EPOC (схема шифрования)

EPOC (Шаблон:Lang-en; эффективное вероятностное шифрование с открытым ключом) — это вероятностная схема шифрования с открытым ключом.

EPOC был разработан в ноябре 1998 г. Т. Окамото (англ. T. Okamoto), С. Учияма (англ. S. Uchiyama) и Э. Фудзисаки (англ. E. Fujisaki) из NTT Laboratories в Японии. Он основан на модели случайного оракула, в которой функция шифрования с открытым ключом преобразуется в безопасную схему шифрования с использованием (действительно) случайной хеш-функции; результирующая схема разработана так, чтобы быть семантически защищённой от атак на основе подобранного шифротекстаШаблон:Sfn.

Функция шифрования EPOC — это функция OU (англ. Okamoto-Uchiyama), которую инвертировать так же сложно, как факторизировать составной целочисленный открытый ключ. Существует три версии EPOCШаблон:Sfn:

• EPOC-1, использующий одностороннюю функцию(англ. trapdoor function) и случайную функцию (хеш-функцию)Шаблон:Sfn.;
• EPOC-2, использующий одностороннюю функцию, две случайные функции (хеш-функции) и шифрование с симметричным ключом (например, одноразовый блокнот и блочные шифры)Шаблон:Sfn;
• EPOC-3 использует одностороннюю функцию OU (англ. Okamoto-Uchiyama) и две случайные функции (хеш-функции), а также любую симметричную схему шифрования, такую как одноразовые блокноты (англ. one-time pad) или блочный шифр.

EPOC обладает следующими свойствами:

1. EPOC-1 семантически безопасен, устойчив к атакам на основе подобранного шифротекста (IND-CCA2 или NM-CCA2) в модели случайного оракулаШаблон:Sfn в предположении p-подгруппы, которое вычислительно сопоставимо с предположениями квадратичного вычета и вычетов более высокой степени.
2. EPOC-2 с одноразовым блокнотом семантически безопасен, устойчив к атакам на основе подобранного шифротекста (IND-CCA2 или NM-CCA2) в модели случайного оракула в предположении факторизации.
3. EPOC-2 с симметричным шифрованием семантически безопасен, устойчив к атакам на основе подобранного шифротекста (IND-CCA2 или NM-CCA2) в модели случайного оракула в рамках предположения факторизации, если базовое симметричное шифрование является безопасным против пассивных атак (атак вида, когда криптоаналитик имеет возможность только видеть предаваемые шифротексты и генерировать собственные, используя открытый ключ.).

Диффи и Хеллман предложили концепцию криптосистемы с открытым ключом (или односторонней функции) в 1976 году. Хотя многое криптографы и математики провели обширные исследования, чтобы реализовать концепцию криптосистем с открытым ключом в течение более чем 20 лет, было найдено очень мало конкретных методов, которые являются безопаснымиШаблон:Sfn.

Типичным классом методов является RSA-Rabin, представляющий собой комбинацию полиномиального алгоритма нахождения корня многочлена в кольце вычетов по модулю составного числа (в конечном поле)и неразрешимой задачи факторизации(по вычислительной сложности). Другим типичным классом методов является метод Диффи-Хеллмана, Эль-Гамаля, который представляет собой комбинацию коммутативного свойства логарифма в конечной Абелевой группе и неразрешимой задачи дискретного логарифмаШаблон:Sfn.

Среди методов RSA-Rabin и Diffie-Hellman-ElGamal для реализации односторонней функции ни одна функция, кроме функции Рабина и её вариантов, таких как её версии эллиптической кривой и Уильямса, не была доказана такой же надёжной, как примитивные задачиШаблон:Sfn(например, задачи факторизации и дискретного логарифма).

Окамото и Учияма, предложили одностороннюю функцию, названную OU (англ. Okamoto-Uchiyama), которая практична, доказуемо безопасна и обладает некоторыми другими интересными свойствамиШаблон:Sfn.

