CC BY
46
чтобы неавторизованные множества новой схемы включали в себя неавторизованные множества прежней схемы.
В этой связи, а также в связи с криптоанализом инволюционных шифров [2, 3] представляет интерес следующий тест идентифицируемости произвольной инволюции.
Теорема 2. Инволюция д Е V идентифицируется на В, если и только если для любых х и у в Ап, х = у, выполняется д(х)[В] = д(у)[В].
Доказательство. Необходимость. Пусть инволюция д идентифицируется на В. Предположим, что в Ла найдутся такие х и у, что х = у и д(х)[В] = д(у)[В]. Построим инволюцию £ Е V, £ = д, такую, что д(х) = ¿(у) и д(у) = £(х), а на остальных элементах в Ла инволюции £ и д совпадают. Тогда £(у)[В] = д(х)[В] = д(у)[В] = ¿(х)[В]. Имеем ¿[В] = д[В] и £ = д, что противоречит идентифицируемости д на В.
Достаточность. Пусть для любых х и у в Ап, где х = у, выполняется д(х)[В] = = д(у)[В]. Предположим, что инволюция д не идентифицируется на В. Тогда в Q найдется инволюция £, что £ = д и д[В] = ¿[В]. Если же £ = д, то в найдутся такие х и у, что х = у, д(х) = £(у) и д(у) = £(х). Следовательно, д(х)[В] = £(х)[В] = д(у)[В] = = £(у)[В], что противоречит условию. ■
ЛИТЕРАТУРА
1. Андреева Л. Н. Инволюционные схемы разделения секрета // Вестник Томского госуни-верситета. Приложение. 2007. №23. С. 99.
2. Андреева Л. Н. К криптоанализу шифров инволюциционной подстановки // Вестник Томского госуниверситета. Приложение. 2005. №14. С. 43-44.
3. Андреева Л. Н. К криптоанализу инволютивных шифров с частично известными инволюциями // Вестник Томского госуниверситета. Приложение. 2006. №17. С. 109-112.
УДК 004.056.55
ДОКАЗУЕМО БЕЗОПАСНАЯ ДИНАМИЧЕСКАЯ СХЕМА ГРУППОВОЙ ПОДПИСИ
А. В. Артамонов, П. Н. Васильев, Е. Б. Маховенко
В ряде прикладных задач для защиты сообщений от фальсификации требуется выполнение следующих условий:
— возможности создания электронной цифровой подписи одним лицом от имени группы лиц;
— невозможности идентификации автора такой подписи проверяющей стороной;
— возможности раскрытия автора подписи уполномоченным лицом.
Этим условиям удовлетворяют схемы групповой подписи. В зависимости от решаемой прикладной задачи к ним могут быть предъявлены дополнительные требования:
— возможность добавления новых членов в группу без необходимости изменения открытого ключа группы;
— возможность отзыва права подписи у определенных членов группы.
Анализ современных схем групповой подписи позволил выделить признаки, по которым такие схемы можно классифицировать и сравнивать, а на их основе построить обобщенную классификационную схему схем групповой подписи [1]. По совокупности этих признаков, в частности свойств безопасности, обеспечиваемых схемой, эффективности процедур формирования, проверки и раскрытия подписи, ее длины, а также
набору криптографических предположений следует выделить схему BBS [2]. Ее безопасность основана на предоставлении в подписи знания решения задачи SDH (Strong Diffie — Hellman): пары (A,x) Е G1 х Zp, такой, что Ax+7 = g1; где (g1) = G1 —циклическая группа простого порядка р; y Е Zp — секретный ключ выпускающего менеджера группы. Схема BBS является наиболее гибкой и расширяемой. Но ни она, ни более поздние и совершенные ее модификации BS VLR [2] и XSGS [3] не обладают полнотой сразу по всем характеристикам: функциональности, безопасности, эффективности.
Предлагается динамическая доказуемо безопасная схема групповой подписи, построенная на основе схемы BBS, с возможностью отзыва права подписи у заданного члена группы с определенного момента времени. Чтобы обеспечить возможность интерактивного добавления в группу новых членов, в схему внедрен протокол Join, по аналогии с XSGS [3]. Для этого потребовалось изменить состав ключей членов группы: ключом является тройка (A,x,y) Е G1 х Zp, где Ax+7 = g1hy, h Е G1 —элемент
открытого ключа группы, и соответствующим образом адаптировать алгоритмы формирования и проверки подписи. Предложена спецификация и самого протокола Join.
