Криптосистема Боне — Го — Ниссима

Криптосистема Боне — Го — Ниссима — частично гомоморфная криптосистема, являющаяся модификацией криптосистемы Пэйе^[1] и криптосистемы Окамото — Утиямы^[2]. Разработана Дэном Боне^[3] совместно с Ю Чжин Го и Коби Ниссимом^[4] в 2005 году^[5]. Основывается на конечных группах составного порядка и билинейных спариваний на эллиптических кривых; система позволяет оценить многовариантные квадратичные полиномы на шифротекстах (например, дизъюнктивная нормальная форма второго порядка (2-ДНФ)).

Система обладает аддитивным гомоморфизмом (поддерживает произвольные добавления и одно умножение (за которым следуют произвольные добавления) для зашифрованных данных).

Используемый в криптосистеме БГН алгоритм основан на задаче Бернсайда.^[6].

Алгоритм работы

Как и все системы гомоморфного шифрования, КБГН включает следующие процессы: Генерация ключа, шифрование и расшифрование.

Конструкция использует некоторые конечные группы составного порядка, которые поддерживают билинейное отображение. Используются следующие обозначения:

$𝔾$ и $𝔾_{1}$ - две циклические группы конечного порядка $n$ .
$g$ — генератор $𝔾$ .
$f$ — билинейное отображение $f : 𝔾 \times 𝔾 \to 𝔾_{1}$ . Другими словами, для всех $u, v \in 𝔾$ и $a, b \in ℤ$ мы имеем $f (u^{a}, v^{b}) = f (u, v)^{a b}$ . Мы также требуем выполнение условия : $f (g, g)$ является генератором $𝔾_{1}$

Мы говорим, что $𝔾$ — билинейная группа, если существует группа $𝔾_{1}$ и билинейное отображение, определённое выше.^[7]

Генерация ключа

Генерация_Ключа( $τ$ ):

Подавая на вход параметр безопасности τ∈ℤ+, вычисляем алгоритм X(τ), чтобы получить кортеж (q1,q2,𝔾,𝔾1,f). Алгоритм работает следующим образом:
1. Сгенерируем два случайных $τ$ — битовых числа $q_{1}$ и $q_{2}$ и положим $n = q_{1} q_{2} \in ℤ$ .
2. Создадим билинейную группу 𝔾 порядка n, где n > 3 — заданное число, которое не делится на 3:
  1. Найдём наименьшее натуральное число $ℓ \in ℤ$ , такое что $p = ℓ n - 1$ — простое число и $p = 3 mod 4$ .
  2. Рассмотрим группу точек на эллиптической кривой $y^{2} = x^{3} + x$ определённую над $𝔽_{p}$ . Поскольку $p = 3 mod 4$ кривая имеет $p + 1 = ℓ n$ точек в $𝔽_{p}$ . Поэтому группа точек на кривой имеет подгруппу порядка $n$ , которую обозначим через $𝔾$ .
  3. Пусть $𝔾_{1}$ подгруппа в $𝔽_{p^{2}}^{*}$ порядка $n$ . Модифицированный алгоритм спаривания Вейля (Спаривание Вейля является билинейным, кососимметричным, невырожденным отображением^[8]^[4]^[9]^[10]) на кривой выдаёт билинейное отображение $f : 𝔾 \times 𝔾 \to 𝔾_{1}$ , удовлетворяющее заданным условиям
3. На выходе получим $(q_{1}, q_{2}, 𝔾, 𝔾_{1}, f)$ .
Пусть $n = q_{1} \times q_{2}$ . Выберем два случайных генератора $g, u \overset{R}{\leftarrow} 𝔾$ и определим $h$ , как $h = u^{q_{2}}$ . Тогда $h$ это случайный генератор подгруппы $𝔾$ порядка $q_{1}$ . Открытый ключ : $O K = (n, 𝔾, 𝔾_{𝟙}, f, g, h)$ . Закрытый ключ : $S K = q_{1}$ .^[11]^[7]

Шифрование

Шифр( $O K, M$ ):

Мы предполагаем, что пространство сообщений состоит из целых чисел в наборе ${0, T}$ . Чтобы зашифровать сообщение $M$ с помощью открытого ключа $O K$ выбираем случайный параметр $r \overset{R}{\leftarrow} {0, 1, . . ., n - 1}$ и вычисляем

$C = g^{M} h^{r} \in 𝔾$ .

Полученный результат и есть шифротекст.^[11]^[7]

Расшифрование

Расшифр( $S K, C$ ):

Чтобы расшифровать шифротекст используя закрытый ключ $S K = q_{1}$ , рассмотрим следующее выражение

$C^{q_{1}} = (g^{M} h^{r})^{q_{1}} = (g^{q_{1}})^{M}$ .