1. Вероятностная функция: это односторонняя, вероятностная функция. Пусть ${\displaystyle E(m,r)}$ — зашифрованный текст открытого текста ${\displaystyle m}$ со случайным ${\displaystyle r}$.
2. Односторонность функции: Доказано, что инвертирование функции так же трудно, как факторизация ${\displaystyle n:=p^{2}q}$.
3. Семантическая стойкость: Функция семантически безопасна, если верно следующее предположение (предположение p-подгруппы): ${\displaystyle E(0,r)=h^r\text{ mod }n}$ и ${\displaystyle E(1,r^{\prime })=g{h}^{r^{\prime }}\text{ mod }n}$ вычислительно неразличимы, где ${\displaystyle r}$ и ${\displaystyle r^{\prime }}$ равномерно и независимо выбраны из ${\displaystyle 𝐙/n𝐙}$. Это предположение о неразличимости шифротекста для атак на основе подобранного открытого текста вычислительно сравнимо с поиском квадратичного вычета и вычета более высокой степени.
4. Эффективность: В среде использования криптосистем с открытым ключом, где криптосистема с открытым ключом используется только для распространения секретного ключа(например, длиной 112 и 128 бит) криптосистемы с секретным ключом(например, Triple DES и IDEA), скорость шифрования и дешифрования функции OU сравнима (в несколько раз медленнее) со скоростью криптосистем с эллиптической кривой.
5. Свойство гомоморфного шифрования: Функция обладает свойством гомоморфного шифрования: ${\displaystyle E(m_0,r_0)E(m_1,r_1)\text{ mod }n=E(m_0+m_1,r_3),\text{ if }{m}_0+m_1<p}$(Такое свойство используется для электронного голосования и других криптографических протоколов).
6. Неразличимость шифротекста: Даже тот, кто не знает секретного ключа, может изменить зашифрованный текст, ${\displaystyle C=E(m,r)}$, на другой зашифрованный текст, ${\displaystyle C^{\prime }=C{h}^{r^{\prime }}\text{ mod }n}$, сохраняя при этом открытый текст m (то есть ${\displaystyle C^{\prime }=E(m,r^{″})}$), и связь между ${\displaystyle C}$ и ${\displaystyle C^{\prime }}$ может быть скрыта (то есть ${\displaystyle (C,C^{\prime })}$ и ${\displaystyle (C,E(m^{\prime },t)}$ неразличимы). Такое свойство полезно для протоколов защиты конфиденциальности).

Одним из важнейших свойств шифрования с открытым ключом является доказуемая безопасность. Самое сильное понятие безопасности в шифровании с открытым ключом — это понятие семантической защиты от атак на основе подобранного шифротекста.

Доказано, что семантическая защита от атак на основе адаптивно подобранного шифротекста (IND-CCA2) эквивалентна (или достаточна) самому сильному понятию безопасности (NM-CCA2)Шаблон:SfnШаблон:Sfn.

Фудзисаки и Окамото реализовали две общие и эффективные меры для преобразования вероятностной односторонней функции в защищённую схему IND-CCA2 в модели случайного оракулаШаблон:Sfn. Одна из них — это преобразование семантически безопасной (IND-CPA) односторонней функции в защищённую схему IND-CCA2. Другая, от односторонней функции (OW-CPA) и шифрования с симметричным ключом (включая одноразовый блокнот) до защищённой схемы IND-CCA2. Последнее преобразование может гарантировать полную безопасность системы шифрования с открытым ключом в сочетании со схемой шифрования с симметричным ключомШаблон:Sfn.

Схема шифрования с открытым ключом EPOC, которая задаётся триплетом ${\displaystyle (𝒢,ℰ,𝒟)}$, где ${\displaystyle 𝒢}$-операция генерации ключа, ${\displaystyle ℰ}$-операция шифрования и ${\displaystyle 𝒟}$-операция дешифрования.

Схемы EPOC: EPOC-1 и EPOC-2.

EPOC-1 предназначен для распределения ключей, а EPOC-2 предназначен для распределения ключей и передачи зашифрованных данных, а также распределения более длинного ключа при ограниченном размере открытого ключа.

Существует два типа ключей: открытый ключ OU и закрытый ключ OU, оба из которых используются в криптографических схемах шифрования EPOC-1, EPOC-2Шаблон:Sfn.

