ऑप्टीमल असिमेट्रिक एन्क्रिप्शन: Difference between revisions

Revision as of 00:47, 2 June 2023

क्रिप्टोग्राफी में, इष्टतम असममित एन्क्रिप्शन (ओएईपी) पैडिंग योजना (क्रिप्टोग्राफी) है जिसे अधिकांशतः आरएसए (क्रिप्टोसिस्टम) एन्क्रिप्शन के साथ प्रयोग किया जाता है। ओएईपी बेलारे और फिलिप रोगवे द्वारा प्रस्तुत किया गया था,^[1] और तत्पश्चात इसे पीकेसीएस1 वी2 और [rfc:2437 आरएफसी 2437] में मानकीकृत किया गया।

ओएईपी एल्गोरिथम फिस्टेल नेटवर्क का रूप है जो असममित एन्क्रिप्शन से पूर्व प्लेनटेक्स्ट को संसाधित करने के लिए यादृच्छिक ओरेक्लेस जी और एच की जोड़ी का उपयोग करता है। जब किसी सुरक्षित ट्रैपडोर वन-वे फंक्शन $f$ के साथ संयुक्त किया जाता है, तो यह प्रसंस्करण रैंडम ऑरेकल मॉडल में सिद्ध होता है, जिसके परिणामस्वरूप संयुक्त योजना होती है, जो चयनित किये गए प्लेनटेक्स्ट अटैक (आईएनडी-सीपीए) के अंतर्गत सिमेंटिक सुरक्षा है। जब ट्रैपडोर क्रमपरिवर्तन (जैसे, आरएसए) के साथ कार्यान्वित किया जाता है, तो ओएईपी भी चयनित सिफरटेक्स्ट अटैक के विरुद्ध सुरक्षित सिद्ध होता है। ओएईपी का उपयोग आल-और-नथिंग ट्रांसफॉर्म बनाने के लिए किया जा सकता है।

ओएईपी निम्नलिखित दो लक्ष्यों को पूर्ण करता है:

यादृच्छिकता का एक तत्व जोड़ें जिसका उपयोग नियतात्मक एन्क्रिप्शन योजना (जैसे, पारंपरिक आरएसए (एल्गोरिदम)) को एक संभाव्य एन्क्रिप्शन योजना में बदलने के लिए किया जा सकता है।
यह सुनिश्चित करके सिफरटेक्स्ट (या अन्य सूचना रिसाव) के आंशिक डिक्रिप्शन को रोकें कि एक विरोधी ट्रैपडोर वन-वे फ़ंक्शन को उलटने में सक्षम हुए बिना प्लेन टेक्स्ट के किसी भी हिस्से को पुनर्प्राप्त नहीं कर सकता है। ट्रैपडोर वन-वे क्रमचय $f$ .

ओएईपी (बेल्लारे/रोगावे, 1994) के मूल संस्करण ने रैंडम ऑरेकल मॉडल में सादा पाठ-जागरूक एन्क्रिप्शन (जो उन्होंने दावा किया कि चुने हुए सिफरटेक्स्ट हमले के खिलाफ सुरक्षा का तात्पर्य है) का एक रूप दिखाया जब ओएईपी का उपयोग किसी ट्रैपडोर क्रमपरिवर्तन के साथ किया जाता है। बाद के परिणामों ने इस दावे का खंडन किया, यह दिखाते हुए कि ओएईपी केवल सिफरटेक्स्ट अभेद्यता थी। IND-CCA1 सुरक्षित। हालांकि, मूल योजना यादृच्छिक ऑरेकल मॉडल में सिफरटेक्स्ट अप्रभेद्यता साबित हुई थी। IND-CCA2 सुरक्षित जब ओएईपी का उपयोग RSA क्रमपरिवर्तन के साथ मानक एन्क्रिप्शन एक्सपोनेंट्स का उपयोग करके किया जाता है, जैसा कि RSA-ओएईपी के मामले में होता है।^[2] एक बेहतर योजना (ओएईपी+ कहलाती है) जो इस समस्या को हल करने के लिए विक्टर शौप द्वारा किसी भी ट्रैपडोर वन-वे क्रमचय के साथ काम करती है।^[3] हाल के काम से पता चला है कि मानक मॉडल (क्रिप्टोग्राफी) में (अर्थात, जब हैश फ़ंक्शंस को रैंडम ऑरेकल के रूप में मॉडल नहीं किया जाता है) RSA समस्या की अनुमानित कठोरता के अंतर्गत RSA-ओएईपी की IND-CCA2 सुरक्षा को साबित करना असंभव है।^[4]^[5]

