Эллиптическая пороговая схема разделения секрета Текст научной статьи по специальности «Математика»

Информатика

УДК 519.68:612.8.001.57

ЭЛЛИПТИЧЕСКАЯ ПОРОГОВАЯ СХЕМА РАЗДЕЛЕНИЯ СЕКРЕТА

А. Б. Спельников

Северо-Кавказский государственный технический университет,

355029, г. Ставрополь, просп. Кулакова, 2.

E-mail: fiss_runamail.ru

Разработан новый аспект реализации систем разделения секрета, в основу которого положена арифметика эллиптических кривых. Предложена нейросете-вая модель (k; m) схемы разделения секрета на эллиптической кривой. Разработан механизм пролонгации полученной схемы. Предложена нейросетевая модель восстановления общего секрета, а также разработана методика построения и протокол функционирования схемы разделения секрета. Выполнен расчёт оценки безопасного времени существования настроек генератора секретов.

Ключевые слова: нейронная сеть конечного кольца, схема разделения секрета, система остаточных классов, эллиптические кривые.

Сложность современных информационных систем требует особого подхода к проблематике сохранения и доступа к информации. Проблема распределения ключей является наиболее острой в современной криптографии. Одним из ее решений выделяют [1] использование «блуждающих ключей», основная задача которых — выбор эффективного правила смены сеансовых ключей для обоих участников криптографической схемы.

Усложнением метода «блуждающих ключей» является его применение для структуры доступа криптографической схемы разделения секрета.

Схема разделения секрета позволяет распределить секрет между участниками таким образом, чтобы заранее заданные разрешённые множества участников могли однозначно восстановить секрет, а неразрешенные — не получали никакой дополнительной к имеющейся априорной информации о возможном значении секрета. Разделение секрета применяется в достаточно широкой области задач: динамическое распределение данных по каналам при передаче; разделенное хранение данных; управление ключами в протоколах, содержащих большое количество участников; безопасная коллективная подпись [2].

Пусть E — эллиптическая кривая, определённая в конечном поле Fp. Применение эллиптических кривых в криптографических целях определяется в [3].

В [2, 4] свойства точек эллиптической кривой определяются как свойства аддитивных абелевых групп. Соответственно для них определяются операции сложения:

P (x, y) = Pi (xi, yi) + P2(X2, У 2) ■ (1)

Спельников Алан Борисович — аспирант кафедры информационных систем и технологий.

Рі{х, у)

Р'Лх, у)

Р(х, у)

Рис. 1. Условное графическое отображение сумматора на эллиптической кривой

Рі{х,у)

На рис. 1 представлено условное графическое отображение операции сложения.

Для точек эллиптической кривой значимой также является операция умножения точки на число:

Р(х, у) = к ■ Рі(хі,уі). (2)

На рис. 2 представлено условное графическое отображение операции умножения.

Приведенное представление операций на эллиптической кривой позволяет провести аналогию с математическим аппаратом нейронных сетей конечного кольца и его адаптацией для систем разделения секрета. Выражение (1) описывает суммирование на нейроне, выражение (2) — весовую операцию.

Усложнением классической схемы разделения секрета является пороговая схема разделения секрета, для которой определяется структура доступа — совокупность участников, объединение которых позволит сформировать правильный общий секрет. Объединение меньшего числа участников не приведёт к получению сколь-либо определённого результата.

Очевидно, что применяя (1) и (2), а также аппарат нейронных сетей, можно сформировать полином следующего вида:

Б = Ро + ЬР\ + Ь2Р2 + ■ ■ ■ + Ьк 1Рк—1, (3)

где Рі, Р2, ..., Ри-1 —случайные точки на эллиптической кривой, Ро —общий секрет.

Выражение (3) описывает некий условный полином, состоящий из координат точек, операции над которыми выполняются по правилам сложения точек на эллиптической кривой.

