Геометрическая реализация метода проведения электронных выборов, основанного на пороговом разделении секрета Текст научной статьи по специальности «Математика»

ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ

ТЕХНИКА И УПРАВЛЕНИЕ INFORMATION TECHNOLOGY, COMPUTER SCIENCE, AND MANAGEMENT

УДК 512.6 DOI 10.23947/1992-5980-2018-18-2-246-255

Геометрическая реализация метода проведения электронных выборов, основанного на

*

пороговом разделении секрета* А. В. Мазуренко1, В. А. Стукопин2

1ООО «ДДОС-Гвард», г. Ростов-на-Дону, Российская Федерация

2Донской государственный технический университет, г. Ростов-на-Дону, Российская Федерация

Geometric realization of electronic elections based on threshold secret sharing*** A. V. Mazurenko, V. A. Stukopin

1DDoS-GUARD LLC, Rostov-on-Don, Russian Federation

2Don State Technical University, Rostov-on-Don, Russian Federation

Ö О T3

M

'S

M

(U >

Л £ Л

Введение. Среди актуальных задач криптографии можно выделить задачу обеспечения безопасного и честного проведения электронного голосования. В настоящей работе описан метод проведения электронных выборов с точки зрения обеспечения криптографической безопасности. Материалы и методы. При решении поставленной исследовательской задачи использованы теоретические результаты из теории конечных полей, проективной геометрии и линейной алгебры. Разработанная криптосистема основана на применении геометрических объектов, рассматриваемых в проективной геометрии над конечными полями. Результаты исследования. Разработанный алгоритм основан на схеме шифрования Эль-Гамаля и на новом геометрическом способе разделения секрета между избирательными комиссиями. Данный способ использует особенности построения аффинных пространств над конечными полями для создания подходящих геометрических конструкций и генерации секрета, поиск которого, с точки зрения злоумышленника, является сложной алгоритмической задачей. Использование порогового метода разделения секрета обосновывается необходимостью исключить возможность фальсификации результатов голосования со стороны членов избирательной комиссии. Авторами определено, с какой вероятностью злоумышленнику удастся сгенерировать верную секретную долю в случае, когда ему известна лишь ее некоторая часть.

Обсуждение и заключения. Предложенная криптографическая система может быть применена для проведения электронных выборов, а также в тех областях, где возникает необходимость в использовании методов пороговой криптографии.

Ключевые слова: криптография, криптосистема с открытым ключом, схема Эль-Гамаля, конечные поля, пороговая криптография, разделение секрета, аффинная геометрия, проективные пространства, электронные выборы, задача Диффи-Хеллмана.

Introduction. One of the tasks arising in cryptography is to ensure a safe and fair conduct of e-voting. This paper details the algorithm of electronic elections particularly that part which deals with the cryptographic security. Materials and Methods. The results are obtained on the basis of the following methodology: finite field theory, projective geometry, and linear algebra. The developed cryptosystem is based on the application of geometric objects from projective geometry over finite fields.

Research Results. The invented algorithm relies on the ElGamal encryption and a new geometric way of secret sharing among election committees. The proposed method uses some features of affine spaces over finite fields to generate special geometric constructions and secret, search of which is a complex algorithmic task for an illegal intruder. The threshold secret sharing is used to prevent voter fraud on the part of the members of election committees. The probability to generate the right share of secret by an illegal intruder in case when he/she knows only a part of secret shares is determined.

Discussion and Conclusions. The described scheme is useful for electronic voting and in other spheres where methods of threshold cryptography are applied.

Keywords: cryptography, public-key cryptosystem, ElGamal encryption system, finite fields, threshold cryptography, secret sharing, affine geometry, projective spaces, electronic voting, Diffie-Hellman problem.

Образец для цитирования: Мазуренко, А. В. Геометрическая реализация метода проведения электронных выборов, основанного на пороговом разделении секрета / А. В. Мазуренко, В. А. Стукопин // Вестник Дон. гос. техн. ун-та. — 2018. — Т. 18, № 2. — С. 246-255. БО! 10.23947/1992-5980-2018-18-2-246-255

For citation: A.V. Mazurenko, V.A. Stukopin. Geometric realization of electronic elections based on threshold secret sharing. Vestnik of DSTU, 2018, vol. 2, no.2, pp. 246-255. DOI 10.23947/1992-5980-2018-18-2-246-255

Введение. Авторами разработана криптосистема, основанная на пороговом разделении секрета, которую возможно применить при разработке протокола электронного голосования. Для шифрования и дешифрования голосов используется усиленная схема Эль-Гамаля. Согласно данной схеме генерируется некий секретный параметр, далее называемый секретом, являющийся элементом определенной циклической группы. Для разделения секрета между проверяющими авторами разработан способ, заключающийся в следующем: секрету взаимно однозначно ставится в соответствие некоторая прямая аффинного пространства,

ассоциированного с векторным пространством к" над конечным полем к, где п е N. Это аффинное

пространство будем считать объемлющим пространством для всех рассматриваемых геометрических объектов.

