Криптосистема Уильямса

Криптосистема Уильямса (Williams System) — система шифрования с открытым ключом, созданная Хью Коуи Уильямсом (Hugh Cowie Williams) в 1984 году.

Алгоритм был разработан в 1984 году как альтернатива более известному RSA. Целью разработки было избавиться от уязвимостей криптосистемы.

Для любой криптосистемы желательно, чтобы было доказано, что её взлом имеет вычислительную сложность аналогичную вычислительной сложности задачи, которую на данный момент невозможно решить за обозримое время. Как и RSA, криптосистема Уильямса опирается на предположение о сложности факторизации больших чисел, и было доказано, что для любого взлома шифротекста с помощью предварительного криптоанализа (имея лишь открытый ключ) необходимо провести факторизациюШаблон:Sfn, то есть решить уравнение ${\displaystyle pq=n}$ относительно ${\displaystyle p}$ и ${\displaystyle q}$. Это утверждение не было доказано для системы RSA. Вычислительная сложность задачи факторизации неизвестна, но считается, что она достаточно высока. Но, как и RSA, криптосистема Уильямса уязвима для атаки на основе подобранного шифротекста.

Алгоритм системы Уильямса, не являясь вычислительно более сложным, чем RSA, намного более громоздкий в описании. Для него существует леммаШаблон:Sfn, которая будет описана в разделе о математическом аппарате — она играет ключевую роль в этой криптосистеме.

Для начала следует определить терминологию — она заимствована из теории квадратичных полей, но для криптосистемы требуются лишь самые начальные знания. Рассмотрим элемент

${\displaystyle \alpha =a+b\sqrt{c}=(a,b),}$

где ${\displaystyle a,b,c}$ — целые числа, а ${\displaystyle \sqrt{c}}$ — условный элемент, квадрат которого равен ${\displaystyle c}$. Тогда будут справедливы следующие формулы:

${\displaystyle {\alpha }_1+{\alpha }_2=(a_1+a_2,b_1+b_2),}$

${\displaystyle {\alpha }_1\cdot {\alpha }_2=(a_1{a}_2+c\cdot b_1{b}_2,a_1{b}_2+a_2{b}_1)}$

Сопряжённым к ${\displaystyle \alpha }$ числом называется

${\displaystyle \overline{\alpha }=a-b\sqrt{c}}$

Определим также функции, которые помогут нам выразить степень этого числа. Пусть

${\displaystyle {\alpha }^i=X_i(\alpha )+Y_i(\alpha )\sqrt{c},}$

тогда ${\displaystyle X_i}$ и ${\displaystyle Y_i}$ можно выразить через ${\displaystyle {\alpha }^i}$ следующим образом:

${\displaystyle X_i(\alpha )=({\alpha }^i+{\overline{\alpha }}^i)/2}$

${\displaystyle Y_i(\alpha )=b({\alpha }^i-{\overline{\alpha }}^i)/(\alpha -\overline{\alpha })=({\alpha }^i-{\overline{\alpha }}^i)(2\sqrt{c})}$

Последнее выражение предназначено только для упрощения понимания. Так как функции определены для пар ${\displaystyle (a,b)}$, то не содержат ${\displaystyle c}$. Если предположить теперь, что ${\displaystyle a^2-b^{2}c=1}$, то можно записать следующие рекуррентные соотношения:

${\displaystyle X_{2i}=2{X_i}^2-1}$

${\displaystyle Y_{2i}=2X_i{Y}_i}$

${\displaystyle X_{2i+1}=2X_i{X}_{i+1}-X_1}$

${\displaystyle Y_{2i+1}=2X_i{Y}_{i+1}-Y_1}$

Эти формулы предназначены для быстрого вычисления ${\displaystyle X_i}$ и ${\displaystyle Y_i}$. Так как ${\displaystyle X_0=1}$ и ${\displaystyle X_1=a}$, то ${\displaystyle X_i(\alpha )}$ также не зависит от ${\displaystyle b}$.

Шаблон:Hider

Сначала выбираются два простых числа ${\displaystyle p}$ и ${\displaystyle q}$, вычисляется их произведение ${\displaystyle n}$. С помощью перебора выбирается число ${\displaystyle c}$ так, чтобы символы Лежандра ${\displaystyle {\delta }_p}$ и ${\displaystyle {\delta }_q}$ удовлетворяли условиям, наложенным в лемме. Затем (также подбором) определяется число ${\displaystyle s}$ такое, что символ Якоби

${\displaystyle \left(\frac{s^2-c}{n}\right)=-1}$

и ${\displaystyle gcd(s,n)=1.}$ Число ${\displaystyle m}$ выбирается так же, как и в лемме:

${\displaystyle m=(p-{\delta }_p)(q-{\delta }_q)/4}$

Затем выбираются числа ${\displaystyle d,e}$, удовлетворяющие условиям, наложенным в лемме. Выберем случайное, например, ${\displaystyle d:gcd(d,m)=1}$, а ${\displaystyle e}$ вычислим по формуле

${\displaystyle e=\frac{m+1}{2}{d}^{-1}(\mathrm{mod}m)}$

Тогда ${\displaystyle n,e,c,s}$ — открытый ключ, а ${\displaystyle p,q,m,d}$ — секретный ключ.

Все вычисления здесь ведутся по модулю ${\displaystyle n}$. Запись ${\displaystyle a+b\sqrt{c}(\mathrm{mod}n)}$ здесь означает ${\displaystyle (amodn)+(bmodn)\sqrt{c}.}$ Представим открытый текст в виде числа ${\displaystyle w\in 2,3,...,n-1}$. Определим ${\displaystyle \gamma }$ и ${\displaystyle b_1}$: если символ Якоби ${\displaystyle \left(\frac{w^2-c}{n}\right)}$ равен ${\displaystyle +1}$, то

${\displaystyle b_1=0}$ и ${\displaystyle \gamma =w+\sqrt{c},}$

иначе определим ${\displaystyle \gamma }$ через произведение

${\displaystyle b_1=1}$ и ${\displaystyle \gamma =(w+\sqrt{c})(s+\sqrt{c}).}$

Тогда легко убедиться, что символ Якоби

${\displaystyle \left(\frac{\gamma \overline{\gamma }}{n}\right)=1,}$

что проверяется прямым вычислением (во втором случае с учётом выбора ${\displaystyle s}$ и мультипликативности символа Якоби). Далее находим число

${\displaystyle \alpha =\frac{\gamma }{\overline{\gamma }}.}$

Представим ${\displaystyle \alpha }$ в виде ${\displaystyle \alpha =a+b\sqrt{c}.}$ ${\displaystyle \alpha }$ удовлетворяет условиям, накладываемым в лемме. Действительно, ${\displaystyle p,q,n,c,d,e}$ удовлетворяют условиям по построению, и

${\displaystyle \alpha \overline{\alpha }=\frac{\gamma }{\overline{\gamma }}\frac{\overline{\gamma }}{\gamma }=1.}$

${\displaystyle 2(a+1)=\frac{\gamma }{\overline{\gamma }}+\frac{\overline{\gamma }}{\gamma }+2=\frac{(\gamma +\overline{\gamma }{)}^2}{\overline{\gamma }\gamma }(\mathrm{mod}n)}$

Из последней формулы следует, что

${\displaystyle \left(\frac{2(a+1)}{n}\right)=1.}$

Получив ${\displaystyle \alpha ,}$ следует его зашифровать возведением в степень ${\displaystyle e}$ — результат может быть представлен через ${\displaystyle X_e(\alpha )}$ и ${\displaystyle Y_e(\alpha ),}$ которые могут быть^[1] быстро (за количество операций порядка ${\displaystyle \log e}$) найдены с помощью рекуррентных формул. Введём обозначение

${\displaystyle E=\frac{X_e(\alpha )}{Y_e(\alpha )}}$

Тогда криптотекстом будет являться тройка чисел ${\displaystyle (E,b_1,b_2),}$ где ${\displaystyle b_2=amod2.}$

Расшифрование проводится проще. Сначала вычисляется

${\displaystyle {\alpha }^{2e}=\frac{{\alpha }^{2e}}{{(\alpha \overline{\alpha })}^e}=\frac{E+\sqrt{c}}{E-\sqrt{c}},}$

что может сделать и злоумышленник. Но для окончательного расшифрования необходимо вычислить, как показано в лемме, ${\displaystyle {\alpha }^{2ed}}$ — при том, что ${\displaystyle d}$ держится в секрете.

${\displaystyle {\alpha }^{2ed}=X_d({\alpha }^{2e})+Y_d({\alpha }^{2e})\sqrt{c}=\pm \alpha }$

Число ${\displaystyle b_2,}$ передаваемое в сообщении, укажет, какой из знаков верен — тот, что даёт чётный результат или тот, что даёт нечётный. Число ${\displaystyle b_1}$ покажет, следует ли умножить результат на ${\displaystyle (s-\sqrt{c})/(s+\sqrt{c})}$. В результате мы получим число

${\displaystyle {\alpha }^{\prime }=\frac{w+\sqrt{c}}{w-\sqrt{c}}}$

И с лёгкостью найдём исходный текст, что и завершит процесс расшифрования.

${\displaystyle w=\frac{{\alpha }^{\prime }+1}{{\alpha }^{\prime }-1}\sqrt{c}}$

Как и на RSA, на криптосистему может быть проведена атака на основе подобранного шифротекста. Предположим, что криптоаналитик нашёл некоторый алгоритм, позволяющий с вероятностью ${\displaystyle \delta >0}$ расшифровать криптотекст. Тогда он может поступить следующим образом:

1. Выбрать число ${\displaystyle \varphi }$ такое, что символ Якоби ${\displaystyle \left(\frac{{\varphi }^2-c}{n}\right)=-1}$;

2. Зашифровать ${\displaystyle \varphi }$, но таким образом, как будто упомянутый символ Якоби равен ${\displaystyle +1}$ и ${\displaystyle b_1=0}$, получив на выходе криптотекст ${\displaystyle (E,0,b_2)}$;

3. Расшифровать полученный криптотекст, получив некоторый ${\displaystyle \psi \ne \varphi }$.

Тогда с вероятностью ${\displaystyle \delta >0}$ криптоаналитик может получить

${\displaystyle \varphi -\psi =p(\mathrm{mod}n)}$

или

${\displaystyle \varphi -\psi =q(\mathrm{mod}n)}$

Что позволяет произвести факторизацию ${\displaystyle n}$ и взломать криптосистему.

После генерации ключа основные вычисления происходят при возведении числа ${\displaystyle \alpha }$ в степень, а это может быть произведено за ${\displaystyle O(\log e)}$ умножений по модулю, каждое из которых происходит за ${\displaystyle O(\log e)}$ операций сложения, в свою очередь выполняющихся за ${\displaystyle O(\log e)}$ элементарных операций сложения неизменной скорости — то есть за ${\displaystyle O({\log }^{3}e)}$, с той же скоростью, что и возведение в степень целого числа по модулю, которое требуется для использования RSA.

Выберем, например, ${\displaystyle p=11}$ и ${\displaystyle q=13}$, произведением которых является ${\displaystyle n=143}$. Так как

${\displaystyle \left(\frac{5}{11}\right)=1=-11(\mathrm{mod}4)}$

и

${\displaystyle \left(\frac{5}{13}\right)=-1=-13(\mathrm{mod}4)}$

Можно выбрать ${\displaystyle c=5}$. Также, если выбрать ${\displaystyle s=2}$, получим

${\displaystyle \left(\frac{s^2-c}{n}\right)=\left(\frac{-1}{11}\right)\left(\frac{-1}{13}\right)=-1}$

Что удовлетворяет условию теоремы. Далее получим

${\displaystyle m=\left(\frac{10\cdot 14}{4}\right)=35}$

И, наконец, выберем экспоненты шифрования и расшифрования: так как

${\displaystyle 23\cdot 16=18(\mathrm{mod}m)}$

Можно выбрать

${\displaystyle e=23}$

${\displaystyle d=16}$

Пусть исходный текст будет ${\displaystyle \omega =21}$. Так как

${\displaystyle \left(\frac{21^2-5}{143}\right)=\left(\frac{7}{11}\right)\left(\frac{7}{13}\right)=(-1)\cdot (-1)=1}$

Имеем ${\displaystyle b_1=0}$, ${\displaystyle \gamma =21+\sqrt{5}}$ и

${\displaystyle \alpha =\left(\frac{21+\sqrt{5}}{21-\sqrt{5}}\right)=125+6\sqrt{5}(\mathrm{mod}143)}$

Так как ${\displaystyle 125}$ нечётно, получаем ${\displaystyle b_2=1}$. После вычисления ${\displaystyle X_{23}(\alpha )=68}$ и ${\displaystyle Y_{23}(\alpha )=125}$ получаем

${\displaystyle E=68\cdot {125}^{-1}=68\cdot 135=28(\mathrm{mod}143)}$

Таким образом, шифротекстом является тройка ${\displaystyle (28,1,1)}$.

Теперь следует вычислить ${\displaystyle {\alpha }^{2e}}$:

${\displaystyle {\alpha }^{2e}=\left(\frac{28^2+5}{28^2-5}\right)+2\cdot \left(\frac{28}{28^2-5}\right)\sqrt{5}=95+126\sqrt{5}(\mathrm{mod}143)}$

Так как ${\displaystyle d=16}$, вычисляем также

${\displaystyle X_{16}({\alpha }^{2e})=18}$

${\displaystyle Y_{16}({\alpha }^{2e})=137}$

Так как ${\displaystyle b_2=1}$, то ${\displaystyle a}$ должно быть нечётным и

${\displaystyle {\alpha }^{\prime }=-(18+137\sqrt{5})=125+6\sqrt{5}(\mathrm{mod}143)}$

Учитывая, что вторая компонента шифротекста ${\displaystyle b_1=0}$, заключаем, что ${\displaystyle {\alpha }^{\prime }=\alpha }$. В таком случае

${\displaystyle \omega =\frac{126+6\sqrt{5}}{124+6\sqrt{5}}\sqrt{5}=21(\mathrm{mod}143)}$.

Таким образом, мы получили ${\displaystyle \omega =21}$, который и являлся первоначальным открытым текстом.

Шаблон:Примечания

• Шаблон:Книга
• Шаблон:Книга