Пусть Ь? = Wji, тогда можем сформировать матрицу весовых коэффициентов нейронной сети

Р(х, у)

Рис. 2. Условное графическое отображение умножителя на эллиптической кривой

W =

( ЗДо

W10

W01

W11

^(к—1) \

w1(k-1)

{ 1 1

\w(m—1)0 w(m—1)1 • w(m—1)(k—1)/

Ьо

І1

\ 1 Ьт—1

Ь1 \ Ь0 +к— 1 Ь1

Ьк—1 /

Ьт-1 /

• (4)

Частные секреты получаем, подставляя в выражение различные £. Пусть г — номер абонента, которому отсылается секрет. Тогда частные секреты абонентов равны

бі = Р0 + ІР1 + і2 Р2 + ••• + ік 1Рк-1

к-1

Выражение (4) примет вид

/1 І0

1 І1

W =

\ 1 іт—1

ік— 1 10

ік— 1 І1

ік— 1 І Іт-1 /

На рис. 3 представлена нейронная сеть конечного кольца генератора частных секретов.

Рис. 3. Эллиптический генератор частных секретов

Частные секреты передают абонентам по закрытому каналу по следующей методике:

1) сервер случайным образом выбирает точку В эллиптической кривой и число й, после чего публикует В и С = г!В;

2) абоненты случайным образом выбирают числа ^ и публикуют К = = кгВ;

3) сервер публикует точки, найденные в соответствии с выражением М\ = = Si + <1К^;

4) абоненты вычисляют Si = Mi — А^С.

Восстановление общего секрета. Рассмотрим пороговую (А; т) схему. Частные секреты абонентов в общем случае получаются в соответствии с выражением

к-1

Б,

т—1

0

Е РіЬ ?,

і=0

(5)

где т — общее количество секретов на первом шаге, ] — номер секрета. Для структуры доступа выражение (5) преобразуется к виду

Б.

к1

к1

к1

0

Б1

Ер4 = Е р®(а ).

i=0 i=0

Найдём общее выражение. Пусть на первом шаге к—2 0

Б? (к1)?+1 - Б?+1(к1)?

к1

к1

Ер((кі)?(к1)?+1 - (кі)?+1(к1)^ = Е Рі(к2)?

і=0

і=0

При этом, в силу приведенной операции, слагаемое при г = 1 равно нулю. Путём аналогичных преобразований окончательно можно получить

К Sk—l,j Sк—2,j (кк—1^+1 Sk—2,j+1(kk—1)j Р0кк •

Значения К и кк и есть восстановленный секрет.

На рис. 4 представлена модель сети генератора общего секрета по известным частным.

Рис. 4. Модель сети генератора общего секрета

Рассмотрим методику пролонгации полученной схемы разделения секрета. Для генерации нового частного секрета воспользуемся возможностью умножения точки на число на эллиптической кривой.

Процесс пролонгации секрета со стороны абонента состоит в получении шага пролонгации, умножении шага на внутреннюю константу и умножении полученного результата на известный частный секрет, что можно выразить по формуле

Si,v+l = (gv)Si^v • (6)

Для сервера имеем:

^+1 = + tPl,v + t2p2,v + ■ ■ ■ + ^к ^к—1^)!

Sv+l = (gvPo,v) + КдьР^) + ^2(gvP2,v) +-------+ гк—1(дуРк—1^),

Примем gvPi,v = Р^+1 для всех г от 0 до т — 1. Тогда

^+1 = P0,v+1 + ^1^+1 + ^^2^+1 + ' ' ' + ^ 1pk—1,v+1•

Алгоритм функционирования системы разделения секрета.

1. Определяются параметры схемы: полное число участников т, пороговое число участников к, основание р схемы, эллиптическая кривая Е.

2. Случайным образом главный сервер выбирает точку-ключ Ро и точки Рі, Р2, ..., Рс на эллиптической кривой.

3. Главный сервер рассчитывает частные секреты. Полученные данные шифруются и рассылаются абонентам.

4. Главный сервер случайным образом выбирает шаг синхронизации д и секретно рассылает его абонентам.

Алгоритм функционирования системы пролонгированной безопасности.

1. Главный сервер случайным образом выбирает шаг пролонгации £ и рассылает его абонентам.

2. Главный сервер находит новое значение секрета.

3. Абоненты рассчитывают новые значения частных секретов в соответствии с известными параметрами.

Численный пример. Рассмотрим (3; 5) схему разделения секрета. Оперируем точками эллиптической кривой вида у2 = х3 + 21х + 17, определённой в поле порядка р = 1361.

Главный сервер выбирает секретные точки Ро = (62; 887), Рі = (1105; 605), Р2 = (584; 515).

