CC BY
88
УДК 519.1
Нкулщев Г. I.
Старший викладач, Запорiзький нацональний технiчний унверситет, Украна, E-mail: tymahod@ukr.net
ПРОТОКОЛ СЛ1ПОГО ЕЛЕКТРОННОГО ЦИФРОВОГО П1ДПИСУ НА ЕЛ1ПТИЧНИХ КРИВИХ НАД СК1НЧЕНИМ ВЕКТОРНИМ ПОЛЕМ
У данш статт пропонуеться реалiзацiя протоколу слтого електронного цифрового тдпису, що являе собою модифжащю стандарту ГОСТ Р 34.10-2001 на елттичних кривих над скшченим векторним полем. Аналiзуеться захищешсть запропонованого протоколу за критерiем аношмносп.
Ключовi слова: слiпий електронний цифровий шдпис, скiнчене векторне поле, елштична крива.
ВСТУП
Останшм часом особливо! актуальносп набуло питания забезпечення чесносп та ирозоросп процедури вибор1в. У зв'язку з цим иильно! уваги науково! стльно-ти набули мехашзми електронного голосування. Одним з метод1в реал1зацп такого мехашзму е використання слшого електронного цифрового шдпису (ЕЦП). Осюль-ки на раз1 схеми слшого ЕЦП не стандартизован!, широко використовуються як власноручно розроблеш схеми, так 1 модифшацл юнуючих стандарпв.
В статт розглядаеться модифшащя росшського стандарту ЕЦП ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки ЭЦП». Цей стандарт базу еться на математичному апарап елштичних кривих (ЕК) над простим полем Галуа. Для забезпечення необхвдно! криптостшкосп стандартом рекомендуеться використову-вати иараметри алгоритму розм1ром 256 бгт 1 вище, що зобумовлюе достатню складнють групово! оиерацп в груи точок ЕК. Як вар1ант оитишзацл групово! операци можна розглядати використання ЕК над скшченим векторним полем (СВП), яке дозволяе зберегти необхвдний порядок групи точок ЕК при меншому розм1р1 елеменпв поля [1].
Сл1иий ЕЦП виршуе сиециф1чну задачу тдтверджен-ня сиравжносп докуменпв без розкриття !хнього авторства 1, завдяки цьому, може використовуватись в схемах електронного голосування. В алгоритм! слшого ЕЦП один учасник формуе документ, а шший иiдиисуе його всл1иу без можливост! ознайомитися !з вм1стом. При цьому важливо, щоб навиъ щдиисувач не зм!г встановити автора документа. Через це до шших критерпв захищеност! схем ЕЦП у вииадку слшого иiдиису додаеться критерш аношмносп. Вш иоказуе неможлив1сть визначити автора документа з боку тдиисувача, якщо вш використову-ватиме ва в1дом1 йому иараметри, яш використовува-лись ири иостановщ шдиису.
1 ЕЛ1ПТИЧН1 КРИВ1 НАД СШНЧЕНИМ ВЕКТОРНИМ ПОЛЕМ
Розглянемо одне з можливих розширень поля Галуа GF(p) - ск1нчене векторне поле. В СВП входять вектори певно! довжини n
v = Vi • e + V2 • e2 +... + vn ■ en = Ob v2'...'vn), (1)
де Vj e GF(p), - базисш вектори, i = 1,2,...,n.
На множит векгор1в визначимо операци додавання та множення.
Додавання двох вектор1в u = («1,«2,...,un) та v = (v1, v2,..., vn) вщбуваеться за формулою
w = u + v = («1 + V1 modp,«2 + V2 modp,...,un + vn modp). (2)
Одиничним елементом за операщею додавання е вектор «о = (0,0, ...,0). В1дпов1дно, вектор u = («1, «2,..., un) називаеться оберненим до вектора v = (V1, V2,..., vn), якщо u + v = «0, тобто
v = -u = (-«1 modp,-«2 modp,...,-un modp). (3)
Множення вектора v на число k реал1зуеться за формулою
k • a = (k • «1 mod p,k • «2 modp,...,k • an modp). (4)
Позначимо операцш множення двох вектор1в знаком °%. Ця групова операщя мультипл1кативно! групи СВП визначаеться асощативною таблицею множення базис-них вектор1в [1], коефщенти перемножуються за принципом множення многочлешв. В якосп одиничного еле-мента СВП оберемо, наприклад, вектор v0 = (1,0,...,0). В1дпов1дно, два елементи СВП, результатом множення яких м1ж собою е одиничний елемент, називаються взае-мно оберненими.
