CC BY
71
120
УДК 512.772
И. Д. Ильяшенко
АНАЛИЗ СТОЙКОСТИ КРИПТОСИСТЕМЫ МАК-ЭЛИСА НА АГ- КОДАХ К КВАНТОВОМУ СЭМПЛИРОВАНИЮ ФУРЬЕ
Проверяется квантовая стойкость криптосистемы Мак-Элиса, построенной на произвольном АГ-коде над некоторой эллиптической кривой. С помощью критерия, предложенного Динх, Муром и Расселом [3], доказано, что данная криптосистема является стойкой к квантовому сэмплированию Фурье. Таким образом, алгоритм Шора не сможет раскрыть групповую структуру кода и взломать криптосистему.
This article tests the quantum resistance of McEliece CS based on an AG-code over any elliptic curve. Using the criteria suggested by Dinh, Moore, and Russell [3], the author proves the resistance of this CS to quantum Fourier sampling attack. Thus, Shor's algorithm cannot identify the group structure of the code and break the CS.
Ключевые слова: квантовый алгоритм, постквантовая криптография, эллиптические кривые, алгебро-геометрические коды.
Key words: quantum algorithm, post-quantum cryptography, elliptic curves, AG-codes.
Введение
Квантовые компьютеры на данный момент далеки по производительности от своих классических «собратьев», но теоретически представляют угрозу современным стандартам шифрования. Процедура квантового сэмплирования Фурье, лежащая в основе алгоритма Шора [1] и его модификаций, за полиномиальное время решает проблему скрытой подгруппы — краеугольного камня криптографии с открытым
© Ильяшенко И. Д., 2015
Вестник Балтийского федерального университета им. И. Канта. 2015. Вып. 4. С. 120—124.
ключом, используемой в приложениях: дискретный логарифм, факторизация, эквивалентность кодов и т. д. Ряд криптосистем отнесен к постквантовой криптографии, то есть стойкой к квантовым атакам, одна из них — криптосистема Мак-Элиса [2], основанная на применении бинарных кодов Гоппы. Стойкость не является основанием ее практического использования ввиду больших размеров ключей. Для уменьшения размера ключа можно использовать алгебраические кривые ненулевых родов, но это может снизить безопасность системы.
Далее будет доказана стойкость модификации криптосистемы Мак-Элиса к квантовому сэмплированию Фурье. Ограничимся случаем, когда АГ-код построен над эллиптическим функциональным полем. Стойкость оригинальной криптосистемы доказана в [3], где приводится 121 критерий стойкости, условия которого последовательно проверятся.
1. Предварительные сведения
В классическом виде криптосистема Мак-Элиса выглядит следующим образом. Выбираем натуральные числа Ь и п, причем п равно степени 2 и Ь <к п. Находим произвольный неприводимый многочлен степени Ь из поля , где п = 2т . Строим порождающую матрицу кода
Гоппы С размера к х п, где к ^ п - Ьт.
Для кодов Гоппы существует эффективный метод декодирования, поэтому необходимо скрыть структуру полученного кода. С этой целью выбираем бинарную неприводимую к х к матрицу Б, п х п матрицу перестановки Р. Вычисляем С' = БСР. В итоге получаем открытый ключ (С, Ь), который можно опубликовать. Закрытым ключом является (Б, Т>с , Р), где Т>С — эффективный алгоритм декодирования кода С.
Объем ключевого пространства равен
—п!(пп -1 )(я" -п)...(пп -пп-1).
Код, порождаемый матрицей С', имеет ту же размерность и минимальное расстояние, что и исходный код Гоппы.
Пусть т е Е2к — исходное сообщение. Случайным образом выбираем вектор 2 е вес Хэмминга которого равен Ь. Получаем шифро-текст с = тС © 2 .
Для дешифровки вычислим сР-1 = (тБ)С © 2Р-1. Так как сР имеет дистанцию Хэмминга Ь к коду С, то, применяя алгоритм декодирования Гоппы, получим тБ. Итак, исходное сообщение т = тББ-1.
Использующийся здесь бинарный код Гоппы является частным случаем АГ-кодов.
Пусть ¥ /— алгебраическое функциональное поле, Р1,..., Рп —
попарно различные точки ¥ / степени 1 (то есть ¥ч — рациональные
точки кривой [5]), О = Р1 +... + Рп, О — дивизор ¥ /такой, что Бирр О п Бирр О = 0, £ (О ) = {х е ¥ |(х)^ -О} и {0} — пространство Ри-
мана — Роха, ассоциированное с О.
Определение. Алгебро-геометрическим кодом (или АГ-кодом) СОО, ассоциированным с дивизорами О, О, является
С0,с := {(/(Р1),..., /(Рп)) I / е £(О)} д I?. В дальнейшем будем вместо СО О использовать просто С. ЛиЬ(С) = {л е Бп | л (С) = С} — группа автоморфизмов кода С. 122 Определение. Минимальная степень группы автоморфизмов АГ-кода С:
тт(Ли1(С)) = тт^(С^«с (# с е С: ст(с) * с).
Определение. Минимальная степень группы автоморфизмов функционального поля, соответствующего кривой:
т1п(Ли1(Р/ )) = т^еЛи^^,,„=«„ (#х е ¥ : ст(х) = х). 2. Критерий
В работе [3] быт получен следующий критерий стойкости криптосистемы к квантовому преобразованию Фурье.
Теорема 1. Пусть у1 ^ п02п и группа автоморфизмов АиЬ(С) имеет минимальную степень О(и), г - ранг порождающей матрицы кода С. Тогда подгруппа К кода С неразличима, если
\AutC)| ,
171
где т - степень расширения ¥ / Fq.
