Chứng minh tính đúng đắn, an toàn và chối từ của phương pháp mã hóa theo khối giả xác suất có thể chối từ

Nghiên cứu khoa học công nghệ<br /> <br /> CHỨNG MINH TÍNH ĐÚNG ĐẮN, AN TOÀN VÀ CHỐI TỪ<br /> CỦA PHƯƠNG PHÁP MÃ HÓA THEO<br /> KHỐI GIẢ XÁC SUẤT CÓ THỂ CHỐI TỪ<br /> Nguyễn Đức Tâm1*, Nguyễn Nam Hải2, Nguyễn Hiếu Minh3<br /> Tóm tắt: Bài báo đề xuất một phương pháp mã khối hóa theo khối giả xác suất<br /> có thể chối từ, phương pháp thực hiện dựa trên sự kết hợp của một số mã khối đã<br /> được chuẩn hóa và sử dụng rộng rãi hiện nay với hệ phương trình đồng dư tuyến<br /> tính, đồng thời trình bày các chứng minh về tính đúng đắn, an toàn và chối từ của<br /> phương pháp đề xuất.<br /> Từ khóa: Mã hóa có thể chối từ; Mã hóa theo khối xác suất; Mã hóa theo khối giả xác suất; Hệ phương trình<br /> đồng dư.<br /> <br /> 1. GIỚI THIỆU<br /> Các kỹ thuật mã hóa thông thường hiện nay nhằm bảo vệ tính bí mật, an toàn, xác thực<br /> của thông tin khi lưu trữ và truyền thông, chống lại các tấn công nhằm thu tin thám mã.<br /> Mã hóa có thể chối từ (MHCTCT) là một kỹ thuật mật mã đặc biệt và tiếp cận kỹ thuật<br /> khác biệt với mã hóa thông thường. Với mã hóa thông thường, mỗi bản mã là dẫn xuất duy<br /> nhất của một bản rõ và khóa mã. MHCTCT cho phép giải mã một bản mã cho ra hai bản<br /> rõ có ý nghĩa khác nhau. Khái niệm MHCTCT được Canetti và cộng sự công bố lần đầu<br /> tại bài báo [1]. Từ đặc trưng của MHCTCT, nó được ứng dụng chống lại dạng tấn công<br /> cưỡng ép trong kịch bản mà kẻ thứ ba chặn thu bản mã truyền trên kênh truyền công cộng<br /> và cưỡng ép bên gửi hoặc bên nhận hoặc cả hai bên phải trình ra thuật toán mã hóa, bản rõ<br /> và các khóa mã đã sử dụng [1], ứng dụng trong lưu trữ ẩn giấu các hệ thống tệp dữ liệu<br /> nhạy cảm [2-4], ứng dụng trong các môi trường giao dịch đa bên không cam kết nội dung<br /> như các giao thức bỏ phiếu điện tử, đấu giá điện tử [5].<br /> MHCTCT đã được nghiên cứu và đề xuất cụ thể một số giao thức sử dụng hệ mật khóa<br /> công khai [6], hoặc sử dụng hệ mật khóa bí mật [7]. Gần đây, một giải pháp MHCTCT<br /> được đề xuất sử dụng thuật toán mã hóa giao hoán và khóa bí mật dùng chung trong [8].<br /> Bài toán đảm bảo an toàn của các giao thức MHCTCT chống tấn công cưỡng ép được thảo<br /> luận trong các bài báo [9-10]. Ngoài ra, để đảm bảo an toàn chống lại các tấn công cưỡng<br /> ép chủ động, cần bổ sung vào trong các giao thức MHCTCT thủ tục xác thực bên gửi và<br /> bên nhận [10].<br /> Bài báo [11] đã đề xuất thuật toán mã hóa theo khối có thể chối từ, trong đó, thuật toán<br /> mới được mô tả tổng quát về phương pháp còn các tính chất chưa được chứng minh. Bài<br /> báo này mô tả chi tiết thuật toán mã hóa theo khối có thể chối từ để thực hiện phương pháp<br /> đề xuất trong [11], đồng thời phân tích và chứng minh tính đúng đắn, an toàn và chối từ<br /> của phương pháp. Trong nội dung bài báo, phần 2 mô tả mô hình truyền tin và ngữ cảnh<br /> tấn công. Phần 3 giới thiệu chi tiết thuật toán thực hiện phương pháp mã hóa theo khối giả<br /> xác suất có thể chối từ. Phần 4 đi chứng minh các tính chất của phương pháp đề xuất. Phần<br /> 5 kết luận.