lecture Notes in Computer Science pages 7280 Springer 1998
[190] David Naccache and Jacques Stern A New Public Key Cryptosytem Based on
Higher Residues In CCS 1998 pages 5966 ACM 1998
Bibliograe 45
[191] Moni Naor Yael Naor and Omer Reingold Applied Kid Cryptography or How to
Convince Your Children You Are Not Cheating httpwwwwisdomweizmann
acil~naorPAPERSwaldopdf
[192] Moni Naor and Omer Reingold Number-theoretic constructions of ecient pseudo-
random functions In FOCS 1997 pages 458467 IEEE Computer Society 1997
[193] Moni Naor and Omer Reingold Number-Theoretic Constructions of Ecient
Pseudo-Random Functions Journal of the ACM 51(2)231262 2004
[194] Melvyn B Nathanson Elementary Methods in Number Theory Graduate Texts
in Mathematics Springer 2000
[195] Koki Nishigami and Keiichi Iwamura Geometric pairwise key-sharing scheme In
SECITC 2018 volume 11359 of Lecture Notes in Computer Science pages 518528
Springer 2018
[196] Kaisa Nyberg Perfect Nonlinear S-boxes In EUROCRYPT 1991 volume 547 of
Lecture Notes in Computer Science pages 378386 Springer 1991
[197] Kaisa Nyberg and Rainer A Rueppel A New Signature Scheme Based on the DSA
Giving Message Recovery In CCS 1993 pages 5861 ACM 1993
[198] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
In EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages
360370 Springer 1994
[199] Luke OConnor On the Distribution of Characteristics in Bijective Mappings
Journal of Cryptology 8(2)6786 1995
[200] Tatsuaki Okamoto Provably Secure and Practical Identication Schemes and Cor-
responding Signature Schemes In CRYPTO 1992 volume 740 of Lecture Notes in
Computer Science pages 3153 Springer 1992
[201] Jerey Overbey William Traves and Jerzy Wojdylo On the Keyspace of the Hill
Cipher Cryptologia 29(1)5972 2005
[202] Pascal Paillier Public-Key Cryptosystems Based on Composite Degree Residuosity
Classes In Eurocrypt 1999 volume 1592 of Lecture Notes in Computer Science
pages 223238 Springer 1999
[203] Kenneth G Paterson ID-Based Signatures from Pairings on Elliptic Curves Elec-
tronics Letters 38(18)10251026 2002
[204] Reneacute Peralta On the Distribution of Quadratic Residues and Nonresidues Modulo
a Prime Number Mathematics of Computation 58(197)433440 1992
Bibliograe 46
[205] Nicole Perlroth Je Larson and Scott Shane NSA Able to Foil Basic Safeguards
of Privacy on Web The New York Times 5 2013
[206] Oskar Perron Bemerkungen uumlber die Verteilung der quadratischen Reste Mathe-
matische Zeitschrift 56(2)122130 1952
[207] Benny Pinkas Fair Secure Two-Party Computation In EUROCRYPT 2003 vol-
ume 2656 of Lecture Notes in Computer Science pages 87105 Springer 2003
[208] David Pointcheval and Jacques Stern Security Proofs For Signature Schemes
In EUROCRYPT 1996 volume 1070 of Lecture Notes in Computer Science pages
387398 Springer 1996
[209] David Pointcheval and Jacques Stern Security Arguments for Digital Signatures
and Blind Signatures Journal of Cryptology 13(3)361396 2000
[210] Jean-Jacques Quisquater Myriam Quisquater Muriel Quisquater Michaeumll
Quisquater Louis Guillou Marie Annick Guillou Gaiumld Guillou Anna Guillou
Gwenoleacute Guillou and Soazig Guillou How to Explain Zero-Knowledge Protocols
to Your Children In CRYPTO 1989 volume 435 of Lecture Notes in Computer
Science pages 628631 Springer 1990
[211] Martin Aringgren Martin Hell Thomas Johansson and Willi Meier Grain-128a A
New Version of Grain-128 with Optional Authentication International Journal of
Wireless and Mobile Computing 5(1)4859 December 2011
[212] Elena Reshetova Filippo Bonazzi and N Asokan Randomization Cant Stop BPF
JIT spray In NSS 2017 volume 10394 of Lecture Notes in Computer Science pages
233247 Springer 2017
[213] Ronald L Rivest Adi Shamir and David A Wagner Time-lock Puzzles and Timed-
release Crypto Technical report MIT 1996
[214] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Cliptography
Clipping the power of kleptographic attacks In ASIACRYPT 2016 volume 10032
of Lecture Notes in Computer Science pages 3464 Springer 2016
[215] Alexander Russell Qiang Tang Moti Yung and Hong-Sheng Zhou Destroying
