Đề xuất giao thức mã hóa giả xác suất có thể chối từ sử dụng mã hóa Vernam kết hợp thuật toán ElGamal

như một mô hình kết hợp mã hóa khóa bí mật không trao đổi khóa với mã hóa khóa công khai. Phương pháp đề xuất đảm bảo an toàn trước các ngữ cảnh tấn công cưỡng ép bên gửi hoặc tấn công cưỡng ép bên nhận, vì vậy nó có thể ứng dụng được trong thực tiễn. Keywords- Mã hóa có thể chối từ, thuật toán mã hóa khóa công khai ElGamal, thuật toán mã hóa Vernam, giao thức ba bước Shamir, mã hóa xác suất. I. GIỚI THIỆU Mã hóa có thể chối từ (MHCTCT) là phương pháp mã hóa mà khi giải mã một bản mã cho ra hai bản rõ có ý nghĩa khác nhau, với khả năng chống lại tấn công cưỡng ép (trong kịch bản mà kẻ thứ ba đã chặn thu được bản mã truyền qua kênh công cộng và cưỡng ép bên gửi hoặc bên nhận hoặc cả hai bên phải trình ra bản rõ và các khóa đã sử dụng), MHCTCT tăng cường thêm một lớp bảo mật khi sử dụng để mã hóa và truyền tin. Khái niệm MHCTCT được Canetti và cộng sự công bố lần đầu tại bài báo [1]. Ngoài việc chống lại tấn công cưỡng ép trong truyền tin mật, MHCTCT còn ứng dụng trong lưu trữ ẩn giấu hoặc có khả năng chối từ các hệ thống tệp dữ liệu nhạy cảm [2-4], ứng dụng trong bỏ phiếu điện tử [5]. MHCTCT đã được nghiên cứu và đề xuất cụ thể một số giao thức sử dụng khóa công khai [6] hoặc khóa bí mật chia sẻ trước [7]. Gần đây, một giải pháp MHCTCT được đề xuất sử dụng thuật toán mã hóa giao hoán và khóa bí mật dùng chung trong [8]. Nhưng dù ứng dụng thuật toán nào để thiết kế giao thức MHCTCT đều phải quan tâm đến điểm quan trọng nhất là khả năng chống tấn công cưỡng ép bởi kẻ tấn công thụ động. Bài toán đảm bảo an toàn của các giao thức MHCTCT chống tấn công cưỡng ép được thảo luận trong các bài báo [9-10], vấn đề đảm bảo an toàn chống lại các tấn công cưỡng ép chủ động bằng cách bổ sung thủ tục xác thực bên gửi và bên nhận cũng được đề cập trong [10]. Trong các bài báo [10-11] đã giới thiệu phương pháp MHCTCT dựa trên kết hợp các nguyên thủy mật mã với giao thức ba bước Shaimir như một hình thức truyền tin mật mà không cần quá trình trao đổi khóa trước (giao thức không khóa), tuy nhiên với việc mã hóa xác suất bằng cách mã hóa đồng thời thông điệp giả mạo và thông điệp mật (có độ dài bằng nhau) làm giảm hiệu suất truyền tin đồng thời làm gia tăng khối lượng tính toán trong quá trình mã hóa và giải mã. Nhằm khắc phục các hạn chế này, bài báo này đề xuất một phương pháp MHCTCT (với quá trình truyền tin dựa trên giao thức ba bước Shamir) dùng thuật toán mã hóa khóa bí mật sử dụng một lần Vernam như một mã hóa giao hoán kết hợp với thuật toán mã hóa xác suất khóa công khai ElGamal. Phương pháp đề xuất đảm bảo an toàn trong truyền tin mật sử dụng mã hóa kép nhưng độ phức tạp tính toán gia tăng không đáng kể so với mã hóa Elgamal (vì một trong hai thuật toán mã hóa là thuật toán mã hóa Vernam sử dụng phép XOR đơn giản), đồng thời chống lại