एल्गोरिथम

आरेख में,

MGF मास्क जनरेशन फंक्शन है, आमतौर पर MGF1,
हैश चुना हुआ क्रिप्टोग्राफ़िक हैश फ़ंक्शन है,
hLen बाइट्स में हैश फ़ंक्शन के आउटपुट की लंबाई है,
k बाइट्स में RSA (क्रिप्टोसिस्टम) मापांक n की लंबाई है,
M गद्देदार होने वाला संदेश है (अधिकतम $k-2\cdot \mathrm {hLen} -2$ बाइट्स),
एल संदेश से जुड़ा एक वैकल्पिक लेबल है (लेबल डिफ़ॉल्ट रूप से खाली स्ट्रिंग है और एन्क्रिप्शन की आवश्यकता के बिना डेटा को प्रमाणित करने के लिए इस्तेमाल किया जा सकता है),
PS का एक बाइट स्ट्रिंग है $k-\mathrm {mLen} -2\cdot \mathrm {hLen} -2$ अशक्त बाइट्स।
⊕ एक Exclusive or-ऑपरेशन है।

एन्कोडिंग

आरएफसी 8017^[6] पीकेसीएस#1 v2.2 के लिए एन्कोडिंग के लिए निम्नानुसार ओएईपी योजना निर्दिष्ट करता है:

चुने गए हैश फ़ंक्शन का उपयोग करके लेबल L को हैश करें: $\mathrm {lHash} =\mathrm {Hash} (L)$
एक पैडिंग स्ट्रिंग PS उत्पन्न करें जिसमें शामिल हो $k-\mathrm {mLen} -2\cdot \mathrm {hLen} -2$ बाइट्स मान 0x00 के साथ।
डेटा ब्लॉक DB बनाने के लिए lHash, PS, सिंगल बाइट 0x01, और संदेश M को सम्‍मिलित करें: $\mathrm {DB} =\mathrm {lHash} ||\mathrm {PS} ||\mathrm {0x01} ||\mathrm {M}$ . इस डेटा ब्लॉक की लंबाई है $k-\mathrm {hLen} -1$ बाइट्स।
लंबाई hLen का एक यादृच्छिक बीज उत्पन्न करें।
डेटा ब्लॉक के लिए उपयुक्त लंबाई का मास्क बनाने के लिए मास्क जनरेटिंग फंक्शन का उपयोग करें: $\mathrm {dbMask} =\mathrm {MGF} (\mathrm {seed} ,k-\mathrm {hLen} -1)$
जनरेट किए गए मास्क के साथ डेटा ब्लॉक को मास्क करें: $\mathrm {maskedDB} =\mathrm {DB} \oplus \mathrm {dbMask}$
बीज के लिए hLen लंबाई का मास्क बनाने के लिए मास्क जनरेटिंग फंक्शन का उपयोग करें: $\mathrm {seedMask} =\mathrm {MGF} (\mathrm {maskedDB} ,\mathrm {hLen} )$
बीज को उत्पन्न मास्क से मास्क करें: $\mathrm {maskedSeed} =\mathrm {seed} \oplus \mathrm {seedMask}$
एन्कोडेड (गद्देदार) संदेश बाइट 0x00 है जो नकाबपोश और नकाबपोश के साथ जुड़ा हुआ है: $\mathrm {EM} =\mathrm {0x00} ||\mathrm {maskedSeed} ||\mathrm {maskedDB}$

डिकोडिंग

डिकोडिंग एल्गोरिथम में उठाए गए कदमों को उलट कर काम करता है:

