Псевдослучайная функция Наора — Рейнгольда

Псевдослучайная функция Наора — Рейнгольда — Шаблон:Iw, введённая в 1997 году Шаблон:Iw и Шаблон:Iw для построения различных криптографических примитивов в симметричном шифровании и криптографии с открытым ключом^[1]. Отличительными особенностями данной псевдослучайной функции являются низкая вычислительная сложностьШаблон:Переход и высокая криптографическая стойкостьШаблон:Переход. Данные свойства вместе с тем фактом, что распределение значений данной функции близко к равномерномуШаблон:Переход, позволяют использовать ее в качестве основы для многих криптографических схемШаблон:Переход.

В криптографии под семейством псевдослучайных функций понимают набор функций (которые могут быть эффективно вычислены за полиномиальное время), обладающих следующим свойством: злоумышленник не может эффективно найти какое-либо существенное различие между поведением функции из данного семейства и истинной случайной функции^[2]. Пусть ${\displaystyle p}$ — это ${\displaystyle n}$-битное простое число, ${\displaystyle l}$ — простое число, являющееся делителем ${\displaystyle p-1}$, а ${\displaystyle g\in {𝔽}_p^{*}}$, — некоторый элемент с мультипликативным порядком ${\displaystyle l}$ по модулю ${\displaystyle p}$. Тогда функция Наора — Рейнгольда ${\displaystyle f_a(x)}$ определяется некоторым ${\displaystyle (n+1)}$-мерным вектором ${\displaystyle a=(a_0,a_1,...,a_n)\in ({𝔽}_l{)}^{n+1}}$ над полем ${\displaystyle {𝔽}_l}$ и равна:

${\displaystyle f_a(x)=g^{a_0\cdot a_1^{x_1}{a}_2^{x_2}...a_n^{x_n}}\in {𝔽}_p}$

где ${\displaystyle x=x_1,...,x_n}$ — это двоичное представление целого числа ${\displaystyle x,}$ ${\displaystyle 0\le x<2^n}$, с добавлением ведущих нулей, если это необходимо^[3].

Пусть ${\displaystyle p=7}$ и ${\displaystyle l=3}$. В качестве ${\displaystyle g\in {𝔽}_7^{*}}$ с мультипликативным порядком ${\displaystyle 3}$ можно выбрать ${\displaystyle g=4}$. Тогда при ${\displaystyle n=3}$, ${\displaystyle a=(1,1,3,1)}$ и ${\displaystyle x=5}$ функция ${\displaystyle f_a(5)}$ вычисляется как

${\displaystyle f_a(x)=g^{a_0\cdot a_1^{x_1}{a}_2^{x_2}...a_n^{x_n}}=4^{1\cdot 1^1{3}^0{1}^1}=4^1=4\in {𝔽}_7}$

Так как двоичное представление числа ${\displaystyle 5}$ — это ${\displaystyle (1,0,1)}$.

Построение псевдослучайной функции Наора — Рейнгольда требует ${\displaystyle n}$ умножений по модулю ${\displaystyle l}$ и одно возведение в степень по модулю ${\displaystyle p}$, которое может быть сделано за ${\displaystyle O\left(\frac{n}{\log n}\right)}$ умножений по этому модулю^[1][4].

Для Шаблон:Iw данной функции было показано, что существует такой полином ${\displaystyle p(x)}$, что для любого ${\displaystyle a=(a_0,a_1,...,a_n)\in ({𝔽}_l{)}^{n+1}}$, ${\displaystyle f_a(x)}$ может быть реализована схемой из пороговых элементов глубины ${\displaystyle d}$ и размера, не превышающего ${\displaystyle p(n)}$. Это означает, что функции Наора — Рейнгольда принадлежит Шаблон:Iw в терминах Шаблон:Iw^[1].

Псевдослучайная функция Наора — Рейнгольда может быть использована в качестве основы многих криптографических схем, включая симметричное шифрование, аутентификацию и электронные подписи^[5][2].

Также было показано, что данная функция может быть использована в^[6]:

• Шаблон:Iw: даже если злоумышленник может изменить распределение ключей в зависимости от значений, которые функция хеширования присвоила предыдущим ключам, он не сможет умышленно вызвать коллизии.
• построении схем аутентификации на основе имитовставки, которые надёжно защищены от атак.
• выдаче статичных идентификационных номеров, которые могут быть проверены устройствами, располагающими лишь небольшим объёмом памяти.
• построении систем радиолокационного опознавания.

