УДК 512.54
DOI 10.25513/1812-3996.2018.23(3).12-14
КРИПТОГРАФИЧЕСКИЙ АНАЛИЗ МАТРИЧНОЙ ВЕРСИИ ПРОТОКОЛА МАХАЛАНОБИСА Т. А. Бонич, М. А. Панферов
Омский государственный университет им. Ф. М. Достоевского, г. Омск, Россия
Информация о статье Аннотация. Приведен криптографический анализ алгебраической версии протокола
Дата поступления Масси-Омуры, предложенный Махаланобисом. Показано, что атака, основанная на
01.06.2018 методе линейного разложения, раскрывает уязвимость данного протокола.
Дата принятия в печать 29.06.2018
Дата онлайн-размещения 29.10.2018
Ключевые слова
Криптография, криптоанализ, протокол Масси-Омуры, матричная группа, метод линейного разложения
CRYPTOGRAPHIC ANALYSIS OF THE MATRIX VERSION OF THE MAHALANOBIS PROTOCOL
T. A. Bonich, M. A. Panferov
Dostoevsky Omsk State University, Omsk, Russia
Article info Abstract. We give a cryptographic analysis of the algebraic version of the Massey-Omura's
Received protocol given by Mahalanobis. We show that the attack based on the linear decomposition
01.06.2018 method proves the vulnerability of the protocol.
Accepted 29.06.2018
Available online 29.10.2018
Keywords
Algebraic cryptography, cryptanalysic, Massey-Omura's protocol, matrix group, Linear decomposition method
1.Введение
В классической криптографии с открытым ключом наиболее известными являются протоколы Диффи-Хеллмана, Масси-Омуры, и Эль-Гамаля (см. [1]). В современной алгебраической криптографии существуют многочисленные аналоги этих протоколов, использующие трудноразрешимые алгебраические проблемы (см. [2]). О криптографическом анализе многих протоколов алгебраической крипто-
графии см. [3-6], где показана их уязвимость при естественных предположениях.
В настоящей работе рассматривается алгебраический аналог схемы Масси-Омуры, идея которого принадлежит Махаланобису [7]. Установлено, что при использовании в качестве платформы матричной группы эта схема является уязвимой относительно атаки, базирующейся на методе линейного разложения, открытом и разработанном В.А. Ро-маньковым (см.[3]).
ISSN 1812-3996 "
Вестник Омского университета 2018. Т. 23, № 3. С. 12-14
2. Описание протокола
Алиса и Боб договариваются о выборе векторного пространства V = размерности п над полем К2 и элемента V Е V. Также выбираются матрицы А1,А2,... ,А1 из подгруппы А группы С1„(К2), СЕ N и В1,В2,..., В5 из подгруппы В группы С1„(К2), б Е N. Причем матрицы А1, А2, ..., А1 и В1,В2,...,В3 попарно перестановочны, т. е. А¿Вj = ВjАi, V I = 1,2,.. Ь, V] = 1,2,..., 5. Эти данные открыты.
3. Алгоритм
1. Алиса выбирает т случайных целых чисел к1,к2,...,кт, выбирает т матриц из множества А, вычисляет и отправляет Бобу вектор
,ki .к
v1 = vAk1Ak2...Akm,ii = 1,2.....t
1 11 12 I™ ,Ji
m m
2. Боб выбирает р случайных целых чисел 11,12,...,1р, выбирает р матриц из множества В, вычисляет и отправляет вектор v2 =
= vАf1Аf2...АfmВí^1Вí^2...ВP,^ = 1,2,...,5.
j 1 j 2 j т '1 '2 'р •
3. Алиса поочередно умножает вектор v2
на матрицы A; m,Am
lm ]m-1
.,A. 1, выбирает q слу-
чайных целых чисел х1,х2,... ,хч, выбирает д матриц из множества А, вычисляет и отправляет вектор
vз = vв4lв42...в;рА;llА;22...А;;,/•¿ = 1,2.....с.
4. Боб, получив вектор v3, поочередно умно-
жает его на матрицы В ,...,В 1 и таким
'р 'р-1 '1
;а
дура вычисления вектора VАХ;1 Ахг2... А;ч. Перейдем
образом находит vА;l1А;22... А;ч.
4. Криптографический анализ
Установим, что существует эффективная процент
У1АГ2...% к её описанию.
Пусть Ш - линейное подпространство пространства V, порожденное всеми векторами вида у2а,а еА. Найдем базис подпространства W, следуя алгоритму, подробно описанному в [3], основываясь на заданном множестве порождающих элементов подгруппы А. Разобьем элементы вида у2а, а еА на упорядоченные списки следующим образом.
Первый список имеет вид: Ll = ^2А1^2А2,...^2А^2А-1,У2А-1,...,У2А-1}.
Второй список Ь2 состоит из всех векторов вида , где £, Нравны 1 или -1; /,} = 1,2,..., t. Считаем его произвольно упорядоченным. Аналогично строятся и упорядочиваются другие списки, соответствующие произведениям 3-х и более порождающих эле-
ментов или их обратных. Ясно, что объединение всех списков содержит все элементы указанного вида р2а, а е А, значит и базис подпространства W.
