Ранцевая криптосистема Шора-Ривеста

Ранцевая криптосистема Шора-Ривеста была предложена в 1985 году (Chor, 1985; Chor and Rivest, 1988)^[1]. В настоящее время она является единственной известной схемой шифрования, основанной на задаче о ранце, которая не использует модульного умножения для маскировки простой задачи о ранце^[2] На данный момент создано множество рюкзачных криптосистем, например ранцевая криптосистема Меркла — Хеллмана. Однако практически все существующие на сегодняшний день взломаны или признаны потенциально небезопасными, примечательным исключением является схема Шор-Ривеста. Криптосистема Шора-Ривеста является одной из немногих не взломанных систем^[3].

Описание алгоритма

Пусть пользователь B хочет отправить зашифрованное сообщение A. Для этого:

Для генерации открытого и закрытого ключей нужно^[4]:

Выбрать конечное поле $𝔽_{𝑞}$ характеристики $𝑝$ , где $𝑞 = 𝑝^{ℎ}$ , $𝑝 \geq ℎ$ , и для которого возможно эффективно решать задачу дискретного логарифмирования (см. Особенности криптосистемы 3)
Выбрать случайный монотонный неприводимый многочлен $𝑓 (x)$ степени $ℎ$ над $ℤ_{𝑝}$ . Элементы $𝔽_{𝑞}$ будут представлены как многочлены от $ℤ_{𝑝} [𝑥]$ степени меньше $ℎ$ , причем умножение можно выполняться по модулю $𝑓 (x)$ .
Выбрать случайный примитивный многочлен $𝑔 (x)$ поля $𝔽_{𝑞}$ .
Вычислить дискретный логарифм $𝑎_{𝑖} = \log_{𝑔 (𝑥)} (𝑥 + 𝑖)$ элемента поля $(𝑥 + 𝑖)$ .
Выбрать случайную перестановку $π$ на множестве целых чисел ${0, 1, 2, . . ., p - 1}$
Выбрать случайное целое число $d$ , $0 \leq d \leq p^{h} - 2$
Вычислить $c_{i} = (a_{π (i)} + d) mod (p^{h} - 1)$ , $0 \leq i \leq p - 1$

Открытым ключом $𝖠$ является $((c_{0}, c_{1}, . . ., c_{p - 1}), p, h)$ ; закрытым ключом $𝖠$ является $(f (x), g (x), π, d)$

Для генерации случайного мононического неприводимого многочлена можно использовать следующий алгоритм:^[5]

ВХОД: простое $p$ и положительное целое число $m$ .

ВЫХОД: монотонный неприводимый многочлен $𝑓 (x)$ степени $m$ в $ℤ_{𝑝} [𝑥]$ .

Полученный многочлен будет неприводимым, ввиду следующей теоремы:

Случайно выбрать целые числа $a_{0}, a_{1}, a_{2}, . . ., a_{m - 1}$ между $0$ и $p - 1$ с $a_{0} \neq 0$ . Представить многочлен $𝑓 (x)$ в виде" $f (x) = x^{m} + a_{m - 1} x^{m - 1} + . . . + a_{2} x^{2} + a_{1} x + a_{0}$
Выбрать $u (x) = x$
Для $i$ от $1$ до $⌊ \frac{m}{2} ⌋$ сделать следующие действия:

Вычислить $u (x) = u (x)^{p} mod f (x)$ . (Заметить, что $u (x)$ является многочленом от $ℤ_{𝑝} [𝑥]$ степени меньше $m$ )
Вычислить $d (x) = \gcd (f (x), u (x) - x)$
Если $d (x) \neq 1$ вернуть $𝑓 (x)$ «приводимый».

