XTR (алгоритм)

Шаблон:Значения XTR (сокращение от ECSTR — «Efficient and Compact Subgroup Trace Representation») — алгоритм шифрования с открытым ключом, основывающийся на вычислительной сложности задачи дискретного логарифмирования. Преимущества этого алгоритма перед другими, использующими эту идею, в более высокой скорости и меньшем размере ключа.

Данный алгоритм использует генератор ${\displaystyle g}$ относительно малой подгруппы порядка ${\displaystyle q}$ (${\displaystyle q}$ — простое) подгруппы ${\displaystyle GF(p^6{)}^{*}}$. При правильном выборе ${\displaystyle q}$, дискретное логарифмирование в группе, порожденной ${\displaystyle g}$, имеет ту же вычислительную сложность, что и в ${\displaystyle GF(p^6{)}^{*}}$. XTR использует арифметику ${\displaystyle GF(p^2)}$ вместо ${\displaystyle GF(p^6)}$, обеспечивая ту же защищенность, но с меньшими затратами на вычисления и передачу данных.

Алгоритм работает в конечном поле ${\displaystyle GF(p^6)}$. Рассмотрим группу порядка ${\displaystyle p^2-p+1}$, и её подгруппу порядка q, где p — простое число, такое, что другое достаточно большое простое число q является делителем ${\displaystyle p^2-p+1}$. Группа порядка q называется XTR-подгруппой. Эта циклическая группа ${\displaystyle ⟨g⟩}$ является подгруппой ${\displaystyle GF(p^6{)}^{*}}$ и имеет генератор g.

Пусть p — простое число, такое, что p ≡ 2 mod 3, а p² — p + 1 делится на достаточно большое простое q. Так как p² ≡ 1 mod 3, p порождает ${\displaystyle (\mathbb{Z}/3\mathbb{Z}{)}^{*}}$. Таким образом, круговой многочлен ${\displaystyle {\mathrm{\Phi }}_3(x)=x^2+x+1}$ является неприводимым в ${\displaystyle GF(p)}$. Следовательно, корни ${\displaystyle \alpha }$ и ${\displaystyle {\alpha }^p}$ образуют оптимальный нормальный базис ${\displaystyle GF(p^2)}$ над ${\displaystyle GF(p)}$ и

${\displaystyle GF(p^2)\cong \{x_1\alpha +x_2{\alpha }^p:x_1,x_2\in GF(p)\}.}$

С учетом p ≡ 2 mod 3:

${\displaystyle GF(p^2)\cong \{y_1\alpha +y_2{\alpha }^2:{\alpha }^2+\alpha +1=0,y_1,y_2\in GF(p)\}.}$

Таким образом, стоимость арифметических операций следующая:

• Вычисление x^p не требует умножения
• Вычисление x² требует двух операций умножения в ${\displaystyle GF(p)}$
• Вычисление xy требует трех операций умножения в ${\displaystyle GF(p)}$
• Вычисление xz-yzp требует четырёх операций умножения в ${\displaystyle GF(p)}$.:^[1]

Элементами, сопряженными с ${\displaystyle h\in GF(p^6)}$ в ${\displaystyle GF(p^2)}$ являются: сам ${\displaystyle h,h^{p^2}}$ и ${\displaystyle h^{p^4}}$, а их сумма — след ${\displaystyle h}$.

${\displaystyle Tr(h)=h+h^{p^2}+h^{p^4}.}$

Кроме того:

${\displaystyle \begin{array}{cc}Tr(h{)}^{p^2}& =h^{p^2}+h^{p^4}+h^{p^6}\\ & =h+h^{p^2}+h^{p^4}\\ & =Tr(h)\end{array}}$

Рассмотрим генератор ${\displaystyle g}$ XTR-группы порядка ${\displaystyle q}$, где ${\displaystyle q}$ — простое число. Так как ${\displaystyle ⟨g⟩}$ — подгруппа группы порядка ${\displaystyle p^2-p+1}$, то ${\displaystyle q\mid p^2-p+1}$. Кроме того,

${\displaystyle p^2=p-1}$

и

${\displaystyle p^4=(p-1{)}^2=p^2-2p+1=-p}$.