Далее проводится некоторая фиксированная плоскость через эту прямую. Эта плоскость объявляется каждому

из проверяющих. Затем строится некоторое аффинное подпространство М, размерность которого совпадает с

количеством проверяющих, и выделяется семейство подпространств, вложенных в Ми образующих полный

флаг. При этом М должно удовлетворять следующему свойству: результатом его пересечения с «публичной»

плоскостью является в точности «секретная» прямая, причем данная прямая не лежит ни в каком собственном

подпространстве, принадлежащем построенному семейству подпространств М. Итак, в качестве секретных

долей используются попарно различные аффинные прямые, лежащие в аффинном подпространстве М, так что

их число совпадает с размерностью М, а сами они порождают М. Для восстановления секрета необходимо

найти прямую сумму секретных долей, что позволяет восстановить аффинное подпространство М, пересечение

которого с «публичной» плоскостью дает «секретную» прямую, соответствующую в силу построенной биекции

искомому секрету. Обладая секретным ключом, проверяющие могут расшифровать, согласно схеме Эль-

Гамаля, голоса избирателей и в дальнейшем подвести итог голосования. В данной работе в качестве геометрии,

при помощи которой будут реализованы описанные идеи, выбрана проективная геометрия.

На сегодняшний день существует множество работ, посвященных вопросам проведения электронного

голосования. Многие из них нашли применение в странах, где такое голосование широко используется.

Данная работа носит исключительно теоретический характер и относится скорее к области алгебры и

ее возможных приложений, при этом не претендуя на полноту изложения с точки зрения криптографии. ^

Постановка задачи. Построим криптосистему, основанную на пороговом разделении секрета [1], для

обеспечения легитимных электронных выборов [2-5]. Можно выделить три стороны, которые будут и

участвовать в моделируемом процессе: администратор, проверяющие и избиратели. Администратор — л

К

доверенное лицо, которое обладает наибольшими полномочиями и является аналогом центра сертификации. ^

К

Представляет интерес задача создания таких условий, при которых ни один из проверяющих не был й

способен самостоятельно расшифровать шифротекст, представляющий собой результат голосования ^

некоторого избирателя. В общем случае потребуем, чтобы для дешифрования потребовалось участие t ^

<о

проверяющих, где 1 < t. ^

К!

Основная часть. В работе будут использоваться следующие стандартные обозначения: N — ¡^

множество натуральных чисел, (Х^ — линейная оболочка подмножества X некоторого линейного пространства ч

Т н

V, Огй (Я) — порядок произвольной группы Я, А — транспонированная матрица для матрицы А. ¡3

0

Предположим, что общее количество проверяющих 2 = Ш, где г,Nе N. Пусть 5 = {.^S2,...sz} — ^ множество проверяющих. Разделим их на команды из t человек. Пусть далее Бг обозначает г-ю команду, где и

I = 1, N, состоящую из определенных t проверяющих, то есть = , з^,...,^ }, и^^ 1Бг = 5 , Бг ш Б у = 0, где Ц

— Й г ], I, ] = 1, N . Предположим, что все необходимые параметры генерирует администратор, за исключением ^

а

оговоренных случаев. о

1 и

В основе разработанной криптосистемы лежит усиленный вариант схемы Эль-Гамаля [6-8]. Согласно К

данной схеме, по известному алгоритму генерируются параметры (р, £), где р — простое число, а g —

S

Ö

и (U

Ü £ Л

248

порождающий элемент мультипликативной абелевой группы О с Хр, причем порядок Огё(О) = д, где д —

такое простое число, что д = (р -1)/ 2 . Пара (р, g) объявляется частью открытого ключа.

Этап генерации секретного ключа. Сначала при помощи некоторого генератора псевдослучайных

чисел необходимо получить случайное число х е 1, д -1, принимаемое в качестве секретного ключа. Опишем

разработанный метод, позволяющий разделить х на секретные доли, которые раздадут каждому из проверяющих.

Пусть 5 е N, г — некоторое простое число, т е N : / < т . Обозначим проективное пространство размерности т над полем ф , индуцированное векторным пространством Ф1(я+1) над полем ф , через

РО(т, г'5) или РО(Ф.(т+1)) [9]. Пусть РО(т, г5) состоит из множества точек, однородные координаты которых

определяются как (а0 :а^...:ат), а еф, 3 1 е 0,т : а^ Ф 0. Всего в РО(т,г5) существует

(г(т+1)5 - 1)/(г5 -1)= 1 + г5 + г25 +...+ гт5 различных точек.

Положим далее, что w = г5, а — примитивный элемент поля Ф.+1, р = ап — примитивный элемент

поля , где п = (wm+1 -1)/^ -1), а также д < wm+1, где, как было указано выше, х е 1, д -1. Легко увидеть, что верна

Лемма 1. Рассмотрим множество А = {а ,а ,...,а }, где п = ^^ - l)/(w -1). Тогда для всех а, а1 е А,

' Ф1, выполняется условие а1 Ф уа1, где у е ', 1 е 0, п -1.

