Криптосистема Сидельникова

Криптосистема Сидельникова (Мак-Элиса—Сидельникова) — криптографическая система с открытым ключом, основанная на криптосистеме McEliece. Была предложена математиком, академиком Академии криптографии РФ Владимиром Михайловичем Сидельниковым в 1994 годуШаблон:Sfn. Сидельников предложил данную криптосистему, поскольку для системы McEliece к тому времени уже были найдены алгоритмы, взламывающие её за полиномиальное, либо субэкспоненциальное время работыШаблон:Sfn.

Алгоритм, используемый в криптосистеме Сидельникова, основан на сложности декодирования кода Рида-МаллераШаблон:Sfn. Порождающая матрица такого кода имеет размеры ${\displaystyle k\times n,}$ где

${\displaystyle k={\displaystyle \sum _{k=0}^r}{C}_m^k,n=2^m}$

При использовании кода Рида-Маллера можно выбирать ключи меньшего размера, чем в криптосистеме McEliece; а также добиться высокой скорости расшифровки, так как для данного кода существуют быстрые алгоритмы декодированияШаблон:Sfn. Более того, криптосистема Сидельникова, как и любая система, построенная на линейных кодах, не является уязвимой для атак, которые станут возможны с появлением квантового компьютера.

Реального применения данная криптосистема не нашла, так как, несмотря на некоторые улучшения по сравнению с системой McEliece, была взломана в 2007 годуШаблон:Переход.

В некоторых источниках упоминается как криптосистема Мак-Элиса—Сидельникова.

Система Сидельникова, как и все асимметричные криптосистемы, использует открытый и закрытый ключи. Открытый ключ используется для шифрования сообщений и не является секретным. Закрытый ключ используется для расшифровки и должен быть известен только стороне, которой предназначаются зашифрованные сообщения. Задача владельца закрытого ключа заключается в том, чтобы замаскировать порождающую матрицу ${\displaystyle G}$, зная которую, криптоаналитик сумеет восстановить исходное сообщение. Для этих целей используются матрицы ${\displaystyle P}$ и ${\displaystyle A}$, описанные далее в алгоритме. Вычисления всюду происходят в ${\displaystyle k}$-мерном подпространстве пространства ${\displaystyle {𝔽}_2^n}$.

Процесс генерации ключей происходит следующим образомШаблон:Sfn:

1. Выбирается код Рида-Маллера с определёнными параметрами ${\displaystyle r}$ и ${\displaystyle m}$ (где ${\displaystyle r}$ - порядок кода, а ${\displaystyle 2^m}$ - длина кодового слова).
2. Генерируется случайная ${\displaystyle n\times n}$ перестановочная матрица ${\displaystyle P}$.
3. Генерируется случайная невырожденная ${\displaystyle k\times k}$ матрица ${\displaystyle A}$.
4. Вычисляется матрица ${\displaystyle E=AGP}$.
5. Матрица ${\displaystyle E}$ и число исправляемых кодом ошибок ${\displaystyle t}$ образуют открытый ключ, а матрицы ${\displaystyle (A,G,P)}$ — закрытый ключ криптосистемы.

Для кодирования при помощи линейных кодов (в частности, при помощи кода Рида-Маллера), необходимо представить информационное сообщение ${\displaystyle m}$ в виде последовательности из ${\displaystyle 0}$ и ${\displaystyle 1}$. Эта битовая последовательность шифруется следующим образомШаблон:Sfn:

1. Вычисляется вспомогательный вектор ${\displaystyle 𝐚=mE}$.
2. Случайным образом генерируется вектор ошибок ${\displaystyle 𝐞}$ размерности ${\displaystyle n}$, содержащий единицы не более чем в ${\displaystyle t=2^{m-r-1}-1}$ разрядах.
3. Передаваемый шифртекст вычисляется путём сложения ранее вычисленных векторов ${\displaystyle 𝐛=𝐚+𝐞}$.

Шифртекст, полученный по общедоступному каналу, представляет собой вектор ${\displaystyle 𝐛=mE+𝐞}$, где ${\displaystyle m}$ - информационное сообщение. Для расшифровки криптограммыШаблон:Sfn:

1. Вычисляется вектор ${\displaystyle {𝐛}^{\prime }=𝐛P^{-1}}$, являющийся вектором кода Рида-Маллера с порождающей матрицей ${\displaystyle G}$, искаженный не более, чем в ${\displaystyle t}$ разрядах. Строго говоря, вектор ошибок ${\displaystyle 𝐞}$ при таком подходе также умножается на матрицу ${\displaystyle P^{-1}}$, но для алгоритма декодирования это не имеет значения, так как его вес при перестановках, очевидно, остается прежним.
2. С помощью какого-либо алгоритма декодирования кода Рида-Маллера находится вектор ${\displaystyle {𝐚}^{\prime }}$, удовлетворяющий условию ${\displaystyle {𝐛}^{\prime }={𝐚}^{\prime }G+𝐞}$.
3. Вычисляется информационное сообщение ${\displaystyle m={𝐚}^{\prime }{A}^{-1}}$.

Сидельников в одной из своих статей показал несостоятельность криптосистемы McEliece на основе кодов Рида-Соломона, найдя способ взлома такой системы за полиномиальное времяШаблон:Sfn. В связи с этим, а также, желая устранить некоторые недостатки системы McEliece, Сидельников предложил и описал криптосистему, построенную на кодах Рида-МаллераШаблон:Sfn.

