Криптосистема Нидеррайтера

Криптосистема Нидеррайтера — криптосистема с открытыми ключами, основанная на теории алгебраического кодирования, разработанная в 1986 году Харальдом НидеррайтеромШаблон:Source-ref. В отличие от криптосистемы McEliece, в криптосистеме Нидеррайтера используется проверочная матрица кода. Криптосистема Нидеррайтера позволяет создавать цифровые подписи и является кандидатом для постквантовой криптографии, поскольку устойчива к атаке с использованием алгоритма Шора.

Используемый в криптосистеме Нидеррайтера алгоритм основан на сложности декодирования полных линейных кодов.

Несмотря на то, что данная криптосистема была взломана, некоторые её модификации остаются криптостойкимиШаблон:Source-ref

1. Алиса выбирает ${\displaystyle (n,k)}$ код ${\displaystyle C}$ над полем Галуа ${\displaystyle GF(q)}$, исправляющий ${\displaystyle t}$ ошибок. Этот код должен обладать эффективным алгоритмом декодированияШаблон:Source-ref.
2. Алиса генерирует ${\displaystyle (n-k)\times n}$ проверочную матрицу ${\displaystyle H}$ кода ${\displaystyle C}$.
3. Алиса выбирает случайную ${\displaystyle (n-k)\times (n-k)}$ невырожденную матрицу ${\displaystyle S}$ над полем ${\displaystyle GF(q)}$ и некоторую ${\displaystyle n\times n}$ матрицу перестановки ${\displaystyle P}$Шаблон:Source-ref.
4. Алиса вычисляет ${\displaystyle (n-k)\times n}$ матрицу ${\displaystyle H_{pub}=SHP}$
5. Открытым ключом Алисы является пара ${\displaystyle (H_{pub},t)}$. Закрытым ключом является набор ${\displaystyle (S^{-1},H,P^{-1})}$.

В данном случае сообщения — это все ${\displaystyle n-}$векторы с координатами из поля ${\displaystyle GF(q)}$ с весом, не превосходящим ${\displaystyle t}$. Таким образом, сообщениями являются все возможные ошибки, которые выбранный код в состоянии исправитьШаблон:Source-ref.
Предположим, что Боб хочет отправить сообщение Алисе, чей открытый ключ ${\displaystyle (H_{pub},t)}$.

1. Боб представляет своё сообщение в виде двоичной последовательности ${\displaystyle m}$ длины ${\displaystyle n}$, имеющей вес, не превосходящий ${\displaystyle t}$.
2. Боб вычисляет шифротекст по формуле: ${\displaystyle c=m{H}_{pub}^T}$. Таким образом, шифротекстом в криптосистеме Нидеррайтера является зашумленный синдром шифруемого вектора ошибкиШаблон:Source-ref.

После получения сообщения ${\displaystyle c}$, Алиса выполняет следующие действия:

1. Алиса вычисляет ${\displaystyle s=c{(S^T)}^{-1}=m{P}^T{H}^T{S}^T(S^T{)}^{-1}=(m{P}^T)H^T=\hat{m}{H}^T}$. Заметим, что, так как ${\displaystyle P}$ — матрица перестановки, вес ${\displaystyle \hat{m}=(m{P}^T)}$ совпадает с весом ${\displaystyle m}$ и не превосходит ${\displaystyle t}$, и потому алгоритм декодирования для ${\displaystyle C}$ может найти вектор ошибки, соответствующий синдрому ${\displaystyle s}$Шаблон:Source-ref.
2. Алиса использует алгоритм быстрого декодирования для кода ${\displaystyle C}$, чтобы найти ${\displaystyle \hat{m}}$Шаблон:Source-ref.
3. Алиса вычисляет сообщение ${\displaystyle \hat{m}{P}^{-1}=mP{P}^{-1}=m}$.

В оригинальной криптосистеме Нидеррайтер предлагал использовать коды Рида-Соломона и не использовал матрицу перестановки ${\displaystyle P}$. Однако такая система оказалась нестойкой и была взломана Сидельниковым и Шестаковым в 1992 годуШаблон:Source-ref. Авторы показали, что возможно угадать структуру закрытого ключа по открытому и подобрать такие матрицы ${\displaystyle \hat{H}}$ и ${\displaystyle \hat{S}}$, что ${\displaystyle H_{pub}=\hat{S}\hat{H}}$. После этого для повышения криптостойкости системы было предложено использовать матрицу перестановки ${\displaystyle P}$. Кроме того, появились различные модификации системы, например:

• использующие различные метрики, отличные от классической хэмминговой, например, ранговуюШаблон:Source-ref: примером этого является модифицированная система GPTШаблон:Source-ref
• использующие коды со специфическими свойствами. Так, модификации, основанные на кодах Гоппы, все ещё остаются криптостойкимиШаблон:Source-ref.

• В отличие от McEliece, в криптосистеме Нидеррайтера не используются случайные параметры. Таким образом, результат шифрования одного и того же текста будет одинаковым. Этот факт позволяет использовать именно систему Нидеррайтера, а не McEliece, для создания электронно-цифровой подписи.
• Размер открытого ключа в криптосистеме Нидеррайтера в ${\displaystyle \frac{n}{n-k}}$ раз меньше, чем в McElieceШаблон:Source-ref.
• По сравнению с RSA, скорость шифрования выше приблизительно в 50 раз, а дешифрования — в 100 разШаблон:Source-ref.

• Для шифрования произвольного сообщения необходим алгоритм перевода в ${\displaystyle q}$-арный вектор длиной ${\displaystyle n}$ веса не более ${\displaystyle t}$.
• Размер ключей больше, чем в классических криптосистемах с открытым ключом (RSA, Схема Эль-Гамаля, ГОСТ Р 34.10-2012).
• Размер шифротекста намного больше, чем размер шифруемого сообщения (если сообщение размера ${\displaystyle t}$ переводится в вектор длиной ${\displaystyle n}$ и шифруется, то получается шифротекст размером ${\displaystyle n-k}$, что не менее, чем в 2 раза превосходит ${\displaystyle t}$).

Ниже в таблице приведены различные параметры для криптосистем McEliece, Нидеррайтера и RSA, наглядно показывающие их преимущества и недостаткиШаблон:Source-ref.

Как показано в оригинальной статье о системе СидельниковаШаблон:Source-ref, атака на систему Нидеррайтера может быть полиномиально сведена к атаке на систему McEliece и обратно.

Пусть известен синдром ${\displaystyle c=eD}$. Тогда можно вычислить вектор ${\displaystyle b=aE+e}$ с некоторым ${\displaystyle a}$ таким, что ${\displaystyle c=bD}$. Вектор ${\displaystyle b}$ будет рассматриваться как шифротекст в системе McEliece. Если найдена криптографическая атака со сложностью ${\displaystyle T}$ для системы McEliece, то есть известен алгоритм вычисления вектора ${\displaystyle a}$, который является секретной информацией в этой системе, то вектор ${\displaystyle e}$, являющийся секретом для системы Нидеррайтера, можно представить в виде ${\displaystyle e=aE+b}$. Таким образом, сложность определения ${\displaystyle e}$ совпадает со сложностью определения ${\displaystyle a}$.

Если же известна криптоатака со сложностью ${\displaystyle T}$ для системы Нидеррайтера, то возможно, используя в качестве шифротекста вектор ${\displaystyle (aE+e)D^T=e{D}^T}$, вычислить векторы ${\displaystyle e}$ и ${\displaystyle a}$.

В 2001 году Николя Куртуа, Мэттью Финиаз и Николя Сандриер показалиШаблон:Source-ref, что криптосистема Нидеррайтера может быть использована для создания электронной подписи.

Пусть ${\displaystyle H_{pub}}$ — открытый ключ криптосистемы Нидеррайтера, использующей ${\displaystyle (n,k,d)}$-линейный код. Для подписи документа ${\displaystyle D}$ необходимо:

1. Выбрать хеш-функцию ${\displaystyle h()}$, дающей ${\displaystyle n-k}$ символов на выходе. Таким образом, результат данной хеш-функции можно представить в виде синдрома и попытаться декодировать;
2. Вычислить хеш ${\displaystyle s=h(D)}$;
3. Для каждого ${\displaystyle i=0,1,2,...}$ вычислить ${\displaystyle s_i=h(s|i)}$;
4. Найти наименьший номер ${\displaystyle i_{min}}$ такой, что синдром ${\displaystyle s_{i_{min}}}$ будет возможно декодировать. Пусть ${\displaystyle z}$ — результат декодирования синдрома ${\displaystyle s_{i_{min}}}$;
5. Подписью документа ${\displaystyle D}$ является пара ${\displaystyle (z,i_{min})}$.