चुने गए हैश फ़ंक्शन का उपयोग करके लेबल L को हैश करें: $\mathrm {lHash} =\mathrm {Hash} (L)$
चरण 9 को उलटने के लिए, एन्कोडेड संदेश EM को बाइट 0x00, मास्कडसीड (लंबाई hLen के साथ) और मास्कडडीबी में विभाजित करें: $\mathrm {EM} =\mathrm {0x00} ||\mathrm {maskedSeed} ||\mathrm {maskedDB}$
सीडमास्क उत्पन्न करें जिसका उपयोग बीज को ढकने के लिए किया गया था: $\mathrm {seedMask} =\mathrm {MGF} (\mathrm {maskedDB} ,\mathrm {hLen} )$
चरण 8 को उलटने के लिए, बीज को सीडमास्क से पुनर्प्राप्त करें: $\mathrm {seed} =\mathrm {maskedSeed} \oplus \mathrm {seedMask}$
dbMask उत्पन्न करें जिसका उपयोग डेटा ब्लॉक को मास्क करने के लिए किया गया था: $\mathrm {dbMask} =\mathrm {MGF} (\mathrm {seed} ,k-\mathrm {hLen} -1)$
चरण 6 को उलटने के लिए, डेटा ब्लॉक DB को पुनर्प्राप्त करें: $\mathrm {DB} =\mathrm {maskedDB} \oplus \mathrm {dbMask}$
चरण 3 को उलटने के लिए, डेटा ब्लॉक को उसके भागों में विभाजित करें: $\mathrm {DB} =\mathrm {lHash'} ||\mathrm {PS} ||\mathrm {0x01} ||\mathrm {M}$ $\mathrm {DB} =\mathrm {lHash'} ||\mathrm {PS} ||\mathrm {0x01} ||\mathrm {M}$ .
1. सत्यापित करें कि:
  - lHash' परिकलित lHash के बराबर है
  - PS में केवल बाइट 0x00 होते हैं
  - PS और M को 0x01 बाइट द्वारा अलग किया जाता है और
  - ईएम की पहली बाइट बाइट 0x00 है।
2. यदि इनमें से कोई भी शर्त पूरी नहीं होती है, तो पैडिंग अमान्य है।

आरएसए में उपयोग: एन्कोडेड संदेश को फिर आरएसए के साथ एन्क्रिप्ट किया जा सकता है। RSA की नियतात्मक संपत्ति को अब ओएईपी एन्कोडिंग का उपयोग करके टाला जाता है क्योंकि बीज बेतरतीब ढंग से उत्पन्न होता है और पूरे एन्कोडेड संदेश को प्रभावित करता है।

सुरक्षा

ऑल-ऑर-नथिंग ट्रांसफॉर्म | ऑल-ऑर-नथिंग सुरक्षा इस तथ्य से है कि एम को पुनर्प्राप्त करने के लिए, पूरे मास्कडडीबी और पूरे मास्कडसीड को पुनर्प्राप्त करना होगा; मास्कडडीबी से बीज को पुनर्प्राप्त करने के लिए मास्कडडीबी की आवश्यकता होती है, और मास्कडडीबी से डेटा ब्लॉक डीबी को पुनर्प्राप्त करने के लिए बीज की आवश्यकता होती है। चूंकि क्रिप्टोग्राफ़िक हैश का कोई भी बदला हुआ बिट परिणाम को पूरी तरह से बदल देता है, पूरे मास्कडडीबी और पूरे मास्कसीड दोनों को पूरी तरह से पुनर्प्राप्त किया जाना चाहिए।

कार्यान्वयन

पीकेसीएस#1 मानक में, यादृच्छिक ऑरेकल समान हैं। पीकेसीएस#1 मानक के लिए यह आवश्यक है कि रैंडम ऑरेकल उचित हैश फ़ंक्शन के साथ MGF1 हो।^[7]

यह भी देखें

कुंजी एनकैप्सुलेशन

संदर्भ

↑ M. Bellare, P. Rogaway. Optimal Asymmetric Encryption -- How to encrypt with RSA. Extended abstract in Advances in Cryptology - Eurocrypt '94 Proceedings, Lecture Notes in Computer Science Vol. 950, A. De Santis ed, Springer-Verlag, 1995. full version (pdf)
↑ Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval, and Jacques Stern. RSA-- OAEP is secure under the RSA assumption. In J. Kilian, ed., Advances in Cryptology -- CRYPTO 2001, vol. 2139 of Lecture Notes in Computer Science, SpringerVerlag, 2001. full version (pdf)
↑ Victor Shoup. OAEP Reconsidered. IBM Zurich Research Lab, Saumerstr. 4, 8803 Ruschlikon, Switzerland. September 18, 2001. full version (pdf)
↑ P. Paillier and J. Villar, Trading One-Wayness against Chosen-Ciphertext Security in Factoring-Based Encryption, Advances in Cryptology -- Asiacrypt 2006.
↑ D. Brown, What Hashes Make RSA-OAEP Secure?, IACR ePrint 2006/233.
↑ "Encryption Operation". PKCS #1: RSA Cryptography Specifications Version 2.2. IETF. November 2016. p. 22. sec. 7.1.1. doi:10.17487/RFC8017. RFC 8017. Retrieved 2022-06-04.
↑ Brown, Daniel R. L. (2006). "What Hashes Make RSA-OAEP Secure?" (PDF). IACR Cryptology ePrint Archive (in English). Retrieved 2019-04-03.

[1] M. Bellare, P. Rogaway. Optimal Asymmetric Encryption -- How to encrypt with RSA. Extended abstract in Advances in Cryptology - Eurocrypt '94 Proceedings, Lecture Notes in Computer Science Vol. 950, A. De Santis ed, Springer-Verlag, 1995. full version (pdf)

[2] Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval, and Jacques Stern. RSA-- OAEP is secure under the RSA assumption. In J. Kilian, ed., Advances in Cryptology -- CRYPTO 2001, vol. 2139 of Lecture Notes in Computer Science, SpringerVerlag, 2001. full version (pdf)

[3] Victor Shoup. OAEP Reconsidered. IBM Zurich Research Lab, Saumerstr. 4, 8803 Ruschlikon, Switzerland. September 18, 2001. full version (pdf)

[4] P. Paillier and J. Villar, Trading One-Wayness against Chosen-Ciphertext Security in Factoring-Based Encryption, Advances in Cryptology -- Asiacrypt 2006.

[5] D. Brown, What Hashes Make RSA-OAEP Secure?, IACR ePrint 2006/233.

[6] "Encryption Operation". PKCS #1: RSA Cryptography Specifications Version 2.2. IETF. November 2016. p. 22. sec. 7.1.1. doi:10.17487/RFC8017. RFC 8017. Retrieved 2022-06-04.

[7] Brown, Daniel R. L. (2006). "What Hashes Make RSA-OAEP Secure?" (PDF). IACR Cryptology ePrint Archive (in English). Retrieved 2019-04-03.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