Если $𝑓 (x)$ приводимый — повторить шаги алгоритма. Иначе вернуть $𝑓 (x)$
Неприводимый многочлен
$f (x) \in ℤ_{𝑝} [𝑥]$
степени
$m$
является примитивным многочленом тогда и только тогда, когда
$𝑓 (x)$
делит
$x^{k} - 1$
для
$k = p^{m} - 1$
и для не меньшего положительного целого
$k$
.^[6]

Для генерации случайного мононического примитивного многочлена можно использовать следующий алгоритм:^[7]

ВХОД: простое $p$ , целое число $m$ ≥ 1 и различные простые множители $r_{1}, r_{2}, . . ., r_{t}$ из $p^{m} - 1$ .

ВЫХОД: монотонный примитивный многочлен $𝑓 (x)$ степени $m$ в $ℤ_{𝑝} [𝑥]$ .

Генерировать случайный монотонный неприводимый многочлен над $ℤ_{𝑝}$ .
Для $i$ от $1$ до $t$ сделать следующие действия:

Вычислить $l (x) = x^{(p^{m} - 1) / r_{i}} mod f (x)$
Если $l (x) = 1$ вернуть $𝑓 (x)$ «не примитивный».

Если $𝑓 (x)$ примитивный — повторить шаги алгоритма. Иначе вернуть $𝑓 (x)$

Шифрование

Для шифрования с открытым ключом $𝖡$ нужно сделать следующее^[4]:

Получить открытый ключ $𝖠$ $((c_{0}, c_{1}, . . ., c_{p - 1}), p, h)$
Представить сообщение $m$ как двоичную строку длины $⌊ \lg (\binom{p}{h}) ⌋$ , где $(\binom{p}{h})$ является биномиальным коэффициентом $(\binom{p}{h}) = \frac{p!}{h! (p - h)!}$
Рассмотреть $m$ как двоичное представление целого числа. Преобразовать это целое число в двоичный вектор $M = (M_{0}, M_{1}, . . ., M_{p - 1})$ длины $p$ , имеющий ровно $h$ единиц следующим образом:

Выбрать $l = h$
Для $i$ от $1$ до $p$ выполнить следующие действия: Если $m \geq (\binom{p - i}{l})$ то выбрать $M_{i - 1} = 1$ , $m = m - (\binom{p - i}{l})$ , $l = l - 1$ . В противном случае выбрать $M_{i - 1} = 0$ . (Примечание: $(\binom{n}{0}) = 1$ для $n \geq 0$ ; $(\binom{0}{l}) = 0$ для $l \geq 1$ )

Вычислить $c = \sum_{i = o}^{p - 1} (M_{i} c_{i}) mod (p^{h} - 1)$
Отправить зашифрованный текст $c$ в $𝖠$

Дешифрование

Для дешифрования с открытым ключом $𝖠$ нужно сделать следующее^[4]:

Вычислить $r = (c - h d) mod (p^{h} - 1)$
Вычислить $u (x) = {g (x)}^{r} mod f (x)$
Вычислить $s (x) = u (x) + f (x)$ , монотонный многочлен степени $ℎ$ над $ℤ_{𝑝}$
Разложить $s (x)$ на произведение линейных множителей над $ℤ_{𝑝}$ : $s (x) = \prod_{j = 1}^{h} (x + t_{j})$ , где $t_{j} \in ℤ_{p}$ (см. Особенности криптосистемы 5)
Вычислить двоичный вектор $M = (M_{0}, M_{1}, . . ., M_{p - 1})$ следующим образом. Компоненты $M$ , которые равны $1$ , имеют индексы $π^{- 1} (t_{j}), 1 \leq j \leq h$ . Остальные компоненты равны $0$ .
Сообщение $m$ восстанавливается из $M$ следующим образом:

Выбрать $m = 0$ , $l = h$
Для $i$ от $1$ до $p$ выполнить следующие действия: Если $M_{i - 1} = 1$ , то выбрать $m = m + (\binom{p - i}{l})$ и $l = l - 1$

