CC BY
24
УДК 512.53
DOI 10.25513/1812-3996.2018.23(4).22-24
КРИПТОГРАФИЧЕСКИЙ АНАЛИЗ АЛГЕБРАИЧЕСКОГО АНАЛОГА ПРОТОКОЛА РАСПРЕДЕЛЕНИЯ КЛЮЧА ДИФФИ-ХЕЛЛМАНА-МЕРКЛЯ, ОСНОВАННОГО НА СОПРЯЖЕНИИ КОММУТИРУЮЩИМИ МАТРИЦАМИ
Д. Д. Болотов
Омский государственный университет им. Ф. М. Достоевского, г. Омск, Россия
Информация о статье Аннотация. В данной работе представлен криптографический анализ алгебраического
Дата поступления аналога протокола распределения ключа Диффи-Хеллмана-Меркля, основанного на
07.10.2018 сопряжении коммутирующими матрицами. Показано, что эта версия не является за-
щищенной относительно атаки линейным разложением.
Дата принятия в печать 17.10.2018
Дата онлайн-размещения 14.12.2018
Ключевые слова
Алгебраическая криптография, криптоанализ, протокол Диффи-Хеллмана-Меркля, распределение ключа
Финансирование
Работа выполнена при поддержке гранта Российского фонда фундаментальных исследований в рамках научного проекта № 18-41-55000^
CRYPTOGRAPHIC ANALYSIS OF AN ALGEBRAIC VERSION OF THE DIFFIE-HELLMAN-MERKLE KEY EXCHANGE PROTOCOL BASED ON CONJUGATION BY COMMUTING MATRICES
D. D. Bolotov
Dostoevsky Omsk State University, Omsk, Russia
Article info Abstract. In this paper presents a cryptographic analysis of the Diffie-Hellman-Merkle-like
Received key exchange protocol based on conjugation by commuting matrices is described. We show
07.10.2018 that this version is not secure under the linear decomposition attack.
Accepted 17.10.2018
Available online 14.10.2018
Keywords
Algebraic cryptography, cryptanalysis, Diffie-Hellman-Merkle protocol, key exchange
Acknowledgements
The reported study was by the Russian Foundation of Basic Research according to the research project № 18-41-550001a
ISSN 1812-3996 "
1. Введение
В работе рассматривается алгебраический аналог протокола распределения ключа Диффи-Хел-лмана-Меркля из статьи Чефранова и Махмуда [1]. Протокол основывается на сопряжении коммутирующими матрицами. Протокол использует алгоритм распределения ключа по открытому каналу связи, платформой для которого служит алгебра матриц размера m х m над произвольным полем F. Схема, представленная авторами, может рассматриваться как частный случай схемы из протокола Шпильрайна-Ушакова [2].
В [3] показано, что для протокола Шпильрайна-Ушакова, построенного на матричной группе, существует эффективная процедура, вычисляющая распределяемый ключ без знания и вычисления секретных параметров протокола. Другими словами, протокол, предложенный в [2], не является криптостой-ким. В данной работе аналогичная идея реализуется для протокола из [1]. Идея такой атаки базируется на методе линейного разложения, относительно которого см. [3], [4] или [5].
2. Протокол распределения ключа
Относительно классической схемы распределения ключа Диффи-Хеллмана-Меркля см., например, [6].
Приведем описание протокола распределения ключа из [1]. Предположим, что два корреспондента, Алиса и Боб, договорились о выборе двух матриц
М е GL(m, F), G £ GN(m, F), где GL(m,F) есть группа всех обратимых матриц размера m х m с элементами из поля F мощности ¡Fi, и GN(m,F) есть множество всех матриц G размера m х m с элементами из поля F, у которых ранг равен m-1, соответственно, определитель равен 0: rank(G) = т — 1, det(G) = 0.
В процессе получения открытого ключа Алиса выбирает две диагональные матрицы DAl, DAle GL(m,F), DAl = diag(pi... pm), DA2 = = diag(y1... ym). Боб также выбирает две диагональные матрицы DBlDB2eGL(m,F),DBl = = diag(pi... фт), DB2 = diagfa... тт). Эти матрицы являются закрытыми (секретными). Затем каждый из корреспондентов сопрягает свои матрицы матрицей М и получает новые секретные матрицы DXi, DA2, Dgi, DB2:
Dh = M-1DAi
n*
UB1,
: M D
M, D' ■Bi M, D
*
'A2 =
*
B2,
M-iDA2 M, = M-iDBy M.
Легко проверить, что эти матрицы коммутируют между собой. Пусть I, ] е {1,2}, тогда
d:,D*BJ=м-i
■■ M-iDBjDAi М ■
DAiM M-iDBjM = М~
lD,
M-iDBjM M~
•Ai DBjM ■■
lDAiM = D*BiD.
'BjuAi.
Далее Алиса вычисляет новую матрицу Ya = DAi G DA2.
Аналогичные действия совершает Боб, получая матрицу
YB = DBi G DB2 .
После того, как корреспонденты получили матрицы YA и YB, Алиса и Боб обмениваются этими матрицами, служащими ключами, и вычисляют распределенный ключ следующим образом: КА = D*i YB D*2, KB = DBiYADB2.
Легко проверить, что полученные ключи одинаковые:
кА = D*i YB DA2 = D*i DBi G DB2 DA2
= DBi D**i G DX2 Щ2 = Dgi Ya DB2 = KB.
Полагаем в качестве распределенного ключа K = КА= Кв.