Открытый ключ OU — это набор ${\displaystyle (n,g,h,pLen)}$, компоненты которого имеют следующие значения:

• ${\displaystyle n}$ — неотрицательное целое число
• ${\displaystyle g}$ — неотрицательное целое число
• ${\displaystyle h}$ — неотрицательное целое число
• ${\displaystyle pLen}$ — секретный параметр, неотрицательное целое число

На практике в открытом ключе OU модуль ${\displaystyle n}$ принимает вид ${\displaystyle n:=p^{2}q}$, где ${\displaystyle p}$ и ${\displaystyle q}$ — два различных нечётных простых числа, а битовая длина ${\displaystyle p}$ и ${\displaystyle q}$ равна ${\displaystyle pLen}$. ${\displaystyle g}$-элемент в ${\displaystyle (𝐙/n𝐙{)}^{*}}$ такой, что порядок ${\displaystyle g_p}$ в ${\displaystyle (𝐙/p^2𝐙{)}^{*}}$ равен ${\displaystyle p}$, где ${\displaystyle g_p:=g^{p-1}\text{ mod }{p}^2}$. ${\displaystyle h}$-элемент в ${\displaystyle (𝐙/n𝐙{)}^{*}}$.

Закрытый ключ OU — это набор ${\displaystyle (p,g,pLen,w)}$, компоненты которого имеют следующие значения:

• ${\displaystyle p}$ — первый фактор, неотрицательное целое число
• ${\displaystyle h}$ — второй фактор, неотрицательное целое число
• ${\displaystyle pLen}$ — секретный параметр, неотрицательное целое число
• ${\displaystyle w}$ — значение ${\displaystyle L(g_p)}$, где ${\displaystyle L(x)=\frac{x-1}{p}}$, неотрицательное целое число

Ввод и вывод ${\displaystyle 𝒢}$ следующие:

[Входные данные]: Секретный параметр ${\displaystyle k}$(${\displaystyle =pLen}$) — положительное целое число.

[Выходные данные]: Пара открытого ключа ${\displaystyle (n,g,h,H,pLen,mLen,hLen,rLen)}$ и секретного ключа ${\displaystyle (p,g_p)}$.

Операция ${\displaystyle 𝒢}$ со входом ${\displaystyle k}$ выглядит следующим образом:

• Выберем два простых числа ${\displaystyle p}$, ${\displaystyle q}$ (${\displaystyle |p|=|q|=k}$) и вычислим ${\displaystyle n:=p^{2}q}$. Здесь ${\displaystyle p-1=p^{\prime }u}$ и ${\displaystyle q-1=q^{\prime }v}$ такое, что ${\displaystyle p^{\prime }}$ и ${\displaystyle q^{\prime }}$ — простые числа, а ${\displaystyle |u|}$ и ${\displaystyle |v|}$ такие, что ${\displaystyle O(\log k)}$.

• Выберем ${\displaystyle g\in (𝐙/n𝐙{)}^{*}}$ случайным образом так, чтобы порядок ${\displaystyle g_p:=g^{p-1}\text{ mod }{p}^2}$ был равен ${\displaystyle p}$ (Заметим, что НОД(${\displaystyle p}$, ${\displaystyle q-1}$)${\displaystyle =1}$ и НОД(${\displaystyle q}$, ${\displaystyle p-1}$)${\displaystyle =1}$).

• Выберем ${\displaystyle h_0}$ из ${\displaystyle (𝐙/n𝐙{)}^{*}}$ случайным образом и независимо от ${\displaystyle g}$. Вычислим ${\displaystyle h:=h_n^0\text{ mod }n}$.

• Установить ${\displaystyle pLen:=k}$. Установите ${\displaystyle mLen}$ и ${\displaystyle rLen}$ такими, что ${\displaystyle mLen+rLen\le pLen-1}$.

• Выберем хеш-функцию ${\displaystyle H:\{0,1{\}}^{*}\to \{0,1{\}}^{hLen}}$.

Примечание: ${\displaystyle g_p}$ является дополнительным параметром, повышающим эффективность дешифрования, и может быть вычислен из ${\displaystyle p}$ и ${\displaystyle g}$. ${\displaystyle h=g^n\text{ mod }n}$, когда ${\displaystyle hLen=(2+c_0)k}$ (${\displaystyle c_0}$-константа ${\displaystyle >0}$). ${\displaystyle H}$ может быть зафиксирован системой и совместно использован многими пользователями.

Шифрование: E

Ввод и вывод ${\displaystyle ℰ}$ следующие:

[Входные данные]: Открытый текст ${\displaystyle M\in \{0,1{\}}^{mLen}}$ вместе с открытым ключом ${\displaystyle (n,g,h,H,pLen,mLen,hLen,rLen)}$.