<br /> 2. MÔ HÌNH TRUYỀN TIN VÀ NGỮ CẢNH TẤN CÔNG<br /> Mô hình truyền tin và ngữ cảnh tấn công cưỡng ép trong việc thực hiện truyền tin bằng<br /> mã hóa theo khối khóa đối xứng có thể chối từ được mô tả chi tiết như sau:<br /> Sau khi bản mã được gửi, đối phương chặn thu được bản mã trên kênh truyền, tiến<br /> hành tấn công cưỡng ép bên gửi, hoặc bên nhận, hoặc đồng thời cả hai bên trình ra:<br /> 1. Bản rõ tương ứng với bản mã;<br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số 65, 02 - 2020 175<br />  Công nghệ thông tin & Cơ sở toán học cho tin học<br /> <br /> 2. Các thuật toán mã hóa và giải mã;<br /> 3. Khóa mã cùng với việc lặp lại toàn bộ quá trình mã hóa thông điệp để sinh ra các<br /> khối bit của bản mã hoặc quá trình giải mã bản mã để khôi phục thông điệp.<br /> Việc an toàn bảo mật chống lại tấn công đã mô tả ở trên được giải quyết nếu phương<br /> pháp MHCTCT tạo ra bản mã bằng khóa giả mạo không phân biệt tính toán với bản mã<br /> tạo ra từ mã hóa xác suất. Để thỏa mãn điều kiện này, phương pháp MHCTCT khóa đối<br /> xứng cần có một số tiêu chí thiết kế như sau:<br /> 1. MHCTCT khóa đối xứng phải được thực hiện dưới dạng mã hóa đồng thời hai thông<br /> điệp, một thông điệp bí mật và một thông điệp giả mạo, sử dụng khóa bí mật và khóa giả<br /> mạo (đã được chia sẻ trước giữa hai bên);<br /> 2. Thuật toán MHCTCT được thiết kế dựa trên thuật mã hóa xác suất khóa đối xứng,<br /> thỏa mãn quá trình thực hiện hai thuật toán phải giống nhau và bản mã kết quả đầu ra của<br /> hai thuật toán không phân biệt về mặt tính toán;<br /> 3. Các khóa bí mật cần có độ dài cố định, nhưng bộ mã hóa có khả năng thực hiện mã<br /> hóa an toàn những thông điệp có độ dài tùy ý;<br /> 4. Các bên tham gia trong truyền tin mật có thể chứng minh một cách hợp lý rằng họ đã<br /> sử dụng mã hóa xác suất để có được độ an toàn cao hơn đối với các tấn công tiềm năng với<br /> giải pháp thực hiện bằng cách bổ sung thêm nguồn ngẫu nhiên vào dữ liệu rõ ban đầu sau<br /> đó mã hóa để tăng tính ngẫu nhiên của bản mã.<br /> 3. PHƯƠNG PHÁP MÃ HÓA THEO KHỐI GIẢ XÁC SUẤT CÓ THỂ CHỐI TỪ<br /> Phương pháp mã hóa theo khối có thể chối từ giả xác suất [11] thực hiện mã hóa đồng<br /> thời khối thông điệp bí mật cùng khối thông điệp giả mạo M để tạo thành khối mã C.<br /> Khối mã C đảm bảo tính không phân biệt về mặt tính toán với khối mã C được tạo ra từ<br /> thuật toán mã hóa theo khối xác suất khi mã hóa thông điệp giả mạo M T cùng với<br /> nguồn ngẫu nhiên thêm vào.