Рассмотрим векторное пространство Ф,— над полем Ф. Выделим подпространство

Ь = {)}^(а0,ра0,...,р^2а0 )...,(а' ,ра' ,...,р^2а' ),...,(аn-1,раn-1,...рw-2аn-1^

векторного пространства Ф-+1 над полем , где ' е 0, п -1, п = ^^ -1)/^ -1). Заметим, что &т(Ь) = т +1.

Действительно, Ь содержит п^ -1) +1 = wm+1 точек. Тогда ^'т(Ь) = loSwwm+i = т +1. Рассмотрим разбиение Б

множества Ь\{0} , определяемое семейством множеств: А' = {Х(а',раг,...,рw 2а')| XефW}, где ' е 0,п-1, п = (wm+1 — l)/(w-1). Из леммы 1 следует, что А'пАу = 0, где ' Ф1. Действительно, согласно лемме 1 для всех а', а 1 е А, ', 1 е 0, п -1, ' Ф1, выполняется условие рга' Фрка->, где г, к = 0, w- 2 . Обозначим фактормножество множества Ь \{0} по отношению эквивалентности , соответствующее разбиению Б, через РО (т, w). Итак, РО (т, w) является проективным пространством размерности т над полем Фw, индуцированным векторным пространством Ь над полем Ф. Будем говорить, что РО (т, w) состоит из точек, однородные координаты которых имеют вид: (а') = (а': ра' ...: р^2а'), где а — примитивный элемент поля

Ф ^+1, р = ап, ' = 0, п -1, п = (wm+1 - l)/(w -1). Таким образом, верна

Лемма 2. Количество точек в РО (т, w) равно п = (wm+1 -1)^ -1).

^ Рассмотрим произвольное векторное пространство V над некоторым полем к. Назовем каноническим

3 проектированием отображение \: (V \{0}) ^ PО(V),

1 $00 = [v], (1)

ТЗ -

^ сопоставляющее вектору V е V \{0} класс эквивалентности, определенный элементом V [9].

Пусть а — примитивный элемент поля Ф^+1, где Ф^+1 =Ф^х]/(/(х)), f(х) еФW[x] — минимальный многочлен а над полем Ф w . Пусть, у: РО (т, w) ^ РО(т, w)

у((а'))= (а0 : а^...: ат), (2)

где а1 е Фw — коэффициенты многочлена, являющегося представителем класса эквивалентности,

соответствующего а' в Ф^х]/^(х)) с точностью до изоморфизма, ' = 0, п -1, п = (wm+1 -l)/(w-1), 1 = 0, т .

Теорема 1. Отображение ^ является взаимно однозначным соответствием между множествами РО (т, н) и РО(т, н). Более того, V отображает проективные подпространства РО (т, н) на проективные подпространства РО(т, н).

Доказательство. Положим, что / (х) = 2™ 0 а1хг — представитель класса эквивалентности,

соответствующий а1 в Фн[х]/(/ (х)). Тогда

у((У : ра:...: рн—V )1Х( ж ) = (а0 : а,:...:ат ^ „+„,

где 1 = 0, п — 1, п = (н,т+1 — 1)/(н -1). Легко проверить, что ^ есть биекция. Действительно, из рассуждений перед леммами 1 и 2 следует, что достаточно проверить инъективность отображения ^. Пусть

(Ц): а^...: а™) = (¿0 : Ь.:...: Ът) , то есть Ъ,. = Ха,., где 1 = 0, т , ХефЦ . Поскольку / (х) = Т!т=0а1х' и Шх^ Х"0а — представители классов эквивалентности, соответствующие ау и Яау в Ф1[х]/(/(х)), то

у((ау )) = (а0: а1:...: ат) и у((Яау )) = (Ъ0: Ъ,:...: Ът), где у = 0, п — 1, п = (н'т+1 — 1)/(н — 1). Но (а) = (Яа ) в силу построения РО (т, н).

Пусть 2 — векторное подпространство Фн[х]/(/(х)), £(2 \{0}) — проективное подпространство РО(т,н). Зафиксируем базис 2: {^^.../к}, где к = С1т(2). Тогда точки V )), где 1 = 1,к, являются

проективно независимыми, то есть, образуют некоторое проективное подпространство Н с РО (т, н): £ (2 \{0}) = у (Н).

Таким образом, проективные пространства РО(т, н) и РО (т, н) над полем Фн изоморфны. В дальнейшем вместо РО (т, н) будем использовать обозначение РО(т, н), отождествляя эти два множества.

Пусть а — примитивный элемент поля Фн™+1 , р = ап, где п = (нт+1 — 1)/(н — 1). Рассмотрим

*

отображение т: Ф^т+1 ^ РО(т, н),

Т(а'ру) = (а) , (3)

где 1 е 0, п — 1, у е 0, н — 2 . Из леммы 1 легко увидеть, что верна §

К

Лемма 3. Отображение т является сюръективным.