[Выходные данные]: Шифротекст С.

Операция ${\displaystyle ℰ}$ со входами ${\displaystyle M}$, ${\displaystyle (n,g,h,H,mLen,rLen)}$ выглядит следующим образом:

• Выберем ${\displaystyle R\in \{0,1{\}}^{rLen}}$ и вычислим ${\displaystyle r:=H(M\parallel R)}$. Здесь ${\displaystyle M\parallel R}$ обозначает конкатенацию ${\displaystyle M}$ и ${\displaystyle R}$.

• Вычислить ${\displaystyle C}$:

${\displaystyle C:=g^{(M\parallel R)}{h}^r\text{ mod }n.}$

Дешифрование: D

Ввод и вывод ${\displaystyle 𝒟}$ следующие:

[Входные данные]: Шифротекст ${\displaystyle C}$ наряду с открытым ключом ${\displaystyle (n,g,h,H,pLen,mLen,hLen)}$ и секретным ключом ${\displaystyle (p,g_p)}$.

[Выходные данные]: Открытый текст ${\displaystyle M}$ или нулевая строка.

Операция ${\displaystyle 𝒟}$ со входами ${\displaystyle C}$, ${\displaystyle (n,g,h,H,pLen,mLen,hLen)}$ и ${\displaystyle (p,g_p)}$ выглядит следующим образом:

• Вычислим ${\displaystyle C_p:=C^{p-1}\text{ mod }{p}^2}$, а ${\displaystyle X:=\frac{L(C_p)}{L(g_p)}\text{ mod }p}$, где ${\displaystyle L(x):=\frac{x-1}{p}}$.

• Проверим, верно ли следующее уравнение: ${\displaystyle C=g^X{h}^{H(X)}\text{ mod }n}$.

• Если выражение верно, то выведем ${\displaystyle [X{]}^{mLen}}$ как расшифрованный открытый текст, где ${\displaystyle [X{]}^{mLen}}$ обозначает наиболее значимые ${\displaystyle mLen}$ биты в ${\displaystyle X}$. В противном случае выведем нулевую строку.

Ввод и вывод ${\displaystyle 𝒢}$ следующие:

[Входные данные]: Секретный параметр ${\displaystyle k}$(${\displaystyle =pLen}$).

[Выходные данные]: Пара открытого ключа ${\displaystyle (n,g,h,H,G,pLen,hLen,gLen,rLen)}$ и секретного ключа ${\displaystyle (p,g_p)}$.

Операция ${\displaystyle 𝒢}$ со входом ${\displaystyle k}$ выглядит следующим образом:

• Выберем два простых числа ${\displaystyle p}$, ${\displaystyle q}$ (${\displaystyle |p|=|q|=k}$) и вычислим ${\displaystyle n:=p^{2}q}$. Здесь ${\displaystyle p-1=p^{\prime }u}$ и ${\displaystyle q-1=q^{\prime }v}$ такое, что ${\displaystyle p^{\prime }}$ и ${\displaystyle q^{\prime }}$ — простые числа, а ${\displaystyle |u|}$ и ${\displaystyle |v|}$ такие, что ${\displaystyle O(\log k)}$.

• Выберем ${\displaystyle g\in (𝐙/n𝐙{)}^{*}}$ случайным образом так, чтобы порядок ${\displaystyle g_p:=g^{p-1}\text{ mod }{p}^2}$ был равен ${\displaystyle p}$.

• Выберем ${\displaystyle h_0}$ из ${\displaystyle (𝐙/n𝐙{)}^{*}}$ случайным образом и независимо от ${\displaystyle g}$. Вычислим ${\displaystyle h:=h_n^0\text{ mod }n}$.

• Установить ${\displaystyle pLen:=k}$. Установите ${\displaystyle mLen}$ и ${\displaystyle rLen}$ такими, что ${\displaystyle mLen+rLen\le pLen-1}$.

• Выберем хеш-функции ${\displaystyle H:\{0,1{\}}^{*}\to \{0,1{\}}^{hLen}}$ и ${\displaystyle G:{0,1}^{*}\to \{0,1{\}}^{hLen}}$.

