Криптоанализ симметричных полностью гомоморфных линейных криптосистем на основе задачи факторизации чисел Текст научной статьи по специальности «Математика»

УДК 519.7: 004: 681.5

А.В. Трепачева

КРИПТОАНАЛИЗ СИММЕТРИЧНЫХ ПОЛНОСТЬЮ ГОМОМОРФНЫХ ЛИНЕЙНЫХ КРИПТОСИСТЕМ НА ОСНОВЕ ЗАДАЧИ ФАКТОРИЗАЦИИ

ЧИСЕЛ*

Рассматриваются полностью гомоморфные схемы шифрования, криптостойкость которых их авторы обосновывают с использованием сложности решения задачи факторизации больших чисел. В частности, проводится анализ стойкости криптосистем, в которых шифртексты представляют собой матрицы над кольцом вычетов по составному модулю, трудному для факторизации, а шифрование и расшифрование являются преобразованиями подобия. Проводится подробный анализ основных свойств шифртекстов, производимых алгоритмами шифрования этих криптосистем. На основе этого анализа выделяются основные уязвимости, которым они подвержены. Наиболее подробно анализируется криптостойкость двух недавно предложенных криптосистем указанного вида против атаки по известным открытым текстам. Рассматривается ранее описанная в литературе стратегия атаки на одну из этих криптосистем, основанная на решении системы линейных уравнений по составному модулю. Основным результатом настоящей работы является то, что по сравнению с предшественниками даются строгие теоретические оценки вероятности раскрытия секретного ключа при использовании этой стратегии. А также приводятся практические оценки вероятности раскрытия ключа, которые хорошо согласуются с теоретическими предсказаниями. Проведенный анализ показал, что первая из рассмотренных криптосистем является нестойкой к рассмотренной атаке по известным открытым текстам. Однако для раскрытия ключа с вероятностью ~1 необходимо иметь количество пар (открытый текст, шифртекст), зависящее полилогарифмически от числа сомножителей, образующих составное число, по модулю которого ведутся вычисления. При числе пар меньшем данной величины криптосистема является защищенной, что частично соответствует оценкам защищенности, данным её авторами. Для взлома же второй криптосистемы нужно гораздо меньшее количество пар и уровень её криптостойкости совсем не соответствует заявленному.

Полностью гомоморфная криптосистема; атака по известным открытым текстам; защищенные облачные вычисления; задача факторизация чисел.

A.V. Trepacheva

CRYPTANALYSIS OF SYMMETRIC FULLY HOMOMORPHIC LINEAR CRYPTOSYSTEMS BASED ON NUMBERS FACTORIZATION PROBLEM

This paper considers the fully homomorphic cryptosystems based by their authors on a factorization problem. In particular, the paper analyses the security of cryptosystems whose ciphertexts are matrices with elements modulo composite number that is hard to factorize, while encryption and decryption procedures are similarity transformations. We carefully analyze the properties of ciphertexts produced by their encryption algorithms. And on the base of this analysis main vulnerabilities of the cryptosystems are highlighted. The main focus of this paper is placed on analysis of resistance against known plaintext attack of two recently proposed cryptosystems belonging to this type. In particular, we discuss one strategy of known plaintext attack on them proposed in literature. It is based on solving of linear system modulo composite number. Our main result in comparison with predecessors is providing a strict theoretical estimation ofprobability to recover secret key for different number of intercepted pairs (plaintext, ciphertext) using this strategy. Also practical estimations ofprobability to find a key based on computer experiments are given. They correlate well with theoretical predictions. Our analysis shows that the first considered cryptosystem is vulnerable to known plaintext attack based on linear system solving. However to recover key with probability ~1 one needs to have the number of pairs (plaintext, ciphertext) depending polylogarithmically on the

*

Работа выполнена при финансовой поддержке РФФИ в рамках научного проекта №15-07-00597 а.

number of factors in exploiting composite modulus. And for the less number ofpairs the cryptosystem is secure. This to some extent corresponds to security estimations given by the authors of cryptosystem. As for the second cryptosystem, its breaking requires much less number of pairs and thus its security level doesn't match with level stated by the authors.

Fully homomorphic cryptosystem; known plaintext attack; secure cloud computing; factorization problem.

Введение. Разработка полностью гомоморфных криптосистем (ПГК), позволяющих вычислять над зашифрованными данными любые функции, очень актуальна из-за необходимости защищать приватные данные, хранящиеся и обрабатываемые удаленными облачными серверами [1]. В связи с этим на данный момент предложено много разных ПГК [2]. Лидирующим направлением работы является построение ПГК, основанных на методе Джентри [3]. Основная особенность этих ПГК - наличие строго обоснованной семантической криптостойкости и при этом полная непригодность для практики в силу низкой эффективности. Например, согласно [2], наиболее эффективная на сегодня ПГК, базирующаяся на [3], преобразует 4 MB открытых текстов в 73 TB шифртекстов при значениях параметров ПГК, гарантирующих приемлемый уровень криптостойкости. Ясно, что такое расширение объема данных неприемлемо в приложениях. В силу этого не прекращаются попытки построить альтернативные ПГК [4-6], не использующие метод из [3] и являющиеся простыми, эффективными и гарантированно криптостойкими.