Steganography via Amalgamation Kleptographically CPA Secure Public Key En-
cryption IACR Cryptology ePrint Archive 2016530 2016
[216] Ryuichi Sakai Kiyoshi Ohgishi and Masao Kasahara Cryptosystems Based on
Pairings In SCIS 2000 2000
Bibliograe 47
[217] Conrad Sanderson and Ryan Curtin Armadillo A Template-Based C++ Library
for Linear Algebra Journal of Open Source Software 1(2)26 2016
[218] Bruce Schneier The Solitaire Encryption Algorithm httpswwwschneier
comacademicsolitaire
[219] Claus-Peter Schnorr Ecient Identication and Signatures For Smart Cards In
CRYPTO 1989 volume 435 of Lecture Notes in Computer Science pages 239252
Springer 1989
[220] Martin A Schwartz The Importance of Stupidity in Scientic Research Journal
of Cell Science 121(11)17711771 2008
[221] Adi Shamir How to Share a Secret Communications of the ACM 22(11)612613
1979
[222] Adi Shamir Identity-Based Cryptosystems and Signature Schemes In CRYPTO
1984 volume 196 of Lecture Notes in Computer Science pages 4753 Springer
1985
[223] Victor Shoup Sequences of Games A Tool for Taming Complexity in Security
Proofs IACR Cryptology ePrint Archive 2004332 2004
[224] Victor Shoup A Computational Introduction to Number Theory and Algebra Cam-
bridge University Press 2008
[225] Vladimir Shpilrain Decoy-Based Information Security Groups Complexity Cryp-
tology 6(2)149155 2014
[226] Gustavus J Simmons The Subliminal Channel and Digital Signatures In EURO-
CRYPT 1984 volume 209 of Lecture Notes in Computer Science pages 364378
Springer 1984
[227] Gustavus J Simmons Subliminal Communication is Easy Using the DSA In
EUROCRYPT 1993 volume 765 of Lecture Notes in Computer Science pages 218
232 Springer 1993
[228] Gustavus J Simmons Subliminal Channels Past and Present European Transac-
tions on Telecommunications 5(4)459474 1994
[229] Simon Singh The Code Book The Science of Secrecy from Ancient Egypt to
Quantum Cryptography Anchor 2000
[230] Jonathan DH Smith Four Lectures on Quasigroup Representations Quasigroups
Related Systems 15109140 2007
Bibliograe 48
[231] Paul Stankovski Greedy Distinguishers and Nonrandomness Detectors In IN-
DOCRYPT 2010 volume 6498 of Lecture Notes in Computer Science pages 210
226 Springer 2010
[232] Neal Stephenson Cryptonomicon Arrow 2000
[233] Douglas R Stinson Cryptography Theory and Practice CRC press 2005
[234] Fatih Sulak New Statistical Randomness Tests 4-bit Template Matching Tests
Turkish Journal of Mathematics 41(1)8095 2017
[235] Terence Tao Ask Yourself Dumb Questions - and An-
swer Them httpsterrytaowordpresscomcareer-advice
ask-yourself-dumb-questions-and-answer-them
[236] Terence Tao Use The Wastebasket httpsterrytaowordpresscom
career-adviceuse-the-wastebasket
[237] George Tesup3eleanu Threshold Kleptographic Attacks on Discrete Logarithm Based
Signatures In LatinCrypt 2017 volume 11368 of Lecture Notes in Computer Science
pages 401414 Springer 2017
[238] George Tesup3eleanu Random Number Generators Can Be Fooled to Behave Badly
In ICICS 2018 volume 11149 of Lecture Notes in Computer Science pages 124141
Springer 2018
[239] George Tesup3eleanu Unifying Kleptographic Attacks In NordSec 2018 volume 11252
of Lecture Notes in Computer Science pages 7387 Springer 2018
[240] George Tesup3eleanu Managing Your Kleptographic Subscription Plan In C2SI 2019
volume 11445 of Lecture Notes in Computer Science pages 452461 Springer 2019
[241] George Tesup3eleanu Reinterpreting and Improving the Cryptanalysis of the Flash
Player PRNG In C2SI 2019 volume 11445 of Lecture Notes in Computer Science
pages 92104 Springer 2019
[242] George Tesup3eleanu Subliminal Hash Channels In A2C 2019 volume 1133 of Com-
munications in Computer and Information Science pages 149165 Springer 2019
[243] George Tesup3eleanu A Love Aair Between Bias Ampliers and Broken Noise
Sources In ICICS 2020 Lecture Notes in Computer Science Springer 2020
[244] George Tesup3eleanu Cracking Matrix Modes of Operation with Goodness-of-Fit
Statistics In HistoCrypt 2020 Linkoumlping Electronic Conference Proceedings
Linkoumlping University Electronic Press 2020
Bibliograe 49