Сервер рассчитывает секреты:

50 = (62;887) +(1105;605) +(584; 515) = (641; 1260),

5! = (62; 887) + 2 ■ (1105; 605) + 4 ■ (584; 515) = (670;936),

52 = (62; 887) + 3 ■ (1105; 605) + 9 ■ (584;515) = (46;975),

53 = (62; 887) + 4 ■ (1105; 605) + 16 ■ (584; 515) = (1344; 1311),

54 = (62; 887)) + 5 ■ (1105; 605) + 25 ■ (584; 515) = (789; 146).

Сервер выбирает коэффициент синхронизации д = 211, и полученные значения секретно отправляются абонентам.

Рассмотрим один шаг пролонгации схемы.

Сервер публикует шаг синхронизации V = 327.

Сервер рассчитывает Р0;^+і = gvP0)V = 947 ■ (62; 887) = (397; 460).

Абоненты рассчитывают новые частные секреты:

5о^+і = д^о,« = 947 ■ (641; 1260) = (836; 55),

5м+1 = д^м = 947 ■ (670; 936) = (908; 321),

Зг’и+і = д^2« = 947 ■ (46; 975) = (454; 965),

5з^+1 = д^ = 947 ■ (1344; 1311) = (917; 74),

5^+1 = д^м = 947 ■ (789; 146) = (674; 664).

Произведём оценку безопасного времени существования настроек генератора секретов. При этом будем исходить из наихудшего предположения, что противник (нарушитель) на данном этапе функционирования схемы обладает знанием двух незашифрованных частных секретов нескомпрометированного генератора секретов, то есть имеет возможность каким-либо способом расшифровать передаваемые частные секреты и пытается скомпрометировать скрытый параметр генератора в соответствии с выражением (6). Тогда при использовании метода последовательных сложений и умножений точек период полуперебора ключей составит Т = (р~2)Гі; где р — модуль эллиптической кривой, Ті —среднее время, затрачиваемое на одну операцию сложения или удвоения точек.

Для современных вычислителей характерна суперскалярная конвейерная архитектура, для которой усредняется процессорное время на выполнение операций сложения, умножения, записи и считывания.

При использовании проективных координат для чисел разрядности 256 известна формула для объёма вычислений сложения и удвоения точек на эллиптической кривой:

Se = 12М256 + 2S256, Ц = 7М256 + 5S256•

Принимая во внимание алгоритмы умножения чисел большой разрядности, учитывая разрядность и производительность рассмотренных вычислителей и учитывая, что на умножение и сложение тратится одинаковое процессорное время, ориентировочно получим

Se = 768Мз2 + 1552Sз2 = 2320, Ц = 448Мз2 + 929Sз2 = 1377.

Учитывая, что количества сложений и умножений точек в алгоритмах для эллиптических кривых приблизительно равны, получим среднюю сложность

^е + Це) м = к_е-----е_!_

2

Тогда среднее время на одну операцию сложения или удвоения определится из выражения

(5е + ие) т‘~—у—’

где / — количество универсальных операций, выполняемых вычислителем в секунду.

Учитывая, что р > 2П—1 (см., например, [3]), получим

г-»--»<*+<Ц,»-ц+|Ц (7)

Подставляя в выражение (7) скоростные характеристики проекта РоЫ1^@Ьоше (/ = 2,5 ■ 106 С1Р8), получим Т = 2,14 ■ 264 с или Т = 6,79 ■ 256 лет, что представляется безопасным.

Использование вычислительных комплексов и средств распределённых вычислений, а также специализированных методов, способно уменьшить это соотношение, однако даже в наихудшем случае это не представляет опасности.

В соответствии с полученными расчётами можно сделать вывод, что разработанная схема разделения секрета не требует реинициализации внутренних параметров в период функционирования.

Оценка вычислительной нагрузки при выполнении основных операций разработанной модели.

Сложение двух чисел с редукцией можно выразить по формуле [5]:

Sc ~ 2п.

Известно [5], что при использовании алгоритма Тоома—Кука затраты на умножение

Мтк = п2'У21о®2™ 1с^2 п.

Соответственно при использовании метода Монтгомери получим

Мс = 2 Мтк + 2 п = Зп2"У21о&га log2 п + 2 п.

При использовании проективных координат и якобиана перехода вычислительная сложность сложения двух точек эллиптической кривой [6]

Sp = 4Мс + 6Sc •

Основываясь на [2, 6], можно получить выражение для расчёта вычислительной сложности умножения в проективных координатах и с использованием метода «окон»:

МР = (п — 1)(12Мс + 4Бс) + (^ - Х) (Шс + 65с),

где и> — размер «окна», обычно и> = 4.

