Криптосистема ГПТ

Криптосистема ГПТ (Габидулина-Парамонова-Третьякова) — криптосистема с открытыми ключами, основанная на ранговых кодах^[1], разработанная в 1991 году Э. М. Габидулиным, А. В. Парамоновым и О. В. Третьяковым^[2] на основе криптосистемы McEliece.

Данная криптосистема, в отличие от криптосистемы McEliece, более устойчива к атакам декодирования, а также имеет меньший размер ключа^[3], что лучше подходит в условиях практического применения.

Большинство версий системы были взломаны Р. Овербеком^[4].

В качестве открытого текста может использоваться любой ${\displaystyle k}$-вектор ${\displaystyle m=(m_1,m_2,...,m_k)}$, ${\displaystyle m_s\in {𝔽}_{q^N},s=1,2,...,k}$.

Открытым ключом является порождающая матрица размера ${\displaystyle k\times (n+t_1)}$:

${\displaystyle G_{pub}=S[X}$ ${\displaystyle G_k]P}$,

где:

• ${\displaystyle G_k}$ — порождающая матрица ${\displaystyle (n,k,d)}$ кода с максимальным ранговым расстоянием ${\displaystyle d}$ для длины кода ${\displaystyle n\le N}$ с количеством символов ${\displaystyle k}$, задающаяся матрицей следующей формы:

${\displaystyle G_k=\left[\begin{array}{cccc}{g}_1& g_2& \cdots & g_n\\ g_1^{[1]}& g_2^{[1]}& \cdots & g_n^{[1]}\\ ⋮& ⋮& \ddots & ⋮\\ g_1^{[k-1]}& g_2^{[k-1]}& \cdots & g_n^{[k-1]}\end{array}\right]}$

где ${\displaystyle g_1,g_2,...,g_n}$ — любой набор элементов расширенного поля ${\displaystyle {𝔽}_{q^N}}$, линейно независимых над полем ${\displaystyle {𝔽}_q}$.

главная матрица ${\displaystyle G_k}$ используется для исправления ошибок. Ошибки ранга не более ${\displaystyle \frac{n-k}{2}}$ могут быть исправлены.

• Cтроковый скремблер ${\displaystyle S}$ — невырожденная квадратная матрица порядка ${\displaystyle k}$ над полем ${\displaystyle {𝔽}_{q^N}}$
• ${\displaystyle X}$ — матрица искажений размера ${\displaystyle (k\times t_1)}$ над полем ${\displaystyle {𝔽}_{q^N}}$ со столбцовым рангом ${\displaystyle R{k}_{col}(X}$ | ${\displaystyle {𝔽}_q)=t_1}$ и рангом ${\displaystyle Rk(X}$ | ${\displaystyle {𝔽}_{q^N})=t_X,}$ ${\displaystyle t_X\le t_1}$.

Матрица ${\displaystyle [X}$ ${\displaystyle G_k]}$ имеет столбцовый ранг ${\displaystyle R{k}_{col}([X}$ ${\displaystyle G_k]}$ | ${\displaystyle {𝔽}_q)=n+t_1}$.

• Столбцовый скремблер ${\displaystyle P}$ — квадратная матрица порядка ${\displaystyle (t_1+n)}$ над полем ${\displaystyle {𝔽}_q}$.
• ${\displaystyle t_1+n}$ может быть больше ${\displaystyle N}$, но ${\displaystyle n\le N}$.

В качестве закрытого ключа выступает набор ${\displaystyle (S,G_k,X,P)}$, а также алгоритм быстрого декодирования МРР-кода, в котором используется матрица проверки четности ${\displaystyle H^{(n-k)\times n}}$, такая, что ${\displaystyle G_k{H}^T=0:}$

${\displaystyle H=\left[\begin{array}{cccc}{h}_1& h_2& \cdots & h_n\\ h_1^{[1]}& h_2^{[1]}& \cdots & h_n^{[1]}\\ ⋮& ⋮& \ddots & ⋮\\ h_1^{[d-2]}& h_2^{[d-2]}& \cdots & h_n^{[d-2]}\end{array}\right]}$,

где ${\displaystyle h_1,h_2,...,h_n}$ — элементы расширенного поля ${\displaystyle {𝔽}_{q^N}}$, линейно независимые над основным полем ${\displaystyle {𝔽}_q}$

Матрица ${\displaystyle X}$ не используется для расшифровки криптотекста и может быть удалена после вычисления закрытого ключа.

