GMR

GMR — криптографический алгоритм, используемый для создания цифровой подписи. Назван по первым буквам создателей — Рональда Ривеста, Сильвио Микали и Шафи Гольдвассер.

GMR базируется на высокой вычислительной сложности факторизации больших целых чисел, как и криптосистема RSA. Но, в отличие от неё, GMR устойчива к атакам на основе подобранного открытого текста Шаблон:Sfn.

Можно говорить, что криптоаналитик «взломал» цифровую подпись ${\displaystyle A}$, если совершенная атака позволяет ему с ненулевой вероятностью совершить следующееШаблон:Sfn:

• Полный взлом (total break): вычислить закрытый ключ ${\displaystyle A}$
• Универсальная подделка (universal forgery): найти эффективный алгоритм, эквивалентный алгоритму цифровой подписи ${\displaystyle A}$ (используется, вообще говоря, другой, но эквивалентный секретный ключ)
• Выборочная подделка (selective forgery): подделать подпись некоторого сообщения, выбранного криптоаналитиком априори
• Экзистенциальная подделка (existential forgery): подделать подпись хотя бы одного сообщения. При этом криптоаналитик не выбирает сообщение для подделки подписи, подделка может быть случайной и лишённой смысла. Подделка такого типа может нести минимальный урон для ${\displaystyle A}$. Авторами схемы GMR доказана ее устойчивость именно к такому типу атакиШаблон:Sfn.

Предположим, что Алисе нужно отправить Бобу последовательность сообщений, подтверждённых цифровой подписью. Пусть Алиса предполагает подписать ${\displaystyle 2^b}$ сообщений, случайный параметр шифрования - ${\displaystyle k}$. Открытый ключ состоит из следующих компонент: Шаблон:Col-begin Шаблон:Col-2

• Максимальное число сообщений, которые необходимо зашифровать ${\displaystyle B=2^b,b\in \mathbb{N}\cup \left\{0\right\}}$
• Два случайно выбранных числа Блума ${\displaystyle n_1=p_1{q}_1}$ и ${\displaystyle n_2=p_2{q}_2}$, то есть два числа, являющихся произведением простых чисел, сравнимых с числом ${\displaystyle 3}$ по модулю ${\displaystyle 4}$ Шаблон:Sfn
• Два бесконечных семейства односторонних функций с потайным входом ${\displaystyle f_{i,n}\left(x\right)}$
• Случайное число ${\displaystyle r}$, выбранное из области значений ${\displaystyle f_{i,n_1}(\cdot )}$

Шаблон:Col-end.

Закрытый ключ состоит из простых чисел ${\displaystyle p_1,q_1,p_2,q_2}$, позволяющих эффективно вычислять обратные функции ${\displaystyle f_{i,n_1}^{-1}\left(y\right)}$ и ${\displaystyle f_{i,n_2}^{-1}\left(y\right)}$.

Рассмотрим случай генерации подписи для одного сообщения ${\displaystyle m}$, то есть ${\displaystyle B=1}$ и ${\displaystyle b=0}$. Алиса выбирает случайное число ${\displaystyle r_0}$ из области значений ${\displaystyle f_{i,n_1}(\cdot )}$ и вычисляет подпись сообщения ${\displaystyle (t,r_0,s)}$:

${\displaystyle t=f_{r_0,n_1}^{-1}\left(r\right)}$ и ${\displaystyle s=f_{m,n_2}^{-1}\left(r_0\right)}$.

Получив подписанное сообщение, Боб последовательно проверяет, что

• ${\displaystyle f_{m,n_2}\left(s\right)=r_0}$

• ${\displaystyle f_{r_0,n_1}\left(t\right)=r}$.

Для подписи ${\displaystyle B=2^b>1}$ сообщений Алиса строит из корневого элемента ${\displaystyle r}$ хэш-дерево с ${\displaystyle B}$ листьями ${\displaystyle r_0,r_1,\dots ,r_{B-1}}$. Все внутренние вершины дерева выбираются случайно и равновероятно из множества значений ${\displaystyle f_{i,n_1}(\cdot )}$, аналогично ${\displaystyle r_0}$ в случае одного сообщения. Каждая внутренняя вершина ${\displaystyle R}$ криптостойко связывается со обоими своими дочерними вершинами путём вычисления значения ${\displaystyle f_{R_0\parallel R_1,n_1}\left(R\right)}$, помещаемого в вершину аналогично тому, как выше вычисляется ${\displaystyle t}$. Наконец, сообщение ${\displaystyle m_j(0⩽j⩽B-1)}$ криптостойко связывается с ${\displaystyle j}$-ым листом дерева аутентификации ${\displaystyle r_j}$ путём вычисления значения ${\displaystyle s_j=f_{m_j,n_2}^{-1}\left(r_j\right)}$ аналогично тому, как выше вычислено ${\displaystyle s}$. Подпись сообщения ${\displaystyle m_j}$ состоит из

• Последовательности ${\displaystyle b}$ вершин дерева от корня ${\displaystyle r}$ до листа ${\displaystyle r_j}$
• ${\displaystyle b}$ значений, помещённых в вершины (аналогично ${\displaystyle t}$ выше)
• ${\displaystyle s_j}$ (аналогично ${\displaystyle s}$ выше)Шаблон:Sfn.

В качестве односторонних функций могут быть использованы ${\displaystyle f_{i,n}\left(x\right)=\pm 4^{\text{rev}\left(i\right)}{x}^{2^{\text{len}\left(i\right)}}modn}$ для ${\displaystyle n=n_1}$ и ${\displaystyle n=n_2}$, где функция ${\displaystyle \text{rev}(\cdot )}$ принимает на вход битовую строку ${\displaystyle i\in {\{0,1\}}^{+}}$ и возвращает целое число, представленное битами ${\displaystyle i}$ в обратном порядке Шаблон:Sfn. Функция ${\displaystyle \text{len}(\cdot )}$ также принимает битовую строку ${\displaystyle i\in {\{0,1\}}^{+},}$ возвращая её длину. Знак плюс или минус выбирается таким образом, чтобы значение ${\displaystyle f_{i,n}}$ было положительно и не превышало ${\displaystyle n/2}$. В таком случае вычисление обратной функции осуществляется за время, пропорциональное ${\displaystyle k^3}$, где ${\displaystyle k}$ — длина строки ${\displaystyle i}$, при условии, что подписываемые сообщения имеют такую же длину. Таким образом образом, подпись ${\displaystyle k}$-битового сообщения может быть подсчитана за время ${\displaystyle O\left(b{k}^3\right)}$Шаблон:Sfn.

Гольдвассер, Микали и Ривестом доказаноШаблон:Sfn, что алгоритм GMR не позволяет криптоаналитику успешно совершить адаптивную атаку на основе подобранного сообщения, а именно, осуществить экзистенциальную подделку подписи, сгенерированной по схеме GMR. Криптоаналитик, получивший подписи к ряду сообщений, не может подделать подпись для любого дополнительного сообщения.

Возможны обобщения схемы GMR для использования как подписи назначенного подтверждающего (designated confirmer signature scheme)Шаблон:Sfn.

Шаблон:Примечания

• Шаблон:Статья
• Шаблон:Книга
• Шаблон:Статья

• Схемы цифровой подписиШаблон:Ref-en

Шаблон:Криптосистемы с открытым ключом