MulBasicIdent

MulBasicIdent — базовый мультилинейный алгоритм шифрования на основе идентификационных данных^[1]. Данный алгоритм является обобщением метода выработки общего ключа с помощью билинейных спариваний (BasicIdent), предложенного Дэном Боне и Мэтью К. Франклином в 2001 году^[2].

В протоколе используются следующие параметры и группы:

• ${\displaystyle n}$ — число участвующих в генерации общего ключа сторон;
• ${\displaystyle I{D}_i}$ — уникальное двоичное число (идентификатор) пользователя с номером ${\displaystyle i}$;
• ${\displaystyle G_1}$ — аддитивная циклическая группа;
• ${\displaystyle G_2}$ — мультипликативная циклическая группа.

Группы ${\displaystyle G_1}$ и ${\displaystyle G_2}$ используются для дальнейшего построения мультилинейного отображения.

Данный алгоритм решает задачу шифрования сообщения для ${\displaystyle n}$ абонентов с идентификаторами ${\displaystyle I{D}_1,\dots ,I{D}_n}$^[1]. Протокол состоит из этапов инициализации, получения закрытого ключа, шифрования и расшифрования. Пусть ${\displaystyle k\in \mathbb{Z}}$ — принимаемый алгоритмом на этапе инициализации параметр стойкости.

1. На основе ${\displaystyle k}$ Центром генерации закрытых ключей (PKG) вырабатывается простой порядок ${\displaystyle q}$ групп ${\displaystyle G_1}$ и ${\displaystyle G_2}$, ${\displaystyle 2n}$-мультилинейное отображение ${\displaystyle \mu :\underset{2n}{\underbrace{G_1\times G_1\times \dots \times G_1}}\to G_2}$ и произвольный образующий элемент группы ${\displaystyle P\in G_1}$.
2. Центром PKG случайным образом выбираются элементы ${\displaystyle s_1,\dots ,s_n\in {\mathbb{Z}}_q^{*}}$ и вычисляется набор открытых ключей ${\displaystyle P_{pu{b}_1}=s_{1}P,\dots ,P_{pu{b}_n}=s_{n}P}$.
3. Центром PKG выбираются криптографические хеш-функции ${\displaystyle H_1:\{0,1{\}}^{*}\to G_1^{*}}$ и ${\displaystyle H_2:G_2\to \{0,1{\}}^l}$ для некоторого ${\displaystyle l\in \mathbb{Z}}$, где ${\displaystyle \{0,1{\}}^{*}}$ — множество двоичных векторов произвольной длины, а ${\displaystyle \{0,1{\}}^l}$ — множество двоичных векторов длины ${\displaystyle l}$.

В данном алгоритме пространства сообщений и шифротекстов представляют собой множества ${\displaystyle \vartheta =\{0,1{\}}^l}$ и ${\displaystyle C=G_1^{*}\times \{0,1{\}}^l}$ соответственно, элементы ${\displaystyle s_1,\dots ,s_n\in {\mathbb{Z}}_q^{*}}$ являются мастер-ключами абонентов, а системными параметрами является набор ${\displaystyle ⟨G_1,G_2,\mu ,l,P,P_{pu{b}_1},\dots ,P_{pu{b}_n},H_1,H_2⟩}$.

Для идентификаторов абонентов ${\displaystyle I{D}_1,\dots ,I{D}_n\in \{0,1{\}}^{*}}$:

1. Центр вычисляет ${\displaystyle Q_{I{D}_1}=H_1(I{D}_1)\in G_1^{*},\dots ,Q_{I{D}_n}=H_1(I{D}_n)\in G_1^{*}}$.
2. Центр вычисляет закрытые ключи ${\displaystyle d_{I{D}_1}=s_1{Q}_{I{D}_1},\dots ,d_{I{D}_n}=s_n{Q}_{I{D}_n}}$, где ${\displaystyle s_1,\dots ,s_n}$ — мастер-ключи.