• Длина кода ${\displaystyle n\le N}$,
• Размерность ${\displaystyle k=n-d+1}$,
• Ранговое расстояние кода ${\displaystyle d=n-k+1}$

Соответствующий открытому тексту криптотекст вычисляется следующим образом:

${\displaystyle c=m{G}_{pub}+e=mS[X}$ ${\displaystyle G_k]P+e}$,

где ${\displaystyle e}$ — искусственный вектор ошибок ранга не выше ${\displaystyle t_2}$, причем ${\displaystyle t_1+t_2\le t=\lfloor \frac{n-k}{2}\rfloor }$.

Законный получатель, получая ${\displaystyle c}$, выполняет следующие действия:

1. Вычисляет ${\displaystyle c^{\prime }=({c_1}^{\prime },{c_2}^{\prime },...,c_{{t_1}^{\prime }+n})=c{P}^{-1}=mS[X}$ ${\displaystyle G_k]+e{P}^{-1}}$
2. Из ${\displaystyle c^{\prime }}$ выделяет подвектор ${\displaystyle c^{″}=(c_{{t_1}^{\prime }+1},c_{{t_1}^{\prime }+2},...,c_{{t_1}^{\prime }+n})=mS{G}_k+e^{″}}$, где ${\displaystyle e^{″}}$ — подвектор ${\displaystyle e{P}^{-1}}$
3. Применяет алгоритм быстрого декодирования для исправления ошибки ${\displaystyle e^{″}}$
4. Получает ${\displaystyle mS}$
5. Восстанавливает ${\displaystyle m=(mS)S^{-1}}$

В данной системе размер открытого ключа составляет ${\displaystyle V=k(t_1+n)N}$ бит, а скорость передачи информации ${\displaystyle R=\frac{k}{t_1+n}}$.

Введем автоморфизм Фробениуса: ${\displaystyle \sigma (x)=x^q,}$ ${\displaystyle x\in {𝔽}_{q^N}}$. Он обладает следующими свойствами:

1. Для матрицы ${\displaystyle L=(l_{ij})}$ над тем же полем ${\displaystyle \sigma (L)=(\sigma (l_{ij}))=(l_{ij}^q)}$
2. Для любого целого s: ${\displaystyle {\sigma }^s(L)=\sigma ({\sigma }^{s-1}(L))}$
3. ${\displaystyle {\sigma }^N=\sigma }$
4. ${\displaystyle {\sigma }^{-1}={\sigma }^{N-1}}$
5. ${\displaystyle \sigma (a+b)=\sigma (a)+\sigma (b)}$
6. ${\displaystyle \sigma (ab)=\sigma (a)\sigma (b)}$
7. В общем случае ${\displaystyle \sigma (L)\ne L}$. Равенство достигается, если ${\displaystyle L}$ — матрица над основным полем ${\displaystyle {𝔽}_q}$

• Криптоаналитик вычисляет расширенный открытый ключ из открытого ключа:

${\displaystyle G_{ext,pub}=\Vert \begin{array}{c}{G}_{pub}\\ \sigma (G_{pub})\\ \cdots \\ {\sigma }^u(G_{pub})\end{array}\Vert =\Vert \begin{array}{cccc}S& [X& G_k]& P\\ \sigma (S)& [\sigma (X)& \sigma (G_k)]& P\\ \cdots & \cdots & \cdots & \cdots \\ {\sigma }^u(S)& [{\sigma }^u(X)& {\sigma }^u(G_k]& P\end{array}\Vert }$

Здесь использовано свойство 7 автоморфизма Фробениуса: ${\displaystyle \sigma (P)=P}$, так как ${\displaystyle P}$ — матрица над основным полем ${\displaystyle {𝔽}_q}$.

• Переписывает эту матрицу как ${\displaystyle G_{ext,pub}=S_{ext}[X_{ext}}$ ${\displaystyle G_{ext}]}$,

где

${\displaystyle S_{ext}=diag\left[\begin{array}{cccc}S& \sigma (S)& \cdots & {\sigma }^u(S)\end{array}\right]}$,

${\displaystyle X_{ext}=\left[\begin{array}{c}X\\ \sigma (X)\\ ⋮\\ {\sigma }^u(X)\end{array}\right]}$, ${\displaystyle G_{ext}=\left[\begin{array}{c}{G}_k\\ \sigma (G_k)\\ ⋮\\ {\sigma }^u(G_k)\end{array}\right]}$.