<br /> Như vậy, phương pháp chối từ dựa trên hai thuật toán:<br /> - Thuật toán thứ nhất là thuật toán mã hóa theo khối giả xác suất có thể chối từ , đây là<br /> thuật toán mà hai bên dùng để truyền tin mật, sử dụng các thuật toán mã khối chuẩn đã<br /> được kiểm chứng an toàn trong thực tế để mã hóa đồng thời thông điệp bí mật T cùng<br /> thông điệp giả mạo M , tạo ra hai khối mã trung gian là CT và CM , sau đó sử dụng hệ<br /> phương trình đồng dư tuyến tính hai ẩn số để từ hai khối mã trung gian, tính toán tạo một<br /> khối mã đầu ra C.<br /> - Thuật toán thứ hai là thuật toán mã hóa theo khối xác suất, đây sẽ là thuật toán giả<br /> mạo dùng để trình cho đối phương khi bị tấn công cưỡng ép, với đầu vào là thông điệp giả<br /> mạo M và tham số ngẫu nhiên R.<br /> Ở cả hai thuật toán, do việc sử dụng hai khối mã trung gian làm đầu vào của hệ phương<br /> trình đồng dư để tạo ra một khối mã đầu ra, do vậy thuật toán được gọi là thuật toán mã<br /> hóa theo khối.<br /> 3.1. Thuật toán mã hóa theo khối giả xác suất có thể chối từ<br /> Thuật toán mã hóa theo khối có thể chối từ được mô tả chi tiết như sau:<br /> - Khi cần truyền thông điệp bí mật T , đầu tiên thực hiện mã hóa đồng thời hai thông<br /> điệp (bí mật T , giả mạo M ) bằng hàm mã khối E có đầu vào và đầu ra v -bit tạo thành<br /> hai khối mã, sau đó sử dụng thuật toán giải hệ phương trình đồng dư tuyến tính để kết hợp<br /> hai khối mã trung gian thành một khối mã đầu ra C.<br /> <br /> <br /> <br /> 176 N. Đ. Tâm, N. N. Hải, N. H. Minh, “Chứng minh tính đúng đắn, an toàn … có thể chối từ.”<br /> Nghiên cứu khoa học công nghệ<br /> <br /> - Việc mã hóa/giải mã sử dụng hai khóa bí mật phân phối trước  P, p  và  Q, q  , với<br /> P và Q là các khóa của hàm mã khối E có đầu vào v -bit, k là số nguyên tố có kích<br /> thước v  1 bit, với (( P, p), Q) không thay đổi, q là số nguyên ngẫu nhiên có kích thước<br /> v  1 bit và thay đổi như hình thức khóa phiên. Trong trường hợp bị tấn công cưỡng ép, bộ<br /> khóa  P, p  dùng để giải mã và trình ra thông điệp giả mạo, bộ khóa  Q, q  hai bên giữ bí<br /> mật dùng để giải mã để có thông điệp bí mật ở chế độ truyền tin mật.<br /> Thuật toán gồm hai giai đoạn, chi tiết như sau:<br /> 1. Sử dụng mã khối E và khóa P , mã hóa khối thông điệp M để tạo ra khối CM :<br /> CM  EP ( M ).<br /> Sử dụng mã khối E và khóa Q , mã hóa khối thông điệp T để tạo ra khối CT :<br /> CT  EQ (T ).<br /> 2. Sử dụng các giá trị p và q để ghép hai khối mã (CM , CT ) thành một khối mã đầu<br /> ra C , với C là nghiệm của hệ phương trình đồng dư sau:<br /> С  CM mod p (a)<br />  (1)<br /> С  CT mod q (b)<br /> Các khối mã trung gian CM và CT được biểu diễn dạng nhị phân; do p và q là các số<br /> nguyên tố cùng nhau có kích thước v  1 bit, do vậy kích thước khối mã đầu ra C trong<br /> trường hợp tổng quát sẽ bằng 2v  2 bit (tức là kích thước khối C nhiều hơn 2 bit so với<br /> tổng bit của CM và CT .<br /> Vì p là số nguyên tố nên gcd( p, q)  1 , theo định lý đồng dư Trung Hoa, nghiệm của<br /> hệ đồng dư (1) là:<br /> C  [CM q(q 1 mod p)  CT p( p 1 mod q)]mod pq (2)<br /> Trong đó q 1 mod p là nghịch đảo của q theo modulo p , p 1 mod q là nghịch đảo<br /> của p theo modulo q .