Пусть а — примитивный элемент поля Фнт+1, р = ап, где п = (нт+1 — 1)/(н — 1). Рассмотрим

7

произвольное конечное поле Ф 7 , где р — положительная степень некоторого простого числа р, 7 е N,

р 5

й

р7 < нт+1, С — примитивный элемент поля Ф 7 . Рассмотрим отображение ц: Ф* 7 ^ Ф* т+1, к

р р н щ

*

<а н

--64

где у е 0, р7 — 2. Очевидно, что ц является инъективным отображением. Заметим, что любой элемент щ

л

* - - ч

а е Ф т+1 может быть единственным образом представлен в виде а = а'ру, где 1 е 0, п — 1, у е 0, н — 2 .

К

Определим отображение 8: Ф 7 ^ Фн, о

р К

8(Ъ) = ру, (5) §

ц (dy) = аy, (4)

й И

к

. 1 ^

Рассмотрим произвольное конечное поле Ф^7 , где р — простое число, 7 е N, р7 < м>т . Определим й

Л О

К

К

где ц(Ь) = apj для некоторых i е 0, n -1, j е 0, w - 2 . Рассмотрим произвольное конеч!

отображение Ф : Ф* z ^ PG(m, w) х ^ Ф

ф(Ъ) = (т(ц(Ъ)), 8(Ъ)), (6)

где используются ранее определенные отображения т (3), ц (4), 8 (5). Из лемм 1 и 3 легко увидеть, что верна

Теорема 2. Отображение ф является инъективным.

Вернемся к описанию разработанного алгоритма. Покажем, как сопоставить секрету точку

*

проективного пространства. Секретный ключ х представляет собой элемент мультипликативной группы Ъ д,

где д — простое число, так что х е 1, д -1. Для генерации секрета зафиксируем случайный порождающий

* - 1

элемент Ь циклической группы Ъ д и некоторое целое число 1 е 0, д - 2, а затем положим Ь = х. Далее

зафиксируем примитивный элемент а поля Ф^т+1. Поскольку д < нт+1, то можно рассмотреть ранее

определенное инъективное отображение ц: Ъд ^ Фнт+1 (4). Итак, ц(Ь') = а 1, где 1 е 0, д - 2. Поскольку можно

легко вычислить элемент ап, где п = (нт+1 -1)/(н -1), то а1 =а ш+г, где V еЪ , г еК, согласно алгоритму

*

Евклида. Таким образом, используя отображение т : Фнт+1 ^ РО(т,н) (3) получаем т(а1) = т(а™+г) = (аг). Также,

* *

исходя из определения 8: Ъд ^ Фн (5), вычисляем 8(Ь') = аvn. Следовательно, отображение ф^РО(т,Н)хБ* (6) сопоставляет секретному ключу ф(х) = ((аГXа"). Публикуем значение VеЪ .

Случайным образом строим проективную прямую I е РО(т, н): (аг) е I. Полученная проективная прямая I

публикуется. Итак, будем обозначать «секретную» точку, то есть точку, которая сопоставляется секрету при помощи отображения ф , через (с) е РО(т, н).

Далее администратор генерирует систему попарно различных проективных подпространств {М1}1=1 с РО(т, н) размерности / -1, таких что М1 I = (с), где 1 = 1, N, N — количество команд проверяющих. Так как число людей в одной команде 2 < / < т , то размерность ё создаваемых проективных подпространств в зависимости от / может принимать значения 1 < ё < т -1, то есть создаваемое проективное пространство может быть некоторой проективной прямой в случае / = 2, а при / = т — проективной гиперплоскостью в РО(т, н).

Пусть одним из построенных проективных подпространств будет М с РО(т, н). Пусть М есть /мерное векторное подпространство векторного пространства Ф^т+1 над полем Фн, для которого выполняется условие £(М) = М , где £ — ранее определенное каноническое проектирование (1). Рассмотрим максимальный флаг длины /, получаемый при помощи базисных векторов М {р15 Р2,...,Р/} сФ^т+1:

М0 = ^ с М1 =(Р^ с... с М1 =(р1,р2,...,р^. Тогда для «секретной» точки (с) е РО(т, н) и элемента с еФ^т+1:

£(с) = (с) , должно выполняться условие с е М{ \ М{-1. Необходимость соблюдения этого условия будет ясна из дальнейших рассуждений.

Существует несколько способов сгенерировать искомое (/ -1) -мерное проективное подпространство

М с РО(т, н). Опишем один из таких методов, который заключается в переходе от одного базиса к другому.

Зафиксируем некоторый базис р = {РьР2,...Рт+1} векторного пространства Фнт+1 над полем Фн.

Рассмотрим разложение элемента с ^ 0, с е Ф т+1 по этому базису: с = 'Еф+1v1р1 , где vi е Фн. Пусть в этом

разложении ровно . е1,т + 1 коэффициентов ,Vk ,...,^ отличны от нуля, где к1 е1,т +1, 1 = 1,..