Пусть $\hat{g} = g^{q_{1}}$ . Чтобы восстановить $M$ достаточно вычислить дискретный логарифм $C^{q_{1}}$ по основанию $\hat{g}$ .

Следует отметить, что дешифрование в этой системе занимает полиномиальное время в размере пространства сообщений.^[11]^[7]

Примеры

Пример работы алгоритма

Сначала мы выбираем два различных простых числа

$q_{1} = 7$ $q_{2} = 11$ .

Вычислим произведение

$n = q_{1} q_{2} = 7 \times 11 = 77$ .

Далее мы строим группу эллиптических кривых с порядком $n$ , которая имеет билинейное отображение. Уравнение для эллиптической кривой

$y^{2} = x^{3} + x$

которое определяется над полем $𝔽_{p}$ для некоторого простого числа $p = 3 mod 4$ . В этом примере мы устанавливаем

$p = 307$ .

Следовательно, кривая суперсингулярна с # $(E (p)) = p + 1 = 308$ рациональными точками, которая содержит подгруппу $𝔾$ с порядком $n = 77 (= 308 / 4)$ . В группе $𝔾$ мы выбираем два случайных генератора

$g = [182, 240]$ , $u = [28, 262]$

где эти два генератора имеют порядок $n$ и вычислим

$h = u^{q_{2}} = [28, 262]^{11} = [99, 120]$

где $h$ порядка $q_{1} = 7$ . Мы вычисляем зашифрованный текст сообщения

$M = 2$ .

Возьмём $r = 5$ и вычислим

$C = g^{M} h^{r} = [182, 240]^{2} \oplus [99, 120]^{5} = [256, 265]$ .

Для расшифровки мы сначала вычислим

$\hat{g} = g^{q_{1}} = [182, 240]^{7} = [146, 60]$

и

$C^{q_{1}} = (g^{M} h^{r})^{q_{1}} = (g^{q_{1}})^{M} = [256, 265]^{7} = [299, 44]$ .

Теперь найдём дискретный логарифм, перебирая все степени $\hat{g} = g^{q_{1}}$ следующим образом

${\hat{g}}^{1} = [146, 60]$

${\hat{g}}^{2} = [299, 44]$

${\hat{g}}^{3} = [272, 206]$

${\hat{g}}^{4} = [191, 151]$

${\hat{g}}^{5} = [79, 171]$

${\hat{g}}^{6} = [79, 136]$

${\hat{g}}^{7} = [191, 156]$

${\hat{g}}^{8} = [272, 101]$

${\hat{g}}^{9} = [299, 263]$

${\hat{g}}^{10} = [146, 247]$

${\hat{g}}^{11} = \infty$ .

Обратите внимание, что ${\hat{g}}^{2} = C^{q_{1}}$ . Следовательно, расшифровка зашифрованного текста равна $2$ , что соответствует исходному сообщению.^[12]

Оценка 2-ДНФ

Частично гомоморфная система позволяет оценить 2-ДНФ.

На входе: У Алисы есть 2-ДНФ формула $ϕ (x_{1}, . . ., x_{n}) = \lor_{i = 1}^{k} (l_{i, 1} \land l_{i, 2})$ , а у Боба есть набор переменных $a = a_{1}, . . ., a_{n} \in {0, 1}^{n}$ . Обе стороны на входе содержат параметр безопасности $τ$ .

Боб выполняет следующие действия:
1. Он исполняет алгоритм Генерация_Ключа( $τ$ ), чтобы вычислить $O K, S K$ и отправляет $O K$ Алисе.
2. Он вычисляет и отправляет Шифр( $O K, a_{j}$ ) для $j = 1, . . ., n$ .
Алиса выполняет следующие действия:
1. Она выполняет арифметизацию $Φ (ϕ)$ заменяя « $\lor$ » на « $+$ », « $\land$ » на « $\times$ » и « $\bar{x_{j}}$ » на « $(1 - x_{j})$ ».Отметим, что $Φ$ это полином степени 2.
2. Алиса вычисляет шифрование $r \times Φ (a)$ для случайно выбранного $r$ используя гомоморфные свойства системы шифрования. Результат отправляется Бобу.
Если Боб получает шифрование « $0$ », он выводит « $0$ »; в противном случае, он выводит « $1$ ».^[13]

Гомоморфные свойства

Система является аддитивно гомоморфной. Пусть $(n, 𝔾, 𝔾_{𝟙}, f, g, h)$ — открытый ключ. Пусть $C_{1}, C_{2} \in 𝔾_{1}$ — шифротексты сообщений $m_{1}, m_{2} \in {0, 1}$ соответственно. Любой может создать равномерно распределённое шифрование $m_{1} + m_{2} mod n$ вычисляя произведение $C = C_{1} C_{2} h^{r}$ для случайного чила $r$ в диапазоне ${0, 1, . . ., n - 1}$ .