Для шифрования сообщения ${\displaystyle M}$ с помощью идентификаторов ${\displaystyle I{D}_1,\dots ,I{D}_n\in \{0,1{\}}^{*}:}$ абонент выполняет следующие операции:

1. Вычисляет ${\displaystyle Q_{I{D}_1}=H_1(I{D}_1)\in G_1^{*},\dots ,Q_{I{D}_n}=H_1(I{D}_n)\in G_1^{*}}$.
2. Выбирает случайный элемент ${\displaystyle r\in {\mathbb{Z}}_q^{*}}$.
3. Вычисляет шифротекст ${\displaystyle C=⟨rP,M\oplus H_2(g^r)⟩}$, где ${\displaystyle g=\mu (Q_{I{D}_1},\dots ,Q_{I{D}_n},P_{pu{b}_1},\dots ,P_{pu{b}_n})\in G_2^{*}}$.

Для расшифрования шифротекста ${\displaystyle C=⟨U,V⟩}$ абонентом с идентификатором ${\displaystyle I{D}_i}$ с помощью закрытого ключа ${\displaystyle d_{I{D}_i}\in G_1^{*}}$ вычисляется открытый текст следующим образом:

${\displaystyle V\oplus H_2(\mu (Q_{I{D}_1},\dots ,Q_{I{D}_{i-1}},d_{I{D}_i},Q_{I{D}_{i+1}},\dots ,Q_{I{D}_n},P_{pu{b}_1},\dots ,P_{pu{b}_{i-1}},U,P_{pu{b}_{i+1}},\dots ,P_{pu{b}_n}))=M}$

Корректность алгоритма подтверждается выполнением следующего равенства, смысл которого сводится к подстановке в аргумент функции ${\displaystyle H_2}$ на этапе расшифрования выражений для закрытого ключа ${\displaystyle d_{I{D}_i}=s_i{Q}_{I{D}_i}}$ и элемента ${\displaystyle U=rP}$:

${\displaystyle \begin{array}{c}\mu (Q_{I{D}_1},\dots ,Q_{I{D}_{i-1}},d_{I{D}_i},Q_{I{D}_{i+1}},\dots ,Q_{I{D}_n},P_{pu{b}_1},\dots ,P_{pu{b}_{i-1}},U,P_{pu{b}_{i+1}},\dots ,P_{pu{b}_n})\\ =\mu (Q_{I{D}_1},\dots ,Q_{I{D}_n},P_{pu{b}_1},\dots ,P,\dots ,P_{pu{b}_n}{)}^{s_{i}r}\\ =\mu (Q_{I{D}_1},\dots ,Q_{I{D}_n},P_{pu{b}_1},\dots ,P_{pu{b}_n}{)}^r=g^r\\ \end{array}}$

Так как ${\displaystyle V=M\oplus H_2(g^r)}$, то на этапе расшифрования получаем ${\displaystyle M\oplus H_2(g^r)\oplus H_2(g^r)=M}$.

Протокол является стойким при адаптивной атаке с выбором открытого текста и в предположении сложности мультилинейной проблемы Диффи-Хеллмана (MDH)^[1].

Модели безопасности широковещательного шифрования основаны на играх, проводимых злоумышленником (атакующим алгоритмом) с запросчиком (challenger).

Игра злоумышленника, проводящего атаку на алгоритм широковещательного шифрования, состоит из процедуры инициализации, 2-х этапов проведения запросов, постановки задачи и вывода результата.

Запросчик принимает параметр стойкости ${\displaystyle k\in \mathbb{N}}$, запускает процедуру инициализации алгоритма, передает атакующему алгоритму параметры ${\displaystyle params}$ и сохраняет мастер-ключи ${\displaystyle master-keys}$ в секрете. Определены ${\displaystyle G_1}$ — аддитивная циклическая группа простого порядка ${\displaystyle q}$ с образующим элементом ${\displaystyle P}$, и ${\displaystyle G_2}$ — мультипликативная циклическая группа простого порядка ${\displaystyle q}$.