И 12 ] й

,§ Перенумеруем элементы базиса р так, что для нового базиса Р] выполняется условие: Р/ := Рк и // := Iк. , где

М __.

"¡3 1 = 1,., то есть в разложении с по базису Р] все коэффициенты отличные от нуля находятся на первых .

и

.> позициях: с = ^/Р/ = Zm+1v1Р1. Заметим, что в качестве такого начального базиса Р удобнее всего выбрать полиномиальный базис, в силу построения РО(т, н).

£

Если для рассматриваемого базиса Р] выполняется условие: . = /, то достигли желаемого результата.

Пусть 1 < у < / -1. Зафиксируем некоторый элемент е фЦ. Приведем пример матрицы перехода Ау+1 е ОХт+1(Фн) от у-го базиса {Ру}г'т:"[1 к (у + 1)-му {р/+1}т=+1 базису векторного пространства Фнт+1 над полем Фн, такому что с = Z/!11//+1р/+1, где /{+1 = /{ , 1 = 1,у , р(+1 = Р{ , где к = 1,т + 1, к г у,у +1,

Ц/у +1

Ру+1 =Ру--/T"Ру+1, Ру+1 = ЛРу+1' где ^ефЦ — произвольный, но зафиксированный, элемент. Пусть

1у+

Р^+1 = (Р/+1,Р2+1,...,Рт++11)Т, Р1 = (Р1,Р2,...,Рт+1)Т . Матрица Ау+1: #+1 = Ау , представляет собой единичную матрицу, за тем исключением что в ее у +1 столбце единственными ненулевыми элементами

у1

являются а у у+1 =--—— и а у+1 у+1 = л, находящиеся в у-ой и (у +1)-ой строках соответственно. Тогда

J1

Ц

j1

Ру = Ру--Р у+1, Ру+1 =^Ру+1 и Рк =Рк, где к = 1, т + 1, к г у, у +1. Таким образом, проделывая

описанную процедуру / - у раз, начиная с базиса Р3, получаем базис р/ = {Р1, Р2,... Рт+1} векторного пространства Фнт+1 над полем Фн: с = , где // е Ф*,, 1 = 1, /.

Пусть / + 1 < у < т +1. Опишем матрицу перехода В у-1 е ОЬт+1(Фн) от у-го базиса {Р{ }гт:+1 к (у -1)-му {Ру-1}т=+1 базису векторного пространства Фнт+1 над полем Фн, такому что с = Z/_l1//-1Р/-1, где

___ __/У р у

/у- = Ц , 1 = 1, у-1, Рк-1 =Рк, где к = 1, т + 1, к г у-1, у , Р у-1 =Ру-1+ -ут Ру , Ру-1 =-у , где ^Ф^ —

//-l Л

произвольный, но зафиксированный, элемент. Пусть р^_1 = (Р/-1, Р2_1,.. .,Рт-11 )Т , Р^ = (Р/, Р2,.. ,Рт+1)Т . Матрица В у-1: р{-1 = В у ^р^ , представляет собой единичную матрицу, за тем исключением что в ее у столбце

/у 1

единственными ненулевыми элементами являются Ъу_1 у = и Ъу у = — , находящиеся в (у -1)-ой и у-ой

J >7 ,у-1 З'З л

у-1 '

векторное подпространство M = ^р1, р2,...,р^ сФ^+1: c е Mt \ Mt_1, где Mt_1 =^р1 ,p2,...,pt_^ , Mt = M.

y g M . Зафиксируем двумерное подпространство I = (c , y^ с Фwm+1 . Тогда проективно независимые точки

%(Р/) е РО(т, н), где 1 = 1, /, являются секретными долями, раздаваемые одной из команд, а проективная ^

К

прямая %(/) = / с РО(т, н) - частью открытого ключа, где % — ранее определенное каноническое К проектирование (1).

строках соответственно. Тогда рJ_ 1 =рJ_ 1 +—^—рJ , рJ =— и рк =р{, где к = 1, m + 1, к g j _1, j . Таким а

J 1 J 1 iJ _1 j j Ц к к Д

'j _1 '

■ 1 /у ■ 1 ру ■ 1

V-1 = и У (У-1 = Ну н IV-1 = IV, где к = 1, т , 1, к г 7 1,7. Таким

образом, проделывая описанную процедуру у - / раз, начиная с базиса ру, получаем базис

* — к

Р/ = {р1,Р2'...=Рт+1} векторного пространства Фнт+1 над полем Фн : с = St=l/tР¿ , где // е Фн, 1 = 1,/.