Псевдослучайная функция Наора — Рейнгольда имеет высокую криптографическую стойкость. Пусть злоумышленнику известны значения функции в нескольких точках: ${\displaystyle f_a(1)=g^{a_0{a}_1},f_a(2)=g^{a_0{a}_2},\dots ,f_a(k)=g^{a_0{a}_1^{x_1}{a}_2^{x_2}...a_n^{x_n}}}$и ему необходимо вычислить ${\displaystyle f_a(k+1)}$. Если ${\displaystyle x_1=0}$, то чтобы получить ${\displaystyle f_a(k+1)=g^{a_0{a}_1{a}_2^{x_2}\dots a_n^{x_n}}}$, злоумышленнику необходимо решить Шаблон:Iw для ${\displaystyle f_a(1)=g^{a_0{a}_1}}$ и ${\displaystyle f_a(k)=g^{a_0{a}_2^{x_2}...a_n^{x_n}}}$. Но по Шаблон:Iw не существует эффективного алгоритма, способного решить данную задачу^[1].

Поток чисел, генерируемый псевдослучайной функцией, также должен быть непредсказуемым, то есть, он должен быть неотличим от совершенно случайного набора чисел. Пусть ${\displaystyle {𝒜}^f}$ обозначает алгоритм, имеющий доступ к оракулу, который вычисляет ${\displaystyle f_a(x)}$. Предположим, что Шаблон:Iw выполняется для ${\displaystyle {𝔽}_p}$. Тогда для любого вероятностного полиномиального алгоритма ${\displaystyle 𝒜}$ и достаточно большого ${\displaystyle n}$ выполнено^[7]:

${\displaystyle |\text{Pr }[{𝒜}^{f_a(x)}(p,g)=1]-\text{Pr }[{𝒜}^R(p,g)=1]|<ϵ}$, где ${\displaystyle ϵ(n)}$ — пренебрежимо мало.

Первая вероятность равна доле наборов ${\displaystyle s=(p,g,a)}$, на которых алгоритм выдаёт единицу, а вторая получается из случайного выбора пары ${\displaystyle (p,g)}$ и функции ${\displaystyle R_a(x)}$ среди множества всех функций ${\displaystyle \{0,1{\}}^n\to {𝔽}_p}$.

Одним из естественных показателей того, насколько последовательность может быть полезной для криптографических целей, является её линейная сложность. Линейная сложность ${\displaystyle n}$-элементной последовательности ${\displaystyle W(x),x=0,\dots ,n-1}$, над кольцом ${\displaystyle ℛ}$ — это длина ${\displaystyle l}$ кратчайшего линейного рекуррентного соотношения ${\displaystyle W(x+l)=A_{l-1}W(x+l-1)+\dots +A_{0}W(x),x=0,\dots ,n-(l-1)}$, где ${\displaystyle A_0,\dots ,A_{l-1}\in ℛ}$^[3][8]. Для функции Наора — Рейнгольда было показано, что существуют такие ${\displaystyle \gamma >0}$ и ${\displaystyle n⩾(1+\gamma )\log l}$, что для любого ${\displaystyle \delta >0}$ и достаточно большого ${\displaystyle l}$ линейная сложность ${\displaystyle L_a}$ последовательности ${\displaystyle f_a(x)}$, ${\displaystyle 0\le x<2^n}$, удовлетворяет следующему неравенству^[3]:

${\displaystyle L_a⩾\{\begin{array}{cc}{l}^{1-\delta }& \text{, если }\gamma ⩾2\\ l^{\left(\frac{\gamma }{2-\delta }\right)}& \text{, если }\gamma <2\end{array}}$

для всех, кроме не более чем ${\displaystyle 3(l-1{)}^{n-\delta }}$ векторов ${\displaystyle a\in ({𝔽}_l{)}^{n+1}}$.