Доказательство

Для доказательства работы схемы можно заметить, что^[8]

\begin{matrix} u (x) & = g (x)^{r} mod f (x) \\ \equiv g (x)^{c - h d} \equiv g (x)^{(\sum_{i = 0}^{p - 1} M_{i} c_{i}) - h d} (mod f (x)) \\ \equiv g (x)^{(\sum_{i = 0}^{p - 1} M_{i} (a_{π (i)} + d)) - h d} \equiv g (x)^{\sum_{i = 0}^{p - 1} M_{i} a_{π (i)}} (mod f (x)) \\ \equiv \prod_{i = 0}^{p - 1} [g (x)^{a_{π (i)}}]^{M_{i}} \equiv \prod_{i = 0}^{p - 1} (x + π (i))^{M_{i}} (mod f (x)) \end{matrix}

Так как $\prod_{i = 0}^{p - 1} (x + π (i))^{M_{i}}$ и $s (x)$ — монические многочлены степени $ℎ$ и конгруэнтны по модулю $f (x)$ , то:

s (x) = u (x) + f (x) = \prod_{i = 0}^{p - 1} (x + π (i))^{M_{i}}

Следовательно, $ℎ$ корней $s (x)$ все лежат в $ℤ_{𝑝}$ , и применение $π^{- 1}$ к этим корням дает координаты $M$ , которые равны $1$ .

Пример

В качестве примера можно рассмотреть работу схемы в случае, когда параметры относительно малы^[9]

Генерация ключей

Для генерации ключей A выполняет следующее:

Выбирает $p = 7$ и $h = 4$
Выбирает неприводимый многочлен $f (x) = x^{4} + 3 x^{3} + 5 x^{2} + 6 x + 2$ степени $4$ над $ℤ_{7}$ . Элементы конечного поля $𝔽_{7^{4}}$ представлены как многочлены от $ℤ_{7} [𝑥]$ степени меньше $4$ , причем умножение выполняется по модулю $f (x)$ .
Выбирает случайный примитивный элемент $g (x) = 3 x^{3} + 3 x^{2} + 6$
Вычисляет следующие дискретные логарифмы

\begin{matrix} a_{o} & = & \log_{g (x)} (x) & = & 1028 \\ a_{1} & = & \log_{g (x)} (x + 1) & = & 1935 \\ a_{2} & = & \log_{g (x)} (x + 2) & = & 2054 \\ a_{3} & = & \log_{g (x)} (x + 3) & = & 1008 \\ a_{4} & = & \log_{g (x)} (x + 4) & = & 379 \\ a_{5} & = & \log_{g (x)} (x + 5) & = & 1780 \\ a_{6} & = & \log_{g (x)} (x + 6) & = & 223 \end{matrix}

Выбирает случайную перестановку $π$ на ${0, 1, 2, 3, 4, 5, 6}$ , определяемой $π (0) = 6, π (1) = 4, π (2) = 0, π (3) = 2, π (4) = 1, π (5) = 5, π (6) = 3$
Выбирает случайное целое число $d = 1702$
Вычисляет

\begin{matrix} c_{o} & = & (a_{6} + d) mod 2 400 & = & 1925 \\ c_{1} & = & (a_{4} + d) mod 2 400 & = & 2081 \\ c_{2} & = & (a_{0} + d) mod 2 400 & = & 330 \\ c_{3} & = & (a_{2} + d) mod 2 400 & = & 1356 \\ c_{4} & = & (a_{1} + d) mod 2 400 & = & 1237 \\ c_{5} & = & (a_{5} + d) mod 2 400 & = & 1082 \\ c_{6} & = & (a_{3} + d) mod 2 400 & = & 310 \end{matrix}

Открытым ключом $𝖠$ является $((c_{o}, c_{1}, c_{2}, c_{3}, c_{4}, c_{5}, c_{6}), p = 7, h = 4)$ , а закрытый ключ $𝖠 = (f (x), g (x), π, d)$

Шифрование

Чтобы зашифровать сообщение $m = 22$ для $𝖠$ , $𝖡$ делает следующее:

Получает открытый ключ $𝖠$ открытого ключа
Представляет $m$ как двоичную строку длиной $5$ : $m = 10110$ . (так как $⌊ \lg (\binom{7}{4}) = 5 ⌋$ )
Использует метод, описанный на шаге 3 " алгоритма Шифрования ", для преобразования $m$ в бинарный вектор $M = (1, 0, 1, 1, 0, 0, 1)$ длины $7$ .
Вычисляет $c = (c_{0} + c_{2} + c_{3} + c_{6}) mod 2 400 = 1521$
Отправляет $c = 1521$ в $𝖠$

Дешифрование

Чтобы расшифровать зашифрованный текст $c = 1521$ , $𝖠$ делает следующие действия:

Вычисляет $r = (c - h d) mod (2400) = 1913$
Вычисляет $u (x) = {g (x)}^{1913} mod f (x) = x^{3} + 3 x^{2} + 2 x + 5$
Вычисляет $s (x) = u (x) + f (x) = x^{4} + 4 x^{3} + x^{2} + x$
Факторизует $s (x) = x (x + 2) (x + 3) (x + 6)$ (так $t_{1} = 0$ , $t_{2} = 2$ , $t_{3} = 3$ , $t_{4} = 6$ )
Компоненты $M$ , которые равны $1$ , имеют индексы $π^{- 1} (0) = 2$ , $π^{- 1} (2) = 3$ , $π^{- 1} (3) = 6$ и $π^{- 1} (6) = 0$ . Следовательно, $M = (1, 0, 1, 1, 0, 0, 1)$
Использует метод, описанный на шаге 6 " алгоритма дешифрования ", чтобы преобразовать $M$ в целое число $m = 22$ , тем самым восстанавливая исходный текст.

Особенности криптосистемы

Известно, что система небезопасна, если раскрыты части секретного ключа, например, если известны $g (x)$ и $d$ в некотором представлении $𝔽_{𝑞}$ или если $f (x)$ известно, или если $π$ известен^[10]
Хотя схема Шор-Ривеста была описана только для случая $p$ простой, она распространяется на случай, когда базовое поле $ℤ_{𝑝}$ заменяется полем первичного степенного порядка^[11]
Чтобы сделать задачу дискретного логарифма выполнимой на шаге 1 алгоритма " Генерация ключей ", параметры $p$ и $h$ могут быть выбраны так, что $q = p^{h} - 1$ имеет только малые множители. В этом случае для эффективного вычисления дискретных логарифмов можно использовать алгоритм Полига — Хеллмана в конечном поле $𝔽_{𝑞}$ ^[12]
На практике рекомендуемый размер параметров: $p \approx 200$ и $h \approx 25$ . Один конкретный выбор первоначально предложенных параметров: $p = 197$ и $h = 24$ ; в этом случае наибольший простой коэффициент $19 7^{24} - 1$ составляет $10316017$ , а плотность набора ранца составляет около $1.077$ . Другие первоначально заданные параметры: ${p = 211, h = 24}$ , ${p = 3^{5}, h = 24}$ (базовое поле $𝔽_{3^{5}}$ ) и ${p = 2^{8}, h = 25}$ (базовое поле $𝔽_{2^{8}}$ )^[13]
Шифрование — очень быстрая операция. Расшифровка выполняется намного медленнее, узким местом является вычисление $u (x)$ на шаге 2 " алгоритма дешифрования ". Корни $s (x)$ на шаге 4 можно найти, просто попробовав все возможности в $ℤ_{𝑝}$ ^[14]
Основным недостатком схемы Шор-Ривеста является то, что открытый ключ довольно велик, а именно бит $(p h . \lg p)$ . Для параметров $p = 197$ и $h = 24$ это около 36000 бит^[15]
Расширение сообщения происходит в $\lg p^{h} / \lg (\binom{p}{h})$ . Для $p = 197$ и $h = 24$ , это $1.797$ ^[16]

Атаки с раскрытием частичного ключа

В этом разделе Шаблон:Iw показывает, что он может монтировать атаку, когда раскрывается какая-либо часть секретного ключа. Несколько таких атак уже опубликованы в документе^[17] и некоторые из них были улучшены ниже.^[18]