@@ Line 1: / Line 1: @@
 {{Short description|Scheme often used with RSA encryption}}
-{{redirect|OAEP|the division of the Thailand Ministry of Science Technology and Environment previously known as the Office of Atomic Energy for Peace|Office of Atoms for Peace}}
+{{redirect|ओएईपी|थाईलैंड के विज्ञान प्रौद्योगिकी और पर्यावरण मंत्रालय के विभाजन को पूर्व शांति के लिए परमाणु ऊर्जा के कार्यालय के रूप में जाना जाता था|शांति के लिए परमाणुओं का कार्यालय}}
-[[क्रिप्टोग्राफी]] में, इष्टतम असममित एन्क्रिप्शन पैडिंग (ओएईपी) एक [[पैडिंग (क्रिप्टोग्राफी)]] है जिसे अक्सर [[आरएसए (क्रिप्टोसिस्टम)]] के साथ प्रयोग किया जाता है। ओएईपी [[मिहिर लड़ने के लिए]] और [[फिलिप रोगवे]] द्वारा पेश किया गया था,<ref>[[Mihir Bellare|M. Bellare]], [[Phillip Rogaway|P. Rogaway]]. ''Optimal Asymmetric Encryption -- How to encrypt with RSA''.  Extended abstract in Advances in Cryptology - [[Eurocrypt]] '94 Proceedings, [[Lecture Notes in Computer Science]] Vol. 950, A. De Santis ed, [[Springer-Verlag]], 1995. [http://www-cse.ucsd.edu/users/mihir/papers/oaep.pdf full version (pdf)]</ref> और बाद में PKCS1|PKCS#1 v2 और RFC 2437 में मानकीकृत किया गया।
+[[क्रिप्टोग्राफी]] में, इष्टतम असममित एन्क्रिप्शन (ओएईपी) [[पैडिंग (क्रिप्टोग्राफी)|पैडिंग योजना (क्रिप्टोग्राफी)]] है जिसे अधिकांशतः [[आरएसए (क्रिप्टोसिस्टम)]] एन्क्रिप्शन के साथ प्रयोग किया जाता है। ओएईपी [[मिहिर लड़ने के लिए|बेलारे]] और [[फिलिप रोगवे]] द्वारा प्रस्तुत किया गया था,<ref>[[Mihir Bellare|M. Bellare]], [[Phillip Rogaway|P. Rogaway]]. ''Optimal Asymmetric Encryption -- How to encrypt with RSA''.  Extended abstract in Advances in Cryptology - [[Eurocrypt]] '94 Proceedings, [[Lecture Notes in Computer Science]] Vol. 950, A. De Santis ed, [[Springer-Verlag]], 1995. [http://www-cse.ucsd.edu/users/mihir/papers/oaep.pdf full version (pdf)]</ref> और तत्पश्चात इसे पीकेसीएस1 वी2 और [rfc:2437 आरएफसी 2437] में मानकीकृत किया गया।
-OAEP एल्गोरिथम Feistel नेटवर्क का एक रूप है जो [[असममित एन्क्रिप्शन]] से पहले प्लेनटेक्स्ट को संसाधित करने के लिए यादृच्छिक oracles G और H की एक जोड़ी का उपयोग करता है। जब किसी सुरक्षित [[ट्रैपडोर वन-वे फंक्शन]] के साथ जोड़ा जाता है | ट्रैपडोर वन-वे क्रमचय <math>f</math>, यह प्रसंस्करण एक संयुक्त योजना में परिणाम के लिए यादृच्छिक ऑरेकल मॉडल में सिद्ध होता है जो चुने [[चुना सादा पाठ हमला]] [[सिफरटेक्स्ट अप्रभेद्यता]] के तहत सिमेंटिक सुरक्षा है। (IND-CPA)। जब कुछ ट्रैपडोर क्रमपरिवर्तन (जैसे, RSA) के साथ लागू किया जाता है, तो OAEP भी चुने हुए सिफरटेक्स्ट हमले के विरुद्ध सुरक्षित साबित होता है। OAEP का उपयोग [[सभी या कुछ भी रूपांतरित नहीं होता है]] बनाने के लिए किया जा सकता है।
+ओएईपी एल्गोरिथम फिस्टेल नेटवर्क का रूप है जो [[असममित एन्क्रिप्शन]] से पूर्व प्लेनटेक्स्ट को संसाधित करने के लिए यादृच्छिक ओरेक्लेस जी और एच की जोड़ी का उपयोग करता है। जब किसी सुरक्षित [[ट्रैपडोर वन-वे फंक्शन]] <math>f</math> के साथ संयुक्त किया जाता है, तो यह प्रसंस्करण रैंडम ऑरेकल मॉडल में सिद्ध होता है, जिसके परिणामस्वरूप संयुक्त योजना होती है, जो चयनित किये गए [[चुना सादा पाठ हमला|प्लेनटेक्स्ट अटैक]] ([[सिफरटेक्स्ट अप्रभेद्यता|आईएनडी-सीपीए]]) के अंतर्गत सिमेंटिक सुरक्षा है। जब ट्रैपडोर क्रमपरिवर्तन (जैसे, आरएसए) के साथ कार्यान्वित किया जाता है, तो ओएईपी भी चयनित सिफरटेक्स्ट अटैक के विरुद्ध सुरक्षित सिद्ध होता है। ओएईपी का उपयोग [[सभी या कुछ भी रूपांतरित नहीं होता है|आल-और-नथिंग ट्रांसफॉर्म]] बनाने के लिए किया जा सकता है।