Несмотря на то что Сидельников считал свою криптосистему надежной, в 2007 году криптографы Л. Миндер и А. Шокроллахи изобрели весьма оригинальный способ взломать систему Сидельникова. В основе метода лежало утверждение о том, что ${\displaystyle RM(0,m)\subset RM(1,m)\subset \dots \subset RM(m,m)}$ для любого ${\displaystyle m}$ (здесь мы подходим к коду, как к линейному пространству, натянутому на базис из кодовых векторов)Шаблон:Sfn.

Обозначим за ${\displaystyle RM(r,m{)}^{\delta }}$ код Рида-Маллера после применения к нему оператора перестановки. Тогда, найдя каким-либо способом перестановочную матрицу, которая использовалась при генерации закрытого ключа, можно, вычислив матрицу ${\displaystyle P^{-1}}$ (это получится сделать, так как для любой перестановочной матрицы существует обратная), найти матрицу ${\displaystyle G^{*}=AG}$; поскольку открытым ключом в системе Сидельникова является матрица ${\displaystyle AGP}$, умножив которую на ${\displaystyle P^{-1}}$, можно найти ${\displaystyle G^{*}}$Шаблон:Sfn.

Остается лишь вычислить матрицу ${\displaystyle A}$. Для решения данной задачи матрицы ${\displaystyle G^{*}}$ и ${\displaystyle E}$ записываются рядом, и с помощью линейных преобразований строк матрица ${\displaystyle G^{*}}$ приводится к матрице ${\displaystyle G}$, которая для данного кода Рида-Маллера заранее известна. В итоге имеется цепочка преобразований ${\displaystyle (G^{*}|E)\to (G|A^{-1})}$, что следует из элементарых сведений о линейной алгебре. Вообще говоря, матрицу ${\displaystyle A}$ можно и не искать, так как достаточно легко показать, что матрицы ${\displaystyle AG}$ и ${\displaystyle G}$ порождают один и тот же код Рида-МаллераШаблон:Sfn.

Миндер и Шокроллахи в своей статье предложили следующий способ поиска перестановочной матрицы:

1. Ищутся кодовые векторы кода ${\displaystyle RM(r,m{)}^{\delta }}$, которые с очень большой вероятностью принадлежат коду ${\displaystyle RM(r-1,m{)}^{\delta }}$. Находится достаточное количество таких векторов, чтобы построить базис пространства ${\displaystyle RM(r-1,m{)}^{\delta }}$. Поиск базируется на утверждении о том, что код Рида-Маллера порядка ${\displaystyle r}$ является подпространством того же кода порядка ${\displaystyle r-1}$, а также на свойствах кодовых векторов с минимальным весом.
2. Повторяется шаг 1 до получения кода ${\displaystyle RM(1,m{)}^{\delta }}$.
3. Переставляя определённым образом столбцы ${\displaystyle RM(1,m{)}^{\delta }}$, возможно отыскать исходный код ${\displaystyle RM(1,m)}$ с вероятностью более ${\displaystyle 1/2}$ (потребуется максимум 2 итерации для получения положительного результата)Шаблон:Sfn. Иными словами, возможно найти оператор перестановки, использовавшийся для генерации закрытого ключа.

При временном анализе алгоритма за входной параметр принимается число ${\displaystyle n=2^m}$, являющееся размерностью кодового слова. Порядок кода ${\displaystyle r}$ полагается малым в сравнении с ${\displaystyle m}$, так как код Рида-Маллера при больших порядках достаточно бесполезен в плане практического применения (в частности, число исправляемых им ошибок при увеличении ${\displaystyle r}$, становится очень мало). Наиболее вычислительно сложной частью всего алгоритма является поиск кодовых слов с минимальным весом, так как все остальные операции выполняются за заведомо полиномиальное времяШаблон:Sfn.

Асимптотическая оценка сложности алгоритма: ${\displaystyle O(poly(n))\cdot e^{O(poly(log(n)))}}$. Для больших порядков кода ${\displaystyle r}$ задача становится вычислительно сложной, так как существенно возрастает время, затрачиваемое на поиск кодовых слов с минимальным весомШаблон:Sfn.

Миндером и Шокроллахи была проведена серия экспериментов на компьютере с тактовой частотой 2,4 ГгцШаблон:Sfn. Результаты можно видеть в таблице:

Время работы при ${\displaystyle r=3,m=7}$ является результатом погрешности в реализации алгоритма.

Сидельников также предложил усиленный вариант своей криптосистемы с использованием ${\displaystyle u}$ порождающих матриц. Иными словами, публичный ключ в такой системе рассчитывается как ${\displaystyle |A{G}_1,A{G}_2\dots ,A{G}_u|P}$, где первый множитель - составная матрица размером ${\displaystyle un\times k}$.

Миндер и Шокроллахи в своей статье показали, что взлом усовершенствованной таким образом криптосистемы по сложности не отличается от взлома криптосистемы с единственной порождающией матрицей, так как разбиение кода на блоки оказывается весьма простой задачейШаблон:Sfn.

• McEliece
• Криптосистема Нидеррайтера

Шаблон:Примечания

• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source

Шаблон:^ Шаблон:Добротная статья