1. Вычислить ${\displaystyle s_1=z{H}_{pub}^T}$;
2. Вычислить ${\displaystyle s_2=h(h(D)|i_{min})}$;
3. Сравнить ${\displaystyle s_1}$ и ${\displaystyle s_2}$: если они совпадают — подпись верна.

Пусть для кодирования был выбран ${\displaystyle (7,3)}$ код Рида-Соломона над полем Галуа ${\displaystyle GF(2^3)}$, построенным по модулю неприводимого многочлена ${\displaystyle x^3+x+1}$, с порождающим многочленом ${\displaystyle g(x)=(x-1)(x-\alpha )(x-{\alpha }^2)(x-{\alpha }^3)=(x-1)(x-2)(x-4)(x-3)=x^4+4x^3+7x^2+7x+5.}$

Тогда, порождающая матрица кода: ${\displaystyle G=\left(\begin{array}{ccccccc}1& 4& 7& 7& 5& 0& 0\\ 0& 1& 4& 7& 7& 5& 0\\ 0& 0& 1& 4& 7& 7& 5\end{array}\right)}$

Проверочная матрица кода: ${\displaystyle H=\left(\begin{array}{ccccccc}1& 1& 1& 1& 1& 1& 1\\ 1& 2& 4& 3& 6& 7& 5\\ 1& 4& 6& 5& 2& 3& 7\\ 1& 3& 5& 4& 7& 2& 6\end{array}\right)}$

Заметим, что расстояние данного кода ${\displaystyle d=n-k+1=5}$, то есть число исправляемых ошибок ${\displaystyle t=(d-1)/2=2}$.

Пусть выбрана матрица ${\displaystyle S=\left(\begin{array}{cccc}4& 1& 3& 5\\ 7& 1& 5& 2\\ 2& 6& 5& 4\\ 1& 7& 2& 1\end{array}\right)}$ . Тогда обратная к ней матрица ${\displaystyle S^{-1}=\left(\begin{array}{cccc}1& 5& 2& 7\\ 7& 5& 0& 7\\ 4& 4& 1& 5\\ 1& 0& 0& 4\end{array}\right)}$

Пусть выбрана матрица перестановки ${\displaystyle P=\left(\begin{array}{ccccccc}0& 1& 0& 0& 0& 0& 0\\ 0& 0& 0& 1& 0& 0& 0\\ 0& 0& 0& 0& 1& 0& 0\\ 1& 0& 0& 0& 0& 0& 0\\ 0& 0& 0& 0& 0& 0& 1\\ 0& 0& 1& 0& 0& 0& 0\\ 0& 0& 0& 0& 0& 1& 0\end{array}\right)}$

В этом случае открытым ключом системы будет матрица: ${\displaystyle H_{pub}=SHP=\left(\begin{array}{ccccccc}1& 3& 7& 5& 6& 0& 2\\ 0& 1& 0& 1& 1& 3& 5\\ 2& 5& 1& 0& 6& 2& 0\\ 6& 5& 6& 4& 2& 4& 6\end{array}\right)}$

Пусть выбранное сообщение было представлено в виде вектора ${\displaystyle m=\left(\begin{array}{ccccccc}0& 2& 0& 0& 0& 5& 0\end{array}\right)}$ веса 2.

Зашифрованное сообщение: ${\displaystyle M=m{H}_{pub}^T=\left(\begin{array}{cccc}7& 2& 7& 7\end{array}\right)}$

Принятый вектор ${\displaystyle M=\left(\begin{array}{cccc}7& 2& 7& 7\end{array}\right)}$

Для него вычислим декодируемый синдром ${\displaystyle s=M(S^{-1}{)}^T=\left(\begin{array}{cccc}0& 1& 3& 6\end{array}\right)}$

Используя алгоритм декодирования кода Рида-Соломона, декодируем ${\displaystyle s}$.

Получится вектор ${\displaystyle \hat{m}=\left(\begin{array}{ccccccc}2& 0& 0& 0& 0& 0& 5\end{array}\right)}$

После чего вычислим исходный вектор ${\displaystyle m=\hat{m}{P}^{-1}=\left(\begin{array}{ccccccc}0& 2& 0& 0& 0& 5& 0\end{array}\right)}$

• McEliece
• Криптосистема Сидельникова

Шаблон:Примечания

• Шаблон:Source
• Шаблон:Source
• Шаблон:Книга:Шнайер Б.: Прикладная криптография

Шаблон:Добротная статья