© Шкулщев Г. I., 2013
МАТЕМАТИЧНЕ ТА КОМП'ЮТЕРНЕ МОДЕЛЮВАННЯ
ПроiлюсIруeмо правило множення базисних векгор1в для
довжини вектора п = 2 за допомогою табл. 1, для п = 3 -
табл. 2. Значення розтягуючих коефщенпв т \ ц обчислю-ються з системи характеристичних р1внянь, що задае юну-вання оберненого вектора для будь-якого заданого V.
Таблиця 1. Множення базисних вектор1в СВП для п = 2
О е1 е2
е1 е1 е2
е2 е2 т • е2
Таблиця 2. Множення базисних вектор1в СВП для п = 3
О е1 е2 е3
е1 е1 е2 е3
е2 е2 т • е3 т • Ц • в1
е3 е3 т • Ц • в1 Ц • е2
Ыдповвдно до табл.1 система характеристичних р1внянь для п = 2 мае вигляд
VI • х + т • V2 • у = 1шоё р, V2 • х + VI • у = 0шоё р.
(5)
Якщо визначник А = VI2 - т • V22 шо<! р системи (5) приймае нульове значення, то для вектора V = (VI, V2) не юнуе оберненого. Зввдси, т мае бути квадратичним неза-лишком за модулем р. Тод1 ва ненульов1 вектори СВП будуть утворювати мультиплжативну групу порядку
(Р2 -1).
В1дпов1дно до табл. 2 система характеристичних р1внянь для п=3 мае вигляд
Vl • х + т• ц • Vз • у + т • Ц • V2 • г = 1шоёр, V2 • х + V! • у + ц • Vз • г = 0шоё р, vз • х + т • V2 • у + Vl • г = 0шоё р.
(6)
Якщо визначник системи (6) приймае нульове значення, то для вектора V = V2, vз) не юнуе оберненого. Величина (р -1) мае дшитися на 3, а кожен з добутшв т2 • ц та т ц2 мае бути куб1чним незалишком за модулем р. Тод1 ва ненульов1 вектори СВП будуть утворювати мультипл1кативну групу порядку (р3 -1).
Розглянемо визначення ЕК над СВП. Осюльки характеристика СВП дор1внюе р, то для р ф 2 та р ф 3 р1внян-ня криво! можна записувати в скороченш форм1
у о у = х о х о х + а о х + Ь , де х, у, а, Ь - елементи СВП.
(7)
Кожна пара вектор1в х, у, що задовольняе р1внянню (7), вважаеться точкою ЕК. Сукупшсть вах точок ЕК разом з несшнченно вщдаленою точкою О складае групу точок ЕК над СВП.
Групова операцiя додавання точок ЕК над СВП визна-чаеться аналогично до групово! операци додавання точок ЕК над простим полем [2] з використанням операци множення вектор1в °. Координати точки и = (хи, уи), яка представляе собою суму точок £ = (х£,у£) та Т = (хт, ут), визначаються за формулами
и л л £ Т х = Л о Л - х - х ■.
и л , £ иЛ £ у =Ло (х -х ) -у .
(8) (9)
Величина Л обчислюеться за формулою (10), якщо
£ ф Т
Л =
/V
хТ - х£
(10)
або за формулою (11), якщо £ = Т
. 3• х£ ох£ +а 3 • х£ о х£ + а Л =---, Л =---, (11)
£
2 • у
де а - коефщент ЕК.
Виконання умови гладкосп
2 • у
£
4 • а о а о а + 27 • Ь ° Ь Ф (0,0,...)
(12)
забезпечуе утворення групи точками ЕК.
В криптографп застосовуються гладка ЕК з великим простим порядком групи точок. Порядок СВП дор1внюе рп, отже ощнку порядка групи точок ЕК над СВП # Е( р) за теоремою Хассе [2] можна виразити наступним сшвввдношенням
(13)
р" +1 -2•л/р" < #Е(р) < р" +1 + 2•Лр
Зпдно з нижньою границею стввщношення (13), для досягнення порядку групи точок ЕК величиною, наприк-лад, 178 би; необхщно використовувати просте число р величиною 90 б1т за довжини вектора п = 2.