. ,

Таким образом, если с е Ф т+1 : %(с) = (с), где (с) е РО(т, н) — «секретная» точка, % — «

отображение (1), то, применяя вышеописанный метод, находим базис р/ = {р1, р2,... Рт+1} векторного ч

и

( ^ _ ^

пространства Ф т+1 над полем Фн: с =Е/=1/^Р/, где // е Фн, 1 = 1, /. Отсюда можно построить /-мерное

н а

К

Е и

Рассмотрим линейно независимые элементы у и с векторного пространства Фн™+1 над полем Фн, причем

К

<3

а о

Открытый ключ. Открытый ключ состоит из последовательности (р,g,у = §,х), где р — простое

*

число, g — порождающий элемент мультипликативной абелевой группы О с Ър, причем порядок группы

ТЗ й

Огё(О) = д , где д — такое простое число, что д = (р-1)/2, х — секретный ключ: хе1,д-1. Также параметрами открытого ключа являются а — примитивный элемент поля Ф^т+1, пара (н, т), где н — положительная степень некоторого простого числа, т е N, проективная прямая I с РО(т, н), которой принадлежит «секретная» точка, целое число vеЪ, используемое при восстановлении секрета, описание инъективного отображения р: Ф2 ^ О, где г2 < д, г — простое число, 7 е N — число кандидатов.

Этап голосования и шифрования «голоса». Пусть выборы проходят по следующим правилам: 1. всего участвуют 2 е N кандидатов; 2. проголосовать можно только за одного кандидата. Все голоса будут

представлять собой некоторые элементы векторного пространства Ф2 над полем Фг, где г — простое число (см. описание строения открытого ключа). Поскольку г2 < д, то можно построить инъективное отображение из Ф2 в О, которое будем обозначать через р: Ф2 ^ О. Положим, что избиратель проголосовал за 1 -го кандидата, где 1 = 1,2 . Тогда и = (о^,а2,...,а1—1,1,а1+1,...,а2)еФ2, где а. е Фг: а. Ф1, . = 1,2, . Ф1, является открытым текстом. Далее происходит сопоставление вектору и некоторого элемента к е О: р(и) = к . Затем

избиратель генерирует произвольное число к е1, д — 1, равномерно распределенное в Ъ , и на основе

публичного ключа применяет отображение Е: О2 ^ О2, Е(к, к) = (, укк), задающее шифрование по схеме

Эль-Гамаля. Е(к, 2) является шифротекстом, который отправляется проверяющим.

Этап дешифрования «голоса». Все множество голосов можно разбить среди N команд, чтобы уменьшить время подсчета голосов.

Определим отображение Б: О2 ^ О, б((gk, укк))= g~хкукк = к, задающее дешифрование по схеме Эль-Гамаля, где х — секретный ключ.

Перед тем как расшифровать полученные шифротексты проверяющим понадобится восстановить секретный ключ х е 1, д -1. Пусть какая-то из команд S1 , где 1 = 1, N, пытается восстановить х. Для этого

каждый из участников я. е Si публикует свою секретную долю (Р.) е РО(т, н), где . = 1, /. Прямая сумма

системы проективно независимых точек {(Р.)}.=1 равна проективному подпространству М1 с РО(т,н): М1 I = (с), где I с РО(т, н) — известная проективная прямая, (с) — «секретная» точка. Опишем один из способов нахождения данного пересечения.

Пусть {Р1, Р2,... Рт+1} — базис векторного пространства Фнт+1 над полем Фн, построенный на этапе

генерации секретных долей. Тогда М = ^1,Р2,...Р^ — векторное подпространство Фнт+1 над полем Фн : £,(М) — проективное подпространство РО(т, н), равное прямой сумме секретных долей. Рассмотрим двумерное векторное подпространство I с Фнт+1 , такое что £,(/) = I с РО(т, н), где I — известная из публичного ключа проективная прямая, содержащая «секретную» точку. Векторное подпространство, получаемое в результате пересечения М I , должно быть одномерным подпространством векторного § пространства Фнт+1 над полем Фн. Зафиксируем некоторое множество базисных векторов {у, к},

порождающих подпространство I =(у, к), где у, к еФ^т+1. Следовательно, не нарушая общность ¡> рассуждений, можно положить, что у й М, а координата вектора у : +1 е Ф^ . Для вектора, принадлежащего

^ v е М I , выполняется условие: v = 2;=^1Р1 =^у + ^к, где ^1, Х2 еФ н . Таким образом, для нахождения пересечения необходимо решить следующую систему линейных уравнений:

f-1 0 0 -1

00 00

00

0 У1 0 У2

-1 yt

ht

0 yt+1 ht+1

h

Л, Л

v2

( 0 ^

0 ут+1 "т+1 У

Ранг данной матрицы должен равняться / +1, что возможно тогда и только тогда, когда

(у+1" — у"+1)/У(+1 = 0, 1 е / + 2, т + 1. Легко увидеть, что если А — линейное отображение, соответствующее матрице данной СЛАУ, то

х е ker(A) « x = X2

y,+1h1- уЛ+! у,+1h2- у2 ht+

y(+1

У+1

у,Л -у,К

У,+1

V

+1 1 У,+1

J

где е Ф. „,. Рассмотрим элемент х = Y!l=\ —= as Е (I) „, ,. а — примитивныи элемент поля

У(+1

Ф т+1, 5 е 0, нт+1 — 2. Итак, х =а5 =a'a"' , где г е 0, п-1, п =

н

помощи отображения т (3) получаем т(х) = т(агап/) = (аг) е РО(т,н) — «секретную» точку. Далее

—1 * * —1 * *

применяем левое обратное отображение ф : РО(т, н) х Фн ^ Ъц к (6), и — ц : Фнт+1 ^ Ъц к (4), а также известное из публичного ключа Vе2 : ф—1((аг),аиу)= 1(агаиу) = ц—1(а1) = Ъ1 = х, где 1 е0,ц — 2, Ъ — порождающий элемент Ъ ц , х — секретный ключ.

