Гомоморфные подписи для сетевого кодирования

Сетевое кодирование предоставляет возможность увеличить пропускную способность и улучшить устойчивость сети без какого-либо централизованного управления. К сожалению, оно очень восприимчиво к атакам, в которых вредоносные узлы изменяют данные. Благодаря тому, как пакеты распространяются в сети, единственный неправильный пакет данных может сделать недействительными все дальнейшие данные.Шаблон:Sfn Злоумышленник может повредить пакет, даже если он зашифрован: для этого ему нужно подделать подпись, либо найти коллизии используемой хеш-функции.Шаблон:Sfn Денис Чарльз, Камал Джаин и Кристин Лаутер разработали новую схему гомоморфного шифрования, позволяющую предотвратить такие атаки.Шаблон:Sfn Использование гомоморфной подписи позволяет узлам подписывать любую линейную комбинацию входящих пакетов. В этой схеме узел не может подписать линейную комбинацию пакетов,не раскрывая, какая линейная комбинация использовалась. Кроме того, схема подписи защищена в соответствии с предположениями о сложности вычисления дискретного логарифма и сложности решения задачи Диффи-Хеллмана.Шаблон:Sfn

Пусть ${\displaystyle G=(V,E)}$ ориентированный граф, состоящий из множества ${\displaystyle V}$, элементы которого называются вершинами, и множества ${\displaystyle E}$ упорядоченных пар вершин ${\displaystyle u,v\in V}$, именуемых направленными рёбрами или дугами. Задача источника ${\displaystyle s\in V}$ – отправить файл ${\displaystyle D}$ множеству вершин ${\displaystyle T\subseteq V}$. Выбирается векторное пространство ${\displaystyle W/{𝔽}_p}$ (скажем, размерности ${\displaystyle d}$), где ${\displaystyle p}$ простое, и данные, являющиеся множеством векторов ${\displaystyle w_1,\dots ,w_k\in W}$. Источник создаёт расширенные векторы ${\displaystyle v_1,\dots ,v_k}$,определенные следующим образом ${\displaystyle v_i=(0,\dots ,0,1,\dots ,0,w_{i_1},\dots ,w_{i_d})}$, где ${\displaystyle w_{i_j}}$ ${\displaystyle j}$-я координата вектора ${\displaystyle w_i}$. Перед первой ${\displaystyle 1}$ в векторе ${\displaystyle v_i}$ находится ${\displaystyle (i-1)}$ нулей. Без потери общности можно считать, что векторы ${\displaystyle v_i}$ линейно независимы. Обозначим линейное подпространство (из ${\displaystyle {𝔽}_p^{k+d}}$ ), натянутое на эти векторы, буквой ${\displaystyle V}$. Каждая исходящая дуга ${\displaystyle e\in E}$ вычисляет линейную комбинацию ${\displaystyle y(e)}$ векторов, входящих в начальную вершину дуги ${\displaystyle v=in(e)}$. То есть

${\displaystyle y(e)=\sum _{f:\mathrm{o}\mathrm{u}\mathrm{t}(f)=v}(m_e(f)y(f))}$

где ${\displaystyle m_e(f)\in {𝔽}_p}$. Мы считаем, что источник является конечной вершиной ${\displaystyle k}$ дуг, передающих ${\displaystyle k}$ векторов ${\displaystyle w_i}$. По индукции, пусть вектор ${\displaystyle y(e)}$ какой-либо дуги является линейной комбинацией ${\displaystyle y(e)=\sum _{1\le i\le k}(g_i(e)v_i)}$ и является вектором в ${\displaystyle V}$. Тогда k-мерный вектор ${\displaystyle g(e)=(g_1(e),\dots ,g_k(e))}$ это просто k первых координат вектора ${\displaystyle y(e)}$. Назовем матрицу, строками которой являются векторы ${\displaystyle g(e_1),\dots ,g(e_k)}$, где ${\displaystyle e_i}$ рёбра, входящие в вершину ${\displaystyle t\in T}$, глобальной матрицей кодирования для ${\displaystyle t}$ и обозначим её ${\displaystyle G_t}$. На практике векторы кодирования выбираются случайно, поэтому матрица ${\displaystyle G_t}$ с высокой вероятностью обратима. Таким образом, любой приёмник, получивший ${\displaystyle y_1,\dots ,y_k}$, может найти ${\displaystyle w_1,\dots ,w_k}$, решив

