CRYPTOGRAPHIC PROTOCOL DESIGN - ut swen/publications/articles/laur...CRYPTOGRAPHIC PROTOCOL DESIGN Sven

  • View
    212

  • Download
    0

Embed Size (px)

Text of CRYPTOGRAPHIC PROTOCOL DESIGN - ut swen/publications/articles/laur...CRYPTOGRAPHIC PROTOCOL DESIGN...

  • TKK Dissertations in Information and Computer Science

    Espoo 2008 TKK-ICS-D2

    CRYPTOGRAPHIC PROTOCOL DESIGN

    Sven Laur

    Dissertation for the degree of Doctor of Science in Technology to be presented with due permission of

    the Faculty of Information and Natural Sciences for public examination and debate in Auditorium T2

    at Helsinki University of Technology (Espoo, Finland) on the 25th of April, 2008, at 12 noon.

    Helsinki University of Technology

    Faculty of Information and Natural Sciences

    Department of Information and Computer Science

    Teknillinen korkeakoulu

    Informaatio- ja luonnontieteiden tiedekunta

    Tietojenkasittelytieteen laitos

  • Distribution:

    Helsinki University of Technology

    Faculty of Information and Natural Sciences

    Department of Information and Computer Science

    P.O.Box 5400

    FI-02015 TKK

    FINLAND

    URL: http://ics.tkk.fi

    Tel. +358 9 451 3264

    Fax. +358 9 451 3369

    E-mail: series@ics.tkk.fi

    c Sven Laur

    ISBN 978-951-22-9292-9 (Print)

    ISBN 978-951-22-9293-6 (Online)

    ISSN 1797-5050 (Print)

    ISSN 1797-5069 (Online)

    URL:http://lib.tkk.fi/Diss/2008/isbn9789512292936/

    Multiprint Oy

    Espoo 2008

  • ABSTRACT: In this work, we investigate the security of interactive computa-tions. The main emphasis is on the mathematical methodology that is neededto formalise and analyse various security properties. Differently from many clas-sical treatments of secure multi-party computations, we always quantify securityin exact terms. Although working with concrete time bounds and success prob-abilities is technically more demanding, it also has several advantages. As allsecurity guarantees are quantitative, we can always compare different protocoldesigns. Moreover, these security guarantees also have a clear economical in-terpretation and it is possible to compare cryptographic and non-cryptographicsolutions. The latter is extremely important in practice, since cryptographic tech-niques are just one possibility to achieve practical security. Also, working withexact bounds makes reasoning errors more apparent, as security proofs are lessabstract and it is easier to locate false claims.

    The choice of topics covered in this thesis was guided by two principles.Firstly, we wanted to give a coherent overview of the secure multi-party com-putation that is based on exact quantification of security guarantees. Secondly,we focused on topics that emerged from the authors own research. In that sense,the thesis generalises many methodological discoveries made by the author.

    As surprising as it may seem, security definitions and proofs mostly utilise prin-ciples of hypothesis testing and analysis of stochastic algorithms. Thus, we startour treatment with hypothesis testing and its generalisations. In particular, weshow how to quantify various security properties, using security games as tools.Next, we review basic proof techniques and explain how to structure complexproofs so they become easily verifiable. In a nutshell, we describe how to repre-sent a proof as a game tree, where each edge corresponds to an elementary proofstep. As a result, one can first verify the overall structure of a proof by looking atthe syntactic changes in the game tree and only then verify all individual proofsteps corresponding to the edges.

    The remaining part of the thesis is dedicated to various aspects of protocoldesign. Firstly, we discuss how to formalise various security goals, such as input-privacy, output-consistency and complete security, and how to choose a securitygoal that is appropriate for a specific setting. Secondly, we also explore alterna-tives to exact security. More precisely, we analyse connections between exactand asymptotic security models and rigorously formalise a notion of subjectivesecurity. Thirdly, we study in which conditions protocols preserve their securityguarantees and how to safely combine several protocols. Although composabilityresults are common knowledge, we look at them from a slightly different angle.Namely, it is irrational to design universally composable protocols at any cost;instead, we should design computationally efficient protocols with minimal us-age restrictions. Thus, we propose a three-stage design procedure that leads tomodular security proofs and minimises usage restrictions.

    KEYWORDS: asymptotic security, data authentication, exact security, homomor-phic encryption, secure multi-party computation, sequential composability, sub-jective security, time-stamping, universal composability.

  • TIIVISTELMA: Tss tyss tutkitaan vuorovaikutteisen laskennan turvallisuutta.Erityisesti painotetaan matemaattisia menetelmi, joita tarvitaan erilaisten tur-vallisuusominaisuuksien mrittelyyn ja analysointiin. Perinteisist ksittelyta-voista poiketen usean osapuolen laskennan turvallisuutta mitataan tss tysstarkoilla suureilla. Vaikka tarkkojen rajojen kytt arvioitaessa laskennallistavaativuutta ja onnistumisen todennkisyytt on teknisesti vaativampaa, sill onmys useita etuja. Se tekee mahdolliseksi eri protokollien vlisen vertailun.Lisksi, tllaisilla turvallisuuden mitoilla on selke kustannustaloudellinen tul-kinta, mik tekee mahdolliseksi vertailla salaustekniikkaa kyttvien ja muidentietoturvallisuusratkaisujen kustannuksia. Tll on merkityst kytnnn kannal-ta, koska salaustekniikkaan perustuvat menetelmt ovat usein vain yksi vaihto-ehto kytnnn turvallisuusjrjestelmi toteutettaessa. Lisksi tarkkojen rajo-jen kytt tekee turvallisuustodistuksista selkempi ja siten helpottaa todistustenpttelyvirheiden havaitsemista.