Предположим, что необходимо расшифровывать шифротекст Е(к,") е

этого используем

отображение о(Е(к, ")) = " е О. Для того чтобы восстановить вектор и е Ф7, являющийся открытым текстом,

— 1 7

применим отображение у : О ^ Фг, которое является левым обратным к общеизвестному инъективному отображению у, то есть у—1(") = и .

— с 7

Определение

результатов голосования. Пусть и = {и1 }1=1 сФг — множество всех «голосов», где

С еИ , X: Ф7 ^Ф7, Х(и) = (0,0,...р,11,0,...,0), если 1 -й элемент вектора и равен 1, 1 е1,7 . После

дешифрования «голосов» находим вектор Я = Т.С= ^(и)еЪ7 , где у -ый элемент Я в силу предыдущих

рассуждений представляет собой количество голосов за у -го кандидата, у е 1,7. Вектор Я публикуется и объявляется результатом выборов.

Теорема 3. Если злоумышленнику известно множество проективных точек и с РО(т, н), являющихся

секретными долями, где |и| < / — 1, то вероятность того, что он правильно сгенерирует «секретную» точку равна 1/(н + 1).

Доказательство. Поскольку злоумышленнику известна проективная прямая / с РО(т,н), которой принадлежит искомая «секретная» точка (с) , то вероятность сгенерировать верную «секретную» точку перед началом каких-либо преобразований равна 1/(н + 1). Действительно, произвольная проективная прямая, принадлежащая РО(т, н), содержит н + 1 точек. Имея в своем распоряжении публичный ключ,

rnl

(wm+1 - 1)/(w -1), I е Z. Следовательно, при

злоумышленник знает элемент VеЪ : с = а'аУп, где т(с)= т(а1а^) = (а1) = (с) (3), 1 е0,п — 1, п = (нт+1 — 1)/(н — 1). Но в силу построения сюръективного отображения т для любого из п элементов вида

а1, где у е 0, п — 1, т(ауага) = (ау), то есть вероятность сгенерировать верный «секретный» ключ по элементу

ат е Фн равна 1/п = (н — 1)/(нт+1 — 1). Пусть злоумышленник, используя проективно независимые точки, из которых состоит множество и с РО(т, н), строит проективное подпространство Р с РО(т, н), размерность

<и S I <и

ю ей

а

с

^

S ей И S I X <и

h «

ей К Л

4

(U h

5

4 о

5 ¡т

S и

ей И S

<3 S а о

-е к X

h

2

0

v

1

которого строго меньше t -1. Поскольку при восстановлении «секретной» точки ищется прямая сумма всех секретных долей, то проективное подпространство W не пересекается с проективной прямой l в силу построения множества U . Итак, злоумышленнику известно, что искомая «секретная» точка не принадлежит U . Для любой точки (5) е l проективное подпространство {U ^ (s) с PG(m, w) имеет размерность меньшую либо равную t -1. Тогда вероятность того, что (s) является искомой точкой, равна 1/(w +1).

Выводы. В работе описан разработанный авторами способ организации электронных выборов, в основе которых лежит использование схемы Эль-Гамаля и метода порогового разделения секрета, опирающегося на свойства проективных пространств, заданных над конечными полями. Построен полиномиальный детерминированный алгоритм, криптографическая стойкость которого опирается на общепризнанно трудноразрешимую проблему Диффи-Хеллмана в конечном поле [10]. Доказано, что предложенные методы позволяют защитить передаваемые от нечестных проверяющих данные за счет особенности способа генерации секретных долей, представляющих собой точки некоторого проективного пространства. Таким образом, определена вероятность создания злоумышленником верной секретной доли при условии, что ему известна лишь некоторая часть секретных долей.

Библиографический список

1. Могилевская, Н. С. Пороговое разделение файлов на основе битовых масок: идея и возможное применение / Н. С. Могилевская, Р. В. Кульбикаян, Л. А. Журавлев // Вестник Дон. гос. техн. ун-та. — 2011 — Т. 11, 10. — С. 1749-1755.

2. Rubin, A. D. Security considerations for remote electronic voting / A. D. Rubin // Communications of the ACM. - 2002. - V. 45(12). - P. 39-44.

3. Kiayias, A. An Internet voting system supporting user privacy / A. Kiayias, M. Korman, D. Walluck // ACSAC'06: Proceedings of the 22nd Annual Computer Security Applications Conference. - 2006. - P. 165-174.