Постановка задачи. В литературе наиболее активно предлагаются различные ПГК, основанные на сложности задачи факторизации чисел [7-13], поскольку эта задача является общепринятым эталоном вычислительной сложности [14]. Эти ПГК - достаточно простые и эффективные для применения на практике, однако криптостойкость многих из них ([7-10]) оказалась недостаточной [15-18], а крип-тостойкость других [11-13] плохо исследована.

В данной работе подробно рассматриваются ПГК из [11-13], основанные на

следующем подходе. Открытый текст т G Zотображается в D е Так, что т - собственное число D, где neN - трудное для факторизации число, состоящее из к взаимно простых сомножителей битовой длины Л > 1024. Ключ - обратимая матрица К е и тогда шифртекст - С = КГ1 • D • К е •

Основные результаты. В работе анализируется стратегия атаки по известным открытым текстам (АИОТ) на ПГК [7], описанная в [17], и для неё приводится точная формула вероятности найти ключ по t парам (открытый текст, шифртекст). Из этой формулы следует, что для раскрытия ключа с вероятностью ~ 1 должно выполняться t > к. Более точно, установлено, что при рекомендуемых в [11] значениях 2 < к < 1024 взлом [11] успешен с вероятностью « 1 при t = а- к, где а = а(к), а е [5,10] - величина, не зависящая от Л. Также показано, что при

t < к вероятность успеха АИОТ [17] « 0 для Ук . Эти данные подтверждаются вычислительными экспериментами. Все это в итоге показывает неточность оценок, указанных в [17]. А именно, в [17] утверждалось, что независимо от выбора к достаточно t = 0(1) пар для взлома [11] с вероятностью ~ 1.

Заметим еще, что в [11] говорится, что ПГК стойка к АИОТ при

t < к • ln poly(X) , где poly - V полином, deg(poly) > 1. Однако, исходя из

указанных выше оценок, ясно, что в [11] степень стойкости ПГК против АИОТ была переоценена.

Также в данной работе рассмотрена применимость АИОТ [11] к ПГК из [8, 9], являющейся модификацией [11] и ранее не проанализированной в литературе. Было выявлено, что ПГК [8, 9] гораздо слабее исходной ПГК [11]. Хотя авторы [8, 9] утверждают, что ПГК защищена против АИОТ при t < к , АИОТ [11] находит ключ [8,9] с вероятностью ~ 1 при t е [V, к] , где v е (2, к) .

1. Необходимые сведения и обозначения. Кольцо целых чисел по модулю числа П €Е N обозначается как ; подгруппа обратимых по умножению элементов - Z*; функция Эйлера - (р и выполняется | = ср(п); для fleZ остаток от деления Q на П €Е N - [<3?]и. Кольцо матриц к У. к с элементами из Z будем обозначать ; ГДе GL(Tjk*k ) - подгруппа обратимых матриц и матрицы обозначаются как М ={т } — — • Диагональная матрица £ с эле-

^ '■./ ' 1 \.k.j \.к п

ментами ах,...,ак eZn на главной диагонали обозначается diag(ax,...,ctk ).

Модуль, состоящий из векторов длины к с элементами £ ZR, обозначается как И!п . а сами векторы, например, так - v = (vx,..., Vk ). Вектор V такой, что 3 i | V- = 1 и v . = 0 для V/ | J Ф i, будем обозначать в- . Нулевой вектор

обозначим как 0. Отметим, что, как и в векторных пространствах, любой базис в имеет фиксированный размер к [19]. Это справедливо и для всех его подмодулей, где подмодуль Lin(vl3...,vd) модуля размерности б/ < к состоит из всевозможных линейных комбинаций линейно независимых векторов

К— V d }.

Запись [M] (или [ v]^) означает, что Vm(или Vv.) приводится по

mod p. Вероятность события M будем обозначать как Pr[M]. Если задано

кольцо R, то s <—$— R означает, что s из R выбирается по равномерному распределению.

к

Теорема 1 (Китайская теорема об остатках, КТО, [20]). Для n = ^ f , где

¿=1

НОД(/'з/') = 1. / ф j, выполняется Ъп = х... х Z ^ (в 1, x...xZ/t операции +,• поточечные). Для вычисления по ([б/]^ , ) €Е х... х соответствующего ему числа a е Z можно воспользоваться формулой:

п

к

к 1

a = КТО fv,[a]fk,/к) = ]Г[a]f • S. • S:\ S. = n , Sr1 := 1 (mod f)

¡=i J i bi

Если есть векторы v. = (vn,...,Vj()eZ^,/=l,i! то v = (vl3...,Vt) = =KTO (\l,fi,...,\k,fk)e.Z'n - вектор такой, что Vj =KTO (г, .../,.....v,,.J\).

2. Простейшая симметричная ПГК на основе факторизации и линейных преобразований и анализ её защищенности. Конструкция этого типа впервые была

предложена в [10]. Открытый текст ТП е , гдq П = р • q, -

простые числа, log П = Л> 1024, log р = log q (т.е. П - трудный для факторизации RSA-модуль), шифруется в два этапа: 1) D := diag(m, г) е , где

Г<—-—Ъп ; 2) С := К 1 D К, где К^—GL(Z2n*2) - секретный ключ. Так как осуществляется преобразование подобия, то m - собственное число (c.4.) C, имеющее собственный вектор (с.в.) v = K 1 • e = (Vi,V2). Для расшифрования

C вычисляется v = C • v, а затем m := Vj / V1.