Таким образом,

${\displaystyle \begin{array}{cc}Tr(g)& =g+g^{p^2}+g^{p^4}\\ & =g+g^{p-1}+g^{-p}.\end{array}}$

Отметим также, что сопряженным к элементу ${\displaystyle g}$ является ${\displaystyle 1}$, то есть, ${\displaystyle g}$ имеет норму равную 1. Ключевой особенностью XTR является то, что минимальный многочлен ${\displaystyle g}$ в ${\displaystyle GF(p^2)}$

${\displaystyle (x-g)(x-g^{p-1})(x-g^{-p})}$

упрощается до

${\displaystyle x^3-Tr(g)x^2+Tr(g{)}^{p}x-1}$

Иными словами, сопряженные с ${\displaystyle g}$ элементы, как корни минимального многочлена в ${\displaystyle GF(p^2)}$, полностью определяются следом ${\displaystyle g}$. Аналогичные рассуждения верны для любой степени ${\displaystyle g}$:

${\displaystyle x^3-Tr(g^n)x^2+Tr(g^n{)}^{p}x-1}$

— этот многочлен определяется следом ${\displaystyle Tr(g^n)}$.

Идея алгоритма в том, чтобы заменить ${\displaystyle g^n\in GF(p^6)}$ на ${\displaystyle Tr(g^n)\in GF(p^2)}$, то есть вычислять ${\displaystyle Tr(g^n)}$ по ${\displaystyle Tr(g)}$ вместо ${\displaystyle g^n}$ по ${\displaystyle g}$ Однако для того, чтобы метод был эффективен, необходим способ быстро получать ${\displaystyle Tr(g^n)}$ по имеющемуся ${\displaystyle Tr(g)}$.

Определение: Для каждого ${\displaystyle c}$ ${\displaystyle GF(p^2)}$ определим:

${\displaystyle F(c,X)=X^3-c{X}^2+c^{p}X-1\in GF(p^2)[X].}$

Определение: Пусть ${\displaystyle h_0,h_1,h_2}$ — корни ${\displaystyle F(c,X)}$ в ${\displaystyle GF(p^6)}$, а ${\displaystyle n\in \mathbb{Z}}$. Обозначим:

${\displaystyle c_n=h_0^n+h_1^n+h_2^n.}$

Свойства ${\displaystyle c_n}$ и ${\displaystyle F(c,X)}$:

1. ${\displaystyle c=c_1}$
2. ${\displaystyle c_{-n}=c_{np}=c_n^p}$
3. ${\displaystyle c_n\in GF(p^2)}$ для ${\displaystyle n\in \mathbb{Z}}$
4. ${\displaystyle c_{u+v}=c_u{c}_v-c_v^p{c}_{u-v}+c_{u-2v}}$ для ${\displaystyle u,v\in \mathbb{Z}}$
5. Либо все ${\displaystyle h_j}$ имеют порядок, являющийся делителем ${\displaystyle p^2-p+1}$ и ${\displaystyle >3}$, либо все ${\displaystyle h_j}$ — в поле ${\displaystyle GF(p^2)}$. В частности, ${\displaystyle F(c,X)}$ — неприводим тогда и только тогда, когда его корни имеют порядок, являющийся делителем ${\displaystyle p^2-p+1}$ и ${\displaystyle >3}$.
6. ${\displaystyle F(c,X)}$ приводим в поле ${\displaystyle GF(p^2)}$ тогда и только тогда, когда ${\displaystyle c_{p+1}\in GF(p)}$

Утверждение: Пусть даны ${\displaystyle c,c_{n-1},c_n,c_{n+1}}$.

1. Вычисление ${\displaystyle c_{2n}=c_n^2-2c_n^p}$ требует двух операций произведения в поле ${\displaystyle GF(p)}$.
2. Вычисление ${\displaystyle c_{n+2}=c_{n+1}\cdot c-c^p\cdot c_n+c_{n-1}}$ требует четырёх операций произведения в поле ${\displaystyle GF(p)}$.
3. Вычисление ${\displaystyle c_{2n-1}=c_{n-1}\cdot c_n-c^p\cdot c_n^p+c_{n+1}^p}$ требует четырёх операций произведения в поле ${\displaystyle GF(p)}$.
4. Вычисление ${\displaystyle c_{2n+1}=c_{n+1}\cdot c_n-c\cdot c_n^p+c_{n-1}^p}$ требует четырёх операций произведения в поле ${\displaystyle GF(p)}$.

Определение: Пусть ${\displaystyle S_n(c)=(c_{n-1},c_n,c_{n+1})\in GF(p^2{)}^3}$.

• При ${\displaystyle n<0}$ алгоритм применяется для ${\displaystyle -n}$ и ${\displaystyle c}$, затем используется свойство 2 для получения конечного результатаю
• При ${\displaystyle n=0}$, ${\displaystyle S_0(c)=(c^p,3,c)}$.
• При ${\displaystyle n=1}$, ${\displaystyle S_1(c)=(3,c,c^2-2c^p)}$.
• При ${\displaystyle n=2}$, воспользуемся выражениями для ${\displaystyle c_{n+2}=c_{n+1}\cdot c-c^p\cdot c_n+c_{n-1}}$ и ${\displaystyle S_1(c)}$, чтобы найти ${\displaystyle c_3}$ и, соответственно, ${\displaystyle S_2(c)}$.
• При ${\displaystyle n>2}$, чтобы вычислить ${\displaystyle S_n(c)}$, введем

${\displaystyle {\overline{S}}_i(c)=S_{2i+1}(c)}$

и ${\displaystyle \overline{m}=n}$ если не ${\displaystyle n}$ нечетно и ${\displaystyle \overline{m}=n-1}$ если четно. Положим ${\displaystyle \overline{m}=2m+1,k=1}$ и найдем ${\displaystyle {\overline{S}}_k(c)=S_3(c)}$, используя Утверждение, и ${\displaystyle S_2(c)}$. Пусть, в дальнейшем,

${\displaystyle m={\displaystyle \sum _{j=0}^r}{m}_j{2}^j}$

где ${\displaystyle m_j\in 0,1}$ и ${\displaystyle m_r=1}$. Для ${\displaystyle j=r-1,r-2,...,0}$ последовательно выполним следующее:

• При ${\displaystyle m_j=0}$, воспользуемся ${\displaystyle {\overline{S}}_k(c)}$ чтобы найти ${\displaystyle {\overline{S}}_{2k}(c)}$.
• При ${\displaystyle m_j=1}$, воспользуемся ${\displaystyle {\overline{S}}_k(c)}$ чтобы найти ${\displaystyle {\overline{S}}_{2k+1}(c)}$.
• Заменим ${\displaystyle k}$ на ${\displaystyle 2k+m_j}$.

По завершении итераций, ${\displaystyle k=m}$, а ${\displaystyle S_{\overline{m}}(c)={\overline{S}}_m(c)}$. Если n — четно, воспользуемся ${\displaystyle S_{\overline{m}}(c)}$ чтобы найти ${\displaystyle {\overline{S}}_{m+1}(c)}$.

Чтобы воспользоваться преимуществами представления элементов групп в виде их следов и обеспечить достаточную защищенность данных, необходимо найти простые ${\displaystyle p}$ и ${\displaystyle q}$, где ${\displaystyle p}$ — характеристика поля ${\displaystyle GF(p^6)}$, причем ${\displaystyle p\equiv 2\text{mod}3}$, а ${\displaystyle q}$ — размер подгруппы и делитель ${\displaystyle p^2-p+1}$. Обозначим как ${\displaystyle P}$ и ${\displaystyle Q}$ размеры ${\displaystyle p}$ и ${\displaystyle q}$ в битах. Чтобы достичь уровня безопасности, который обеспечивает, к примеру, RSA с длиной ключа в 1024 бита, требуется выбрать ${\displaystyle P}$ таким, что ${\displaystyle 6P>1024}$, то есть ${\displaystyle P\approx 170}$ а ${\displaystyle Q}$ может быть около 160. Первый алгоритм, который позволяет вычислить такие простые ${\displaystyle p}$ и ${\displaystyle q}$ — Алгоритм А.

Алгоритм А

1. Найдём ${\displaystyle r\in \mathbb{Z}}$ такое, что число ${\displaystyle q=r^2-r+1}$ — простое число длиной в ${\displaystyle Q}$ бит.
2. Найдем ${\displaystyle k\in \mathbb{Z}}$ такое, что число ${\displaystyle p=r+k\cdot q}$ — простое длиной ${\displaystyle P}$ бит, а также ${\displaystyle p\equiv 2\text{mod}3}$.

Корректность Алгоритма А:

Необходимо проверить лишь то, что ${\displaystyle q\mid p^2-p+1}$, так как все оставшиеся свойства очевидно выполнены из-за специфики выбора ${\displaystyle p}$ и ${\displaystyle q}$.

Нетрудно заметить, что ${\displaystyle p^2-p+1=r^2+2rkq+k^2{q}^2-r-kq+1=r^2-r+1+q(2rk+k^{2}q-k)=q(1+2rk+k^{2}q-k)}$, значит ${\displaystyle q\mid p^2-p+1}$.

Алгоритм А очень быстрый, однако может быть небезопасен, так как уязвим против атаки с использованием решета числового поля.

От этого недостатка избавлен более медленный Алгоритм Б.

Алгоритм Б

1. Выберем простое число ${\displaystyle q}$ длиной в ${\displaystyle Q}$ бит, такое, что ${\displaystyle q\equiv 7\text{mod}12}$.
2. Найдем корни ${\displaystyle r_1}$ и ${\displaystyle r_2}$ ${\displaystyle X^2-X+1\text{mod}q}$.
3. Найдем ${\displaystyle k\in \mathbb{Z}}$ такое, что ${\displaystyle p=r_i+k\cdot q}$, ${\displaystyle p}$- простое ${\displaystyle P}$-битовое число и при этом ${\displaystyle p\equiv 2\text{mod}3}$ для ${\displaystyle i\in \{1,2\}}$

Корректность Алгоритма Б:

Как только мы выбираем ${\displaystyle q\equiv 7\text{mod}12}$, автоматически выполняется условие ${\displaystyle q\equiv 1\text{mod}3}$ (Так как ${\displaystyle 7\equiv 1\text{mod}3}$ и ${\displaystyle 3\mid 12}$). Из этого утверждения и квадратичного закона взаимности следует, что корни ${\displaystyle r_1}$ и ${\displaystyle r_2}$ существуют.

Чтобы проверить, что ${\displaystyle q\mid p^2-p+1}$ снова рассмотрим ${\displaystyle p^2-p+1}$ для ${\displaystyle r_i\in \{1,2\}}$ и заметим, что ${\displaystyle p^2-p+1=r_i^2+2r_{i}kq+k^2{q}^2-r_i-kq+1=r_i^2-r_i+1+q(2rk+k^{2}q-k)=q(2rk+k^{2}q-k)}$.Значит ${\displaystyle r_1}$ и ${\displaystyle r_2}$ -корни ${\displaystyle X^2-X+1}$ и, следовательно, ${\displaystyle q\mid p^2-p+1}$.

В предыдущем разделе мы нашли размеры ${\displaystyle p}$ и ${\displaystyle q}$ конечного поля ${\displaystyle GF(p^6)}$ и мультипликативной подгруппы в ${\displaystyle GF(p^6{)}^{*}}$. Теперь следует найти подгруппу ${\displaystyle ⟨g⟩}$ в ${\displaystyle GF(p^6{)}^{*}}$ для некоторых ${\displaystyle g\in GF(p^6)}$ таких, что ${\displaystyle \mid ⟨g⟩\mid =q}$. Однако, необязательно искать явный элемент ${\displaystyle g\in GF(p^6)}$, достаточно найти элемент ${\displaystyle c\in GF(p^2)}$ такой, что ${\displaystyle c=Tr(g)}$ для элемента ${\displaystyle g\in GF(p^6)}$ порядка ${\displaystyle q}$. Но при данном ${\displaystyle Tr(g)}$, генератор ${\displaystyle g}$ XTR-группы может быть найден путём нахождения корня ${\displaystyle F(Tr(g),X)}$. Чтобы найти это ${\displaystyle c}$, рассмотрим свойство 5 ${\displaystyle F(c,X)}$. Найдя такое ${\displaystyle c}$ следует проверить, действительно ли оно порядка ${\displaystyle q}$, однако сначала нужно выбрать c\in GF(p²), такое, что F(c,\ X) — неприводимо. Простейший подход в том, чтобы выбирать ${\displaystyle c\in GF(p^2)\mathrm{\setminus }GF(p)}$ случайным образом.

Утверждение: Для случайно выбранного ${\displaystyle c\in GF(p^2)}$ вероятность, что ${\displaystyle F(c,X)=X^3-c{X}^2+c^{p}X-1\in GF(p^2)[X]}$ — неприводимо, больше 1/3.

Базовый алгоритм для поиска ${\displaystyle Tr(g)}$:

1. Выберем случайное ${\displaystyle c\in GF(p^2)\mathrm{\setminus }GF(p)}$.
2. Если ${\displaystyle F(c,X)}$ — приводим, вернемся на первый шаг.
3. Воспользуемся алгоритмом для поиска ${\displaystyle S_n(c)}$. Найдем ${\displaystyle d=c_{(p^2-p+1)/q}}$.
4. Если ${\displaystyle d}$ имеет порядок не равный ${\displaystyle q}$, вернемся на первый шаг.
5. Пусть ${\displaystyle Tr(g)=d}$.