Вычислительные затраты разработанной модели при пролонгации секретов абонентами можно рассчитать по формуле

Мре = Мр + Мс,

50 100 150 200 250 300 350 400 450 500

Разрядность, п

Рис. 5. Зависимость вычислительной сложности алгоритма от разрядности оперируемых чисел

где Мр — затраты на умножение точки эллиптической кривой на число, Me — затраты на модульное умножение двух чисел.

Отметим, что для схемы с «блуждающими» ключами производительность пролонгации не зависит от количества абонентов.

Найдем выражение для расчёта вычислительной сложности схемы, представленной в [7]:

MPO = (k — 1)(m — 1)Мс + (k — 2)(m — 1)SC + m(2MP + 2SP) + (k — 1)SC. (8)

В (8) первое и второе слагаемые обусловлены генерацией абонентом данных для пролонгации, третье слагаемое выражает вычислительную сложность шифрования (с использованием эллиптических кривых), последнее слагаемое — получение нового секрета.

На рис. 5 представлена зависимость вычислительной сложности от разрядности чисел для разработанной схемы (Мре) и схемы Шамира при различных k и m (3, 5 и 7 участников соответственно в графиках СШ3, СШ5, СШ7).

Как видно, использование предложенной схемы позволяет добиться многократного снижения вычислительной нагрузки на абонентов при выполнении основной операции — пролонгации даже на пороговых схемах с малым числом абонентов.

Таким образом, разработанная схема позволяет абонентам удостоверять полученный частный секрет и обновлять его независимо друг от друга. Интересным следствием разработки является возможность идентифицировать группы пользователей при передаче вспомогательной переменной серверу в процессе аутентификации.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Баричев С. Г. Криптография без секретов. — М.: Наука, 1998. — 105 с.

2. Ростовцев А. Г., Маховенко Е. Б. Теоретическая криптография. — СПб.: Профессионал, 2005. — 478 с.

3. ГОСТ Р 34.10-2001. Процессы формирования и проверки электронной цифровой подписи.— Взамен ГОСТ 34.10-94; Введ. 12.09.2001. — М.: Изд-во стандартов, 2001.

4. Коблиц Н. Введение в эллиптические кривые и модулярные формы: пер. с англ. — М.: Мир, 1988. — 320 с.

5. Василенко О. Н. Теоретико числовые алгоритмы в криптографии. — М.: МЦНМО, 2003. — 328 с.

6. Cohen H., Miyaji A., Ono T. Efficient Elliptic Curve Exponentiation Using Mixed Coordinates / In: Advances in Cryptology - ASIACRYPT’98: Proc. of the Int. Conf. on the Theory and Applications of Cryptology and Information Security: Advances in Cryptology / Lecture Notes in Computer Science. — Berlin / Heidelberg: Springer, 1998. — Vol. 1514. — P. 51-65.

7. Herzberg A., Jarecki S., Krawczyk H., Yung M. Proactive secret sharing or how to cope with perpetual leakage / In: Proc. of CRYPTO ’95: Lecture Notes in Comp. Sci., Springer-Verlag, 1995. — Vol. 963. — P. 339-352.

Поступила в редакцию 30/VI/2008; в окончательном варианте — 03/III/2009.

MSC: 14H52, 12E20

ELLIPTIC THRESHOLD SECRET DIVISION SCHEME

A. B. Spelnikov

North Caucasus State Technical University,

2, pr. Kulakova, Stavropol’, 355029.

E-mail: fiss_runSmail.ru

The new aspect of proactive systems realization was developed, based on elliptic curves arithmetic. Neural network model of secret division scheme at elliptic curve is introduced. Prolongation mechanism of the scheme was developed. Neural network model of secret regeneration is introduced. Method of construction and functioning report of the scheme were developed. Calculation of safe time period of secret generator settings existence is introduced. Calculation of complexity and time needed for prolongation of this model is introduced.

Key words: neural network of a final ring, secret sharing schemes, system of residual classes, elliptic curves.

Original article submitted 30/VI/2008; revision submitted 03/III/2009.

Spel’nikov Alan Borisovich, Postgraduate Student, Dept. of Information Systems and Technologies.