Рассмотрим сначала мощность группы автоморфизмов кода. Пусть стеЛ^(С), тогда сеС, с = (сг,..., ^) = (/(Рг),...,/(Рп)),
ст(с) = (Со(1), ..., сП(п)) = (/(РП(Ц), ..., /Рп))).
Итак, автоморфизм кода действует на точки функционального поля: ст(Р) = Рп({), значит, ст — автоморфизм ¥ / Fq и Лut(C) с Ли1:(¥ / Fq).
Известно, что число автоморфизмов эллиптической кривой ограничено [6] и равно некоторому делителю числа 24. Таким образом,
|ЛиЬ(¥ / Fq)< е°(п) ^ |ЛиЬ(С^ео(п).
Также для порождающей матрицы линейного кода всегда г = к, то есть вытолняется третье условие критерия. Остается рассмотреть минимальную степень группы автоморфизмов кода.
3. Группы автоморфизмов эллиптической кривой
Число автоморфизмов эллиптической кривой ограничено и равно делителю числа 24.
Теорема 2 [6, с. 103]. Пусть E/K - эллиптическая кривая. Тогда ее группа автоморфизмов конечного порядка - делителя 24. Возможны случаи:
2, если j(E) Ф 0,1728; 4, если j(E) = 1728 и char(K) Ф 2,3;
6, если j(E) = 0 и char(K) Ф 2,3; 12, если j(E) = 0 = 1728 и char(K) = 3;
24, если j(E) = 0 = 1728 и char(K) = 2.
Рассмотрим действие автоморфизмов на рациональные точки эллиптической кривой при char K = 2.
1. j(E) Ф 0 Ф 1728. Кривая в данном случае описывается уравнением
y2 + xy = x3 + a2 x2 + a6, где a6 Ф 0.
Автоморфизмы представляют собой замену x = x, y = y + sx, где s2 + s = 0 ^ s = 0,1: CTj:(x, y) ^ (x, y), ст2:(x, y) ^ (x, y + x).
Автоморфизм ст2 фиксирует точки (0, ± ^/a") и точку на бесконечности, то есть минимальная степень Aut(E) равна n - 3 е Q(n).
2. j(E) = 0 = 1728. Уравнение кривой:
y2 + a3 y = x3 + a4 x + a6, где a3 Ф 0.
Здесь автоморфизмы такие: x = u2x + s2, y = y + u2sx +1, где u3 = 1, s4 + a3 s + (1 - u)a4 = 0, t2 + a3t + s6 + a4s2 = 0.
Далее будем рассматривать автоморфизмы как тройки. Пусть u = 1: (x,y) ^ (x + s2,y + sx +1). Точки зафиксированы при условии, что s = 0 и t = 0. Получаем тождественный автоморфизм (1, 0, 0), следовательно, остальные фиксируют лишь точку на бесконечности. Пусть u = а, где ord a = 3 и a2 =a + 1. Здесь восемь автоморфизмов:
(x, y) ^ (a2x + s2, y + a2sx +1).
Подставляя a2 = a +1, имеем условие фиксации точек ax = s2, as3 = t.
Преобразуем уравнение кривой через замену x = —:
a
y2 + a3 y + a3 s3 + a6 = 0. Зафиксируем корень s: уравнения s4 + a3s + (1 + a)a4 = 0. Тогда t = s^a. Таким образом, получаем автоморфизм (a, sx, s^a), который
фиксирует помимо точки на бесконечности еще две с координатами
s2
(—, y), где y2 + a3y + a3s^ + a6 = 0. Аналогично и для остальных корней
a
s2, s3, s4.
Поделив t2 + a3t + s6 + a4s^ на t + s3a, получим чет^1ре автоморфизма (a, s, s3a + a3), которые фиксируют только точку на бесконечности.
В итоге оказывается, что минимальная степень Aut(E) равна n - 3 е Q(n). Аналогично получаем, что для char K Ф 2 эта величина равна n - 4 е Q(n).
123
Заключение
Криптосистема Мак-Элиса, построенная на АГ-кодах над эллиптическими кривыми, не может быть взломана квантовым преобразованием Фурье (то есть алгоритмом Шора) при достаточно большом размере основного поля. Было показано, что АГ-коды удовлетворяют всем условиям критерия стойкости для произвольных эллиптических кривых.
Список литературы
1. Shor P.W. Algorithms for quantum computation: discrete logarithms and factoring // Found. of Computer Science : Conference Publications. 1994. P. 124 — 134.
2. McEliece R. J. A public-key cryptosystem based on algebraic coding theory // DSN Progress Report. 1978. № 42—44. P. 114—116.
3. Dinh H., Moore C., Russell A. The McEliece cryptosystem resists quantum Fourier sampling attacks. 2010. URL: http://arxiv.org/abs/1008.2390 (дата обращения: 12.02.2015).
4. Stichtenoth H. On automorphisms of geometric Goppa codes // Journal of Algebra. 1990. № 130(1). P. 113—121.
5. Stichtenoth H. Algebraic function fields and codes. Springer, 2008.
6. Silverman J. Arithmetic of elliptic curves. Springer, 2009.
Об авторе
Илья Дмитриевич Ильяшенко — асп., Балтийский федеральный университет им. И. Канта, Калининград.
E-mail: tommplay@gmail.com
About the author
Ilia Ilyashenko, PhD student, I. Kant Baltic Federal University, Kaliningrad.
E-mail: tommplay@gmail.com
