ANDOS (криптография)

Шаблон:Другие значения Шаблон:Underlinked ANDOS (Шаблон:Lang-en) — криптографический протокол «секретной продажи секретов». Пусть продавец S секретов имеет некий список вопросов и выставляет на продажу ответы к любому из них. Предположим, покупатель B хочет купить секрет, но не хочет раскрывать какой именно. Протокол гарантирует, что B получит нужный ему секрет и ничего более, в то время как S не будет знать какой именно секрет получил B.

Пусть ${\displaystyle s_1,...,s_k}$ секреты, которым обладает S, каждый из них содержит ${\displaystyle n}$ бит. Для каждого ${\displaystyle s_j}$ S публикует описание секрета. Предположим, что покупатели B и C хотят купить секреты ${\displaystyle s_j}$ и ${\displaystyle s_{j^{\prime }}}$, соответственно. Идея в том, что покупатели имеют индивидуальные односторонние функции и каждый из них оперирует над числами, полученными другим.

Шаг 1. S даёт B и C индивидуальные односторонние функции f и g, но сохраняет обратные к ним для себя.

Шаг 2. B сообщает C (соответственно C — B) ${\displaystyle k}$ случайных ${\displaystyle n}$-битных чисел ${\displaystyle x_1,...,x_k}$ (соответственно ${\displaystyle x_{1^{\prime }},...,x_{k^{\prime }}}$).

Для ${\displaystyle f}$, отображающего ${\displaystyle n}$-разрядные числа в ${\displaystyle n}$-разрядные числа, и ${\displaystyle n}$-разрядного числа ${\displaystyle x}$, скажем, что индекс ${\displaystyle i,1⩽i⩽n}$ — это Индекс Фиксированного Бита (ИФБ) соответствующего паре ${\displaystyle (x,f)}$, если ${\displaystyle i}$-й бит в ${\displaystyle x}$ равен ${\displaystyle i}$-му биту в ${\displaystyle f(x)}$. Ясно, что ${\displaystyle i}$ есть ИФБ соответствующий паре ${\displaystyle (x,f)}$, если он является ИФБ, соответствующим паре ${\displaystyle (f(x),f^{-1})}$. Если ${\displaystyle f}$ ведёт себя достаточно произвольно при изменении битов в ${\displaystyle x}$ (как хорошие криптографические функции), то, для случайного ${\displaystyle x}$, можно грубо оценить, что примерно ${\displaystyle \frac{n}{2}}$ индексов являются ИФБ, соответствующими ${\displaystyle (x,f).}$

Шаг 3. B сообщает C (соответственно C — B) набор ИФБ${}_B$ индексов, соответствующих ${\displaystyle (x{\text{'}}_j,f)(}$ соответственно набор ИФБ${}_C$ индексов, соответствующих ${\displaystyle (x_{j^{\prime }},g)).}$

Шаг 4. B (соответственно C) сообщает S числа ${\displaystyle y_1,...,y_k}$ (соответственно ${\displaystyle y_{k^{\prime }},...,y_{k^{\prime }}}$, где ${\displaystyle y_i}$ — результат, полученный заменой каждого бита в ${\displaystyle x_i}$, чей индекс не является ИФБ${}_C$, ему противоположным (соответственно ${\displaystyle y{\text{'}}_i}$ получаются из ${\displaystyle x{\text{'}}_i}$ аналогичным образом).

Шаг 5. S сообщает B (соответственно C) числа

${\displaystyle s_i\oplus f^{-1}(y{\text{'}}_i)(}$ соответственно ${\displaystyle s_i\oplus g^{-1}(y_i))}$ , ${\displaystyle i=1,...,k}$.

Шаг 6. B (соответственно C) может вычислить ${\displaystyle s_j}$ (соответственно ${\displaystyle s{\text{'}}_j}$), поскольку известны ${\displaystyle x{\text{'}}_j=f^{-1}(y{\text{'}}_j)(}$ соответственно ${\displaystyle x_{j^{\prime }}=g^{-1}(y_{j^{\prime }})).}$

B и C узнали нужные им секреты. S не узнал ничего об их выборе. Кроме того, ни B, ни C не узнали более одного секрета или выбора друг друга. Сговор между B и C приводит к тому, что они могут узнать все секреты. Сговор между S и кем-либо из покупателей может вскрыть какой секрет хочет другой покупатель.

Итак, основная проблема заключается в сговорах. Однако в случае, если покупателей не меньше трёх, то одного честного покупателя достаточно для того, чтобы сделать невозможным жульничество остальных, благодаря использованию криптографический функций, так как каждый бит последовательности, отправленный покупателям от S сильно зависит от бит предоставленных честным покупателем.

В случае, ели число покупателей ${\displaystyle t⩾3}$ протокол действует абсолютно так же, но каждый покупатель получает ${\displaystyle t-1}$ функцию от продавца наравне с наборами чисел от других покупателей.

• За основу односторонних функций ${\displaystyle f}$ и ${\displaystyle g}$ возьмём RSA.

Выберем ${\displaystyle k=8,n=12}$. Считаем, что S имеет 8 следующих 12-битных секретов на продажу:

${\displaystyle s_1=1990,}$ ${\displaystyle s_2=471,}$ ${\displaystyle s_3=3860,}$ ${\displaystyle s_4=1487,}$ ${\displaystyle s_5=2235,}$ ${\displaystyle s_6=3751,}$ ${\displaystyle s_7=2546,}$ ${\displaystyle s_8=4043.}$

Шаг 1.