<br /> Các thuật toán chi tiết thể hiện quá trình mã hóa và giải mã:<br /> a) Quá trình mã hóa<br /> Thuật toán Enc_PC Thuật toán mã hóa theo khối giả xác suất có thể chối từ<br /> INPUT: M , T , p, q, P, Q<br /> OUTPUT: C<br /> {<br /> CM  EP ( M )<br /> CT  EQ (T )<br /> <br /> C  [CM q(q 1 mod p)  CT p( p 1 mod q)]mod pq<br /> }<br /> return C.<br /> b) Quá trình giải mã ở chế độ truyền tin mật<br /> <br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số 65, 02 - 2020 177<br />  Công nghệ thông tin & Cơ sở toán học cho tin học<br /> <br /> 1. Nhận khối mã C ;<br /> 2. Tính khối mã trung gian CT  C mod q ;<br /> 3. Khôi phục khối thông điệp mật T  EQ1 (CT ) ;<br /> <br /> Thuật toán Dec_PC Giải mã ở chế độ truyền tin mật<br /> INPUT: C , q, Q<br /> OUTPUT: T<br /> {<br /> CT  C mod q<br /> T  EQ1 (CT )<br /> }<br /> return T .<br /> 3.2. Thuật toán mã hóa theo khối xác suất<br /> Do thuật toán mã hóa theo khối có thể chối từ đề xuất nhằm chứng minh với kẻ cưỡng<br /> ép, khi thỏa mãn điều kiện bản mã tạo ra không thể phân biệt được về mặt tính toán với<br /> bản mã tạo ra từ mã hóa theo khối xác suất đóng vai trò là thuật toán giả mạo đi kèm thuật<br /> toán MHCTCT. Vì điều kiện này, cần xây dựng thuật toán mã hóa theo khối xác suất, mà<br /> khi dùng thuật toán này mã thông điệp giả mạo M , nó có khả năng tạo ra bản mã không<br /> phân biệt được với bản mã được tạo ra bởi thuật toán mã hóa theo khối giả xác suất khi mã<br /> hóa đồng thời cả hai thông điệp T , M  .<br /> Thuật toán mã hóa theo khối xác suất đi kèm với thuật toán mã hóa theo khối giả xác<br /> suất (mục 3.1) được mô tả chi tiết như sau:<br /> - Khóa dùng để mã hóa giờ đây là cặp giá trị  P, p  dùng để thực hiện hệ phương trình<br /> đồng dư (1);<br /> - Các bước mã khối dữ liệu thông điệp giả mạo M được thực hiện theo các bước:<br /> 1. Khối dữ liệu M được mã bằng hàm mã khối E : CM  EP  M  .<br /> 2. Thuật toán được thuyết minh với đối phương tấn công cưỡng ép rằng, do hàm mã<br /> khối E không đảm bảo an toàn ngữ nghĩa trong một số trường hợp (như chế độ mã khối<br /> ECB chẳng hạn), nhằm tăng cường tính ngẫu nhiên của bản mã đầu ra C , thuật toán thực<br /> hiện bổ sung giá trị ngẫu nhiên R  2v và một số nguyên ngẫu nhiên r thỏa mãn<br /> 2v  r  2v  1 (ngoài ra hai bên phải ẩn giấu việc chọn r  q ), sau đó khối mã đầu ra C<br /> được tính từ hệ phương trình đồng dư sau:<br /> С  CM mod p (a)<br />  (3)<br /> C  R mod r (b)<br /> Ở đây các giá trị ngẫu nhiên thêm vào ( R, r ) không lưu nhớ trong bộ nhớ của máy tính<br /> trong quá trình thực hiện mã hóa xác suất, chúng được thêm vào với giả thiết 1 như sau:<br /> Giả thiết 1: Các giá trị ngẫu nhiên ( R, r ) thêm vào mã khối xác suất, được tạo ra<br /> trong mỗi lần thực hiện mã hóa và không lưu nhớ lại trong bộ nhớ của máy tính.