${\displaystyle \left[\begin{array}{c}{y}^{\prime }\\ {y_2}^{\prime }\\ ⋮\\ {y_k}^{\prime }\end{array}\right]=G_t\left[\begin{array}{c}{w}_1\\ w_2\\ ⋮\\ w_k\end{array}\right]}$

где ${\displaystyle {y_i}^{\prime }}$ векторы, образованные удалением первых ${\displaystyle k}$ координат вектора ${\displaystyle y_i}$.Шаблон:Sfn

Каждый приёмник ${\displaystyle t\in T}$, получает ${\displaystyle k}$ векторов ${\displaystyle y_1,\dots ,y_k}$, являющихся случайными линейными комбинациями векторов ${\displaystyle v_i}$. В самом деле, если

${\displaystyle y_i=({\alpha }_{i_1},\dots ,{\alpha }_{i_k},a_{i_1},\dots ,a_{i_d})}$

тогда

${\displaystyle y_i=\sum _{1\le j\le k}({\alpha }_{ij}{v}_j).}$

Таким образом, мы можем с высокой вероятностью обратить линейной преобразование и найти ${\displaystyle v_i}$.Шаблон:Sfn

Крон, Фридман и Мэзиэс в 2004 году предложили теориюШаблон:Sfn: если у нас есть хеш-функция ${\displaystyle H:V⟶G}$ такая, что:

• ${\displaystyle H}$ стойка к коллизиям – сложно найти ${\displaystyle x}$ и ${\displaystyle y}$ такие, что ${\displaystyle H(x)=H(y)}$;
• ${\displaystyle H}$ является гомоморфизмом – ${\displaystyle H(x+y)=H(x)+H(y)}$.

Тогда сервер может отправить ${\displaystyle H(v_i)}$ каждому приёмнику. Если

${\displaystyle y=\sum _{1\le i\le k}({\alpha }_i{v}_i)}$

мы можем проверить равенство

${\displaystyle H(y)=\sum _{1\le i\le k}({\alpha }_{i}H(v_i))}$

Проблема этого метода состоит в том, что хеш-функция ${\displaystyle H}$ должна быть передана всем узлам сети через отдельный защищенный канал.

1. Реализуют аутентификацию в дополнение к выявлению подмены пакетов.
2. Нет необходимости в передаче хеш-сумм по защищенному каналу.
3. Открытая информация не изменяется для последующей передачи файлов.Шаблон:Sfn

Гомоморфное свойство подписей позволяет узлам подписывать какую-либо линейную комбинацию входящих пакетов, не используя схему подписи.Шаблон:Sfn

Эллиптическая криптография — раздел криптографии, который изучает асимметричные криптосистемы, основанные на эллиптических кривых над конечными полями.

Пусть ${\displaystyle {𝔽}_q}$ конечное поле такое, что ${\displaystyle q}$ не является степенью 2 или 3. Тогда эллиптическая кривая ${\displaystyle E}$ над ${\displaystyle {𝔽}_q}$ является кривой, задающейся уравнением вида

${\displaystyle y^2=x^3+ax+b,}$

где ${\displaystyle a,b\in {𝔽}_q}$ такие, что ${\displaystyle 4a^3+27b^2=0}$

Пусть ${\displaystyle K\supseteq {𝔽}_q}$, тогда

${\displaystyle E(K)=\{(x,y)|y^2=x^3+ax+b\}\bigcup \{O\}}$

образует абелеву группу.Шаблон:Sfn

Вейль-спариванием является билинейное отображение, сопоставляющее двум точкам подгруппы ${\displaystyle m}$-кручения точек эллиптической кривой ${\displaystyle E}$ корень степени ${\displaystyle m}$ в конечном поле.Шаблон:Sfn Пусть ${\displaystyle E/{𝔽}_q}$ эллиптическая кривая и пусть ${\displaystyle {\overline{𝔽}}_q}$ алгебраическое замыкание ${\displaystyle {𝔽}_q}$. Если ${\displaystyle m}$ целое и взаимно-простое с характеристикой поля ${\displaystyle {𝔽}_q}$, тогда группа элементов ${\displaystyle m}$-кручения ${\displaystyle E[m]=P\in E({\overline{𝔽}}_q):mP=O}$.