Криптосистема [10] - ПГК, так как для С, = К ' ■D/ -KeZ^ \i =1,2. D =cJiag(mnr)eZl 2 справедливо С + C =K D К C C =K D K где D+ = diagdm^ + ш2 ],„[/• + /;]„), I) = diag([m, ■ m2\,\rx ■ r2]n). Поэтому можно гомоморфно вычислить V полином, причем операции +, • над шиф-ртекстами вычислительно «дешевые».

ПГК [10] стойка против атаки по шифртекстам, так как для нахождения m по С нужно решить квадратное уравнение над Жи, что эквивалентно факторизации n [21]. Однако против АИОТ ПГК нестойка. Если есть пара (m, C), то можно составить СЛАУ (С - m • I) • v = 0 по mod п, множество решений которой

= Lin(v1) при [г — eZn. Так как г<—-—Жи, то в силу выбора П

рг — m\ е Z* = ~ 1. и поэтому даже наличие одной пары (т, С) ком-

L "J п

прометирует [10]. Более подробную информацию по осуществлению АИОТ на ПГК [10] можно найти в [17].

3. ПГК из работы [11]. В [11] ПГК из [10] была модифицирована. Целью было перестроить [10] так, чтоб понизить вероятность успеха рассмотренной

АИОТ. В [11] П выбирается как n = , ШД(f' f )=1 для Vi ^ j,

fi= Pi' 4i~ RSA модули, где 1 = log ft> 1024 и log pi = log qi. Шифрование Wl €E осуществляется так:

1) D := diag(m,a,b,c) e Z4x4, где a,b,CG hn - решения систем сравнений a = a (mod f ), b = b (mod f ), c = c (mod f ), i = 1, к. А для генерации C1[, /) , Сt поступают так. Генерируется г<—-—Z , а затем для V/ = 1, Аг (a, Ь, С ) выбирают по вероятностному распределению Y :

1

Pr[(a,, b, c,) = (х,г,г)] = 1 -■

k +1 г, Г, х)] =

2 • (k +1)

k +1

Pr [(a,, b, c,.) = (r х Г)] = Pr [(a, bt, c,) = (г, г, х)] = —1

2) С := К Б К е Тп , где К е (¡1.(Тп ) ~ секретный ключ.

Здесь, как и в [6] ТПЕ. *Е>п - с.ч. С е Z4 4 и для расшифрования нужен У1 =К-1 •е1 е^- Гомоморфные свойства [11] совершенно аналогичны гомоморфным свойствам [10]. Для достижения приемлемой скорости операций +, • над

шифртекстами в [11] полагают 2 < к < 2.

4. Свойства шифртекстов ПГК [11]. Обсудим основные свойства шифртекстов ПГК [11], позволяющие повысить стойкость к АИОТ из [17] по сравнению с [10]. Отметим, что в [11,17] эти свойства имелись в виду, но подробно описаны не были.

Во-первых, в [11] для \//.,1=\,к с.ч. [С]^ ё^х4 геометрической

кратности > 2. Действительно, имеем [С] = Г к 1 • [В] • К1 , гДе

Я Я J л

[Б]^ = (\_т\-,[а]^,[Ъ]^,[с]^ и только одно из [а]^,[Ь]^,[с]^ равно Гт], . Тогда для V/ = \,к множество с.в. [С]. е 'Ж,4. 4, отвечающих с.ч. [т], .

Ji /г /г

содержит Л; =Ып([ V ,[V» ), где ^ = К"1 • е, V» = К"1 • е» - линейно неза-

Pr [e* = e2 ] =1 " Т^ ' Pr [е* = ез ] = pr [e* = e4 ] = ^

висимы, так как по Y :

= 1 — , -4| +1 [ 3] [ 4] 2 • (k +1)

При этом к {[vviмогут добавиться дополнительные линейно независимые с.в., соответствующие [m],. Пусть, к примеру,

Ji

[a]f. =[m]f.,[b]f. =[r]f.,[c]f. =[r]f. и тогда

Ji Ji Ji Ji Ji Ji

[D]f - [m]f • I = diag(0,0,[r — m]f ,[r — m]f )(mod f ).

Исходя из последнего, при [r — m= 0 множество с.в. [C]^. для с.ч. [m]^ - Lin([vJ f ,[v2] f ,[v3] f ,[v4] f ), где Vi = K—1 • e», i = 1,4. Если же [r - m]f = pr a, a e Z* (или [r - m]f = qr J3,J3<e Z* ), то дополнительные с.в. имеют вид Vs = [КГ1 • s]7, где s = (0,0, ■ y, qt y, T e Z^ (или

S = (0,0, pt • СО, pi • <//) <E z4 , СО, Ц/ G ). Вектор Vs не является линейно независимым от {[vj]f ,[v* ]f }, так как ^о • [v ]Â + 0 • [vi ]Â + [P v ]Â ] = 0, где P = p ( = q ). Но тем не менее v ^Лг., и это усложняет ситуацию.

Однако для V/ = 1, k можно полагать, что [г — /77 <—-—Z^ , и тогда

S = Pr[[r - m]fi g Ъ*Л ] = ^ и£Г<<1'таккак RSA модуль.

Поэтому с вероятностью « 1 \ш\ , - с.ч. [С] , E Z4x4, имеющее множество с.в.

Ji Ji Ji

строго = Л .