Примечание: ${\displaystyle g_p}$ является дополнительным параметром, повышающим эффективность дешифрования, и может быть вычислено из ${\displaystyle p}$ и ${\displaystyle g}$. ${\displaystyle h=g^n\text{ mod }n}$, когда ${\displaystyle hLen=(2+c_0)k}$ (${\displaystyle c_0}$-константа ${\displaystyle >0}$). ${\displaystyle H}$ и ${\displaystyle G}$ могут быть зафиксированы системой и совместно использованы многими пользователями.

Шифрование: E

Пусть ${\displaystyle SymE=(SymEnc,SymDec)}$ — пара алгоритмов шифрования и дешифрования с симметричным ключом ${\displaystyle K}$, где длина ${\displaystyle K}$ равна ${\displaystyle gLen}$. Алгоритм шифрования ${\displaystyle SymEnc}$ принимает ключ ${\displaystyle K}$ и открытый текст ${\displaystyle X}$ и возвращает зашифрованный текст ${\displaystyle SymEnc(K,X)}$. Алгоритм расшифровки ${\displaystyle SymDec}$ принимает ключ ${\displaystyle K}$ и зашифрованный текст ${\displaystyle Y}$ и возвращает открытый текст ${\displaystyle SymDec(K,Y)}$.

Ввод и вывод ${\displaystyle ℰ}$ следующие:

[Входные данные]: Открытый текст ${\displaystyle M\in \{0,1{\}}^{mLen}}$ вместе с открытым ключом ${\displaystyle (n,g,h,H,G,pLen,hLen,gLen,rLen)}$ и ${\displaystyle SymEnc}$.

[Выходные данные]: Зашифрованный текст ${\displaystyle C=(C_1,C_2)}$.

Операция ${\displaystyle ℰ}$ со входами ${\displaystyle M}$, ${\displaystyle (n,g,h,H,G,pLen,hLen,gLen,rLen)}$ и ${\displaystyle SymEnc}$ выглядит следующим образом:

• Выберем ${\displaystyle r\in \{0,1{\}}^{rLen}}$ и вычислим ${\displaystyle G(R)}$.

• Вычислим ${\displaystyle H(M\parallel R)}$. Здесь ${\displaystyle M\parallel R}$ обозначает конкатенацию ${\displaystyle M}$ и ${\displaystyle R}$.

• ${\displaystyle C_1:=g^R{h}^{H(M\parallel R)}\text{ mod }n}$; ${\displaystyle C_2:=SymEnc(G(R),M)}$

Примечание: типичный способ реализации ${\displaystyle SymE}$ — это одноразовый блокнот. То есть, ${\displaystyle SymEnc(K,X):=K\oplus X}$, и ${\displaystyle SymDec(X,Y):=X\oplus Y}$ , где ${\displaystyle \oplus }$ обозначает операцию побитового исключающего ИЛИ.

Дешифрование: D

Ввод и вывод ${\displaystyle 𝒟}$ следующие:

[Входные данные]: Шифротекст ${\displaystyle C=(C_1,C_2)}$ наряду с открытым ключом ${\displaystyle (n,g,h,H,G,pLen,hLen,gLen,rLen)}$, секретным ключом ${\displaystyle (p,g_p)}$ и ${\displaystyle SymDec}$.

[Выходные данные]: Открытый текст ${\displaystyle M}$ или нулевая строка.

Операция ${\displaystyle 𝒟}$ со входами ${\displaystyle C=(C_1,C_2)}$, ${\displaystyle (n,g,h,H,G,pLen,hLen,gLen)}$, ${\displaystyle (p,g_p)}$ и ${\displaystyle SymDec}$ выглядит следующим образом:

• Вычислим ${\displaystyle C_p:=C^{p-1}\text{ mod }{p}^2}$, а ${\displaystyle R^{\prime }:=\frac{L(C_p)}{L(g_p)}\text{ mod }p}$, где ${\displaystyle L(x):=\frac{x-1}{p}}$.

• Вычислим ${\displaystyle M^{\prime }:=SymDec(G(R^{\prime }),C_2).}$

• Проверим, верно ли следующее уравнение: ${\displaystyle C=g^{R^{\prime }}{h}^{H(M^{\prime }\parallel R^{\prime })}\text{ mod }n}$.

• Если выражение верно, то выведем ${\displaystyle M^{\prime }}$ как расшифрованный открытый текст. В противном случае выведем нулевую строку.

Шаблон:Примечания

• Шаблон:Статья
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья