Трёхэтапный протокол Шамира

Трёхэтапный протокол Шамира — криптографический трёхэтапный протокол, разработанный Ади Шамиром около 1980 года^[1]. Протокол позволяет двум сторонам безопасно обмениваться сообщениями без необходимости распространения ключей шифрования. Обмен сообщением между пользователями происходит в три прохода.

Используется шифрование на основе функции возведения в степень по модулю^[2][3]. Выбирают достаточно большое простое число ${\displaystyle p\sim 2^{1024}}$, для которого ${\displaystyle p-1}$ имеет большой простой множитель. В информационном взаимодействии участвуют два пользователя: Алиса и Боб.

1. Алиса выбирает число ${\displaystyle a}$, взаимно простое с ${\displaystyle p-1}$. Также Алиса использует число ${\displaystyle a^{\prime }}$ такое, что ${\displaystyle a{a}^{\prime }mod(p-1)=1}$, то есть ${\displaystyle a{a}^{\prime }=1+n(p-1),n\in \mathbb{Z}}$. Алиса шифрует сообщение ${\displaystyle M}$ и отправляет шифр Бобу:

   ${\displaystyle Alice\to \{E_A(M)=M^{a}modp\}\to Bob}$.

2. Получатель Боб аналогично выбирает целое число ${\displaystyle b}$, взаимно простое с ${\displaystyle p-1}$, и число ${\displaystyle b^{\prime }}$ такое, что ${\displaystyle b{b}^{\prime }mod(p-1)=1}$. Боб отправляет обратно следующее сообщение:

   ${\displaystyle Bob\to \{E_B(E_A(M))=M^{ab}modp\}\to Alice}$.

3. Алиса, получив сообщение, вычисляет ${\displaystyle D_A(M^{ab})=(M^{ab}{)}^{a^{\prime }}=M^{b(1+n(p-1))}=M^b{M}^{n(p-1)b}=M^b(M^{p-1}{)}^{nb}=M^{b}modp}$ (используется коммутативность функции возведения в степень по модулю и свойство ${\displaystyle M^{p-1}modp=1}$ по малой теореме Ферма) и отправляет Бобу:

   ${\displaystyle Alice\to \{E_B(M)=M^b\}\to Bob}$.

4. Боб расшифровывает сообщение: ${\displaystyle D_B(M^b)=(M^b{)}^{b^{\prime }}modp=M}$.

Если третья сторона перехватила все три сообщения:

${\displaystyle M_1=M^{a}modp}$

${\displaystyle M_2=M^{ab}modp}$

${\displaystyle M_3=M^{b}modp}$

Чтобы вычислить ${\displaystyle M}$ при корректно выбранных параметрах ${\displaystyle a}$ и ${\displaystyle b}$, нужно решить систему из этих трех уравнений, что имеет очень большую вычислительную сложность, так как нужно решать задачу дискретного логарифма.

В случае, если значения параметр ${\displaystyle a}$ или ${\displaystyle b}$ мало, злоумышленник может путем перебора найти значение зашифрованного сообщения^[4]. Не нарушая общности, предположим, что параметр ${\displaystyle a}$ мал. Тогда, последовательно возводя в степень значение ${\displaystyle M_3}$ и сравнивая с ${\displaystyle M_2}$, злоумышленник может определить значение ${\displaystyle a}$. Зная параметр ${\displaystyle a}$, легко находится ${\displaystyle a^{\prime }=a^{-1}modp-1}$, а следовательно и значение ${\displaystyle M=M_1^{a^{\prime }}modp}$.

В 2008 году^[5][6] предложено обобщенное дробное преобразование Фурье — многопараметрическое дробное преобразование Фурье (MPFRFT^[7]), которое сохраняет все желаемые свойства Шаблон:Iw без использования фазовых ключей. Для оптического кодирования изображений непосредственно по спектру MPFRFT было предложено использовать свою функцию с несколькими параметрами. Дальнейший обмен изображениями между пользователями должен происходить по протоколу Шамира.

Если злоумышленник соберет все три сообщения:

${\displaystyle 𝐀\to 𝐁:C_1=A\cdot X\cdot B}$,

${\displaystyle 𝐁\to 𝐀:C_2=C\cdot A\cdot X\cdot B\cdot D=A\cdot C\cdot X\cdot D\cdot B}$,

${\displaystyle 𝐀\to 𝐁:C_3=C\cdot X\cdot D}$,

где ${\displaystyle A}$, ${\displaystyle B}$, ${\displaystyle C}$ и ${\displaystyle D}$ — дискретные многопараметрические дробные матрицы преобразования Фурье (DMPFRFT^[8]). Из зашифрованной информации третья сторона может получить следующее уравнение:

${\displaystyle A\cdot C_3\cdot B=C_2}$,

и так как матрицы ${\displaystyle A}$, ${\displaystyle B}$, ${\displaystyle C}$ и ${\displaystyle D}$ — унитарные^[8], то будет порядка:

${\displaystyle \frac{N(N+1)}{2}+\frac{M(M+1)}{2}}$

переменных в уравнении для пиксельного изображения размером ${\displaystyle N\times M}$, в то время как имеется только ${\displaystyle N}$ или ${\displaystyle M}$ линейных уравнений, поэтому достаточно трудно восстановить ${\displaystyle A}$ и ${\displaystyle B}$. Кроме того, эти матрицы обычно сингулярны (число условий чрезвычайно велико), поскольку они могут иметь много почти нулевых собственных значений. Также трудно восстановить секретное изображение ${\displaystyle X}$ путём простой инверсии матрицы из-за влияния шума или вычислительной ошибки.

Исследователи провели опыт, чтобы проверить переносимость к потере данных. Для этого они закрыли 25 %, 50 % и 75 % пикселей изображения. После всех трех передач и проведения дешифрований все три изображения визуально распознавались. Для дальнейшего улучшения качества этих восстановленных изображений можно выполнить цифровой метод пост-обработки. Данная схема распределяет входное изображение по всей выходной плоскости, тем самым обеспечивая устойчивость к искажениям из-за потери зашифрованных данных.

Шаблон:Примечания

• J. Massey, An introduction to contemporary cryptology, Proc. IEEE 76(5), 533—549 (1988)
• U. Carlsen, Cryptographic protocol flaws: know your enemy, Proceedings The Computer Security Foundations Workshop VII, 1994, pp. 192—200, doi: 10.1109/CSFW.1994.315934.
• Oktaviana B., Siahaan A. P. U. Three-Pass Protocol Implementation on Caesar Cipher in Classic Cryptography //IOSR Journal of Computer Engineering (IOSR-JCE). — 2016. — Т. 18. — №. 4.
• Lang J. A no-key-exchange secure image sharing scheme based on Shamir’s three-pass cryptography protocol and the multiple-parameter fractional Fourier transform //Optics express. — 2012. — Т. 20. — №. 3. — С. 2386—2398.
• Шаблон:Книга