2 ПРОТОКОЛ СШПОГО ЩДПИСУ НА ОСНОВ1 ГОСТ Р 34.10-2001
Розглянемо наступний протокол слшого ЕЦП, запро-понований в [3], який базуеться на стандарт! ГОСТ Р 34.10-2001.
В схем1 приймають участь дв1 сторони: тдписувач А та абонент Б. Абонент Б виступае в якосп емггента документа т, який шдписувач А мае тдписати наослш. Вал-щатором може виступити будь-хто з них або третя особа. Перев1рка тдпису вщбуваеться за допомогою ввдкрито-го ключа тдписувача А.
Загальш параметри: просте поле GF (p), ЕК над цим полем з групою точок простого порядку q, базова точка P, хеш-функщя H ().
Протокол складаеться з трьох етатв - генеращя ключ1в, постановка тдпису, перев1рка тдпису.
П1д час генерацл ключ1в секретний ключ d обираеть-ся випадково з д1апазону 1 < d < q. Вщкритий ключ Q отримуеться з нього за формулою
Q = d • P. (14)
Етап постановки тдпису починае тдписувач А, оби-раючи одноразовий ключ k з д1апазону 1 < k < q та об-числюючи точку E за формулою
E = k • P = (xE,yE). (15)
Шдписувач А вщправляе точку E абоненту Б.
Абонент Б формуе хеш-образ пов1домлення за сшвввдношенням
h = H (m). (16)
Шсля цього вш випадково обирае маскуюш параметри а та Р з д1апазону 1 < а, р < q i обчислюе точку C за формулою
C = а • E + р^P = (xC,yC). (17)
Абонент Б обчислюе величини r та r' за формулами r = xC mod q , (18)
r ' = xE mod q . (19)
Ц величини використовуються в формул1 заслшлен-ня хеш-образу пов1домлення
r'
h' = — h •аmodq . (20)
r
Абонент Б пересилае засл1плений хеш-образ поввдом-лення h' тдписувачу А.
П1дписувач А ставить шд ним засл1плений п1дпис s' за допомогою власного секретного ключа d
s' = (d • r' + k • h' )mod q, (21)
та пересилае отримане значення абоненту Б.
Абонент Б мае можлив1сть перев1рити справжн1сть засл1пленого п1дпису s' за допомогою сп1вв1дношення (22), використовуючи в1дкритий ключ Q п1дписувача А
s' • P = r' •Q + h' • E . (22)
Якщо заслшлений п1дпис проходить перев1рку, абонент Б формуе з нього остаточний шдпис
s = (s' •r + Р- h)modq . (23)
Сл1пим п1дписом п1д документом m вважаеться пара значень < r, s >.
Вал1датор при перев1рц1 п1дпису {m,< r, s >} обчислюе точку R, використовуючи вщкритий ключ Q тдпи-сувача А
R = f P-V-TQ = (xR, yR). (24)
h h
Шдпис вважаеться справжшм, якщо виконуеться сп1вв1дношення
r = xR mod q . (25)
Автором було доведено в [4], що наведений протокол е захищеним за критер1ем аношмносп, тому в1н тдхо-дить для модиф1кацИ.
3 ПРОТОКОЛ СЛШОГО П1ДПИСУ НА ЕК над СВП
Автором пропонуеться протокол слшого шдпису, який базуеться на вищенаведеному, однак використовуе математичний апарат ЕК над СВП.
В схем1 приймають участь дв1 сторони: п1дписувач А та абонент Б. Абонент Б виступае в якосп ем1тента документа m, який п1дписувач А мае шдписати наосл1п. Ва-лщатором може виступити будь-хто з них або третя особа. Перев1рка тдпису вщбуваеться за допомогою вщкри-того ключа п1дписувача А.
Загальш параметри: сшнчене векторне поле з довжи-ною вектора n - розширення простого поля GF (p), ЕК над цим полем з групою точок простого порядку q, ба-зова точка P, хеш-функщя H ().
Протокол складаеться з трьох етатв - генеращя клктав, постановка п1дпису, перев1рка тдпису.