Атакующий алгоритм генерирует запросы ${\displaystyle q_1,\dots ,q_m}$ и отправляет их запросчику, где ${\displaystyle q_i}$ является:

1. Запросом закрытого ключа ${\displaystyle ⟨I{D_i}^{\prime }⟩}$. В данном случае запросчик запускает процедуру генерации закрытого ключа ${\displaystyle {d_i}^{\prime }\in G_1}$, соответствующего открытому ключу ${\displaystyle ⟨I{D_i}^{\prime }⟩}$, и передает ${\displaystyle {d_i}^{\prime }\in G_1}$ атакующему алгоритму.
2. Запросом расшифрования ${\displaystyle ⟨I{D_i}^{\prime },{C_i}^{\prime }⟩}$. В данном случае запросчик запускает процедуру генерации закрытого ключа ${\displaystyle {d_i}^{\prime }\in G_1}$, соответствующего открытому ключу ${\displaystyle ⟨I{D_i}^{\prime }⟩}$. Далее запускает процедуру расшифрования шифротекста ${\displaystyle {C_i}^{\prime }}$ с помощью ${\displaystyle {d_i}^{\prime }}$ и передает полученный открытый текст атакующему алгоритму.

Данные запросы проводятся адаптивно, то есть каждый запрос ${\displaystyle q_i}$ может зависеть от ответов на запросы ${\displaystyle q_1,\dots ,q_{i-1}}$.

После завершения этапа 1 атакующий алгоритм генерирует 2 открытых текста ${\displaystyle M_0,M_1\in \vartheta }$ равной длины и набор идентификаторов абонентов ${\displaystyle I{D}_1,\dots ,I{D}_n}$, для которых он проводит атаку, где ${\displaystyle \vartheta }$ — множество открытых текстов произвольной длины. Единственным ограничением является тот факт, что ${\displaystyle I{D}_i\ne I{D_j}^{\prime }}$ при ${\displaystyle i=1,\dots ,n,j=1,\dots ,m}$ во время этапа 1.

Запросчик случайно выбирает бит ${\displaystyle b\in \{0,1\}}$ и отправляет ${\displaystyle C_b=Encrypt(params,I{D}_1,\dots ,I{D}_n,M_b)}$ алгоритму.

Атакующий алгоритм генерирует и отправляет запросчику дополнительные запросы ${\displaystyle q_{m+1},\dots ,q_l}$, где ${\displaystyle q_i}$ является:

1. Запросом закрытого ключа ${\displaystyle ⟨I{D_j}^{\prime }⟩}$, где ${\displaystyle I{D}_i\ne I{D_j}^{\prime }}$ для ${\displaystyle i=1,\dots ,n,j=m+1,\dots ,l}$. Запросчик отвечает так же, как и во время этапа 1.
2. Запросом расшифрования ${\displaystyle ⟨I{D_j}^{\prime },{C_j}^{\prime }⟩}$, где ${\displaystyle ⟨I{D_j}^{\prime },{C_j}^{\prime }⟩\ne ⟨I{D_i}^{\prime },{C_i}^{\prime }⟩}$ для ${\displaystyle i=1,\dots ,n,j=m+1,\dots ,l}$. Запросчик отвечает так же, как и во время этапа 1.

Данные запросы могут проводиться адаптивно, как и во время этапа 1.

Атакующий алгоритм возвращает бит ${\displaystyle b^{\prime }\in \{0,1\}}$ и выигрывает игру, если ${\displaystyle b=b^{\prime }}$.

Выигрышем при проведении атаки злоумышленника ${\displaystyle A}$ на алгоритм ${\displaystyle E}$ называется следующая функция параметра стойкости ${\displaystyle k\in \mathbb{N}}$: ${\displaystyle Ad{v}_{E,A}(k)=|Pr[b=b^{\prime }]-\frac{1}{2}|}$, где ${\displaystyle Pr[b=b^{\prime }]}$ — вероятность события, состоящего в совпадении значений битов ${\displaystyle b}$ и ${\displaystyle b^{\prime }}$.

На основе алгоритма MulBasicIdent с помощью метода Фуджисаки-Окамото построен полный алгоритм широковещательного шифрования на основе идентификационных данных MulFullIdent.

Шаблон:Примечания

• Шаблон:Статья
• Шаблон:Статья