Секретные ключи состоят из:

элемент $t \in 𝔽_{q}$ с степенью $h$
генератор $g$
целое число $d \in ℤ_{q - 1}$
перестановка $π$ на множестве целых чисел ${0, 1, 2, . . ., p - 1}$

Атака с раскрытием части $t$

Если предположим, что $π (0) = i$ и $π (1) = j$ (из-за симметрии в секретном ключе мы знаем, что будет выполняться произвольный выбор $(i, j)$ ), мы можем вычислить $\log (t + α_{i})$ и $\log (t + α_{j})$ , то решим систему уравнения:

c_{0} = d + \frac{\log (t + α_{i})}{\log g}

c_{1} = d + \frac{\log (t + α_{j})}{\log g}

с неизвестными

d

и

\log g

^[17]

Атака с раскрытием части $g$

Если предположим, что $π (0) = i$ и $π (1) = j$ (из-за симметрии в секретном ключе мы знаем, что будет выполняться произвольный выбор $(i, j)$ ), мы можем вычислить:

g^{c_{0} - c_{1}} = \frac{t + α_{i}}{t + α_{j}}

затем разрешить $t$

Атака с раскрытием части $π$

Найдем линейную комбинацию с формой $\sum_{i = 1}^{p - 1} x_{i} (c_{i} - c_{0}) = 0$ с относительно небольшими интегральными коэффициентами $x_{i}$ . Это можно выполнить с помощью алгоритма Lenstra-Lenstra-Lovász^[19]. Мы можем ожидать, что $| x_{i} | \leq B$ с $B \approx p^{\frac{h}{p - 1}}$ . Обозначая это, получаем некоторое уравнение:

\prod_{i \in I} (t + α_{π (i)})^{x_{i}} = \prod_{i \in J} (t + α_{π (j)})^{- x_{j}}

с неотрицательными малыми степенями, который является полиномиальным уравнением с малой степенью, которое может быть эффективно разрешено.^[17]

Атака с раскрытием части $π$ и $g_{p^{r}}$

Мы можем интерполировать полином $Q (x)$ с $h / r + 1$ парами $(α_{π (i)}, {g_{p^{r}}}^{c_{i}})$ . Таким образом, мы получаем многочлен $h / r$ — степени, корни которого являются сопряженными $- t$ . Потом мы можем решить его, чтобы получить $t$ и выполнить атаку с раскрытием части $t$

См. также

Примечания

Шаблон:Примечания

Шаблон:Задача о ранце Шаблон:Криптосистемы с открытым ключом

[1] Шаблон:Книга

[2] Шаблон:Книга

[:1-3] Шаблон:Книга

[:0-4] 4,0 ^4,1 ^4,2 Шаблон:Книга

[5] Шаблон:Книга

[6] Шаблон:Книга

[7] Шаблон:Книга

[8] Шаблон:Книга

[9] Шаблон:Книга Шаблон:Wayback

[10] Шаблон:Книга Шаблон:Wayback

[11] Шаблон:Книга

[12] Шаблон:Книга

[13] Шаблон:Книга

[14] Шаблон:Книга

[15] Шаблон:Книга Шаблон:Wayback

[16] Шаблон:Книга

[:2-17] 17,0 ^17,1 ^17,2 Шаблон:Книга

[18] Шаблон:Книга

[19] Шаблон:Книга

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

Ранцевая криптосистема Шора-Ривеста

Содержание

Описание алгоритма

Шифрование

Дешифрование

Доказательство

Пример

Генерация ключей

Шифрование

Дешифрование

Особенности криптосистемы

Атаки с раскрытием частичного ключа

См. также

Примечания

Навигация

Ранцевая криптосистема Шора-Ривеста

Описание алгоритма

Шифрование

Дешифрование

Доказательство

Пример

Генерация ключей

Шифрование

Дешифрование

Особенности криптосистемы

Атаки с раскрытием частичного ключа

См. также

Примечания

Навигация

Поиск