• Выбирает ${\displaystyle u=n-k-1}$.
• Определяет матрицы:

${\displaystyle X_1^{(k-1\times t_1)}}$, получаемая из ${\displaystyle X^{(k\times t_1)}}$ удалением последней строки,

${\displaystyle X_2^{(k-1\times t_1)}}$, получаемая из ${\displaystyle X^{(k\times t_1)}}$ удалением первой строки.

• Определяет линейное отображение ${\displaystyle T}$: ${\displaystyle {𝔽}_{q^N}^{k\times t_1}\to {𝔽}_{q^N}^{(k-1)\times t_1}}$ по следующему правилу:

если ${\displaystyle X\in {𝔽}_{q^N}^{k\times t_1}}$, тогда ${\displaystyle T(X)=Y=\sigma (X_1)-X_2}$

• Записывает ${\displaystyle Y_{ext}={\left[\begin{array}{ccccc}Y& \sigma (Y)& {\sigma }^2(Y)& \cdots & {\sigma }^{u-1}(Y)\end{array}\right]}^{\mathrm{\top }}}$
• С помощью матричных преобразований приводит расширенный открытый ключ к виду:

${\displaystyle {\tilde{G}}_{pub,ext}={\tilde{S}}_{ext}\left[\begin{array}{ccc}Z& |& G_{n-1}\\ Y_{ext}& |& 0\end{array}\right]P}$

где ${\displaystyle G_{n-1}}$ — порождающая матрица ${\displaystyle (n,n-1,2)}$ МРР-кода.

• Пробует найти решение системы

${\displaystyle {\tilde{S}}_{ext}=\left[\begin{array}{ccc}Z& |& G_{n-1}\\ Y_{ext}& |& 0\end{array}\right]P{u}^T=0}$,

где ${\displaystyle u}$ — вектор-строка над расширенным полем ${\displaystyle {𝔽}_{q^N}}$ длины ${\displaystyle t_1+n}$

• Представляет вектор ${\displaystyle P{u}^T}$ в виде:

${\displaystyle P{u}^T={\left[\begin{array}{cc}y& h\end{array}\right]}^{\mathrm{\top }}}$

где ${\displaystyle y}$ — подвектор длины ${\displaystyle t_1}$, а ${\displaystyle h}$ — длины ${\displaystyle n}$

• Теперь система уравнений эквивалентна следующей:

${\displaystyle \{\begin{array}{c}Z{y}^T+G_{n-1}{h}^T=0,\\ Y_{ext}{y}^T=0\end{array}}$

• Полагая верным условие ${\displaystyle Rk(Y_{ext}|{𝔽}_{q^N})=t_1}$, видим, что указанная выше система имеет только тривиальное решение ${\displaystyle y^T=0}$. Следовательно, первое уравнение из системы преобразуется к виду:

${\displaystyle G_{n-1}{h}^T=0}$.

Это позволит найти первую строку матрицы проверки четности для кода с данной порождающей матрицей ${\displaystyle {\tilde{G}}_{pub,ext}}$. Следовательно, это решение взламывает описанную криптосистему за полиномиальное время. Атака Овербека требует ${\displaystyle O((n+t_1{)}^3)}$ операций над полем ${\displaystyle {𝔽}_{q^N}}$, так как каждый шаг атаки имеет сложность не выше кубической на ${\displaystyle n+t_1}$.

Шаблон:Примечания

• Габидулин Э. М., Пилипчук Н. И., Хонари Б., Рашван Х. Защита информации в сети со случайным сетевым кодированием // Пробл. передачи информ., 2013, том 49, выпуск 2, 92-106
• Gadouleau M., Yan Zh. Security of GPT-type cryptosystems // Proc. 2006 IEEE Int. Sympos. on Information Theory (ISIT’2006). — ISIT.2006.261627
• Rashwan H., Gabidulin E.M., Honary B. A smart approach for GPT Cryptosystem Based on Rank Codes // Proc. 2010 IEEE Int. Sympos. on Information Theory (ISIT’2010). Austin, Texas, USA. June 13-18, 2010. P. 2463—2467.
• Kshevetskiy A.S. Security of GPT-like cryptosystems based on linear rank codes // Signal Design and Its Applications in Communications, 2007. IWSDA 2007. On page(s): 143—147.
• Ourivski A. V., Gabidulin E. M. Column Scrambler for the GPT Cryptosystem // Discrete Applied Mathematics.128(1): 207—221 (2003).
• Overbeck R. Extending Gibson’s attacks on the GPT cryptosystem // In Proc. of WCC 2005, volume 3969 of LNCS, pp. 178–188, Springer Verlag,2006.