Вероятность того, что множество с.в. для с.ч. [т], совпадает с Л,- для V/,

равна д = ГТ (Р' ~ ^' ~ ^ (так как события «[г - /??] . е ^^ » не зависимы). С

И Рг'Чг __' '

учетом выбора к и f, / = 1, к можно полагать 0 = 1. Поэтому всюду ниже будем для простоты работать со случаем, когда для V/ пространство с.в. = Л •

Покажем, что с.ч. т по модулю П также имеет геометрическую кратность 2. Для этого понадобится следующая лемма.

k

Лемма 1 Пусть n = ^f, НОД(f, f) = 1 при i * j , Кj j,i = 1, к -

i=1

наборы линейно независимых по mod f] векторов, v. ■ £ , / < б/. Тогда vp = { VIV =KTO(^au . v, .,/...... • vt>y,/t) eZ*> ! пред-

ставляет собой подмодуль размерности / с базисом ¡v',)' ,, v=КТО

Доказательство. По КТО Vv G ^ можно представить как _

_j=1

где е Z13 / = 1,/ однозначно определены из /?. = <x;(mod/'),/ = . А также {v V}^ линейно независимы по mod П, так как {vi .}линейно независи-

• v'j

мы для Vi . Действительно, если предположить, что 3<5 eZ 7 = 1 I не все

j п J

равные нулю, такие, что

j v j j=1

то по КТО 3/ g1, k такое, что

Z V ] л • v

Zj

j=1

= 0, где 3j' | [dj, * 0. Последнее противоречит тому, что

j=1

{v .}'._! линейно независимы по mod f. □

По лемме 1, КТО и свойствам сравнений СЛАУ (C — m • I) • v = 0 с вероятностью « 1 по mod/7 имеет множество решений =Lin(Vj,v,), где у, = К с,-е* е Z4 и ¡V,, У*) линейно независимы, так как

{ [V ]/;, [V* ]f } линейно независимы для Vi. Это означает, что геометрическая

кратность с.ч. m матрицы C по modП будет = 2.

Теперь уже становится ясным замысел авторов [17]. Для VC вектор Vj = К 1 • в[ ~ с.в. для с.ч. т <Е и следовательно его можно использовать для расшифрования. Однако шифрование случайным образом добавляет еще один линейно независимый с.в. V* для с.ч ТУ1 €Е Z/2. Поскольку V* разный для разных С,

то им нельзя корректно расшифровать VC. Это усложняет криптоанализ [11] по известным открытым текстам по сравнению с [10].

6. Криптоанализ ПГК из [11]. Во-первых, отметим, что так как П трудно факторизовать, то ПГК [11] защищена против атаки только по шифртекстам. Что же касается АИОТ, то теперь одной пары (m, C) для раскрытия v = K—1 • e недостаточно, так как (C — m • I) • v = 0 по mod n имеет множество решений Lin(v, v*) с вероятностью ~ 1.

Рассмотрим случай, когда у противника есть t > 2 пар (m , C ), j = 1, t,

изготовленных на К. Так как v, - решение (Су — т}. • I) • v = 0 для V/ = 1, / по mod«, то для поиска У, можно записать СЛАУ (1) с матрицей А & Z

для

относительно неизвестного v :

'(C — m • I) • v = о

(4-i) х t

(1)

(С - т • I) • V = о.

Множество решений (1) имеет вид V = V О... , где V = Ып(^, V*;), V, = К-1 • е, е й4, 7 = 1, ^ и в соответствии с Т для V/ Е 1, к :

Pr [ e«j = е 2(mod f)] =1 —

к +1

Pr [e*,j = e3(mod ff ] = Pr [eV = e4(mod ff ] = T7T~iV

2 •(k +1) (2)

Ясно, что Lin(v) с V и раскрыть ключ, решая (1), можно •Q' Lin(v ) = V. Так что вопрос теперь лишь в величине rj=Pr [Lin(Vj) = У\

Чтобы дать на него ответ, отметим, что по КТО Vv'eZ4 такой, что

[А-у']и=0, имеет вид v' = KTO([v\Jv...,[v\Jkl где^у1^] =0,

[у1] eZ* и соответствие между V1 и ([v,...,[ v']y ) однозначное. Поэтому, если для Vi (1) имеет множество решений V1 = Lin([ v ]/) по mod f, то и Lin(v ) = V. Оценим вероятность последнего.

Рассмотрим СЛАУ (1) по mod f для фиксированного i . Её множество решений имеет вид V' = V О... О Vt', где Vj = Lin([^^[v*^) и

[vv]f = [K—1 • [e*,j]f ]f, [e*,j]f e {e2,e3,e4}. Если 3j\, j2 1 j * j2 такие, что [^л^ *[e*j2]fi, то V' = Lin([v]/) . Вероятность последнего в силу (2) и независимости C j = 1 t равна:

■9(k, t) = 1 — f1--— 1 — 2 ' 1

= 1 — — — 2

к +1) ^ 2 • (k +1)y

(3)

N t

1

к +1) ^ 2 • (k +1)

Так как для V/ е 1, k векторы [e . выбираются независимо, то в соответствии со сказанным выше получаем:

Q(t, k ) = Pr [V/ = 1k : Lin([ v ]fi ) = V'/ = 3k • (4)

Осталось показать, что если 34 такое, что множество решений (1) по mod f имеет вид Vй = Lin([v1]/ , s, ), s, =Гк-1 • ] , e^ e{e2, вз, e4},

j„ L /* Jf* '

