CC BY
66
ЛИТЕРАТУРА
1. Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. М.: Гелиос АРВ, 2005. 480 с.
2. Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры. М.: Гелиос АРВ, 2005. 192 с.
3. Рацеев С. М. О совершенных имитостойких шифрах // Прикладная дискретная математика. 2012. №3 (17). С. 41-47.
4. Рацеев С. М. О совершенных имитостойких шифрах замены с неограниченным ключом // Вестник Самарского государственного университета. Естественнонаучная серия. 2013. №9/1 (110). С. 42-48.
УДК 512.62
КРИПТОГРАФИЧЕСКИЙ АНАЛИЗ АНАЛОГА СХЕМЫ ДИФФИ — ХЕЛЛМАНА, ИСПОЛЬЗУЮЩЕГО СОПРЯЖЕНИЕ И ВОЗВЕДЕНИЕ В СТЕПЕНЬ, НА МАТРИЧНОЙ ПЛАТФОРМЕ1
В. А. Романьков
Доказано, что смешанный обобщённый вариант протокола Диффи — Хеллмана на матричной платформе, использующий одновременное возведение в степень и сопряжение фиксированной матрицы, в генерическом случае допускает вычисление разделённого ключа за полиномиальное время, если соответствующая кратная задача дискретного логарифма решается за полиномиальное время. Алгоритм вычисления использует разработанный автором метод линейного разложения, позволяющий находить разделённый ключ без решения задачи поиска сопрягающих элементов, и подход Менезеса с соавт., сводящий вычисление степени матрицы к решению кратной задачи дискретного логарифма. Комбинация этих двух подходов не может использоваться напрямую. Доказательство основного утверждения требует анализа содержаний мономиальных матриц в смежных классах по перестановочным подгруппам группы матриц. Это, в свою очередь, требует изучения аналогичного вопроса для групп подстановок. Последнее облегчается тем, что имеется ряд известных утверждений на эту тему.
Ключевые слова: криптоанализ, проблема поиска, сопряжение, протокол Диффи — Хеллмана.
Идея реализации протокола Диффи — Хеллмана на различных платформах, отличных от классических мультипликативных групп конечных полей и завоевавших признание групп эллиптических кривых, использована в целом ряде работ. Чаще всего в качестве платформы выбирались матричные группы, также предлагались конечные и абстрактные бесконечные группы, почти всегда допускающие точное представление матрицами над полем (кроме конечных — это свободные, конечно порождённые нильпотентные и метабелевы, а также полициклические группы, группы кос Артина и т.п.). В данной работе мы ограничимся рассмотрением матричного случая. В начальный период схема Диффи — Хеллмана просто переносилась с мультипликативной группы поля на матричную группу, то есть фиксировался элемент g матричной группы G, первый из корреспондентов (Алиса) выбирал случайное натуральное число k и посылал по открытой сети степень gk, второй корреспондент (Боб) аналогично выбирал l и посылал gl. После этого Алиса и Боб легко вычисляли общий ключ gk1.
1Работа поддержана грантом РФФИ, проект № 13-01-00239-a.
Впрочем, довольно быстро было замечено [1, 2], что в случае матричной группы над полем можно одновременно сопряжением одной и той же матрицей в общем случае над расширением основного поля за счёт характеристических чисел фиксированной матрицы д приводить матрицу д к жордановой форме, а матрицы дк и д1 — к соответствующим степеням этой жордановой формы. В случае, если размер хотя бы одной клетки жордановой формы матрицы д оказывался больше единицы, а степени к и I были меньше характеристики основного поля, эти числа вычислялись элементарно.
Основным, таким образом, оказывался случай, когда матрица д имела диагональную жорданову форму. Тогда вычисление секретных параметров к и I сводилось к решению кратных проблем дискретного логарифма для соответствующих друг другу наборов диагональных элементов полученных матриц. Конечно, в общем случае кратная проблема не сложнее обычной, а при случайном выборе данных может оказаться значительно проще обычной задачи вычисления дискретного логарифма в мультипликативной группе конечного поля. Действительно, задачу достаточно решить хотя бы для одной пары соответствующих диагональных элементов. К тому же тогда не имеет смысла рассматривать данный протокол как обобщение протокола Диффи — Хеллма-на на некоммутативные платформы. Для полей нулевой характеристики задача, как правило, решается ещё проще и практически не рассматривается.
