Criptosistemas de Flujo

Intercambian la clave del OTP por la salida de un generador pseudoaleatorio:

• Gen: $s\leftarrow S$
• Enc: ${\text{Enc}}_s(m)=G(s)\oplus m$
• Dec: ${\text{Dec}}_s(c)=G(s)\oplus c$

La gran diferencia es que |S| <<< |M|, por ejemplo, si $|S|=2^{128}$, entonces $|M|=|S{|}^{128}$

Un algoritmo pseaudoaleatorio es un algoritmo deterministico que expande una entrada llamada seed, de forma que la salida parece aleatoria.

Formalmente, sea $D=\{f:\{0,1{\}}^n\to \{0,1\}\}$ una familia de funciones, entonces $G:\{0,1{\}}^s\to \{0,1{\}}^n$ con $s<n$ es un generador pseaudoaleatorio con respecto a D si:

$\forall f\in D/P(f(G(r^S))\ne f(r^n))=ϵ$ Donde $r$ es una secuencia realmente aleatoria

Básicamente, que la probabilidad que las funciones puedan distinguir entre una entrada realmente aleatoria y una pseaudoaleatoria sea un valor despreciable.

Son definidos por el algoritmo que es utilizado para generar los valores pseudoaleatorios:

• RC4 (Usado en https y WEP)
• CSS (Usado en DVDs)
• A51 (GSM)
• E0 (Bluetooth)
• Salsa20: $\{0,1{\}}^{128\text{ o }256}\times \{0,1{\}}^{64}\to \{0,1{\}}^n,n=2^{64}\ast 2^9$
• Rabbit: $\{0,1{\}}^{128}\times \{0,1{\}}^{64}\to \{0,1{\}}^n,n=2^{128}$

Teorema

Si $G(s)$ es un generador pseudoaleatorio entonces el criptosistema es indistinguible ante observadores.

No son seguros bajo múltiples cifrados:

• $c_1=m_1\oplus G(s)$
• $c_2=m_2\oplus G(s)$
• $\Rightarrow c_1\oplus c_2=m_1\oplus m_2$ Si una función de cifrado es determinística, NO es segura bajo múltiples cifrados. Es por eso que necesitamos de cifrado probabilístico.

Evitar reutilizar la clave

Para realizar esto se agrega un valor a la función generadora, que no deberá repetirse para una misma clave (se lo llama nonce o IV). Hay dos formas: modo sincronizado o no sincronizado. En el sincronizado, se genera con el IV, la clave y la función G un pad lo suficientemente grande como para encriptar varios mensajes a enviar, mientras que en el no sincronizado se genera un IV por cada mensaje. El modo no sincronizado es ineficiente si los mensajes a enviar son muchos muy chiquitos. El IV es enviado como parte del mensaje, dado que siempre y cuando no se sepa la clave original $k$ seguirá siendo seguro.