то Lin(v) с V. Пусть для некоторого '* - V'* = Lin([^]f sit ), а для Vi | i Ф U - V/ = Lin([ v]/) . По КТО Vv eV можно представить в виде v = КТО (а ■ [Vl + Р ■ %и, fu, ]п/А, П / fu ), где а> J3 е Z/fc . Исследуем взаимоотношения v, v2s e V, претендующих на роль базиса V, где v2s = КТО (s; з f. з [ V, ^ , /7 / ) • Ясно, что они линейно зависимы, так как существует их линейная комбинация у •У1 + S -v2s = 0, где у, Ô €Е , у ,S Ф 0 и выполняется = 0(modf ), 7,^ = ±1(mod(w/f )). И так как {[v]f ,s;»}линейно независимы по mod f , то нетривиальные линейные комбинации V, v9 , равные 0, всегда таковы, что Г, 8 <Е Z \ Z .Из этого следует, что Lin(^-v2s )<=Lin(v1)- Однако в силу необратимости y,SeZn v2s £Lin(vj) и ^ Lin(v)сV. Отметим, что если V'* = Lm([vx]f ,su) для нескольких 4, то для доказательства Lin(v ) с V, нужно учесть лемму 1.

Итак, мы получили, что Lin(vl) = V ^ Vi = 1, k: Lin([vx= V'. И, исходя из этого, имеем

Pr [Lin(v ) = V ] = H(t, k). (5)

Итого, вероятность Т] гарантированно отыскать по парам (/77;,С;),/ = 1,/ вектор у = К ' • e, ëZ4 равна Çl(t,k) . Рассмотрим некоторые свойства Q(t,k) •

1. Зафиксируем

Vk > 0 , тогда Q(t, k ) - монотонно возрастающая функция

и lim Q7, k)=1. Однако т.к. —k— « 1, то Q(t, k) медленно ^ 1 для больших k .

k +1

7 Г Гk

2. Если в (5) положить t = k , то получим Q(t k) "

1 __i I ' > 0.

V ^

В табл. 1 представлены значения Çl(t, к) для разных /i, /. а также практические оценки Т] - 0.(1,к), полученные при тестировании атаки на [11], реализованной с помощью Qt и библиотеки NTL. Для получения каждого Q(7, А') прово-

дилось 104 независимых испытаний.

Таблица 1

Значения Çl(t,k) и Çl(t,k) при к = 4 и к = 32

к N 4 к = 32

t Q(t, к ) Ù(t,k) t Q(t, к ) Q(t,k)

2 0.01 0.005 32 0.3 • 10-6 0.6 ■ 10-6

4 0.1 0.14 64 0.01 0.02

8 0.5 0.53 128 0.6 0.67

16 0.9 0.92 256 1 0.99

Из табл. 1 и свойств 1 и 2 понятно, что при I < к вероятность успешной атаки « 0 для Vk. Это согласуется с теоремой из [11], гласящей, что данная ПГК защищена против АИОТ при I < к . А также это показывает, что утверждение из [11] о том, что для раскрытия ключа с вероятностью ~ 1 нужно I = О (1) пар, не вполне корректно отражает степень защищенности [11].

Теперь более подробно исследуем, при каких ^ мы имеем г = , к) «1.

Ясно, что из (5) можно точно определить такое ? , чтоб при заданном к выполнялось г = / для V/ е [0,1]. Однако зависимость (5) достаточно сложна и в силу недостатка места точную аналитическую формулу для ? здесь выводить не будем. Приведем лишь численные данные, которые покажут характер зависимости ? от к и / для диапазона 2 < к < 1024, представляющего интерес для практики.

Таблица 2

Значения tut для [11] при rj ~ 0,95

к t t

16 95 93

32 210 207

64 460 455

128 1006 1004

256 2185 2186

512 4720 4715

1024 10145 10147

В табл. 2 ? - экспериментальная оценка необходимого количества пар для того, чтобы выполнялось г/ « 0.95. Из табл. 2 видно, что т] > 0,95 (т.е. ~ 1) для 2 < к < 1024 при условии, что ^ > а(к) • к, где а(к) - монотонно возрастающая функция, такая что а е [5,10]. Из анализа численных данных становится ясно, что а(к) « O(log к).

Замечание. Строгое обоснование того, что а(к) = O(log к) будет приведено в расширенной версии данной статьи.

Напомним, что в [11] утверждалось, что рассмотренная ПГК защищена против АИОТ при / < к • 1п ро1у(Х) , где X - битовая длина и ро1у(Х) - V

полином. Однако как мы увидели, успех АИОТ [17] не зависит от X хоть сколько-нибудь существенным образом. Вследствие этого получается, что в [11] происходит переоценка криптостойкости криптосистемы против АИОТ. Например, в

[11] было указано, что если выбрать poly(X) полиномом 10-й степени, то при X =1024 и к = 16 ПГК защищена, если t < 1109. Однако мы увидели, что ] > 0,95 при t > 95, и ПГК [11] нестойка уже при t > 95.