Щд час генерацЦ ключ1в секретний ключ d обираеть-ся випадково з д1апазону 1 < d < q. В1дкритий ключ Q от-римуеться з нього за формулою
Q = d • P. (26)
Оскшьки ЕК задана над СВП, то при обчислент суми двох точок в цш та подальших формулах використовуються ствввдношення (8-11).
Етап постановки тдпису починае тдписувач А, оби-раючи одноразовий ключ k з д1апазону 1 < k < q, обчис-люючи точку E за формулою
E = k • P = (xE,yE) (27)
та в1дправляючи цю точку абоненту Б.
Абонент Б формуе хеш-образ пов1домлення за сшвввдношенням
h = H (m). (28)
П1сля цього в1н випадково обирае маскуюш параметри а та Р з д1апазону 1 < а, р < q i обчислюе точку C за формулою
C = а • E + Р^P = (xC,yC). (29)
МАТЕМАТИЧНЕ ТА КОМП'ЮТЕРНЕ МОДЕЛЮВАННЯ
Абонент Б обчислюе величини r та r' за формулами
n
г = £xiC mod q , (30)
i=1
n
r ' = Z xiE mod q, (31)
¿=1
де xC = (xiC, x2C xnC ), xE = ( x1E, x2E,..., xnE ).
Абонент Б заслшлюе хеш-образ повiдомлення за ствввдношенням
г'
h' = — • h •a mod q (32)
г
i пересилае заслшлений хеш-образ повiдомлення h' пiдписувачу А.
Шдписувач А формуе заслiплений тдпис s ' за допомогою власного секретного ключа d
s' = (d • г ' + k • h ' )mod q, (33)
та пересилае отримане значення абоненту Б.
Абонент Б мае можливiсть перевiрити справжшсть заслiпленого пiдпису s' за допомогою сшввщношення (34), використовуючи вiдкритий ключ Q щдписувача А
s' • P = г' • Q + h' • E . (34)
Якщо заслiплений пiдпис проходить перевiрку, абонент Б формуе з нього остаточний тдпис
s = ( s •г + h) mod q . (35)
г
Слiпим тдписом пiд документом m вважаеться пара значень < г, s >.
Валщатор при перевiрцi пiдпису {m, < г, s >} обчислюе точку R, використовуючи вщкритий ключ Q пiдпи-сувача А
R = f P - г • Q = (xR,yR). (36)
h h
Шдпис вважаеться справжнiм, якщо виконуеться спiввiдношення
n
г = £ xiR mod t. (37)
i =1
R ( R R R \
де x = (X1 , X2 ,..., Xn ).
4 ОБЧИСЛЮВАЛЬНИЙ ПРИКЛАД ПРОТОКОЛУ слтого пдпису на ек над свп
Побудуемо СВП на основi простого поля GF (11) з довжиною вектора n = 2. Правило множення задамо за
табл. 1. З огляду на систему (5) значення розтягуючого коефвдента т необхiдно обирати з набору чисел
{2,6,7,8,10}, яю е квадратичними незалишками за модулем 11. Оберемо т = 7.
Розглянемо ЕК з коефщентами a = (1;3), b = (5;6). Перевiримо умову гладкостi (12)
4 • (1; 3) о (1; 3) о (1; 3) + 27 • (5; 6) о (5; 6) = (0; 3) Ф (0,0).
Базова точка P = ((3;8),(4;9)) мае простий порядок t = 113.
Згенеруемо клкш пiдписувача А. Оберемо секрет-ний ключ d = 56 та отримаемо за формулою (26) вщкри-тий ключ Q = 56 • P = ((9; 3), (9; 9)).
Шдписувач А обирае одноразовий ключ k = 28 та обчислюе за формулою (27) точку E = 28 • P = ((7;4),(0;3)).
Абонент Б емпуе документ з хеш-образом h = 100, обирае маскуючi параметри а = 44 та ß = 75, обчислюе за формулою (29) точку
C = 44 • E + 75 • P = ((8; 5), (10; 0)).
Шсля цього абонент Б обчислюе за формулами
(30-31) r = x1C + x2C = 8 + 5 = 13 та
e E
r ' = Xj + x2 = 7 + 4 = 11 вщповщно.