Для обеспечения полной анонимности [4] в схеме BBS CPA-стойкая схема линейного шифрования заменена модифицированной ССА2-стойкой линейной схемой Крамера — Шоупа [5]. Это позволило доказать безопасность предложенной схемы по требованиям динамической модели BSZ [4]. Согласно этим требованиям, возможности нарушителя моделируются предоставлением ему доступа к различным оракулам. При доказательстве свойств предполагается, что:
— с помощью атакующего, который умеет с ненулевой вероятностью нарушать некоторое свойство безопасности, строится новый алгоритм, решающий сложную по предположению задачу. Из этого следует, что такого атакующего не может быть;
— имеется возможность откатить алгоритм атакующего на некоторый шаг и сформировать для него новое окружение, например изменить ответ случайного оракула.
В схеме BBS применим механизм отзыва права подписи, основанный на динамических аккумуляторах [2]. Его недостаток в том, что ранее сгенерированные подписи после отзыва перестают быть корректными. Неясно также, как вынудить всех субъектов одновременно обновить локальные копии ключей, а выпускающего менеджера — всю базу данных членов группы, без которой раскрывающий менеджер не сможет раскрыть новые подписи. Все описанные проблемы носят временной характер.
Предлагается решать эти проблемы путем введения в схему доверенного субъекта, который выполняет различные проверки, ограничивающие возможности других субъектов, а следовательно, и потенциальных нарушителей, и заверяет обычной подписью временные метки первого ключа группы, известной части каждого членского сертификата и каждой групповой подписи. Таким образом, процесс формирования подписи стал интерактивным, так как теперь в нем принимает участие удостоверяющий центр. В этом случае проверяющий может использовать для проверки актуальный на момент создания подписи открытый ключ группы. Также новый субъект отвечает за синхронизацию всех остальных субъектов при проведении отзыва и не позволяет оставить базы данных группы в рассогласованном состоянии.
Предложенная система эффективно применима, если количество отзываемых пользователей незначительно, так как в этом случае все операции, требующие значительного времени на их выполнение, являются достаточно редкими. При этом количество отозванных пользователей никак не сказывается на сложности выполнения основных операций: формировании, проверке, раскрытии подписи и проверке правильности ее
раскрытия. Трудоемкость механизма отзыва инкапсулируется внутри группы и не делегируется третьей стороне по отношению к группе, а следовательно, и к организации.
ЛИТЕРАТУРА
1. Васильев П. Н., Артамонов А. В., Маховенко Е. Б. Классификационная схема групповых подписей для построения распределенных приложений // Научно-технические ведомости СПбГПУ. СПб.: Изд-во Политехнического университета, 2010. С. 71-77.
2. Shacham H. New paradigms in signature schemes // http://hovav.net/dist/thesis.pdf,
2005.
3. Delerablee C. and Pointcheval D. Dynamic fully anonymous short group signatures // LNCS.
2006. V. 4341. P. 193-210.
4. Bellare M., Shi H., and Zang C. Foundations of group signatures: the case of dynamic groups // LNCS. 2005. V. 3376. P. 136-153.
5. Shacham H. A Cramer —Shoup encryption scheme from the linear assumption and from progressively weaker linear variants // http://eprint.iacr.org/2007/074.pdf.
УДК 519.7
АЛГЕБРАИЧЕСКИЙ КРИПТОАНАЛИЗ ОДНОРАУНДОВОГО S-AES1
Р. И. Воронин
Advanced Encryption Standard (AES) — симметричный алгоритм блочного шифрования, принятый в США в качестве стандарта шифрования. AES проектировался как алгоритм, который может эффективно противостоять различным методам криптоанализа. Но в 2002 г. Николя Куртуа и Йозеф Пипджик высказали предположение о возможности алгебраической атаки на шифры с подобной AES структурой [1]. Алгебраическая атака нацелена на анализ уязвимости в математических частях алгоритма и использование его внутренних алгебраических структур. Однако об эффективности такой атаки мало что известно.
В работе исследуется применимость алгебраической атаки к упрощенному варианту S-AES, разработанному в [2]. Длина шифруемого блока и ключа равна 16 битам. Число раундов шифрования равно двум. Для анализа используются соотношения, подобные тем, которые получены в [1] для AES. Точнее, для S-блоков шифра выполнено
Vx = 0 1 = x * y,
Vx x = y * x2,
z = Ay ф b,
где x, z — входной и выходной векторы S-блока длины 4; y — обратный вектор к x в поле GF(24) с порождающим многочленом А4 + А + 1; A — некоторая фиксированная матрица и b — фиксированный вектор. С помощью данных уравнений строится система относительно битов открытого текста р, шифртекста c и ключа шифрования k, полностью описывающая процесс шифрования однораундового S-AES:
15 15 15 15 15 15
aijmpicj ф aijmpikj ф aijmkicj ф aijmkikj ф fîimPi ф Atmki ф Tm — °
i,j=0 i,j=0 i,j=0 i,j=0 i=0 i=0
где m = 0,... , 31; aijm,eim, Ym € {0,1} определяются только структурой шифра и не зависят от выбранных значений р, c, k.
1 Исследование выполнено при поддержке РФФИ (проект №11-01-00997).