4. Jefferson, D. Analyzing internet voting security / D. Jefferson, A. D. Rubin, B. Simons, D. Wagner // Communications of the ACM. - 2004. - V. 47(10). - P. 59-64.

5. Chaum, D. Secret-ballot receipts: True voter-verifiable elections / D. Chaum // IEEE Security and Privacy. -2004. - V. 2(1). - P. 38-47.

6. Алферов, А. П. Основы криптографии: учебное пособие / А. П. Алферов, А. Ю. Зубов, А. С. Кузьмин, А. В. Черемушкин. — Москва : Гелиос-АРВ, 2001. — 480 с.

7. Рябко, Б. Я. Криптографические методы защиты информации / Б. Я. Рябко, А. Н. Фионов. — Москва : Горячая линия-Телеком, 2005. — 229 с.

8. Коблиц, Н. Курс теории чисел и криптографии / Н. Коблиц. — Москва : ТВП, 2001. — 254 с.

9. Кострикин, А. И. Введение в алгебру / А. И. Кострикин. — Москва : МЦНМО, 2009. — 368 с.

10. Ian, F. Blake. On the complexity of the discrete logarithm and Diffie-Hellman problems / F. Blake Ian, Theo Garefalakis // J. Complex. - 2004. - V. 20(2-3). - P. 148-170.

References

1. Mogilevskaya, N.S., Kulbikayan, R.V., Zhuravlev, L.A. Porogovoe razdelenie faylov na osnove bitovykh masok: ideya i vozmozhnoe primenenie. [Threshold file sharing based on bit masks: concept and possible use.] Vestnik of DSTU, 2011, vol. 11, no. 10, pp. 1749-1755 (in Russian).

2. Rubin, A. D. Security considerations for remote electronic voting. Communications of the ACM, 2002, vol. 45(12), pp. 39-44.

3. Kiayias, A., Korman, M., Walluck, D. An Internet voting system supporting user privacy. ACSAC'06:

2 Proceedings of the 22nd Annual Computer Security Applications Conference, 2006, pp. 165-174.

g 4. Jefferson, D., Rubin, A. D., Simons, B., Wagner, D. Analyzing internet voting security. Communications of

Jg the ACM, 2004, vol. 47(10), pp. 59-64.

5. Chaum, D. Secret-ballot receipts: True voter-verifiable elections. IEEE Security and Privacy, 2004, vol.

I 2(1), pp. 38-47.

6. Alferov, A.P., Zubov, A.Yu., Kuzmin, A.S., Cheremushkin, A.V. Osnovy kriptografii: uchebnoe posobie. [Basics of Cryptography.] Moscow: Gelios-ARV, 2001, 480 p. (in Russian).

ji 7. Ryabko. B.Ya., Fionov, A.N. Kriptograficheskie metody zashchity informatsii. [Cryptographic methods of

information protection.] Moscow: Hot line -Telekom, 2005, 229 p. (in Russian).

8. Koblitz, N. Kurs teorii chisel i kriptografii. [Course of number theory and cryptography.] Moscow: TVP, 2001, 254 p. (in Russian).

9. Kostrikin, A.I. Vvedenie v algebru. [Introduction to Algebra.] Moscow: MTsNMO, 2009, 368 p. (in Russian).

10. Ian, F. Blake, Garefalakis, Theo. On the complexity of the discrete logarithm and Diffie-Hellman problems. J. Complex, 2004, vol. 20(2-3), pp. 148-170.

Поступила в редакцию 06.12.2017 Сдана в редакцию 07.12.2017 Запланирована в номер 15.03.2018

Received 06.12.2017 Submitted 06.12.2017 Scheduled in the issue 17.03.2018

Об авторах:

Мазуренко Александр Вадимович,

математик-программист ООО "ДДОС-Гвард" (РФ, 344002, Ростов-на-Дону, пр. Буденовский, 62/2) ORCID: https://orcid.org/0000-0001-9541-3374 mazurencoal@gmail.com

Authors:

Mazurenko, Alexander V.,

mathematician-programmer, DDoS-GUARD LLC (RF, 344002, Rostov-on-Don, Budenovskiy pr. 62/2) ORCID: https://orcid.org/0000-0001-9541-3374 mazurencoal@gmail.com

Стукопин Владимир Алексеевич, и.о. зав. каф. «Математика» Донского государственного технического университета (РФ, 344000, г. Ростов-на-Дону, пл. Гагарина, 1), доктор физико-математических наук, доцент ORCID: https://orcid.org/0000-0001-9911-8962 51икорт@таП. ги

Stukopin, Vladimir A.,

acting head of the Mathematics Department, Don State Technical University (RF, 344000, Rostov-on-Don, Gagarin sq., 1), Dr.Sci. (Phys.-Math.), associate professor ORCID: https://orcid.org/0000-0001-9911-8962 stukopin@mail. ru

и К X <u 4 И eö Л

С

^

IS eö И IS

X

*

(U

н «

eö X Л

ч и н

IS

ч о

IS

Е 3 ю

eö И

IS

eö

s

Л

о X

К