Вейль-спаривание ${\displaystyle e_m:E[m]*E[m]\to {\mu }_m({𝔽}_q)}$ обладает свойствамиШаблон:Sfn:

1. (Билинейность) ${\displaystyle e_m(P+R,Q)=e_m(P,Q)e_m(R,Q)\text{ and }{e}_m(P,Q+R)=e_m(P,Q)e_m(P,R)}$.
2. (Невырожденность) ${\displaystyle e_m(P,Q)=1}$ for all P implies that ${\displaystyle Q=O}$.
3. (Тождественность) ${\displaystyle e_m(P,P)=1}$.

Пусть ${\displaystyle p}$ простое число и ${\displaystyle q}$ степень другого простого числа: ${\displaystyle p<<q}$. Пусть ${\displaystyle V/{𝔽}_p}$ векторное пространство размерности ${\displaystyle D}$ и ${\displaystyle E/{𝔽}_q}$ эллиптическая кривая такая, что ${\displaystyle P_1,\dots ,P_D\in E[p]}$. Определим ${\displaystyle h:V⟶E[p]}$ следующим образом: ${\displaystyle h(u_1,\dots ,u_D)=\sum _{1\le i\le D}(u_i{P}_i)}$. Эта функция ${\displaystyle h}$ гомоморфизм ${\displaystyle V}$ в ${\displaystyle E[p]}$.

Сервер выбирает секретно ${\displaystyle s_1,\dots ,s_D}$ в ${\displaystyle {𝔽}_p}$ и публикует точку ${\displaystyle Q}$, являющуюся элементом ${\displaystyle p}$-кручения, такую, что ${\displaystyle e_p(P_i,Q)=1}$ и публикует ${\displaystyle (P_i,s_{i}Q)}$, где ${\displaystyle 1\le i\le D}$.Шаблон:Sfn Подписью вектора ${\displaystyle v=u_1,\dots ,u_D}$ является ${\displaystyle \sigma (v)=\sum _{1\le i\le D}(u_i{s}_i{P}_i)}$

Замечание: эта подпись гомоморфна,поскольку ${\displaystyle h}$ гомоморфизм.

Даны ${\displaystyle v=u_1,\dots ,u_D}$ и подпись ${\displaystyle \sigma }$. Для проверки подлинности требуется проверить равенствоШаблон:Sfn

${\displaystyle \begin{array}{cc}{e}_p(\sigma ,Q)& =e_p(\sum _{1\le i\le D}(u_i{s}_i{P}_i),Q)\\ & =\prod _i{e}_p(u_i{s}_i{P}_i,Q)\\ & =\prod _i{e}_p(u_i{P}_i,s_{i}Q)\end{array}}$

Верификация использует билинейность Вейль-спаривания.Шаблон:Sfn

Сервер вычисляетШаблон:Sfn ${\displaystyle \sigma (v_i)}$ для каждого ${\displaystyle 1\le i\le k}$. Передаёт ${\displaystyle v_i,\sigma (v_i)}$. На каждом ребре ${\displaystyle e}$ при вычислении ${\displaystyle y(e)=\sum _{f\in E:\mathrm{o}\mathrm{u}\mathrm{t}(f)=\mathrm{i}\mathrm{n}(e)}(m_e(f)y(f))}$ также вычисляется ${\displaystyle \sigma (y(e))=\sum _{f\in E:\mathrm{o}\mathrm{u}\mathrm{t}(f)=\mathrm{i}\mathrm{n}(e)}(m_e(f)\sigma (y(f)))}$ на эллиптической кривой ${\displaystyle E}$.

Подписью является точка на эллиптической кривой с координатами в ${\displaystyle {𝔽}_q}$. Таким образом, размер подписиШаблон:Sfn ${\displaystyle 2\log q}$ бит, и это дополнительные расходы на передачу.

Злоумышленник может найти коллизии хеш-функции.

