Криптосистема Окамото — Утиямы

Криптосистема Окамото — Утиямы — вероятностная криптосистема, предложенная в 1998 году Тацуаки Окамото и Сигэнори Утиямой, построена на основе логарифмической функции ${\displaystyle L}$, определённой над мультипликативной группой ${\displaystyle \mathbb{(}Z/n\mathbb{Z}{)}^{*}}$, где ${\displaystyle n=p^{2}q}$, а ${\displaystyle p}$ и ${\displaystyle q}$ являются большими простыми числами.

Например, если ${\displaystyle p}$ — большое простое число и ${\displaystyle {\gamma }_p\subset Z_{{𝕡}^{\mathrm{𝟚}}}^{𝕟}}$, такое, чтo ${\displaystyle {\gamma }_p=x<p^2}$ для ${\displaystyle x=1modp}$, то ${\displaystyle {\gamma }_p}$ имеет структуру группы по отношению к мультипликативному модулю ${\displaystyle p^2}$. Функция ${\displaystyle \log :{\gamma }_p⟶Z_p}$, связывающая ${\displaystyle \frac{x-1}{p}}$ с ${\displaystyle x}$, определена на ${\displaystyle n=p^{2}q}$ и обладает гомоморфными свойствами, а в частности:

${\displaystyle \mathrm{\forall }(x,y\in {\gamma }_p)\log (xy{modp}^2)=\log (x)+\log (y)modp}$

,

или, более общо:

${\displaystyle \mathrm{\forall }(g\in {\gamma }_p,m\in Z_p)\log (g^m{modp}^2)=m\log (g)modp}$

Генерация ключа

1. Выбираются два больших различных простых числа ${\displaystyle p}$ и ${\displaystyle q}$ и вычисляется ${\displaystyle n=p^{2}q}$;
2. Выбирается число ${\displaystyle g\in (\mathbb{Z}/n\mathbb{Z}{)}^{*}}$ такое, что ${\displaystyle g^{p-1}\ne 1mod{p}^2}$;
3. Вычисляется ${\displaystyle h=g^{n}modn}$

Таким образом, ${\displaystyle (n,g,h)}$ — открытый ключ, ${\displaystyle (p,q)}$ — секретный ключ.

Шифрование

Чтобы зашифровать k-битное сообщение ${\displaystyle m}$, где ${\displaystyle 0<m<2^{k-1}}$:

1. Выбирается случайное ${\displaystyle r\in \mathbb{Z}/n\mathbb{Z}}$;
2. Вычисляется шифртекст: ${\displaystyle C=g^m{h}^{r}modn}$

Расшифровка

Для ${\displaystyle L(x)=\frac{x-1}{p}}$ расшифровка сообщения ${\displaystyle C}$:

${\displaystyle m=\frac{L\left(C^{p-1}{modp}^2\right)}{L\left(g^{p-1}mod{p}^2\right)}modp}$.

Криптосистема является аддитивно гомоморфной, так как при ${\displaystyle m_1+m_2<p}$ выполняется:

${\displaystyle ℰ(m_1)\cdot ℰ(m_2)=(g^{m_1}{r}_1^c)(g^{m_2}{r}_2^c)modn=g^{m_1+m_2}(r_1{r}_2{)}^{c}mod=ℰ(m_1+m_2)}$,

где ${\displaystyle ℰ(m)}$ является функцией шифрования от сообщения ${\displaystyle m}$.

Стойкость криптосистемы Окамото — Утиямы основана на сложности задачи факторизации числа ${\displaystyle n}$ и требует ${\displaystyle O({\log }_{3}n)}$ битовых операций.

Возможно понизить сложность схемы до ${\displaystyle O({\log }_{2}n)}$, для этого выбирается ${\displaystyle p}$ через большой (160-битный) коэффициент ${\displaystyle t}$ следующим образом^[1]: ${\displaystyle p-1=tu}$ и модифицируется схему следующим образом:

1. Выбрать произвольное число ${\displaystyle g<n}$ такое, что ${\displaystyle g_p=g^{(p-1)}{modp}^2}$
2. Вычислить ${\displaystyle G=g^{u}modn}$
3. Выбрать произвольное число ${\displaystyle g^{\prime }<n}$ и вычислить ${\displaystyle H={g^{\prime }}^{nu}modn}$

Тогда тройка значений ${\displaystyle (n,G,H)}$ образует открытый ключ, а ${\displaystyle (p,q)}$ — секретный ключ.

Шифрование

1. Выбрать случайным образом число ${\displaystyle r<n}$
2. Расшифровать ${\displaystyle (k-1)}$-битное сообщение ${\displaystyle m}$ следующим образом: ${\displaystyle c=G^m{H}^{r}modn}$ .

Расшифровка

1. ${\displaystyle c^{\prime }=c^t{modp}^2=g^{m(p-1)}{g}^{\prime nr(p-1)}=g_p^m{modp}^2}$;
2. ${\displaystyle m=\log (c^{\prime })\log (g_p{)}^{-1}modp}$.

Шаблон:Примечания

• Okamoto, Tatsuaki; Uchiyama, Shigenori (1998). «A new public-key cryptosystem as secure as factoring». Advances in Cryptology — EUROCRYPT’98.
• Accelerating Okamoto-Uchiyama’s Public-Key Cryptosystem (Jean-S´ebastien Coron, David Naccache, Pascal Paillier)

Шаблон:Криптография