    Tmn tyn aiheiden valinta perustuu kahteen periaatteeseen. Ensimmisenmukaan tavoitteena on luoda johdonmukainen katsaus usean osapuolen lasken-nan turvallisuuteen, joka perustuu turvallisuustakuiden tarkkaan mrittmiseen.Toisen periaatteen mukaan keskitytn tarkastelemaan aiheita, jotka ovat olleettekijn tutkimusten kohteena. Tss vitskirjassa esitetn yleistetyss muodossamonia tekijn tekemi menetelmi koskevia lydksi.

    Niin yllttvlt kuin se tuntuukin, turvallisuuden mritelmiss ja todistuk-sissa kytetn tilastollisen pttelyn ja stokastisten algoritmien menetelmi. Siksitmn tyn aluksi tarkastellaan hypoteesien testausta ja sen yleistyksi. Erityi-sesti osoitetaan kuinka erilaisille turvallisuusominaisuuksille voidaan antaa nu-meerinen arvo turvallisuuspelej kytten. Seuraavaksi tarkastellaan todistuksenperustekniikoita ja esitetn kuinka todistus tulee rakentaa, jotta se on helpostitodennettavissa. Kiteytettyn tm tarkoittaa, ett kuvataan turvallisuuspeli puu-na, jonka jokainen kaari vastaa yksinkertaista askelta todistuksessa. Nin esitettytodistus voidaan todentaa tarkastelemalla ensin sen syntaktista kokonaisraken-netta ja sen jlkeen todentamalla jokaista puun kaarta vastaava todistusaskel.

    Vitskirjan loppuosassa tarkastellaan salausteknisten protokollien suunnit-telun eri piirteit. Ensiksi ksitelln erilaisten turvallisuustavoitteiden, kutensytteen yksityisyys, tuotoksen oikeellisuus ja tydellinen turvallisuus, tsmllistmrittely ja sit, kuinka turvallisuustavoite tulee asettaa vastaamaan konkreet-tista tilannetta. Toiseksi tutkitaan tarkan turvallisuuden vaihtoehtoja. Tarkem-min sanottuna analysoidaan tarkan ja asymptoottisen turvallisuusmallin vlisiyhteyksi ja annetaan tsmllinen mritelm subjektiiviselle turvallisuudelle.Kolmanneksi tarkastellaan ehtoja, joilla protokolla silytt turvallisuusominai-suutensa, ja kuinka useita protokollia voidaan yhdist turvallisesti. Salausteknis-ten protokollien teoriassa yhdistettvyytt koskevat tulokset tunnetaan yleisesti,mutta tss tyss niit tarkastellaan uudesta nkkulmasta. Nimittin, ei olemielekst rakentaa universaalisti yhdisteltviss olevia protokollia mihin hin-taan hyvns, vaan tuloksena olevien protokollien tulee olla tehokkaita ja kytnrajoitusten niin pieni kuin mahdollista. Tss tyss esitetn kolmivaiheinenmenettely, jolla saavutetaan modulaariset turvallisuustodistukset ja minimaalisetkytn rajoitukset.

    AVAINSANAT: asymptoottinen ja tarkka turvallisuus, datan autentikointi, ho-momorfinen salaus, turvallinen usean osapuolen vlinen laskenta, perkkinenyhdistettvyys, subjektiivinen turvallisuus, aikaleimaus, universaali yhdistettvyys.

  • CONTENTS

    1 Introduction 1

    1.1 Cryptography as an Engineering Discipline . . . . . . . . . . . 21.2 Introduction to Cryptographic Protocol Design . . . . . . . . . 41.3 Benefits of Finite Set Policy . . . . . . . . . . . . . . . . . . . 71.4 Contributions of the Author . . . . . . . . . . . . . . . . . . . 8

    2 Common Notation and Basic Concepts 12

    2.1 Basic Mathematical Concepts . . . . . . . . . . . . . . . . . . 122.2 Different Interpretations of Probability . . . . . . . . . . . . . . 142.3 Basic Properties of Random Variables . . . . . . . . . . . . . . 152.4 Different Formal Models of Computation . . . . . . . . . . . . 17

    3 Hypothesis Testing 22

    3.1 Simple Hypothesis Testing . . . . . . . . . . . . . . . . . . . . 223.2 Negligible Events and Semantic Security . . . . . . . . . . . . 243.3 Interactive Inference and Security Games . . . . . . . . . . . . 26

    4 Cryptographic Proof Techniques 31

    4.1 Reductions As Rewriting Rules . . . . . . . . . . . . . . . . . . 324.2 Reductions and Time-success Profiles . . . . . . . . . . . . . . 334.3 Surprising Properties of Conditional Probabilities . . . . . . . . 364.4 From Game Chains to Proof Trees . . . . . . . . . . . . . . . . 384.5 Formal Verification of Cryptographic Proofs . . . . . . . . . . . 41

    5 Security of Interactive Computations 45

    5.1 Formal Requirements to Security Definitions . . . . . . . . . . 465.2 Security of Idealised Computations . . . . . . . . . . . . . . . 475.3 The Real versus Ideal World Paradigm . . . . . . . . . . . . . . 515.4 Security in Semi-Honest Model . .