5. Построение базиса
В качестве первого элемента базиса полагаем е1 = v2. Далее рассмотрим систему е1^2А1. Если 2 А1 линейно выражается через 1, что определяется наличием решения у соответствующей системы линейных уравнений (в данном случае одного уравнения), которая эффективно разрешима методом Гаусса, то мы переходим к следующему элементу. Если не выражается, то полагаем, что е2 = v2А1. Пусть уже построена часть базиса е1,...,е1. Переходим к рассмотрению системы е^...^^^^, где v2АEj - следующий элемент из списка. Если этот вектор линейно выражается через е1,..., е;, то мы переходим к следующему элементу из списка. Если не выражается, то полагаем е1+1 = v2АEj. После того, как закончится список Ь1, переходим к рассмотрению элементов из ¿2, и т. д. Так как всё пространство имеет размерность п, то размерность подпространства Ш не превышает п. Пусть при рассмотрении списков ¿1,...,!ч-1 построена часть базиса е1,... ,ет. Допустим, что при рассмотрении ¿ч не добавилось ни одного нового базисного элемента. Отсюда следует, что е1,..., ет - это базис пространства Ш. Относительно доказательства этого утверждения см. [3] или [6].
6. Вычисление ш
Итак, пусть построен базис { е • = р2с; , с; еА, / = = 1, ..., т} подпространства Ш. Очевидно, что у3 Е Ш, значит, существует единственное разложение
Vз = 21=1 «¿е; =Гт=1а[у2С1.
Заменим v2 на v1 в правой части этого равенства. Получим вектор
V4 = Тт==1«ьУ1 С;.
Если v4 умножить на Ь1, то получим: V4Ьl = 21=1 «¿^1 С; ¿1 = Vз.
Значит,
V4 = V3V =
W.
Таким образом, мы эффективно вычислили вектор №.
Авторы благодарят своего научного руководителя - профессора В.А. Романькова за постановку задачи и помощь в работе.
Вестник Омского университета 2018. Т. 23, № 3. С. 12-14
-ISSN 1812-3996
СПИСОК ЛИТЕРА ТУРЫ
1. Романьков В. А. Введение в криптографию : курс лекций. М. : Форум, 2012. 240 с.
2. MyasnikovA., Shpilrain V., UshakovA. Group-based Cryptography. Advanced Courses in Math. CRM, Barcelona. Basel-Berlin-New York: Birkhauser Verlag, 2008. 183 р.
3. Романьков В. А. Алгебраическая криптография. Омск : Изд-во Ом. гос. ун-та, 2013. 136 с.
4. Романьков В. А. Математический анализ некоторых схем шифрования, использующих автоморфизмы // Прикладная дискретная математика. 2013. № 3. С. 35-51.
5. Романьков В. А., Обзор А. А. Общая алгебраическая схема распределения криптографических ключей и её криптоанализ // Прикладная дискретная математика. 2017. № 37. С. 52-61.
6. Myasnikov A., Roman'kov V. A linear decomposition attack // Groups, Complexity, Cryptology. 2015. Vol. 7. P. 81-94.
7. Mahalanobis A. The Diffie-Hellman key exchange protocol and non-abelian nilpotent groups // Israel J. Math. 2008. Vol. 165. P. 161-187.
ИНФОРМАЦИЯ ОБ АВТОРАХ
Бонич Татьяна Андреевна - студент, ИМИТ (Институт математики и информационных технологий), Омский государственный университет им. Ф. М. Достоевского, 644077, Россия, г. Омск, пр. Мира, 55а; e-mail: [email protected].
INFORMATION ABOUT THE AUTHORS
Bonich Tatiana Andreevna - Student, IMIT (the Institute of Mathematics and Information Technologies), Dostoevsky Omsk State University, 55a, pr. Mira, Omsk, 644077, Russia; e-mail: [email protected].
Панферов Матвей Андреевич - студент, ИМИТ (Институт математики и информационных технологий), Омский государственный университет им. Ф. М. Достоевского, 644077, Россия, г. Омск, пр. Мира, 55а; e-mail: [email protected].
ДЛЯ ЦИТИРОВАНИЯ
Бонич Т. А., Панферов М. А. Криптографический анализ матричной версии протокола Махаланобиса // Вестн. Ом. ун-та. 2018. Т. 23, № 3. С. 12-14. DOI: 10.25513/1812-3996.2018.23(3).12-14.
Panferov Matvei Andreevich - Student, IMIT (the Institute of Mathematics and Information Technologies), Dostoevsky Omsk State University, 55a, pr. Mira, Omsk, 644077, Russia; e-mail: [email protected].
FOR QTATIONS
Bonich T. A., Panferov M. A. Cryptographic analysis of the matrix version of the Mahalanobis protocol. Vest-nik Omskogo universiteta = Herald of Omsk University, 2018, vol. 23, no. 3, pp. 12-14. DOI: 10.25513/1812-3996.2018.23(3).12-14. (in Russ.).