Абонент Б за формулою (32) за^плюе повщомлення
h ' = 13 -100 • 44 mod 113 = 81 та пересилае отримане
значення mдписувачевi А.
Шдписувач А обчислюе за формулою (33) заслшлений шдпис для отриманого значення
s' = (11 • 56 + 28• 81)mod113 = 59 та ввдправляе його абонент^ Б.
Абонент Б перевiряе справжшсть шдпису за сшввщношенням (34): в лiвiй частит ствввдношення вт
отримуе 59 • P = ((5;2),(2;5)), а в правш
11 • Q + 81 • E = ((5; 2),(2;5)). Осшльки значення в правш та лiвiй частинах перевiрочного сшввщношення збтають-ся, заслшлений тдпис вважаеться справжшм, i абонент Б обчислюе за формулою (35) остаточний шдпис
s = (59 • Ц + 75 •100)mod113 = 9.
В результат^ тд документом з хеш-образом h = 100 сформовано наослш тдпис < r, s >=< 13,9 >.
Виконаемо перевiрку сформованого тдпису. За формулою (36) обчислимо точку
R = 100 • P -130 • Q = ((8; 5), (10; 0)). В правш частит пе-ревiрочного сшвввдношення (37) отримаемо
R R
xj + X2 = 8 + 5 = 13. Ця величина збшаеться з r = 13, ввдповщно, тдпис вважаеться справжшм.
Варто ввдзначити, що використання СВП в схем1 слшо-го ЕЦП не впливае на розм1р тдпису, зокрема, не при-зводить до його збшьшення. Також важливо, що в про-цеа постановки тдпису тдписувач А не може д1знатися ш орипнального хеш-образу документу И, ш остаточного тдпису < г, 5 > щд ним.
5 ПЕРЕВ1РКА ЗАХИЩЕНОСТ1 ПРОТОКОЛУ ЗА КРИТЕРКМ АНОН1МНОСТ1
Для схем слшого тдпису, на в1дм1ну в1д 1нших р1зно-вида ЕЦП, актуальною е атака порушення аношмносп. Спроба атаки може бути здшснена тдписувачем за умо -ви, що вш збер1гатиме ва в1дом1 йому параметри схеми слшого тдпису разом 1з щентифжатором емгтента для кожно! сеси постановки тдпису. Накопичена база даних може бути використана в атащ, яка полягае у спроб1 виз-начення автора ведомого документа т 1з шдписом < г, 5 >, що проходить перев1рку за допомогою ввдкрито-го ключа тдписувача Q.
В запропонованому протокол1 атака порушення аношмносп може бути здшснена наступним чином. Пвдпи-сувач А для кожного рядка свое! бази даних мае обчис-лити ймов1рш заслшлюючи параметри а' та в ' за формулами (38, 39)
г ■ И' а' =-шоё г;
И ■ г'
' г
5 - 5--
в'=-г— шоё г,
И
(38)
(39)
За допомогою обчислених параметр1в тдписувач А для кожного рядка бази даних обчислюе точку Я' за формулою (40)
Я' = а' ■ Е + Р'-Р = (хЯ', уЯ').
(40)
Рядок бази даних, для якого виконаеться стввщношен-ня (41) мае вказати на емгтента повщомлення
П я
г = 2 Х^ шоё г. I = 1
(41)
Як доведено автором в [4], точка Я' не залежить в1д параметр1в И' , г' , У 1 завжди збтаеться з перев1рочною точкою Я (див. сшвввдношення (36)), що не дае тдпису-вачев1 можливосп визначити емгтента.
г ■ И'
Я' = а' ■ Е + р '■ Р = —■ Е +-
И ■ г' И
г
5 - 5 ■ —
г
■ Р =
— ■ Р - г' ■ Q)+ - ■ Р - — ■ Р = - ■ Р - г ■ Q = Я. И ■ г' v ' И И ■ г' И И
Таким чином, розглянутий протокол вважаеться за-хищеним за критер1ем аношмност!
ВИСНОВКИ
В статп розглядаеться протокол слшого електронно-го тдпису на основ1 стандарту ГОСТ Р 34.10-2001 з вико-ристанням математичного апарату елштичних кривих над сшнченим векторним полем. Показано, що змша математичного апарату не впливае на захищешсть схеми слшого тдпису за критер1ем аношмносп.