Более важно то, что любой может умножить два зашифрованных сообщения один раз, используя билинейное отображение. Определим $g_{1} = f (g, g)$ и $h_{1} = f (g, h)$ . Тогда $g_{1}$ порядка $n$ , а $h_{1}$ порядка $q_{1}$ . Кроме того, для некоторого (неизвестного) параметра $α \in ℤ$ , напишем $h = g^{α q_{2}}$ . Предположим, что нам известны два шифротекста $C_{1} = g^{m_{1}} h^{r_{1}} \in 𝔾$ , $C_{2} = g^{m_{2}} h^{r_{2}} \in 𝔾$ . Чтобы построить шифрование произведения $m_{1} \times m_{2} mod n$ , выберем случайное число $r \in ℤ_{𝕟}$ и положим $C = f (C_{1}, C_{2}) h_{1}^{r} \in 𝔾_{1}$ . Получаем $C = f (C_{1}, C_{2}) h_{1}^{r} = f (g^{m_{1}} h^{r_{1}}, g^{m_{2}} h^{r_{2}}) h_{1}^{r} = g^{m_{1} m_{2}} h^{m_{1} r_{2} + r_{2} m_{1} + α q_{2} r_{1} r_{2} + r} = g_{1}^{m_{1} m_{2}} h_{1}^{\tilde{r}} \in 𝔾_{1}$ , где $\tilde{r} = m_{1} r_{2} + r_{2} m_{1} + α q_{2} r_{1} r_{2} + r$ — распределено равномерно в $ℤ_{𝕟}$ , как и необходимо.

Таким образом, $C$ является равномерно распределённым шифрованием $m_{1} \times m_{2} mod n$ , но только в группе $𝔾_{1}$ , а не в $𝔾$ (поэтому допускается только одно умножение).^[11]

Стойкость системы

Стойкость данной схемы основана на задаче Бернсайда: зная элемент группы составного порядка $n = q_{1} q_{2}$ , невозможно определить его приналежность к подгруппе порядка $q_{1}$ .

Пусть $τ \in ℤ^{+}$ , а $(q_{1}, q_{2}, 𝔾, 𝔾_{1}, f)$ — кортеж, созданный $X$ , где $n = q_{1} q_{2}$ . Рассмотрим следующую задачу. Для заданного $(n, 𝔾, 𝔾_{1}, f)$ и элемента $x \in 𝔾$ , выведем « $1$ », если порядок $x$ равен $q_{1}$ , в противном случае, выведем « $0$ ». Другими словами, без знания факторизации группы порядка $n$ , необходимо узнать, находится ли элемент $x$ в подгруппе группы $𝔾$ . Данная задача называется задачей Бёрнсайда^[7].

Понятно, что если мы можем учесть групповой порядок $n$ в криптосистеме, то мы знаем закрытый ключ $q_{1}$ , и в результате система взломана. Кроме того, если мы можем вычислить дискретные логарифмы в группе $𝔾$ , то мы можем вычислить $q_{2}$ и $q_{1} = n / q_{2}$ . Таким образом, необходимые условия для безопасности: сложность факторинга $n$ и сложность вычисления дискретных логарифмов в $𝔾$ .^[14]

Примечания

Шаблон:Примечания

Литература

Шаблон:Книга

Ссылки

Шаблон:Статья

Шаблон:Криптосистемы с открытым ключом

[1] Шаблон:Статья

[2] Шаблон:Статья

[3] Шаблон:Статья

[:0-4] 4,0 ^4,1 Шаблон:Статья

[5] Шаблон:Cite web

[6] Шаблон:Книга

[:2-7] 7,0 ^7,1 ^7,2 ^7,3 ^7,4 Шаблон:Статья

[8] Шаблон:Книга

[9] Шаблон:Статья

[10] Шаблон:Статья

[:1-11] 11,0 ^11,1 ^11,2 ^11,3 Шаблон:Книга

[12] Шаблон:Книга

[13] Шаблон:Книга

[14] Шаблон:Книга

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

Криптосистема Боне — Го — Ниссима

Содержание

Алгоритм работы

Генерация ключа

Шифрование

Расшифрование

Примеры

Пример работы алгоритма

Оценка 2-ДНФ

Гомоморфные свойства

Стойкость системы

Примечания

Литература

Ссылки

Навигация

Криптосистема Боне — Го — Ниссима

Алгоритм работы

Генерация ключа

Шифрование

Расшифрование

Примеры

Пример работы алгоритма

Оценка 2-ДНФ

Гомоморфные свойства

Стойкость системы

Примечания

Литература

Ссылки

Навигация

Поиск