Замечание. Если говорить совсем строго, то успех АИОТ [17] зависит от X, но эта зависимость носит не такой характер, как указано в [11]. Принимая во внимание рассуждения из раздела 5, можно получить, что вероятность успеха АИОТ

[17] г]— в- Q(k, t ) , где в = Т7 ( pi ~1) • (q ~1) >Г1__L_ 1 . Однако при

У p • q I 2X/2~1 J

X > 1024 и 2 < к < 1024 последнее число настолько близко к 1, что можно полагать в = 1 и не принимать во внимание зависимость Î] от X .

АИОТ из [11] состоит в решении СЛАУ размера (4 • t) х t над кольцом Zw, где У1 - произведение 2 • к простых сомножителей. Общая вычислительная сложность атаки не превышает Oit2 • к) элементарных операций в 1п .

Напоследок заметим, что в данном случае работа идет с ПГК и даже если t меньше необходимого для успеха количества, можно попробовать произвести из

пар (mj, C . ), j = 1, t дополнительные пары за счет гомоморфных свойств.

А именно, используя мультипликативный гомоморфизм можно добавить к СЛАУ

(1) новые линейные уравнения, составленные по (\m • • m ] Г с • • C 1 ).

VL j1 jfi1 »'л jp ]n'

Однако нетрудно видеть, что в соответствии со структурой с величины 3(к,t) и Q(k, t ) не изменятся от добавления этих уравнений. Поэтому гомоморфные свойства не делают криптосистему более уязвимой к АОИТ [17].

7. Соотношение криптостойкости и эффективности [11]. Эффективность ПГК обычно в большой степени оценивается по времени, необходимому на умножение двух шифртекстов.

Значение Tmult = 30 с, получаемое при к = 1024, хоть и не является чересчур обременительным в сравнении с некоторыми вариантами ПГК в стиле Джентри [2], все же может значительно замедлить гомоморфное вычисление полинома большой степени.

Таблица 3

Время T lt умножения двух шифртекстов [11] при X = 1024

к T mult

16 108 мс

64 500 мс

512 8 с

1024 30 с

Для получения скорости, пригодной для практики, исходя из табл. 3, желательно выбирать к < 64. При к = 64 в соответствии с табл. 2 ] ~ 1 выполняется для t >460. И тогда ПГК [11] можно задействовать достаточно успешно для защищенных вычислений, если приложение таково, что есть гарантия, что у противника точно не окажется в руках более 400 пар.

8. Модификация ПГК на основе факторизации из [12, 13] и её анализ.

В работах [12, 13] была представлена модификация ПГК [11]. Её основные отличия от [11] состоят в следующем: 1) п = ^^k f , f = p. • q., p., q. - нечетные числа такие, что НОД( fj) = 1 для V/ Ф / : 2) при составлении D е Ъ\ 1 в процедуре шифрования из [11] (a., b., c.), i = 1, k генерируются так: г<—-—Жи , а затем для Vz = \,к (а b , с ) выбирают по распределению:

Pr[(a,., b, с,.) = (г,х,г)] = Pr[(a, b, c) = (г,r,х)] = 1/3 . Первая модификация на первый взгляд кажется нецелесообразной, так как в [12, 13] утверждается, что сложность взлома основана на трудности факторизации больших чисел. Однако на самом деле f] и П теперь не обязательно трудно факторизо-вать и решить характеристическое уравнение char{x) для С е Z44, одним из корней которого является также нетрудно. Поэтому единственная воз-

можность обеспечения защиты от взлома только по шифртекстам состоит в том, что n должно иметь большое число ¡5 взаимно простых сомножителей. Тогда

char ( х)

несмотря на то, что оно лишь 4-й степени, имеет по КТО решений,

среди которых противнику придется выбирать наиболее вероятного кандидата на роль открытого текста. Ясно, что если хотя бы ¡> 100, то перебор становится значительным. Однако описанный сценарий в [12, 13] не упоминался, и он требует проведения дополнительного анализа.

Вторая модификация затрагивает формулы (3-5). Заменяя в рассуждениях

1 1 1

выше значения вероятностей 1 _

1 1 1

на — — —, мы по-

k +12 • (k +1)'2 • (k +1) 3'3'3

лучим выражение $ = 1 -

Ti-T

и соответственно:

Q(t, k )=Pr [Lin(v ) = V ] = $k =

1 --

Значения Q(t, k) для [12, 13] и [11] при k = 32

(6)

Таблица 4

t Q(t, k) для [8,9] Q(t, k) для [7]

2 0,2 • 10-5 0,5 • 10-39

4 0,3 0,11 • 10-29

8 0,98 0,7 • 10-21

16 1 0,74 • 10-13

Отметим, что здесь , k) так же как и для [11] обладает свойством 1). Хотя ясно, что , k) для [12, 13] быстрее ^ 1 при t ^го для Vk > 0 (фиксиро-

ванного), так как _А__^ о гораздо быстрее, чем

3t-1

k +1

+ 2 •

1

Y

2 • (k +1)

в фор-

k

муле (5). А свойство 2) для [12, 13] заменяется на следующее: если в (6) положить

t = к, то получим Q(t, к) «^1 ~ j ^ >1.

Из свойств Q(t, к ) для [12, 13] и табл. 4 хорошо видно, что ПГК [12, 13] гораздо менее защищенная, чем [11], т.к. количество пар, необходимых для взлома [12, 13], с вероятностью « 1 < к . И таким образом вторая модификация в [12, 13] смысла не имеет.

Вычислительная сложность атаки здесь также составляет O(t2 • log n) . Для

решения СЛАУ необходимо привлекать методы, основанные на лемме Гензеля [22].