<br /> Nhận xét 1: Phương trình (1a) của hệ phương trình (1) và phương trình (3a) của hệ<br /> phương trình (3) giống nhau. Xét hệ phương trình (3), nếu với mọi bản mã C thỏa mãn hệ<br /> <br /> <br /> 178 N. Đ. Tâm, N. N. Hải, N. H. Minh, “Chứng minh tính đúng đắn, an toàn … có thể chối từ.”<br /> Nghiên cứu khoa học công nghệ<br /> <br /> phương trình (1) thì cũng thỏa mãn phương trình (3a) của hệ phương trình (3), nếu chọn<br /> một số nguyên ngẫu nhiên r (thỏa mãn 2v  r  2v  1 ), sử dụng giá trị C là nghiệm của hệ<br /> phương trình (1), tính giá trị R theo công thức:<br /> R  C mod r<br /> thì lúc này C đương nhiên thỏa mãn hệ phương trình đồng dư (3). Lưu ý rằng C chính là<br /> các khối mã đã được bên gửi dùng thuật toán Enc_PC mã hóa và gửi cho bên nhận trên<br /> kênh truyền công khai và kẻ tấn công thu được bản mã này.<br /> Đây chính là đặc điểm gắn kết quan trọng nhất của hai thuật toán vừa trình bày và nó<br /> được sử dụng để thực hiện chối từ khi giải mã ở chế độ bị tấn công cưỡng ép.<br /> Các thuật toán chi tiết thể hiện quá trình mã hóa và giải mã như sau:<br /> a) Quá trình mã hóa<br /> Thuật toán Enc_PT Thuật toán mã hóa theo khối xác suất kết hợp giữa khối bit ngẫu<br /> nhiên R và khối mã trung gian CM tạo ra khối mã đầu ra C<br /> (đây là thuật toán giả mạo trình ra khi bị tấn công cưỡng ép)<br /> INPUT: M , R, p, r , P<br /> OUTPUT: C<br /> {<br /> CM  EP ( M )<br /> C  [CM r (r 1 mod p)  Rp( p 1 mod r )]mod pr<br /> }<br /> return C.<br /> b) Quá trình giải mã ở chế độ bị tấn công cưỡng ép (thực hiện chối từ)<br /> 1. Nhận khối mã C ;<br /> 2. Tính khối mã trung gian CM  C mod p;<br /> <br /> 3. Khôi phục thông điệp (giả mạo) M  EP1 (CM );<br /> và trình ra với đối phương tấn công cưỡng ép cùng với bộ khóa  P, p  phù hợp hoàn<br /> toàn với khối mã C , thuật toán mã hóa xác suất và các tham số r , R được chọn và tính<br /> toán như mô tả tại nhận xét 1.<br /> Thuật toán Dec_PT Giải mã ở chế độ bị tấn công cưỡng ép<br /> INPUT: C , p, P<br /> OUTPUT: M<br /> {<br /> CM  C mod p<br /> M  EP1 (CM )<br /> }<br /> return M .<br /> <br /> 4. TÍNH ĐÚNG ĐẮN, AN TOÀN VÀ CHỐI TỪ CỦA PHƯƠNG PHÁP ĐỀ XUẤT<br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số 65, 02 - 2020 179<br />  Công nghệ thông tin & Cơ sở toán học cho tin học<br /> <br /> 4.1. Phát biểu định nghĩa về mã hóa khóa đối xứng có thể chối từ linh hoạt<br /> Phương pháp thực hiện mã hóa có thể chối từ như trình bày ở mục 3 sử dụng cách thức<br /> chia sẻ khóa trước và sử dụng hai thuật toán, một thuật toán thực sự sử dụng (thuật toán<br /> không trung thực với kẻ tấn công), một thuật toán giả mạo trình ra khi bị tấn công cưỡng ép<br /> (thuật toán trung thực với kẻ tấn công). Từ các khái niệm của Canetti và cộng sự trong [1],<br /> phương pháp bài báo đề xuất là phương pháp mã hóa khóa đối xứng có thể chối từ linh hoạt.