Криптосистема Бенало

Криптосистема Бенало — модификация криптосистемы Гольдвассер — Микали. Основное их отличие состоит в том, что криптосистема позволяет зашифровывать блок данных единовременно, в то время как в схеме Гольдвассера и Микали каждый бит данных шифруется отдельно^[1].

Разработана Джошем Бенало в 1988 году. Получила применение в системах электронного голосования^[2].

Система является частично гомоморфной. Как и во многих криптосистемах с открытым ключом, эта система работает в группе ${\displaystyle \mathbb{(}Z/n\mathbb{Z}{)}^{*}}$ , где ${\displaystyle n}$ — произведение двух простых чисел.

1. Выбираются блок размера ${\displaystyle r}$ и два больших различных простых числа ${\displaystyle p}$ и ${\displaystyle q}$, удовлетворяющие следующим условиям:
   1. ${\displaystyle r}$ и ${\displaystyle (p-1)/r}$ — взаимно простые ;
   2. ${\displaystyle r}$ и ${\displaystyle q-1}$ — взаимно простые.
2. Вычисляется ${\displaystyle n=p\times q}$, ${\displaystyle \varphi =(p-1)(q-1)}$;
3. Выбирается ${\displaystyle y\in {\mathbb{Z}}_n^{*}}$ так, что ${\displaystyle y^{\varphi /r}\equiv ̸1modn}$.
   Замечание: если ${\displaystyle r}$ составное, то вышеуказанные условия не являются достаточными для обеспечения правильной расшифровки^[3], то есть для того, чтобы всегда выполнялось ${\displaystyle D(E(m))=m}$. Чтобы избежать подобного, предлагается выполнять следующую проверку: пусть ${\displaystyle r=p_1{p}_2\dots p_k}$. Тогда ${\displaystyle y}$ выбирается таким образом, чтобы для каждого ${\displaystyle p_i}$ выполнялось ${\displaystyle y^{\varphi /p_i}\ne 1modn}$ .
4. Пусть ${\displaystyle x=y^{\varphi /r}modn}$;

Тогда открытым ключом является ${\displaystyle (y,r,n)}$, а секретным ключом — ${\displaystyle (\varphi ,x)}$.

Шифрование сообщения ${\displaystyle m\in {\mathbb{Z}}_r}$:

1. Выбирается произвольное ${\displaystyle u\in {\mathbb{Z}}_n^{*}}$;
2. Тогда ${\displaystyle E_r(m)=y^m{u}^{r}modn}$.

Для начала заметим, что для любых ${\displaystyle m\in {\mathbb{Z}}_r}$ и ${\displaystyle u\in {\mathbb{Z}}_n^{*}}$ выполняется: ${\displaystyle a=(c{)}^{\varphi /r}\equiv (y^m{u}^r{)}^{\varphi /r}\equiv (y^m{)}^{\varphi /r}(u^r{)}^{\varphi /r}\equiv (y^{\varphi /r}{)}^m(u{)}^{\varphi }\equiv (x{)}^m(u{)}^0\equiv x^{m}modn}$

Таким образом, чтобы вычислить ${\displaystyle m}$, зная ${\displaystyle a}$, проводится операция дискретного логарифмирования из ${\displaystyle a}$ по основанию ${\displaystyle x}$. Если число ${\displaystyle r}$ небольшое, возможно нахождение ${\displaystyle m}$ через исчерпывающий перебор, то есть проверкой выполнения равенства ${\displaystyle x^i\equiv amodn}$ для всех ${\displaystyle 0\dots (r-1)}$. При больших значениях ${\displaystyle r}$, нахождение ${\displaystyle m}$ можно проводить с помощью алгоритма Гельфонда — Шенкса (алгоритм больших и малых шагов), получив временную сложность расшифрования ${\displaystyle O(\sqrt{r})}$.

Расшифрование шифртекста ${\displaystyle c\in {\mathbb{Z}}_n^{*}}$:

1. Вычисляется ${\displaystyle a=c^{\varphi /r}modn}$;
2. Подбирается ${\displaystyle m={\log }_x(a)}$, то есть такое ${\displaystyle m}$ , что ${\displaystyle x^m\equiv amodn}$

Криптосистема Бенало гомоморфна относительно операции сложения:

${\displaystyle ℰ(x_1)\cdot ℰ(x_2)=(g^{x_1}{u}_1^r)(g^{x_2}{u}_2^r)=g^{x_1+x_2}(u_1{u}_2{)}^r=ℰ(x_1+x_{2}modr)}$, где ${\displaystyle ℰ(x)}$ является функцией шифрования от сообщения ${\displaystyle x}$

Стойкость криптосистемы Бенало основана на труднорешаемой задаче о вычетах высокой степени. Зная размер блока ${\displaystyle r}$, модуль ${\displaystyle n}$ и шифртекст ${\displaystyle E(M)}$, где разложение на множители числа ${\displaystyle n}$ неизвестно, — определить открытый текст вычислительно сложно.

1. А. И. Трубей «Гомоморфное шифрование: безопасность облачных вычислений и другие приложения (обзор)»
2. Benaloh, Josh (1994) "Dense Probabilistic Encryption"

Шаблон:Примечания

Шаблон:Криптосистемы с открытым ключом