Заключение. В работе подробно проанализирована атака по известным открытым текстам из [17], применительно к ПГК [11] и [12, 13]. Основные выводы, полученные в ходе анализа, следующие:

♦ АИОТ из [17] находит ключ для ПГК [11] по t парам (открытый текст, шифртекст) с вероятностью « 1 при t > сх(к) • к и 2 < к < 1024, где

а(к) - монотонно возрастает и а(к) е [5,10], к - параметр ПГК, равный числу RSA-модулей, входящих в состав модуля П, по которому в [11] предполагается производить все вычисления.

♦ Учитывая данные о производительности ПГК [11], для получения практичной криптосхемы нужно полагать к < 64, где к = 64 является наилучшим вариантом с точки зрения криптостойкости. При к = 64 ПГК для успешного взлома нужно t > 400 пар.

♦ Криптосистема [12, 13] не защищена против АИОТ [17] при количестве пар t таком, что t е [ V, к], где у е (2, к).

Оценивая ПГК [11] в общем, можно сказать, что на данный момент она является одной из наиболее защищенных ПГК на основе факторизации против АИОТ, так как другие ПГК на задаче факторизации [7-10] гораздо менее защищены. В частности, ПГК из [7-9] не стойки к АИОТ даже при наличии одной пары [15, 16].

Также ПГК [11] обладает неплохой производительностью. Поэтому её можно использовать в приложениях, в которых есть гарантия, что противник не может перехватить более нескольких сотен пар (открытый текст, шифртекст).

Однако вопрос о построении ПГК на задаче факторизации чисел, которая являлась бы эффективной и вместе с тем строго криптостойкой против АИОТ, по-прежнему остается открытым.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Armbrust M. et al. A view of cloud computing // Communications of the ACM. - 2010. - Vol. 53, №. 4. - P. 50-58.

2. Guellier A. Can Homomorphic Cryptography ensure Privacy?: diss. - Inria; IRISA; Supélec Rennes, équipe Cidre; Université de Rennes 1, 2014.

3. Gentry C. A fully homomorphic encryption scheme: diss. - Stanford University, 2009.

4. Burtyka P., Makarevich O. Symmetric Fully Homomorphic Encryption Using Decidable Matrix Equations // Proceedings of the 7th International Conference on Security of Information and Networks. - ACM, 2014. - P. 186.

5. Nuida K. A Simple Framework for Noise-Free Construction of Fully Homomorphic Encryption from a Special Class of Non-Commutative Groups // IACR Cryptology ePrint Archive. - 2014. - Vol. 2014. - P. 97.

6. Tamayo-Rios M. Method for fully homomorphic encryption using multivariate cryptography: заяв. пат. 13/915,500 США. - 2013.

7. Rostovtsev A., Bogdanov A., Mikhaylov M. Secure evaluation of polynomial using privacy ring homomorphisms // IACR Cryptology ePrint Archive. - 2011. - Vol. 2011. - P. 24.

8. Zhirov A., Zhirova O., Krendelev S. F. Practical fully homomorphic encryption over polynomial quotient rings // Internet Security (WorldCIS), 2013 World Congress on. - IEEE, 2013.

- P. 70-75.

9. Kipnis A., Hibshoosh E. Efficient Methods for Practical Fully Homomorphic Symmetric-key Encrypton, Randomization and Verification // IACR Cryptology ePrint Archive. - 2012.

- №. 637.

10. Chan A.C.F. Symmetric-key homomorphic encryption for encrypted data processing // Communications, 2009. ICC'09. IEEE International Conference on. - IEEE, 2009. - P. 1-5.

11. Xiao L., Bastani O., Yen I. L. An Efficient Homomorphic Encryption Protocol for Multi-User Systems // IACR Cryptology ePrint Archive. - 2012. - № 193.

12. Gupta C. P., Sharma I. Department of Computer Sciences and Engineering Rajasthan Technical University, Kota, India // Network of the Future (NOF), 2013 Fourth International Conference on the. - IEEE, 2013. - P. 1-4.

13. Gupta C.P. Fully Homomorphic Encryption Scheme with Symmetric Keys: diss. - Department of Computer Science & Engineering University College of Engineering, Rajasthan Technical University, Kota, 2013.

14. Rivest R. L., Kaliski Jr B. RSA problem // Encyclopedia of cryptography and security.

- Springer US, 2011. - P. 1065-1069.

15. Трепачева А.В. Криптоанализ шифров, основанных на гомоморфизмах полиномиальных колец // Известия ЮФУ. Технические науки. - 2014. - № 8 (157). - C. 96-107.

16. Trepacheva A., Babenko L. Known plaintexts attack on polynomial based homomorphic encryption // Proceedings of the 7th International Conference on Security of Information and Networks. - ACM, 2014. - P. 157.

17. Vizàr D., Vaudenay S. Analysis of Chosen Symmetric Homomorphic Schemes // Central European Crypto Conference. - 2014. - №. EPFL-CONF-198992.

18. Tsaban B., Lifshitz N. Cryptanalysis of the MORE symmetric key fully homomorphic encryption scheme // Journal of Mathematical Cryptology. - 2014.

19. Ленг С. Алгебра: Пер. с англ. / Под ред. А.И. Кострикина. - М.: Мир, 1968. - 564 c.