<br /> Định nghĩa về mã hóa khóa đối xứng có thể chối từ linh hoạt bên gửi được phát biểu<br /> dựa vào định nghĩa 3 về mã hóa có thể chối từ khóa công khai bên gửi linh hoạt và định<br /> nghĩa 4 về mã hóa có thể chối từ khóa đối xứng trong bài báo [1]:<br /> Định nghĩa 4*: giao thức mã hóa khóa đối xứng có thể chối từ linh hoạt bên gửi<br /> Một giao thức mã hóa  với bên gửi A và bên nhận B, sử dụng một bit trạng thái P<br /> (với hai giá trị là PT , PC ) và tham số bí mật n được gọi là một giao thức mã hóa khóa đối<br /> xứng có thể chối từ linh hoạt bên gửi nếu thỏa mãn:<br /> Tính đúng đắn: Bên nhận luôn giải mã được bản rõ từ bên gửi gửi sang với một xác<br /> suất áp đảo.<br /> Tính an toàn: Với bất kỳ hai thông điệp m1 , m2 thuộc không gian rõ M và bất kỳ bit<br /> trạng thái P {PT , PC } và một khóa bí mật ngẫu nhiên k , ta có:<br /> COM  ( P, m1 , k ) c COM  ( P, m2 , k )<br /> Tính chối từ: Tồn tại một thuật toán giả mạo hiệu quả  sử dụng các tham số<br /> m1 , m2  M cùng với các tham số được hai bên chọn thống nhất k , rS , rR , rS' , rR' làm đầu<br /> vào của hai bên gửi, nhận, với bản mã c  COM  ( PC , m1 , k , rS , rR ) , và các tham số<br /> (k , rS )   (m1 , k , rS , c, m2 ), khi đó sai khác giữa hai phân bố xác suất của (m2 , k , rS , c) và<br /> (m2 , k , rS' , COM  ( PT , m2 , k , rS' , rR' )) là hàm không đáng kể.<br /> Định nghĩa về mã hóa khóa đối xứng có thể chối từ linh hoạt bên nhận được phát biểu<br /> dựa vào định nghĩa 3 về mã hóa có thể chối từ khóa công khai bên gửi linh hoạt, định<br /> nghĩa 4 về mã hóa có thể chối từ khóa đối xứng, định nghĩa 9 về mã hóa có thể chối từ<br /> khóa công khai bên nhận linh hoạt trong bài báo [1]:<br /> Định nghĩa 4**: giao thức mã hóa khóa đối xứng có thể chối từ linh hoạt bên nhận<br /> Một giao thức mã hóa  với bên gửi A và bên nhận B, sử dụng một bit trạng thái P<br /> (với hai giá trị là PT , PC ) và tham số bí mật n được gọi là một giao thức mã hóa khóa đối<br /> xứng có thể chối từ linh hoạt bên nhận nếu thỏa mãn:<br /> Tính đúng đắn: Bên nhận luôn giải mã được bản rõ từ bên gửi gửi sang với một xác<br /> suất áp đảo.<br /> Tính an toàn: Với bất kỳ hai thông điệp m1 , m2 thuộc không gian rõ M và bất kỳ bit<br /> trạng thái P {PT , PC } và một khóa bí mật ngẫu nhiên k , ta có:<br /> COM  ( P, m1 , k ) c COM  ( P, m2 , k )<br /> Tính chối từ: Tồn tại một thuật toán giả mạo hiệu quả  sử dụng các tham số<br /> m1 , m2  M cùng với các tham số được hai bên chọn thống nhất k , rS , rR , rS' , rR' làm đầu<br /> vào của hai bên gửi, nhận, với bản mã c  COM  ( PC , m1 , k , rS , rR ) , và các tham số<br /> (k , rR )   (m1 , k , rR , c, m2 ), khi đó sai khác giữa hai phân bố xác suất của (m2 , k , rR , c) và<br /> <br /> <br /> 180 N. Đ. Tâm, N. N. Hải, N. H. Minh, “Chứng minh tính đúng đắn, an toàn … có thể chối từ.”<br /> Nghiên cứu khoa học công nghệ<br /> <br /> (m2 , k , rR' , COM  ( PT , m2 , k , rS' , rR' )) là hàm không đáng kể.<br /> 4.2. Chứng minh tính đúng đắn, an toàn và chối từ của phương pháp đề xuất<br /> Mệnh đề 1: Phương pháp mã hóa theo khối được trình bày như ở mục 3 là một giao<br /> thức mã hóa khóa đối xứng có thể chối từ linh hoạt bên gửi như được mô tả trong Định<br /> nghĩa 4*.