Статистическое распределение ${\displaystyle f_a(x)}$ экспоненциально близко к равномерному распределению почти для всех векторов ${\displaystyle a\in ({𝔽}_l{)}^{n+1}}$:

пусть ${\displaystyle {𝐃}_a}$ — Шаблон:Iw множества ${\displaystyle \{f_a(x)|0\le x<2^n\}}$ или, другими словами, отклонение распределения значений псевдослучайной функции от равномерного распределения. Было показано, что если ${\displaystyle n=\log p}$ — это битовая длина ${\displaystyle p}$, тогда для всех векторов ${\displaystyle a}$ ∈ ${\displaystyle ({𝔽}_l{)}^{n+1}}$ справедливо неравенство ${\displaystyle {𝐃}_a\le \mathrm{\Delta }(l,p)}$, где^[9]:

${\displaystyle \mathrm{\Delta }(l,p)=\{\begin{array}{cc}{p}^{\left(\frac{1-\gamma }{2}\right)}{l}^{\left(\frac{-1}{2}\right)}{\log }^{2}p& \text{ если }l⩾p^{\gamma }\\ p^{\left(\frac{1}{2}\right)}{l}^{-1}{\log }^{2}p& \text{ если }{p}^{\gamma }>l⩾p^{\left(\frac{2}{3}\right)}\\ p^{\left(\frac{1}{4}\right)}{l}^{\left(\frac{-5}{8}\right)}{\log }^{2}p& \text{ если }{p}^{\left(\frac{2}{3}\right)}>l⩾p^{\left(\frac{1}{2}\right)}\\ p^{\left(\frac{1}{8}\right)}{l}^{\left(\frac{-3}{8}\right)}{\log }^{2}p& \text{ если }{p}^{\left(\frac{1}{2}\right)}>l⩾p^{\left(\frac{1}{3}\right)}\end{array}}$

и ${\displaystyle \gamma =2,5-\log 3\approx 0,9150\dots }$.

Это свойство не имеет непосредственного криптографического значения, но если бы оно не было выполнено, это могло бы повлечь катастрофические последствия для применения функции^[9].

Анализ этой функции на эллиптической кривой позволяет улучшить криптографическую стойкость соответствующей системы. Пусть ${\displaystyle p>3}$ — простое число и ${\displaystyle E}$ — эллиптическая кривая над ${\displaystyle {𝔽}_p}$. Тогда любой вектор ${\displaystyle a=(a_0,a_1,\dots ,a_n)\in ({𝔽}_l^{*}{)}^{n+1}}$ определяет конечную последовательность ${\displaystyle f_a(x)=(a_0{a}_1^{x_1}{a}_2^{x_2}\dots a_n^{x_n})G\in {𝔽}_p^2}$ в циклической группе ${\displaystyle ⟨G⟩}$, где ${\displaystyle x=x_1\dots x_n}$ — битовое представление ${\displaystyle x,0\le x<2^n}$, ${\displaystyle G\in {𝔽}_p^2}$, — некоторый элемент на ${\displaystyle E}$ с мультипликативным порядком ${\displaystyle l}$, а ${\displaystyle (a_0{a}_1^{x_1}{a}_2^{x_2}\dots a_n^{x_n})G}$ — это операция возведения элемента ${\displaystyle G}$ в степень ${\displaystyle a_0{a}_1^{x_1}{a}_2^{x_2}\dots a_n^{x_n}}$ относительно групповой операции в абелевой группе ${\displaystyle {𝔽}_p}$-рациональных точек эллиптической кривой^[10]. В таких обозначениях последовательность Наора — Рейнгольда на эллиптической кривой определяется как ${\displaystyle u_k=X(f_a(k))}$, где ${\displaystyle X(P)}$ обозначает абсциссу точки ${\displaystyle P\in E}$^[8].

Если предположение Диффи — Хеллмана выполнено, то индекса ${\displaystyle k}$ не достаточно для вычисления ${\displaystyle u_k}$ за полиномиальное время. Для эллиптической кривой Наора — Рейнгольда было показано, что существуют такие ${\displaystyle \gamma >0}$ и ${\displaystyle n⩾(1+\gamma )\log l}$, что для любого ${\displaystyle \delta >0}$ и достаточно большого ${\displaystyle l}$ линейная сложность ${\displaystyle L_a}$ последовательности ${\displaystyle (u_k{)}_{k=0}^{2^n-1}}$ удовлетворяет следующему неравенству^[8]:

${\displaystyle L_a⩾\min (l^{\frac{1}{3}-\delta },\frac{l^{(\gamma -3\delta )}}{{\log }^{2}l})}$

для всех, кроме не более чем ${\displaystyle O((l-1{)}^{n-\delta })}$ векторов ${\displaystyle a\in ({𝔽}_l^{*}{)}^{n+1}}$.

• Симметричные криптосистемы
• Конечное поле
• Инверсный конгруэнтный метод
• Криптосистема с открытым ключом

Шаблон:Примечания Шаблон:Добротная статья