-ओएईपी निम्नलिखित दो लक्ष्यों को पूरा करता है:
+ओएईपी निम्नलिखित दो लक्ष्यों को पूर्ण करता है:
 # यादृच्छिकता का एक तत्व जोड़ें जिसका उपयोग [[नियतात्मक एन्क्रिप्शन]] योजना (जैसे, पारंपरिक [[आरएसए (एल्गोरिदम)]]) को एक [[संभाव्य एन्क्रिप्शन]] योजना में बदलने के लिए किया जा सकता है।
 # यह सुनिश्चित करके सिफरटेक्स्ट (या अन्य सूचना रिसाव) के आंशिक डिक्रिप्शन को रोकें कि एक विरोधी ट्रैपडोर वन-वे फ़ंक्शन को उलटने में सक्षम हुए बिना प्लेन टेक्स्ट के किसी भी हिस्से को पुनर्प्राप्त नहीं कर सकता है। ट्रैपडोर वन-वे क्रमचय <math>f</math>.
-OAEP (बेल्लारे/रोगावे, 1994) के मूल संस्करण ने रैंडम ऑरेकल मॉडल में [[सादा पाठ-जागरूक एन्क्रिप्शन]] (जो उन्होंने दावा किया कि चुने हुए सिफरटेक्स्ट हमले के खिलाफ सुरक्षा का तात्पर्य है) का एक रूप दिखाया जब OAEP का उपयोग किसी ट्रैपडोर क्रमपरिवर्तन के साथ किया जाता है। बाद के परिणामों ने इस दावे का खंडन किया, यह दिखाते हुए कि OAEP केवल सिफरटेक्स्ट अभेद्यता थी। IND-CCA1 सुरक्षित। हालांकि, मूल योजना यादृच्छिक ऑरेकल मॉडल में सिफरटेक्स्ट अप्रभेद्यता साबित हुई थी। IND-CCA2 सुरक्षित जब OAEP का उपयोग RSA क्रमपरिवर्तन के साथ मानक एन्क्रिप्शन एक्सपोनेंट्स का उपयोग करके किया जाता है, जैसा कि RSA-OAEP के मामले में होता है।<ref>
+ओएईपी (बेल्लारे/रोगावे, 1994) के मूल संस्करण ने रैंडम ऑरेकल मॉडल में [[सादा पाठ-जागरूक एन्क्रिप्शन]] (जो उन्होंने दावा किया कि चुने हुए सिफरटेक्स्ट हमले के खिलाफ सुरक्षा का तात्पर्य है) का एक रूप दिखाया जब ओएईपी का उपयोग किसी ट्रैपडोर क्रमपरिवर्तन के साथ किया जाता है। बाद के परिणामों ने इस दावे का खंडन किया, यह दिखाते हुए कि ओएईपी केवल सिफरटेक्स्ट अभेद्यता थी। IND-CCA1 सुरक्षित। हालांकि, मूल योजना यादृच्छिक ऑरेकल मॉडल में सिफरटेक्स्ट अप्रभेद्यता साबित हुई थी। IND-CCA2 सुरक्षित जब ओएईपी का उपयोग RSA क्रमपरिवर्तन के साथ मानक एन्क्रिप्शन एक्सपोनेंट्स का उपयोग करके किया जाता है, जैसा कि RSA-ओएईपी के मामले में होता है।<ref>
 Eiichiro Fujisaki, Tatsuaki Okamoto, David Pointcheval, and [[Jacques Stern]]. ''RSA-- OAEP is secure under the RSA assumption''. In J. Kilian, ed., Advances in Cryptology -- [[CRYPTO]] 2001, vol. 2139 of Lecture Notes in Computer Science, SpringerVerlag, 2001. [http://eprint.iacr.org/2000/061.pdf full version (pdf)]</ref>
 एक बेहतर योजना (ओएईपी+ कहलाती है) जो इस समस्या को हल करने के लिए [[विक्टर शौप]] द्वारा किसी भी ट्रैपडोर वन-वे क्रमचय के साथ काम करती है।<ref>
 Victor Shoup. ''OAEP Reconsidered''. IBM Zurich Research Lab, Saumerstr. 4, 8803 Ruschlikon, Switzerland. September 18, 2001. [http://www.shoup.net/papers/oaep.pdf full version (pdf)]</ref>
-हाल के काम से पता चला है कि [[मानक मॉडल (क्रिप्टोग्राफी)]] में (अर्थात, जब हैश फ़ंक्शंस को रैंडम ऑरेकल के रूप में मॉडल नहीं किया जाता है) RSA समस्या की अनुमानित कठोरता के तहत RSA-OAEP की IND-CCA2 सुरक्षा को साबित करना असंभव है।<ref>
