MulFullIdent

MulFullIdent — полный мультилинейный алгоритм шифрования на основе идентификационных данных.^[1] Протокол построен на основе метода Фуджисаки-Окамото, предложенного в 1999 году.^[2] Алгоритм является улучшением протокола MulBasicIdent.

Введены следующие обозначения для параметров и групп, использующихся в алгоритме:

• ${\displaystyle n}$ — число участвующих в генерации общего ключа сторон;
• ${\displaystyle I{D}_i}$ — уникальное двоичное число (идентификатор) пользователя с номером ${\displaystyle i}$;
• ${\displaystyle G_1}$ — аддитивная циклическая группа;
• ${\displaystyle G_2}$ — мультипликативная циклическая группа.

Группы ${\displaystyle G_1}$ и ${\displaystyle G_2}$ используются для дальнейшего построения мультилинейного отображения.

Протокол представлен этапами инициализации, получения закрытого ключа, шифрования и расшифрования. Пусть ${\displaystyle k\in \mathbb{Z}}$ — принимаемый алгоритмом на этапе инициализации параметр стойкости.

1. На основе ${\displaystyle k}$ Центром генерации закрытых ключей (PKG) вырабатывается простой порядок ${\displaystyle q}$ групп ${\displaystyle G_1}$ и ${\displaystyle G_2}$, ${\displaystyle 2n}$-мультилинейное отображение ${\displaystyle \mu :\underset{2n}{\underbrace{G_1\times G_1\times \dots \times G_1}}\to G_2}$ и произвольный образующий элемент группы ${\displaystyle P\in G_1}$.
2. Центром PKG случайным образом выбираются элементы ${\displaystyle s_1,\dots ,s_n\in {\mathbb{Z}}_q^{*}}$ и вычисляется набор открытых ключей ${\displaystyle P_{pu{b}_1}=s_{1}P,\dots ,P_{pu{b}_n}=s_{n}P\in G_1}$.
3. Центром PKG выбираются криптографические хеш-функции ${\displaystyle H_1:\{0,1{\}}^{*}\to G_1^{*}}$ и ${\displaystyle H_2:G_2\to \{0,1{\}}^l}$ для некоторого ${\displaystyle l\in \mathbb{Z}}$, ${\displaystyle H_3:\{0,1{\}}^l\times \{0,1{\}}^l\to {\mathbb{Z}}_q^{*}}$ и ${\displaystyle H_4:\{0,1{\}}^l\to \{0,1{\}}^l}$.

В данном алгоритме пространства сообщений и шифротекстов представляют собой множества ${\displaystyle \vartheta =\{0,1{\}}^l}$ и ${\displaystyle C=G_1^{*}\times \{0,1{\}}^l\times \{0,1{\}}^l}$ соответственно, элементы ${\displaystyle s_1,\dots ,s_n\in {\mathbb{Z}}_q^{*}}$ являются мастер-ключами абонентов, а системными параметрами является набор ${\displaystyle ⟨G_1,G_2,\mu ,l,P,P_{pu{b}_1},\dots ,P_{pu{b}_n},H_1,H_2,H_3,H_4⟩}$.

1. Для идентификаторов абонентов ${\displaystyle I{D}_1,\dots ,I{D}_n\in \{0,1{\}}^{*}}$ Центр PKG вычисляет ${\displaystyle Q_{I{D}_1}=H_1(I{D}_1)\in G_1^{*},\dots ,Q_{I{D}_n}=H_1(I{D}_n)\in G_1^{*}}$.
2. Центр PKG вычисляет и передает абонентам по защищенному каналу закрытые ключи ${\displaystyle d_{I{D}_1}=s_1{Q}_{I{D}_1},\dots ,d_{I{D}_n}=s_n{Q}_{I{D}_n}}$, ${\displaystyle d_{I{D}_i}\in G_1}$, где ${\displaystyle s_1,\dots ,s_n}$ — мастер-ключи.

Для шифрования сообщения ${\displaystyle M}$ с помощью идентификаторов ${\displaystyle I{D}_1,\dots ,I{D}_n\in \{0,1{\}}^{*}:}$ абонент выполняет следующие операции:

1. Вычисляет ${\displaystyle Q_{I{D}_1}=H_1(I{D}_1)\in G_1^{*},\dots ,Q_{I{D}_n}=H_1(I{D}_n)\in G_1^{*}}$.
2. Выбирает случайный вектор ${\displaystyle \sigma \in \{0,1{\}}^l,l\in \mathbb{Z}}$.
3. Вычисляет ${\displaystyle r=H_3(\sigma ,M),r\in {\mathbb{Z}}_q^{*}}$.
4. Вычисляет шифротекст ${\displaystyle C=⟨rP,\sigma \oplus H_2(g^r),M\oplus H_4(\sigma )⟩}$, где ${\displaystyle g=\mu (Q_{I{D}_1},\dots ,Q_{I{D}_n},P_{pu{b}_1},\dots ,P_{pu{b}_n})\in G_2^{*}}$.

Для расшифрования шифротекста ${\displaystyle C=⟨U,V,W⟩}$ абонентом с идентификатором ${\displaystyle I{D}_i}$ с помощью закрытого ключа ${\displaystyle d_{I{D}_i}\in G_1^{*}}$ выполняются следующие процедуры.

1. Если ${\displaystyle U\notin G_1^{*}}$, то шифротекст не принимается. В противном случае, с помощью закрытого ключа ${\displaystyle d_{I{D}_i}\in G_1^{*}}$ вычисляется

${\displaystyle V\oplus H_2(\mu (Q_{I{D}_1},\dots ,Q_{I{D}_{i-1}},d_{I{D}_i},Q_{I{D}_{i+1}},\dots ,Q_{I{D}_n},P_{pu{b}_1},\dots ,P_{pu{b}_{i-1}},U,P_{pu{b}_{i+1}},\dots ,P_{pu{b}_n}))=\sigma .}$

1. Абонентом вычисляется ${\displaystyle W\oplus H_4(\sigma )=M}$.
2. Абонентом вычисляется ${\displaystyle r=H_3(\sigma ,M),r\in {\mathbb{Z}}_q^{*}}$ и проверяется ${\displaystyle U=rP}$.

Если равенство не выполняется, то шифротекст не принимается, противном случае полагается, что ${\displaystyle M}$ — открытый текст.

Корректность алгоритма потдверждается аналогично MulBasicIdent.^[1]

Шаблон:Примечания

• Шаблон:Статья