По только что описанной причине стали предлагать вместо возведения в степень сопряжение матрицы д матрицами а и Ь, которые случайным образом генерировались корреспондентами Алисой и Бобом (см., например, хорошо известный протокол Ко, Ли и др. [3]). Напомним, что сопряжение матрицы д матрицей а записывается как да = а-1да. Корреспонденты передают по сети результаты сопряжений да и дь, а разделённый ключ вычисляется как даЬ = дЬа. Чтобы последнее равенство было справедливым, требуется, чтобы Алиса выбирала а из подгруппы А, а Боб — Ь из подгруппы В группы О, таких, что любой элемент а из А перестановочен с любым элементом Ь из В. Это возможно, например, если А = В — абелева подгруппа группы О. Такой протокол основывался на трудности вычисления сопрягающих элементов по исходному и сопряжённому элементам. В дальнейшем происходил поиск групп, в которых эта проблема трудна. Почти всегда всё сводилось к вычислению в матричных группах. Например, как уже упоминалось выше, одна из наиболее популярных серий групп кос Артина может рассматриваться как серия матричных групп, поскольку все группы этой серии допускают точные и, что также имеет значение, эффективные представления матрицами над полем.
Однако оказалось, что в таких случаях совсем не обязательно вычислять матрицы а и Ь, чтобы получить разделённый ключ даЬ. Метод линейного разложения, описанный автором в [4] (см. также [5]), позволяет за полиномиальное время с помощью стандартных вычислений линейной алгебры найти даЬ без вычисления а и Ь. Таким образом, использованные в подобных протоколах предположения секретности, опиравшиеся на обоснования трудности решения проблемы поиска сопрягающего элемента, оказались бесполезными.
Но есть ещё один, смешанный, вариант протокола, когда Алиса выбирает число к и матрицу а, посылая по сети результат (дк)а, а Боб аналогично выбирает и посылает (д1)ь. Разделённый ключ имеет вид (дк1 )аЬ. Этот протокол также неоднократно предлагался в различных версиях (см., например, [6]). Непосредственно вычислить этот ключ, используя метод линейного разложения, нельзя, так как возведение в степень не является автоморфизмом матричной группы. Вычислить к и I также затруднительно, поскольку сопряжения после приведения к жордановой форме содержат
диагональные элементы не в том порядке, как их содержала матрица g. Для вычисления параметров на первый взгляд нужно рассмотреть п! кратных задач дискретного логарифма, где п — размер матриц. В общем случае это нереально. Основным результатом настоящей работы является следующая теорема, показывающая, что задача тем не менее решается в генерическом случае за полиномиальное время. Это обусловлено тем, что число случаев, которые действительно необходимо рассмотреть, значительно меньше п!, и в пределе равно 1.
Теорема 1. Смешанный обобщённый вариант протокола Диффи — Хеллмана, описанный выше, в генерическом случае допускает вычисление разделённого ключа (gk1)ab за полиномиальное время, если соответствующая кратная задача дискретного логарифма решается за полиномиальное время.
Слово «генерический» в данном контексте означает, что при случайном выборе коммутирующих поэлементно подгрупп A и B заявленное полиномиальное вычисление возможно «почти всегда» относительно естественной меры или асимптотически.
Поясним, что фигурирующая в формулировке кратная задача предполагается записанной для соответствующих друг другу наборов характеристических чисел исходной матрицы g и их степеней — характеристических чисел возведённой в эту степень матрицы g. Возможность полиномиального вычисления из формулировки теоремы объясняется тем, что сопрягающие элементы выбираются корреспондентами из коммутирующих поэлементно подгрупп, а в группах подстановок коммутирующие подгруппы допускают эффективное описание. В матричных группах подгруппа, элементы которой коммутируют с элементами другой достаточно «большой» подгруппы, не может содержать большой подгруппы мономиальных матриц.
ЛИТЕРАТУРА
1. Menezes A. J. and Vanstone S. A note on cyclic groups, finite fields, and the discrete logarithm problem // Applic. Alg. Eng. Commun. Comput. 1992. No.3. P. 67-74.
2. Menezes A. J. and Wu Y.-H. The discrete logarithm problem in GL(n, q) // Ars Combinatoria. 1997. V. 47. P. 23-32.
3. Ko K. H., Lee S. J., Cheon J. H., et al. New public-key cryptosystem using braid groups // Advances in Cryptology — CRYPTO’2000. LNCS. 2000. V. 1880. P. 166-183.
4. Романьков В. А. Алгебраическая криптография. Омск: ОмГУ, 2013. 135 с.
5. Романьков В. А. Криптографический анализ некоторых схем шифрования, использующих автоморфизмы // Прикладная дискретная математика. 2013. №3. С. 36-51.
6. Kahrobaei D. and Khan B. A non-commutative generalization of ElGamal key exchange using polycyclic groups // Global Telecommun. Conf. 2006. GL0BEC0M’06, IEEE. P. 1-5.