+हाल के काम से पता चला है कि [[मानक मॉडल (क्रिप्टोग्राफी)]] में (अर्थात, जब हैश फ़ंक्शंस को रैंडम ऑरेकल के रूप में मॉडल नहीं किया जाता है) RSA समस्या की अनुमानित कठोरता के अंतर्गत RSA-ओएईपी की IND-CCA2 सुरक्षा को साबित करना असंभव है।<ref>
 P. Paillier and J. Villar, ''Trading One-Wayness against Chosen-Ciphertext Security in Factoring-Based Encryption'', Advances in Cryptology -- [[Asiacrypt]] 2006.</ref><ref>
 D. Brown, [http://eprint.iacr.org/2006/223 ''What Hashes Make RSA-OAEP Secure?''], IACR ePrint 2006/233.</ref>
@@ Line 33: / Line 33: @@
 === एन्कोडिंग ===
-<nowiki>RFC 8017</nowiki><ref>{{cite IETF|title=PKCS #1: RSA Cryptography Specifications Version 2.2|rfc=8017|sectionname=Encryption Operation|section=7.1.1|page=22|last=|first=|author-link=|date=November 2016|publisher=[[Internet Engineering Task Force|IETF]]|access-date=2022-06-04|doi=10.17487/RFC8017}}</ref> PKCS#1 v2.2 के लिए एन्कोडिंग के लिए निम्नानुसार OAEP योजना निर्दिष्ट करता है:
+आरएफसी 8017<ref>{{cite IETF|title=PKCS #1: RSA Cryptography Specifications Version 2.2|rfc=8017|sectionname=Encryption Operation|section=7.1.1|page=22|last=|first=|author-link=|date=November 2016|publisher=[[Internet Engineering Task Force|IETF]]|access-date=2022-06-04|doi=10.17487/RFC8017}}</ref> पीकेसीएस#1 v2.2 के लिए एन्कोडिंग के लिए निम्नानुसार ओएईपी योजना निर्दिष्ट करता है:
 # चुने गए हैश फ़ंक्शन का उपयोग करके लेबल L को हैश करें: <math>\mathrm{lHash} = \mathrm{Hash}(L)</math>
@@ Line 63: / Line 63: @@
 ## यदि इनमें से कोई भी शर्त पूरी नहीं होती है, तो पैडिंग अमान्य है।
-आरएसए में उपयोग: एन्कोडेड संदेश को फिर आरएसए के साथ एन्क्रिप्ट किया जा सकता है। RSA की नियतात्मक संपत्ति को अब OAEP एन्कोडिंग का उपयोग करके टाला जाता है क्योंकि बीज बेतरतीब ढंग से उत्पन्न होता है और पूरे एन्कोडेड संदेश को प्रभावित करता है।
+आरएसए में उपयोग: एन्कोडेड संदेश को फिर आरएसए के साथ एन्क्रिप्ट किया जा सकता है। RSA की नियतात्मक संपत्ति को अब ओएईपी एन्कोडिंग का उपयोग करके टाला जाता है क्योंकि बीज बेतरतीब ढंग से उत्पन्न होता है और पूरे एन्कोडेड संदेश को प्रभावित करता है।
 === सुरक्षा ===
@@ Line 69: / Line 69: @@
 === कार्यान्वयन ===
-PKCS#1 मानक में, यादृच्छिक ऑरेकल समान हैं। PKCS#1 मानक के लिए यह आवश्यक है कि रैंडम ऑरेकल उचित हैश फ़ंक्शन के साथ [[MGF1]] हो।<ref>{{Cite journal|url=https://eprint.iacr.org/2006/223.pdf| title=What Hashes Make RSA-OAEP Secure?|journal = IACR Cryptology ePrint Archive| last=Brown |first=Daniel R. L.| date=2006| language=en|access-date=2019-04-03}}</ref>
+पीकेसीएस#1 मानक में, यादृच्छिक ऑरेकल समान हैं। पीकेसीएस#1 मानक के लिए यह आवश्यक है कि रैंडम ऑरेकल उचित हैश फ़ंक्शन के साथ [[MGF1]] हो।<ref>{{Cite journal|url=https://eprint.iacr.org/2006/223.pdf| title=What Hashes Make RSA-OAEP Secure?|journal = IACR Cryptology ePrint Archive| last=Brown |first=Daniel R. L.| date=2006| language=en|access-date=2019-04-03}}</ref>

Anonymous

Search

ऑप्टीमल असिमेट्रिक एन्क्रिप्शन: Difference between revisions

Namespaces

More

Page actions

Revision as of 00:47, 2 June 2023

Contents