Данный алгоритм вычисляет элемент поля ${\displaystyle GF(p^2)}$ эквивалентный ${\displaystyle Tr(g)}$ для некоторых ${\displaystyle g\in GF(p^6)}$ порядка ${\displaystyle q}$.^[1]

Предположим, у Алисы и Боба есть открытый XTR-ключ ${\displaystyle (p,q,Tr(g))}$ и они хотят сгенерировать общий закрытый ключ ${\displaystyle K}$.

1. Алиса выбирает случайное число ${\displaystyle a\in \mathbb{Z}}$ такое, что ${\displaystyle 1<a<q-2}$, вычисляет ${\displaystyle S_a(Tr(g))=(Tr(g^{a-1}),Tr(g^a),Tr(g^{a+1}))\in GF(p^2{)}^3}$ и посылает ${\displaystyle Tr(g^a)\in GF(p^2)}$ Бобу.
2. Боб получает ${\displaystyle Tr(g^a)}$ от Алисы, выбирает случайное ${\displaystyle b\in \mathbb{Z}}$ такое, что ${\displaystyle 1<b<q-2}$, вычисляет ${\displaystyle S_b(Tr(g))=(Tr(g^{b-1}),Tr(g^b),Tr(g^{b+1}))\in GF(p^2{)}^3}$ и посылает ${\displaystyle Tr(g^b)\in GF(p^2)}$ Алисе.
3. Алиса получает ${\displaystyle Tr(g^b)}$ от Боба, вычисляет ${\displaystyle S_a(Tr(g^b))=(Tr(g^{(a-1)b}),Tr(g^{ab}),Tr(g^{(a+1)b}))\in GF(p^2{)}^3}$ и получает ${\displaystyle Tr(g^{ab})\in GF(p^2)}$ — закрытый ключ ${\displaystyle K}$.
4. Точно так же, Боб вычисляет ${\displaystyle S_b(Tr(g^a))=(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)}))\in GF(p^2{)}^3}$ и получает ${\displaystyle Tr(g^{ab})\in GF(p^2)}$ — закрытый ключ ${\displaystyle K}$.

Предположим, у Алисы есть часть публичного ключа XTR: ${\displaystyle (p,q,Tr(g))}$. Алиса выбирает секретное целое число ${\displaystyle k}$ и вычисляет и публикует ${\displaystyle Tr(g^k)}$. Получив публичный ключ Алисы ${\displaystyle (p,q,Tr(g),Tr(g^k))}$, Боб может зашифровать сообщение ${\displaystyle M}$, предназначенное Алисе, используя следующий алгоритм:

1. Боб выбирает случайное ${\displaystyle b\in \mathbb{Z}}$ такое, что ${\displaystyle 1<b<q-2}$ и вычисляет ${\displaystyle S_b(Tr(g))=(Tr(g^{b-1}),Tr(g^b),Tr(g^{b+1}))\in GF(p^2{)}^3}$.
2. Затем Боб вычисляет${\displaystyle S_b(Tr(g^k))=(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k}))\in GF(p^2{)}^3}$.
3. Боб определяет симметричный ключ ${\displaystyle K}$ основанный на ${\displaystyle Tr(g^{bk})\in GF(p^2)}$.
4. Боб шифрует сообщение ${\displaystyle M}$ ключом ${\displaystyle K}$, получая зашифрованное сообщение ${\displaystyle E}$.
5. Пару ${\displaystyle (Tr(g^b),E)}$ Боб посылает Алисе.

Получив пару ${\displaystyle (Tr(g^b),E)}$, Алиса расшифровывает её следующим образом:

1. Алиса вычисляет ${\displaystyle S_k(Tr(g^b))=(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)}))\in GF(p^2{)}^3}$.
2. Алиса определяет симметричный ключ ${\displaystyle K}$ основанный на ${\displaystyle Tr(g^{bk})\in GF(p^2)}$.
3. Зная, что алгоритм шифрования сообщения — симметричный, Алиса ключом ${\displaystyle K}$ расшифровывает ${\displaystyle E}$, получая исходное сообщение ${\displaystyle M}$.

Таким образом, сообщение передано.

Шаблон:Примечания

Шаблон:Криптосистемы с открытым ключом