được tấn công cưỡng ép bên gửi, cưỡng ép bên nhận. Trong nội dung bài báo, Phần II mô tả kịch bản truyền tin và ngữ cảnh tấn công, Phần III giới thiệu các thuật toán cụ thể sử dụng trong phương pháp đề xuất. Phần IV đề xuất giao thức MHCTCT. Phần V kết luận. II. KỊCH BẢN TRUYỀN TIN VÀ NGỮ CẢNH TẤN CÔNG Kịch bản sử dụng MHCTCT trong truyền tin được mô tả như sau: - Giả sử hai bên A và B truyền thông điệp bí mật T và ngụy trang một thông điệp giả mạo M (trên cùng một bản mã C). Kẻ tấn công có trong tay các bản mã thu được trên kênh truyền, sau đó cưỡng ép A (hoặc B) trình ra thông điệp rõ, các khóa mã sử dụng và thuật toán mã hóa/giải mã. - Khi bị cưỡng ép, A hoặc B để bảo vệ thông điệp bí mật T, sẽ trình ra thông điệp giả mạo M phù hợp hoàn toàn với bản mã C, khóa mã và thuật toán mã hóa/giải mã. - Thông điệp đầu vào phù hợp với quá trình mã hóa và các bản mã là T hoặc M thay vì chỉ là T như mã hóa thông thường, cách thức thực hiện này yêu cầu thuật toán mã hóa phải là mã hóa xác suất. Các tình huống tấn công được đặt ra là: - Đối thủ đã chặn thu được mọi bản mã gửi trên kênh truyền; - Đối thủ tấn công cưỡng ép một trong hai bên sau khi các bản mã đã được gửi/nhận; - Mỗi bên đều buộc phải trình ra: thông điệp rõ, khóa bí mật sử dụng, thuật toán thực hiện trong quá trình truyền tin và phải đảm bảo các bản mã đã gửi/nhận phù hợp hoàn toàn với những thành phần này. III. MỘT SỐ THUẬT TOÁN SỬ DỤNG 3.1 Giao thức ba bước Shamir Để thực hiện giao thức ba bước Shamir, thuật toán sử dụng phải có tính chất giao hoán một cách liên tiếp [13], nghĩa là nó cho phép một thông điệp được mã hóa hai bước với bất kỳ một 122 thứ tự nào đều cho ra kết quả như nhau. Với T là thông điệp đầu vào và KA, KB là hai khóa mã của hai lần mã khác nhau, thuật toán mã hóa phải đảm bảo:       A B B AK K K K E E T E E T do tính chất giao hoán, người nhận luôn nhận được bản rõ chính xác, vì:     A A BBK K K KD D E E T T Mô tả giao thức chi tiết được thực hiện như sau: 1. A cần gửi thông điệp T, A tạo khóa ngẫu nhiên KA và tính bản mã   A1 .KC E T A gửi C1 cho B qua kênh mở; 2. B tạo một khóa ngẫu nhiên KB, mã hóa bản mã C1 bằng khóa KB:      B B A2 1 ,K K KC E C E E T  gửi C2 cho A; 3. A, sử dụng thủ tục giải mã D = E-1, tính bản mã             A A B A A A B B3 2 ,K K K K K K K KC D C D E E T D E E T E T    gửi C3 cho B; B nhận được được C3, giải mã      B B B3 .K K KM D C D E T T   Trong giao thức này sử dụng khóa mã KA và KB là các khóa bí mật của phép biển đổi mã hóa giao hoán. Vì A và B không cần trao đổi bất cứ khóa bí mật nào trong quá trình thực hiện giao thức, nên giao thức ba bước Shamir còn được gọi là giao thức không khóa ba bước Shamir. 3.2 Thuật toán mã hóa khóa bí mật dùng một lần Vernam Thuật toán mã hóa Vernam là phương pháp mã hóa khóa bí mật (đối xứng), với chuỗi bit thông điệp T, chuỗi bit khóa bí mật K, trong đó độ dài chuỗi bít thông điệp T (ký hiệu là T ) bằng với độ dài chuỗi bít khóa bí mật K (ký hiệu là K ). Phép mã hóa và giải mã đều là phép toán XOR (ký hiệu là ). Mã hóa: ,C K T  giải mã: T C K  , (với K T ). 3.3 Thuật toán mã hóa khóa công khai ElGamal Thuật toán ElGamal sử dụng như một thuật toán mã hóa khóa công khai để truyền thông điệp qua kênh mở [15], với thủ tục mã hóa và giải mã: A sử dụng bộ tham số khóa công khai ( , , ap   ), trong đó p là số nguyên tố an toàn và p-1 có ước là số nguyên tố lớn,  là phần tử sinh của * p , a sử dụng khóa riêng là tham số bí mật thỏa mãn 1<a<p-1. B cần truyền thông điệp bí mật cho A: Mã hóa: B biểu diễn thông điệp dưới dạng số nguyên M trong dải {0,1,...,p-1}; B chọn số ngẫu nhiên k, thỏa mãn 1< k <p-1; B mã hóa M thành bản mã: ( , ) ( mod , .( ) mod )k a kC p M p     Giải mã: A nhận được bản mã ( , )C   , sử dụng khóa riêng a để giải mã: 1 ( 1 ). mod . .( ) modp a k p a a kM p M p        ( 1). . .( ) modk p ka a kM p M     IV. ĐỀ XUẤT GIAO THỨC MÃ HÓA CÓ THỂ CHỐI TỪ 4.1 Đề xuất phương pháp thực hiện Thuật toán mã hóa Vernam có thể sử dụng như một mã hóa giao hoán đơn giản để thực hiện giao thức ba bước Shamir, nhưng nó không an toàn khi sử dụng cho giao thức Shamir, bởi khi thực hiện quá trình mã hóa ba bước, mỗi bản mã ở bước này sẽ là bản rõ ở bước sau, do vậy sẽ dễ dàng tìm được khóa (thuật toán Vernam không có khả năng chống lại tấn công biết trước bản rõ). Vì vậy phương pháp MHCTCT dựa trên giao thức ba bước Shamir được đề xuất trong bài báo này sẽ sử dụng mã hóa kép, với sự kết hợp giữa thuật toán mã hóa Vernam và thuật toán mã hóa ElGamal nhằm đảm bảo an toàn cho quá trình truyền tin. Phương pháp được mô tả chi tiết như sau: - A muốn gửi thông điệp bí mật T cho B và ngụy trang bằng một thông điệp giả mạo M (với M T ). - Hai bên dùng giao thức ba bước Shamir sử dụng mã hóa giao hoán Vernam với các khóa bí mật KA và KB đã chuẩn bị trước. - Quá trình mã hóa được thực hiện mã hóa thêm một lần bằng mã hóa xác suất khóa công khai ElGamal với cách thức bổ sung thêm các giá trị ngẫu nhiên trong quá trình mã hóa. Với cách thức kết hợp này, giao thức ba bước Shamir được thực thi và đảm bảo an toàn mà độ phức tạp tính toán gia tăng không đáng kể. - Nếu kẻ cưỡng ép chặn các bản mã (C1, C2, C3) và tấn công cưỡng ép, buộc A hoặc B phải trình ra bản rõ, khóa mã và giao thức mã hóa truyền tin phù hợp với các bản mã mà kẻ tấn công đang có. A hoặc B muốn bảo vệ tính bí mật của thông điệp T thực hiện theo phương pháp chối từ, cần có điều kiện: các bản mã (C1, C2, C3) được tạo ra dưới dạng mã hóa thông điệp bí mật T, đồng thời, quá trình mã hóa theo phương cách MHCTCT thông điệp bí mật T phải được thực hiện giống như (không thể phân biệt được về mặt tính toán) quá trình mã hóa xác suất thông điệp giả mạo M. Khi đó A hoặc B sẽ trình ra thông điệp giả mạo M cùng khóa mã và chứng minh tính phù hợp của thông điệp giả mạo M với các bản mã (C1, C2, C3) và giao thức mã hóa. 4.2 Giao thức kết hợp thuật toán mã hóa Vernam với thuật toán mã hóa ElGamal có thể chối từ Sử dụng phương pháp MHCTCT mô tả trong phần 4.1, giao thức mã hóa giả xác suất có thể chối từ sử dụng thuật toán ElGamal kết hợp thuật toán mã hóa Vernam được đề xuất chi tiết như sau: Thống nhất tham số khóa công khai A sử dụng bộ tham số công khai , , ,ap   B sử dụng bộ tham số công khai ( , , ).bq g g Trong đó p, q là các số nguyên tố an toàn cỡ 2048 bít [16], p-1 và q-1 có ước là số nguyên tố lớn cỡ 256 bít,  là phần tử sinh của * p , g là phần tử sinh của * q , a (1<a<p-1) là khóa riêng của A, b (1<b<q-1) là khóa riêng của B. 123 Để tăng tính xác suất của phép mã hóa, trong quá trình mã hóa gửi nhận giữa hai bên, ở mỗi bước sẽ bổ sung thêm giá trị ngẫu nhiên , kích thước cố định (| | 256).  Các chuỗi thông điệp mang đi mã hóa lúc này sẽ là || , ||T M  (với là ký hiệu phép nối liên tiếp hai chuỗi bit). Các giá trị  thêm vào nhằm tăng tính xác suất của phép mã hóa và hoàn toàn độc lập với các bản mã trung gian, các giá trị  này không cần lưu nhớ trong quá trình truyền tin. Để phù hợp với cách chọn tham số như trên thông điệp T truyền từ A sang B cần có độ dài nhỏ hơn 1792 bít (thông điệp ngụy trang M có cùng độ dài với T). Tổng quát, khi 1792T  bít thì chia T thành các chuỗi | | 1792iT  bít, tại mỗi bước của quá trình mã hóa sẽ mã hóa i chuỗi bít liên tiếp trước khi truyền giữa hai bên. Mã hóa 1. Bước 1: A sử dụng chuỗi khóa ngẫu nhiên KA, với ,AK T M  số ngẫu nhiên 1 1Ak q  sử dụng một lần, giá trị ngẫu nhiên , tính bản mã 1AC gồm hai thành phần 1 1 1( , ) :A A AC   1A AR K T  (1) 1 . 1 1 1 1 1 1 1 1( , ) ( , ( || ). d q) kA b kA A A A A A A AC C g R g mo       (2) Sau đó A gửi 1 1 1( , )A A AC   cho B. 2. Bước 2: B nhận 1 1 1( , )A A AC   dùng khóa riêng của B là b, giải mã tìm: ( 1 ) 1( 1 ) . 1 1 1 1 1( || ) . .( || ). d q q b kA q b b kA A A A AR g R g mo         (3) sau đó B sử dụng chuỗi khóa ngẫu nhiên KB với 1| | | |,B AK R số ngẫu nhiên 1Bk p  sử dụng một lần cho phiên truyền tin, giá trị ngẫu nhiên ' , tính BC gồm hai thành phần ( , ) :B B BC   1 ( )BA B A B AR K R K K T     (4) ' .( , ) ( , ( || ). d p)kB a kBB B B B B B BAC C R mo         (5) sau đó B gửi bản mã ( , )B B BC   cho A. 3. Bước 3: A nhận ( , ),B B BC   dùng khóa riêng của A là a để giải mã tìm: ' ( 1 ) ( 1 ) ' .( || ) . .( || ). d pp a kB p a a kBBA B B BAR R mo           (6) A sử dụng khóa ngẫu nhiên KA và số ngẫu nhiên 2 1,Ak q  giá trị ngẫu nhiên ", tính: 2 ( ( ))A A BA A B A BR K R K K K T K T        (7) 2 '' . 2 2 2 2 2 2 2 2( , ) ( , ( || ). d q) kA b kA A A A A A A AC C g R g mo       (8) Sau đó, A gửi bản mã 2 2 2( , )A A AC   cho B. Bên gửi (A) Bên nhận (B) Tham số khóa công khai khóa công khai: ( , , )ap   khóa riêng: a khóa công khai: ( , , )bq g g khóa riêng: b Mã hóa Chuỗi khóa KA: AK T M  1 $A qk  1A AR K T  1 1 kA A g  . 1 1 1( || ). mod q b kA A AR g  1 1 1( , )A A AC   1 1 1( , )A A AC   ( 1 ) 1 1 1 1( 1 ) . 1 1 ( || ) . mod .( || ). mod q b A A A kA q b b kA A R q g R g q           Chuỗi khóa KB: 1| | | |B AK R $B pk  1 ( ) BA B A B A R K R K K T      kB B  ' .( || ). moda kBB BAR p   ( , )B B BC   ( , )B B BC   ' ( 1 ) ( 1 ) ' . ( || ) . mod .( || ). mod p a BA B B kB p a a kB BA R p R p             2 ( ( )) A A BA A B A B R K R K K K T K T         2 $A qk  2 2 kA A g  '' . 2 2 2( || ). mod b kA A AR g q  2 2 2( , )A A AC   2 2 2( , )A A AC   Giải mã Chế độ truyền tin mật '' ( 1 ) 2 2 2 2( 1 ) '' . 2 2 ( || ) . mod .( || ). mod q b A A A kA q b b kA A R q g R g q           2 ( )A B B BT R K K T K     Chế độ bị tấn công cưỡng ép BM ' 2 ( )B A B B BK R M K T M     ' 2B B AM K R  Hình 1. Sơ đồ thực hiện giao thức 124 Giải mã B nhận 2 2 2( , ),A A AC   B sử dụng khóa riêng của B là b, tính: '' ( 1 ) 2( 1 ) '' . 2 2 2 2 2( || ) . .( || ). d q q b kA q b b kA A A A AR g R g mo         (9) B sử dụng chuỗi khóa ngẫu nhiên KB, giải mã tìm T: 2A B B BT R K K T K     (10) 4.3 Chứng minh tính đúng đắn, an toàn và khả năng chối từ 1. Giao thức đảm bảo tính đúng đắn, vì khi giải mã ở chế độ truyền tin mật, có: 1 1 2 ( ) ( ) A A BA A B A B A B A BA A A B A B R K T R R K K T K K T K R R K K T K K T K                   nên khi thực hiện giải mã khôi phục thông điệp bí mật T: 2 ( ) .A B B BT R K T K K T      2. Giao thức đảm bảo truyền tin mật an toàn, do sử dụng mã hóa kép kết hợp hai thuật toán: thuật toán mã hóa khóa bí mật sử dụng một lần Vernam và thuật toán mã hóa Elgamal dùng các số nguyên tố an toàn cỡ 2048 bít [16]. Với cách thức thiết kế mã hóa xác suất sử dụng thuật toán ElGamal, yêu cầu không thể phân biệt được về mặt tính toán của các bản mã tạo ra từ việc mã hóa thông điệp thật T với các bản mã tạo ra từ việc mã hóa thông điệp giả mạo M được đảm bảo 3. Giao thức có khả năng chối từ bên gửi hoặc chối từ bên nhận, cụ thể khi bị tấn công cưỡng ép trong các ngữ cảnh: - Tấn công cưỡng ép bên gửi: Khi kẻ tấn công thu được các bản mã 1 2( , , )A B AC C C và cưỡng ép A trình ra bản rõ và khóa mã, lúc này A trình ra bộ tham số ' 1 2( , , , , )A A A AM K k k a trong đó | | | |AM T là thông điệp giả mạo, ' 1A A A A AK R M K T M     (khi đó luôn thỏa mãn ' 1A A AR K M  ), phù hợp với các bản mã 1( , )A BC C và bộ khóa công khai ElGamal của B như đã trình bày ở trên. Từ bản mã ( , )B B BC   và bộ tham số '( , , )A AM K a và biểu thức (4), (6) kẻ cưỡng ép có thể tính ra được BAR , và tính ra được ' ,B BA A AK R K M   và lúc này xuất hiện bất đẳng thức ( )#( )B A BK M K T  , tức là ' 2 2#A AR R điều này được lý giải bởi ở Bước 3, mã hóa ElGamal xác suất được sử dụng, với giá trị ngẫu nhiên '' thêm vào và không lưu nhớ, với mỗi một lần tính toán lại sẽ cho giá trị 2A khác nhau trong 2 2 2( , )A A AC   . - Tấn công cưỡng ép bên nhận: Khi kẻ tấn công thu được các bản mã 1 2( , , )A B AC C C và cưỡng ép B trình ra bản rõ và khóa mã, lúc này B trình ra bộ tham số '( , , , )B B BM K k b trong đó 1| | | |B AM R là thông điệp giả mạo, ' 2B A B B BK R M K T M     (khi đó luôn thỏa mãn ' 2A B BR K M  ), phù hợp với 2( , )B AC C giao thức ba bước và bộ khóa công khai ElGamal của A như đã trình bày ở trên. Từ bộ tham số '( , , )B BM K b và biểu thức (3), (4) kẻ cưỡng ép có thể tính ra được 1AR , và tính ra được ' 1A A B BK R K M   và khi đó xuất hiện bất đẳng thức ( )#( )A B AK M K T  , tức là ' 1 1#A AR R điều này được lý giải bởi ở Bước 1, mã hóa ElGamal xác suất được sử dụng, với giá trị ngẫu nhiên  thêm vào và không lưu nhớ, mỗi một lần tính toán lại sẽ cho kết quả 1A khác nhau 1A trong 1 1 1( , ).A A AC   4.4 Nhận xét về giao thức đề xuất - Trong giao thức đề xuất, việc chọn thông điệp giả mạo AM của bên gửi hoặc BM của bên nhận được đảm bảo linh hoạt, khả năng linh hoạt này đảm bảo cho thông điệp giả mạo phù hợp nhất với ngữ cảnh truyền tin và tính thời sự tại thời điểm bị tấn công cưỡng ép, nó là đặc tính quan trọng và cần có của MHCTCT [17]. - Giao thức đề xuất có khả năng chối từ bên gửi hoặc chối từ bên nhận, tuy nhiên khi kẻ tấn công cưỡng ép đồng thời cả hai bên, lúc này sẽ phát hiện ra sự dối trá khi # ,A BM M đây là hạn chế của giao thức đề xuất. Vấn đề này có thể được giải quyết bằng cách thống nhất hai bên trước khi thực hiện quá trình truyền tin để khớp giá trị ,A BM M cách thức thực hiện chối từ có dàn xếp này được gọi là chối từ kế hoạch trước, khi đó việc chối từ lại không đảm bảo tính linh hoạt bởi thời điểm hai bên cùng bị tấn công cưỡng ép là không thể biết trước, đây là điểm hạn chế của giao thức này. V. KẾT LUẬN 1. Giao thức đề xuất sử dụng thuật toán mã hóa Vernam như một phép mã hóa giao hoán thực hiện quá trình truyền tin theo giao thức ba bước Shamir, kết hợp với thuật toán khóa công khai ElGamal để chống lại nhược điểm của thuật toán mã hóa Vernam. Với cách thức thiết kế mã hóa xác suất, yêu cầu không thể phân biệt được về mặt tính toán được đảm bảo. 2. Giao thức tạo ra một phương pháp truyền tin an toàn hai lớp: lớp thứ nhất là bảo mật thông tin dựa trên mã hóa kép (mã hóa Vernam kết hợp mã hóa ElGamal), lớp thứ hai là chống lại tấn công cưỡng ép dựa trên MHCTCT. Với việc sử dụng các nguyên thủy mật mã an toàn, giao thức đề xuất hoàn toàn có thể sử dụng được trong thực tiễn. 3. Được thiết kế như một giao thức ba bước dùng thuật toán mã hóa Vernam không trao đổi khóa bí mật, kết hợp thuật toán mã hóa ElGamal để đảm bảo an toàn, bổ sung có chủ ý các giá trị ngẫu nhiên trong quá trình mã hóa, giao thức đề xuất trên được xây dựng như một giao thức mã hóa giả xác suất có thể chối từ. TÀI LIỆU THAM KHẢO [1] Ran Canetti, Cynthia Dwork, Moni Naor, and Rafail Ostrovsky, "Deniable Encryption," Proceedings Advances in Cryptology – CRYPTO 1997. Lectute Notes in Computer Science. Springer – Verlag. Berlin, Heidelberg, New York, pp. 90-104, 1997. [2] Truecrypt: Free open-source on-the-fly encryption. [Online]. [3] Roger Needham, and Adi Shamir Ross Anderson, "The steganographic file system. In Information Hiding," Springer, pp. 73-82, 1998. [4] AndrewD. McDonald and MarkusG. Kuhn. Stegfs, "A steganographic file system for linux. In Andreas Pfitzmann, editor, Information," Springer Berlin Heidelberg, pp. 463–477, 2000. [5] B. Meng, "A Secure Internet Voting Protocol Based on Non-interactive Deniable Authentication Protocol and Proof Protocol that Two 125 Ciphertexts are Encryption of the Same Plaintext," Journal of Networks, pp. 370–377, 2009. [6] I. Yu, E. Kushilevits, and R. Ostrovsky, "Efficient Non-interactive Secure Computation," Advances in Cryptology -- EUROCRYPT 2011. Lectute Notes in Computer Science. Springer – Verlag. Berlin, Heidelberg, New York, pp. 406-425, 2011. [7] C. Wang and J.A. Wang, "Shared-key and Receiver-deniable Encryption Scheme over Lattice," Journal of Computational Information Systems, pp. 747-753, 2012. [8] N.A. Moldovyan, A.A. Moldovyan, and A.V. Shcherbacov, "Deniable- encryption protocol using commutative transformation," Workshop on Foundations of Informatics, pp. 285-298, 2016. [9] N.A. Moldovyan, A.N. Berezin, A.A. Kornienko, and A.A. Moldovyan, "Bi-deniable Public-Encryption Protocols Based on Standard PKI," Proceedings of the 18th FRUCT & ISPIT Conference, Technopark of ITMO University, Saint-Petersburg, Russia. FRUCT Oy, Finland, pp. 212-219, 2016. [10] A.A. Moldovyan, N.A. Moldovyan, and V.A. Shcherbakov, "Bi- Deniable Public-Key Encryption Protocol Secure Against Active Coercive Adversary," Buletinul Academiei de Stiinte a Republicii Moldova. Mathematica, pp. 23-29, 2014. [11] N. Nam. Hai, N. A. Moldovyan, A. V. Shcherbacov., N. Hieu. Minh, N. Duc. Tam, "No-Key Protocol for Deniable Encryption," in Advances in Intelligent Systems and Computing book series (AISC, volume 672).: Springer, Singapore, 2018, pp. 96-104. [12] Nguyễn Đức Tâm and Lê Mỹ Tú, "Đề xuất giao thức mã hóa không khóa giả xác suất có thể chối từ sử dụng thuật toán RSA," Tạp chí nghiên cứu KH&CN quân sự, vol. 62, pp. 37-45, Aug. 2019. [13] Ulf Carlsen, "Cryptographic protocol flaws:know your enemy," in Computer Security Foundations Workshop VII. Proceedings., 1994. [14] A.J. Menezes, P.C. Oorschot, and S.A. Vanstone, "Applied cryptography," CRC Press, New York, London, 1996. [15] T. ElGamal, "A public key cryptosystem and a signature scheme based on discrete logarithms," in IEEE Trans. Information Theory, 1985, p. 469 − 472. [16] Douglas Robert Stinson, Maura Paterson, Cryptography Theory and Practice, 4th ed.: CRC Press, 2019. [17] A. Sahai and B. Waters, "How to use indistinguishability obfuscation: Deniable encryption and more," IACR Cryptol. ePrint Archive, p. 453, 2013. 126