В подальшому автором плануеться ощнка виграшу в швидкоди та ресурсом1сткост при використанш математичного апарату ЕК над СВП в схемах ЕЦП з рекомендо-ваними параметрами.
СПИСОК Л1ТЕРАТУРИ
1. Молдовян, Н. А. Теоретический минимум и алгоритмы цифровой подписи / Н. А. Молдовян. - С. Пб. : БХВ-Петербург, 2010. - 304 с.
2. Алгоритмические основы эллиптической криптографии / [Болотов А. А., Гашков С. Б., Фролов А. Б., Часовских А. А.]. - М. : Мэи, 2000. - 100 с.
3. Костин, А. А. О реализации протоколов слепой подписи и коллективной подписи на основе стандартов цифровой подписи / Костин А. А., Молдовян Н. А.,Фаль А. М. // Материалы VI Санкт-Петербургской межрегиональной конференции «Информационная безопасность России (ИБРР-2009). Санкт-Петербург, 28 30 октября 2009. -С. Пб. : СПОИСУ, 2009. - С. 111.
4. Шкулщев, Г. I. Аношмнють як критерш оцшки захище-ност протоколiв слшого електронного цифрового тдпису / Г. I. Нжутщев, Г. Л. Козина // Правове, нормативне та метролопчне забезпечення системи захисту шформацй в УкраМ - 2012. - № 2.- С. 52-59.
Стаття надшшла до редакци 19.09.2013.
Никулищев Г. И.
Старший преподаватель, Запорожский национальный технический университет, Украина
ПРОТОКОЛ СЛЕПОЙ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ НА ЭЛЛИПТИЧЕСКИХ КРИВЫХ НАД КОНЕЧНЫМ ВЕКТОРНЫМ ПОЛЕМ
В данной статье предлагается реализация протокола слепой электронной цифровой подписи, представляющего собой модификацию стандарта ГОСТ Р 34.10-2001 на эллиптических кривых над конечным векторным полем. Анализируется защищенность предлагаемого протокола по критерию анонимности.
Ключевые слова: слепая электронная цифровая подпись, конечное векторное поле, эллиптическая кривая.
MATEMATHTOE TA KOMn'^TEPHE MO^E^BAHKa
Nikulishchev H. I.
Senior tutor, Zaporizhzhia national technical university, Ukraine
BLIND DIGITAL SIGNATURE PROTOCOL ON ELLIPTIC CURVES OVER VECTOR FINITE FIELD
Digital signature schemes can fulfill an actual task of ensuring fairness and transparency of electronic election. However, existing standards and protocols need modification into blind signature and additional security check by the anonymity criterion. The author examines blind signature protocol provided by Russian scientists. It is proposed to improve scheme's efficiency by changing inner mathematics. Elliptic curves over vector finite field enable parallel processing in group operation and reduce integer range. These advantages are illustrated by computational example. Also, improved protocol investigation by the anonymity criterion is provided in the article. The author proves that mathematics change do not affect protocol security.
Keywords: blind digital signature, vector finite field, elliptic curve.
references
1. Moldovyan N. A. Teoreticheskij minimum i algoritmy' cifrovoj podpisi. Sankt-Peterburg, BXV-Peterburg, 2010, 304 p.
2. Bolotov A. A., Gashkov S. B., Frolov A. B., Chasovskix A. A. Algoritmicheskie osnovy' e'llipticheskoj kriptografii. Moscow, Me'i, 2000, 100 p.
3. Kostin A. A., Moldovyan N. A., Fal' A. M. O realizacii protokolov slepoj podpisi i kollektivnoj podpisi na osnove standartov cifrovoj podpisi. Materialy' VI Sankt-
Peterburgskoj mezhregional'noj konferencii «Informacionnaya bezopasnost'Rossii (IBRR-2009)». Sankt-Peterburg, 28-30 oktyabrya 2009, Sankt-Petersburg, SPOISU, 2009, pp. 111.
Nikulishchev H. I., Kozina H. L. Anonimnist yak kryterii otsinky zakhyshchenosti protokoliv slipoho elektronnoho tsyfrovoho pidpysu. Pravove, normatyvne ta metrolohichne zabezpechennia systemy zakhystu informatsii v Ukraini, 2012, No. 2, pp. 52-59.