S даёт B и C индивидуальные односторонние функции f и g, основанные на простых числах ${\displaystyle p_1=83,q_1=89}$ (соответственно ${\displaystyle p_2=67,q_2=41}$), модуль ${\displaystyle n_1=7387}$ (соответственно ${\displaystyle n_2=2747}$). Открытая и закрытая экспоненты равны ${\displaystyle e_1=5145,d_1=777}$ (соответственно ${\displaystyle e_2=1421,d_2=2261}$).

Шаг 2.

B сообщает C восемь 12-битных чисел ${\displaystyle x_i,1⩽i⩽8}$: ${\displaystyle x_1=743,}$ ${\displaystyle x_2=1988,}$ ${\displaystyle x_3=4001,}$ ${\displaystyle x_4=2942,}$ ${\displaystyle x_5=3421,}$ ${\displaystyle x_6=2210,}$ ${\displaystyle x_7=2306,}$ ${\displaystyle x_8=912.}$

C сообщает B восемь 12-битных чисел ${\displaystyle x{\text{'}}_i,1⩽i⩽8}$: ${\displaystyle x{\text{'}}_1=1708,}$ ${\displaystyle x{\text{'}}_2=711,}$ ${\displaystyle x{\text{'}}_3=1969,}$ ${\displaystyle x{\text{'}}_4=3112,}$ ${\displaystyle x{\text{'}}_5=4014,}$ ${\displaystyle x{\text{'}}_6=2308,}$ ${\displaystyle x{\text{'}}_7=2212,}$ ${\displaystyle x{\text{'}}_8=222.}$

Шаг 3.

Пусть B хочет купить секрет ${\displaystyle s_7}$. Он вычисляет

${\displaystyle f(x{\text{'}}_7)=(x{\text{'}}_7{)}^{e_1}(\mathrm{mod}{n}_1)=2212^{5145}(\mathrm{mod}7387)=5928.}$

Сравнивая бинарное представление ${\displaystyle x{\text{'}}_7}$ и ${\displaystyle f(x{\text{'}}_7),}$

${\displaystyle 2212=0100010100100}$ ${\displaystyle 5928=1011100101000}$

B сообщает C набор ИФБ${}_B=\{0,1,4,5,6\}$ соответствующих ${\displaystyle (x{\text{'}}_7,f).}$

Пусть C хочет купить секрет ${\displaystyle s_2}$. После вычислений, C сообщает B набор ИФБ${}_C=\{0,1,2,6,9,10\}$ соответствующих ${\displaystyle (x_2,g).}$

Шаг 4.

B сообщает S числа ${\displaystyle y_i,1⩽i⩽8}$, где ${\displaystyle y_i}$ — результат, полученный заменой каждого бита в ${\displaystyle x_i}$, чей индекс не принадлежит ${\displaystyle \{0,1,2,6,9,10\}}$, на противоположный, например:

${\displaystyle y_2=0110011111100=1660.}$

C сообщает S числа ${\displaystyle y{\text{'}}_i,1⩽i⩽8}$, где ${\displaystyle y{\text{'}}_i}$ — результат, полученный заменой каждого бита в ${\displaystyle x{\text{'}}_i}$, чей индекс не принадлежит ${\displaystyle \{0,1,4,5,6\}}$, на противоположный, например:

${\displaystyle y{\text{'}}_7=1011100101000=5928.}$

Шаг 5.

S сообщает B числа ${\displaystyle s_i\oplus f^{-1}(y{\text{'}}_i),1⩽i⩽8(}$обратная функция ${\displaystyle f^{-1}(y^{\prime })=y{\text{'}}^{d_1}(\mathrm{mod}{n}_1)=y{\text{'}}^{777}(\mathrm{mod}7387))}$, например:

${\displaystyle s_7=2546=0100111110010}$ ${\displaystyle f^{-1}(y{\text{'}}_7)=2212=0100010100100}$ ${\displaystyle s_7\oplus f^{-1}(y{\text{'}}_7)=0000101010110=342}$

S сообщает C числа ${\displaystyle s_i\oplus g^{-1}(y_i),1⩽i⩽8(}$обратная функция ${\displaystyle g^{-1}(y)=y^{d_2}(\mathrm{mod}{n}_2)=y^{2261}(\mathrm{mod}2747))}$, например.

${\displaystyle s_2=471=000111010111}$ ${\displaystyle g^{-1}(y_2)=1988=011111000100}$ ${\displaystyle s_2\oplus g^{-1}(y_2)=011000010011=1555}$

Шаг 6.

B узнаёт секрет ${\displaystyle s_7}$, побитовым сложение ${\displaystyle x{\text{'}}_7}$ и 7-го числа, полученного от S, а именно:

${\displaystyle x{\text{'}}_7=2212=100010100100}$ ${\displaystyle 342=000101010110}$ ${\displaystyle x{\text{'}}_7\oplus 342)=100111110010=2546}$

.

Если C хочет купить секрет ${\displaystyle s_2}$, то он вычисляет побитовое сложение ${\displaystyle x_2}$ и 2-го числа, полученного от S, а именно:

${\displaystyle x_2=1988=11111000100}$ ${\displaystyle 1555=11000010011}$ ${\displaystyle x_2\oplus 1555)=00111010111=471}$

.

• Шаблон:Статья
• Шаблон:Статья

Шаблон:Нет сносок Шаблон:Rq