<br /> Ta có:<br /> - Khi P  PC : Thuật toán hai bên sử dụng lúc này là thuật toán không trung thực với kẻ<br /> tấn công, tức là hai bên sử dụng thuật toán mã hóa theo khối giả xác suất có thể chối từ<br /> (thuật toán mã hóa là Enc_PC, thuật toán giải mã là Dec_PC).<br /> - Khi P  PT : Thuật toán hai bên sử dụng lúc này là thuật toán trung thực với kẻ tấn<br /> công, tức là hai bên sử dụng thuật toán mã hóa theo khối xác suất (thuật toán mã hóa là<br /> Enc_PT, thuật toán giải mã là Dec_PT).<br /> Tính đúng đắn:<br /> + Khi P  PC :<br /> Đầu vào của bên gửi A là (CM , CT );<br /> Đầu ra của bên nhận B sau khi giải mã là (CM , CT ), điều này luôn thỏa mãn vì từ bản<br /> mã C , B giải mã theo công thức CM  C mod p; CT  C mod q.<br /> + Khi P  PT :<br /> Đầu vào của bên gửi A là (CM , R) ;<br /> Đầu ra của bên nhận B sau khi giải mã là (CM , R' ) , trong đó R '  R , do hai bên sử<br /> dụng mã hóa xác suất nên bên nhận không quan tâm đến giá trị ngẫu nhiên R mà bên gửi<br /> thêm vào quá trình mã hóa. Từ bản mã C , B giải mã theo công thức CM  C mod p để<br /> khôi phục được chính xác CM .<br /> Tính an toàn:<br /> Ta có, với m1  (CM , CT ), m2  (CM , R)<br /> + Khi P  PC : Ta có<br /> COM  ( PC , m1 , k )  CM q(q 1 mod p)  CT p( p 1 mod q)]mod pq<br /> COM  ( PC , m2 , k )  CM q(q 1 mod p)  Rp( p 1 mod q)]mod pq<br /> do R ngẫu nhiên, có phân bố xác suất giống CT , nên<br /> COM  ( PC , m1 , k ) c COM  ( PC , m2 , k )<br /> + Khi P  PT : Ta có<br /> COM  ( PT , m1 , k )  CM r (r 1 mod p)  CT p( p 1 mod r )]mod pr<br /> COM  ( PT , m2 , k )  CM r (r 1 mod p)  Rp( p 1 mod r )]mod pr<br /> do R ngẫu nhiên, có phân bố xác suất giống CT , nên<br /> COM  ( PT , m1 , k ) c COM  ( PT , m2 , k )<br /> Tính chối từ:<br /> <br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số 65, 02 - 2020 181<br />  Công nghệ thông tin & Cơ sở toán học cho tin học<br /> <br /> Với hai thuật toán ứng với hai trạng thái ( PC , PT ) :<br /> + m2  m2 ;<br /> + chọn k  p; rS  r; rS  rS'  q; và không có rR ; rR' , khi đó:<br /> COM  ( PC , m1 , k , rS , rR )  CM q(q 1 mod p)  CT p( p 1 mod q)]mod pq ;<br /> COM  ( PT , m2 , k , rS' , rR' )  CM r (r 1 mod p)  Rp( p 1 mod r )]mod pr ;<br /> lúc này:<br /> Phân bố xác suất của COM  ( PC , m1 , k , rS , rR ) sẽ nằm khoảng giá trị [0, pq  1] và bằng<br /> 1<br /> . Phân bố xác suất của COM  ( PT , m2 , k , rS' , rR' ) sẽ nằm trong khoảng giá trị [0, pr  1]<br /> pq<br /> 1<br /> và bằng . Sai khác giữa hai phân bố xác suất:<br /> pr<br /> Khi q>r, sai khác giữa hai phân bố xác suất là<br /> 1 1<br /> Trong khoảng [0, pr ), sai khác giữa hai phân bố xác suất bằng (  );<br /> pr pq<br /> 1 1<br /> Trong khoảng ( pr , pq  1], sai khác giữa hai phân bố xác suất bằng (  0)  ;<br /> pr pr<br /> 1 1 1<br /> Do vậy, sai khác lớn nhất của hai phân bố xác suất trong [0, pq ) : max(  , ).<br /> pr pq pr<br /> Khi q