3. Криптографический анализ протокола
Предположим, что есть еще третья сторона (злоумышленник), имеющая возможность перехватывать все сообщения, которыми обмениваются Алиса и Боб, что вполне реально, так как передача сообщений происходит по незащищенному каналу. Эта сторона также знает протокол, с помощью которого Алиса и Боб обмениваются сообщениями. Ей известны следующие открытые элементы протокола: G eGN(m,F); М, YA, YB eGL(m,F).
Матрицы Ya и YB злоумышленник может представить следующим образом:
YA = TAi Yb = TBi
A2
G TB2 = M-
G Тл? = M-i PAi M G M-i PA2 i PBi M G M-i p
M,
B2 M.
Здесь TAi, TA2, TBi, TB2 являются матрицами
вида:
TAi = M-i PAi M,
TA2 = M
_i PA2 M,
ТЯ1 = M-i p
TB2 = M-
bi M,
i PB2 M.
Любую диагональную матрицу Ра1,Рв] еа.(т,Р) можно представить как Р = Т1к=±ак^к, ак £ F ;Ек - матрица, к-й элемент на главной диагонали которой равен 1, а все остальные элементы равны 0. При разложениях
РА2 =Т=1№ , РВ1 =Тж=1УкЕк , РВ2 =!.?=1е1Е1
матрица YA имеет следующий вид:
Уа = M-i( IZiaiEt М G М-
H?=iPjEj )М :
■ ISSN 1812-3996
= (ТТ=1а1(М-1Е1 М)) С ( (М-1Е^ М) =
= !™]=1 а1 % ( (М-1Е1 М)С(М-1Е^)] =
= ( №-1Ес М)С(М-1Е}М)).
Полученные в разложении коэффициенты отличаются от указанных произведений, так как разложение неоднозначное. Но это не играет роли. Можно эффективно найти ау как решение соответствующей системы линейных уравнений, например, методом исключения Гаусса. После этого злоумышленник, подставив в правую часть уравнения УА вместо (М-1Ес М)в(М-1Е]М) матрицу Ув, получает следующие равенства:
т.?1=1(Ув) = (°*В1 УА Кг)=
= Y^j=iOij(M-1 РВ1 т и т rB2
--М-1 PBiHfi=iaij = М-1 РК,М ТАЛ G ТЛ?М-1 РК7М =
М G М-1 РВ2 М)= (М G М-1)] РВ2 М)
= TRI Тл-I G ТА? ТГ,
K.
При этом учитывается, что Т^ ( I е {А,В}; ] е {1,2}) - это матрицы (I е {А,В}, ] е{1,2}). В результате злоумышленник получает распределенный ключ K.
4. Заключение
Данная атака основана на методе линейной разложимости (см. [3-5]). Для ее осуществления достаточно, чтобы протокол строился на линейной группе. Необходимые вычисления выполняются методом исключения Гаусса, сложность которого квадратична по числу уравнений и линейна по числу неизвестных. Заметим, что достаточно найти любое частное решение соответствующей системы линейных уравнений. Уравнений в данном случае т2 (число элементов в матрице), неизвестных также т2 (коэффициенты в разложении). Рассматриваемая атака отличается от общего случая использования метода линейного разложения тем, что для нее нет необходимости строить базисы линейных подпространств.
СПИСОК ЛИТЕРА ТУРЫ
1. Chefranov A. G., Mahmoud A. Y. Commutative matrix-based Diffie-Hellman-like key-exchange protocol // Information Sciences and Systems 2013: Proceedings of the 28th International Symposium on Computer and Information Sciences. October 2017. P. 317-324.
2. Shpilrain V., Ushakov A. Thompson's group and public key cryptography // Lecture Notes in Computer Science. 2005. Vol. 3531. P. 151-164.
3. Романьков В. А. Алгебраическая криптография: монография. Омск: Изд-во Ом. гос. ун-та, 2013. 136 с.
4. Романьков В. А. Криптографический анализ некоторых схем шифрования, использующих автоморфизмы // Прикладная дискрет. матем. 2013. № 3 (21). С. 35-51.
5. Myasnikov A., Roman'kov V. A linear decomposition attack // Groups, Complexity, Cryptology. 2015. Vol. 7, no. 1. P. 81-94.
6. Романьков В. А. Введение в криптографию: курс лекций. М. : Форум, 2012. 240 с.
ИНФОРМАЦИЯ ОБ АВТОРЕ
Болотов Данила Дмитриевич - магистрант института математики и информационных технологий, Омский государственный университет им. Ф. М. Достоевского, 644077, Россия, г. Омск, пр. Мира, 55а; e-mail: danilabolotov96@yandex.ru.
ДЛЯ ЦИТИРОВАНИЯ
Болотов Д. Д. Криптографический анализ алгебраического аналога протокола распределения ключа Диффи-Хеллмана-Меркля, основанного на сопряжении коммутирующими матрицами // Вестн. Ом. ун-та. 2018. Т. 23, № 4. С. 22-24. DOI: 10.25513/1812-3996.2018.23(4).22-24.
INFORMATION ABOUT THE AUTHOR
Kislitsin Alexey Vladimirovich - Master's Student of Institute of mathematics and information technologies, Dostoevsky Omsk State University, 55a, pr. Mira, Omsk, 644077, Russia; e-mail: danilabolotov96@yandex.ru.
FOR GTATIONS
Bolotov D.D. Cryptographic analysis of an algebraic version of the Diffie-Hellman-Merkle key exchange protocol based on conjugation by commuting matrices. Vest-nik Omskogo universiteta = Herald of Omsk University, 2018, vol. 23, no. 4, pp. 22-24. DOI: 10.25513/1812-3996.2018.23(4).22-24. (in Russ.).