Если даны ${\displaystyle (P_1,\dots ,P_r)}$ точки в ${\displaystyle E[p]}$, найдём ${\displaystyle a=(a_1,\dots ,a_r)\in {𝔽}_p^r}$ и ${\displaystyle b=(b_1,\dots ,b_r)\in {𝔽}_p^r}$

такие, что ${\displaystyle a=b}$ и

${\displaystyle \sum _{1\le i\le r}(a_i{P}_i)=\sum _{1\le j\le r}(b_j{P}_j).}$

Если ${\displaystyle r=2}$, тогда мы получаем ${\displaystyle xP+yQ=uP+vQ}$. То есть ${\displaystyle (x-u)P+(y-v)Q=0}$. ${\displaystyle x=u}$ и ${\displaystyle y=v}$. Допустим, что ${\displaystyle x=u}$, тогда ${\displaystyle (y-v)Q=0}$, но ${\displaystyle Q}$ точка порядка ${\displaystyle p}$ (простое число), таким образом ${\displaystyle y-v\equiv 0modp}$. Другими словами ${\displaystyle y=v}$ в ${\displaystyle {𝔽}_p}$. Это противоречит предположению о том, что ${\displaystyle (x,y)}$ и ${\displaystyle (u,v)}$ различные пары в ${\displaystyle {𝔽}_2}$. Таким образом ${\displaystyle Q=-(x-u)(y-v{)}^{-1}P}$, где обратный элемент берётся по модулю ${\displaystyle p}$.

Если ${\displaystyle r>2}$, мы можем взять ${\displaystyle P_1=P}$ и ${\displaystyle P_2=Q}$ как раньше и установить ${\displaystyle P_i=O}$ для ${\displaystyle i>2}$ (в этом случае доказательство аналогично ${\displaystyle r=2}$), или мы можем взять ${\displaystyle P_1=r_{1}P}$ и ${\displaystyle P_i=r_{i}Q}$, где ${\displaystyle r_i}$ выбираются случайным образом из ${\displaystyle {𝔽}_p}$. Получаем одно уравнение с одним неизвестным (дискретный логарифм ${\displaystyle Q}$). Вполне возможно, что полученное уравнение не будет содержать неизвестную величину. Тем не менее, это происходит с очень маленькой вероятностью. Предположим, что алгоритм поиска коллизий дал нам

${\displaystyle a{r}_{1}P+\sum _{2\le i\le r}(b_i{r}_{i}Q)=0.}$

До тех пор, пока ${\displaystyle \sum _{2\le i\le r}{b}_i{r}_i\equiv ̸0modp}$, нужно решать дискретный логарифм ${\displaystyle Q}$. Рассмотрим ${\displaystyle b_i}$, где ${\displaystyle 2\le i\le r}$, не равные нулю одновременно. Какова вероятность, что выбранные ${\displaystyle r_i}$ удовлетворяют условию ${\displaystyle \sum _{2\le i\le r}(b_i{r}_i)=0}$? Она равна $\frac{{\displaystyle 1}}{p}$ . Таким образом, с большой долей вероятности придется решать дискретный логарифм ${\displaystyle Q}$.Шаблон:Sfn

Мы показали, что сложно найти коллизии хеш-функции в данной схеме. Другой способ нарушить работу системы – подделать подпись. Эта схема подписи является версией схемы BLS (Boneh – Lynn - Shacham). Подделать подпись, по крайней мере так же сложно, как решить вычислительную проблему Диффи-Хелмана.Шаблон:Sfn Единственный известный способ решить эту проблему на эллиптических кривых – вычислить дискретный логарифм. Таким образом, подделать подпись так же сложно, как вычислить дискретный логарифм.Шаблон:Sfn

• Сетевое кодирование
• Гомоморфное шифрование
• Эллиптическая криптография
• Протокол Диффи — Хеллмана на эллиптических кривых
• ECDSA
• DSA

Шаблон:Примечания

• Шаблон:Книга
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья

• Comprehensive View of a Live Network Coding P2P System
• Signatures for Network Coding(presentation) CISS 2006, Princeton
• University at Buffalo Lecture Notes on Coding Theory – Dr. Atri Rudra