20. ВиноградовИ.М. Основы теории чисел. - М.: Наука, 1972. - 510 c.

21. Klivans A. Factoring polynomials modulo composites. - CARNEGIE-MELLON UNIV PITTSBURGH PA DEPT OF COMPUTER SCIENCE, 1997. - №. CMU-CS-97-136.

22. Arvind V., Vijayaraghavan T. C. The complexity of solving linear equations over a finite ring // STACS 2005. - Springer Berlin Heidelberg, 2005. - P. 472-484.

REFERENCES

1. Armbrust M. et al. A view of cloud computing, Communications of the ACM, 2010, Vol. 53, No. 4, pp. 50-58.

2. Guellier A. Can Homomorphic Cryptography ensure Privacy?: diss. Inria; IRISA; Supélec Rennes, équipe Cidre; Université de Rennes 1, 2014.

3. Gentry C. A fully homomorphic encryption scheme: diss. Stanford University, 2009.

4. Burtyka P., Makarevich O. Symmetric Fully Homomorphic Encryption Using Decidable Matrix Equations, Proceedings of the 7th International Conference on Security of Information and Networks. ACM, 2014, pp. 186.

5. Nuida K. A Simple Framework for Noise-Free Construction of Fully Homomorphic Encryption from a Special Class of Non-Commutative Group, IACR Cryptology ePrint Archive, 2014, Vol. 2014, pp. 97.

6. Tamayo-Rios M. Method for fully homomorphic encryption using multivariate cryptography: application Pat. 13/915,500 USA, 2013.

7. Rostovtsev A., Bogdanov A., Mikhaylov M. Secure evaluation of polynomial using privacy ring homomorphisms, IACR Cryptology ePrint Archive, 2011, Vol. 2011, pp. 24.

8. Zhirov A., Zhirova O., Krendelev S. F. Practical fully homomorphic encryption over polynomial quotient rings, Internet Security (WorldCIS), 2013 World Congress on. IEEE, 2013, pp. 70-75.

9. Kipnis A., Hibshoosh E. Efficient Methods for Practical Fully Homomorphic Symmetric-key Encrypton, Randomization and Verification, IACR Cryptology ePrint Archive, 2012, No. 637.

10. Chan A.C.F. Symmetric-key homomorphic encryption for encrypted data processing, Communications, 2009. ICC'09. IEEE International Conference on. IEEE, 2009, pp. 1-5.

11. Xiao L., Bastani O., Yen I. L. An Efficient Homomorphic Encryption Protocol for Multi-User Systems, IACR Cryptology ePrint Archive, 2012, No. 193.

12. Gupta C.P., Sharma I. Department of Computer Sciences and Engineering Rajasthan Technical University, Kota, India, Network of the Future (NOF), 2013 Fourth International Conference on the. IEEE, 2013, pp. 1-4.

13. Gupta C.P. Fully Homomorphic Encryption Scheme with Symmetric Keys: diss. - Department of Computer Science & Engineering University College of Engineering, Rajasthan Technical University, Kota, 2013.

14. Rivest R. L., Kaliski Jr B. RSA problem, Encyclopedia of cryptography and security. Springer US, 2011, pp. 1065-1069.

15. Trepacheva A.V. Kriptoanaliz shifrov, osnovannykh na gomomorfizmakh polinomial'nykh kolets [Crypyoanalysis of cryptosytems based on polynomial ring homomorhisms], Izvestiya YuFU. Tekhnicheskie nauki [Izvestiya SFedU. Engineering Sciences], 2014, No. 8 (157), pp. 96-107.

16. Trepacheva A., Babenko L. Known plaintexts attack on polynomial based homomorphic encryption, Proceedings of the 7th International Conference on Security of Information and Networks. ACM, 2014, pp. 157.

17. Vizàr D., Vaudenay S. Analysis of Chosen Symmetric Homomorphic Schemes, Central European Crypto Conference, 2014, No. EPFL-CONF-198992.

18. Tsaban B., Lifshitz N. Cryptanalysis of the MORE symmetric key fully homomorphic encryption scheme, Journal of Mathematical Cryptology, 2014.

19. Leng S. Algebra: Translation from English, Under ed. A.I. Kostrikina. Moscow: Mir, 1968, 564 p.

20. Vinogradov I.M. Osnovy teorii chisel [Fundamentals of the theory of numbers]. Moscow: Nauka, 1972, 510 p.

21. Klivans A. Factoring polynomials modulo composites. CARNEGIE-MELLON UNIV PITTSBURGH PA DEPT OF COMPUTER SCIENCE, 1997. No. CMU-CS-97-136.

22. Arvind V., Vijayaraghavan T. C. The complexity of solving linear equations over a finite ring, STACS 2005. Springer Berlin Heidelberg, 2005, pp. 472-484.

Статью рекомендовал к опубликованию д.т.н., профессор Н.И. Витиска.

Трепачева Алина Викторовна - Южный федеральный университет; e-mail:

alina1989malina@ya.ru; 347928, г. Таганрог, ул. Чехова, 2, корпус "И"; тел.: +79085196604;

кафедра безопасности информационных технологий; аспирантка.

Trepacheva Alina Viktorovna - Southern Federal University; e-mail: alina1989malina@ya.ru;

Block "I", 2 Chekhov street, Taganrog, 347928, Russia; phone: +79085196604; the department of

information technologies security; postgraduate student.