[245] George Tesup3eleanu Quasigroups and Substitution Permutation Networks A Failed
Experiment Cryptologia 2020
[246] Ferucio Laurenmicroiu iplea Sorin Iftene George Tesup3eleanu and Anca-Maria Nica
Security of Identity-Based Encryption Schemes from Quadratic Residues In
SECITC 2016 volume 10006 of Lecture Notes in Computer Science pages 6377
2016
[247] Ferucio Laurentiu Tiplea Sorin Iftene George Teseleanu and Anca-Maria Nica
On the Distribution of Quadratic Residues and Non-residues Modulo Composite
Integers and Applications to Cryptography Appl Math Comput 372 2020
[248] Peter Truran Practical Applications of the Philosophy of Science Thinking About
Research Springer Science amp Business Media 2013
[249] Meltem Soumlnmez Turan Elaine Barker John Kelsey Kerry McKay Mary Baish
and Mike Boyle NIST DRAFT Special Publication 800-90B Recommendation for
the Entropy Sources Used for Random Bit Generation Technical report NIST
2012
[250] Umesh V Vazirani and Vijay V Vazirani Trapdoor Pseudo-random Number
Generators with Applications to Protocol Design In FOCS 1983 pages 2330
IEEE 1983
[251] Milan Vojvoda Marek Sys and Matuacute Joacutekay A Note on Algebraic Properties of
Quasigroups in Edon80 Technical report eSTREAM report 2007005 2007
[252] John Von Neumann Various Techniques Used in Connection with Random Digits
Applied Math Series 123638 1951
[253] Chenyu Wang Tao Huang and Hongjun Wu On the Weakness of Constant Blind-
ing PRNG in Flash Player In ICICS 2018 volume 11149 of Lecture Notes in Com-
puter Science pages 107123 Springer 2018
[254] Greg Ward A Recursive Implementation of the Perlin Noise Function In Graphics
Gems II pages 396401 Elsevier 1991
[255] Donald R Weidman Emotional Perils of Mathematics Science 149(3688)1048
1048 1965
[256] Chuan-Kun Wu Hash channels Computers amp Security 24(8)653661 2005
[257] Mark Wutka The Crypto Forum https13zetaboardscomCryptotopic
1237211
Bibliograe 50
[258] Akihiro Yamaguchi Takaaki Seo and Keisuke Yoshikawa On the Pass Rate of
NIST Statistical Test Suite for Randomness JSIAM Letters 2123126 2010
[259] Song Y Yan Number Theory for Computing Theoretical Computer Science
Springer 2002
[260] Andrew C Yao Protocols for Secure Computations In SFCS 1982 pages 160164
IEEE Computer Society 1982
[261] Adam Young and Moti Yung The Dark Side of Black-Box Cryptography or
Should We Trust Capstone In CRYPTO 1996 volume 1109 of Lecture Notes in
Computer Science pages 89103 Springer 1996
[262] Adam Young and Moti Yung Kleptography Using Cryptography Against Cryp-
tography In EUROCRYPT 1997 volume 1233 of Lecture Notes in Computer Sci-
ence pages 6274 Springer 1997
[263] Adam Young and Moti Yung The Prevalence of Kleptographic Attacks on Discrete-
Log Based Cryptosystems In CRYPTO 1997 volume 1294 of Lecture Notes in
Computer Science pages 264276 Springer 1997
[264] Adam Young and Moti Yung Malicious Cryptography Exposing Cryptovirology
John Wiley amp Sons 2004
[265] Adam Young and Moti Yung Malicious Cryptography Kleptographic Aspects
In CT-RSA 2005 volume 3376 of Lecture Notes in Computer Science pages 718
Springer 2005
[266] Dae Hyun Yum and Pil Joong Lee Cracking Hill Ciphers with Goodness-of-Fit
Statistics Cryptologia 33(4)335342 2009
[267] Haina Zhang and Xiaoyun Wang Cryptanalysis of Stream Cipher Grain Family
IACR Cryptology ePrint Archive 2009109 2009
[268] Yuliang Zheng Digital Signcryption or How to Achieve Cost (Signature amp Encryp-
tion) Cost (Signature)+ Cost (Encryption) In CRYPTO 1997 volume 1294 of
Lecture Notes in Computer Science pages 165179 Springer 1997
[269] Yuliang Zheng and Hideki Imai How to Construct Ecient Signcryption Schemes
on Elliptic Curves Information Processing Letters 68(5)227233 1998
[270] Yuliang Zheng and Jennifer Seberry Immunizing Public Key Cryptosystems
Against Chosen Ciphertext Attacks IEEE Journal on Selected Areas in Communi-
cations 11(5)715724 1993
Bibliograe 51
[271] Shuangyi Zhu Yuan Ma Jingqiang Lin Jia Zhuang and Jiwu Jing More Powerful
and Reliable Second-Level Statistical Randomness Tests for NIST SP 800-22 In
ASIACRYPT 2016 volume 10031 of Lecture Notes in Computer Science pages
307329 Springer 2016