CC BY
18
ЛИТЕРАТУРА
1. Courtois N., Bard G., and Jefferson C. Efficient Methods for Conversion and Solution of Sparse Systems of Low-Degree Multivariate Polynomials over GF(2) via SAT-Solvers. Cryptology ePrint Archive, Report 2007/024, 2007. http://eprint.iacr.org/2007/024
2. Soos M., NohlK., and Castelluccia C. Extending SAT solvers to cryptographic problems // Proc. 12th Intern. Conf. Theory and Applications of Satisfiability Testing. 2009. P. 244-257.
3. Charfi A. SAT-Solving in Algebraic Cryptanalysis. Bachelor Thesis, 2014. https://www.cdc. informatik.tu-darmstadt.de/reports/reports/Ahmed_Charfi.bachelor.pdf
4. Courtois N., Gawinecki J., and Song G. Contradiction immunity and guess-then-determine attack on GOST // Tatra Mt. Math. Publ. 2012. V. 53. P. 65-79. https://www.sav.sk/ journals/uploads/0114113604CuGaSo.pdf
5. Kazymyrov O, Oliynykov R., and Raddum H. Influence of addition modulo 2n on algebraic attacks // Cryptography and Communications. 2016. V. 8. Iss.2. P. 277-289.
6. Dinur I., Dunkelman O., and Shamir A. Improved attacks on full GOST // LNCS. 2012. V.7549. P. 9-28. https://eprint.iacr.org/2011/558.pdf
7. Nakahara J., Sepehrdad P., Zhang B., and Wang M. Linear (hull) and algebraic cryptanalysis of the block cipher PRESENT // 8th Intern. Conf. Cryptology and Network Security CANS'09. N.Y., 2009. P. 58-75.
8. Lacko-Bartosov L. Algebraic cryptanalysis of PRESENT based on the method of syllogism // Tatra Mt. Math. Publ. 2012. V. 53. P. 201-212. https://www.sav.sk/journals/uploads/ 0114111812lackob.pdf
9. The Sage Developers. SageMath, the Sage Mathematics Software System (Version 7.4), 2016. http://www.sagemath.org
10. Sage Reference Manual: Cryptography Release 7.5. http://doc.sagemath.org/pdf/en/ reference/cryptography/cryptography.pdf
11. Бабенко Л. К., Ищукова Е. А. Анализ алгоритма ГОСТ 28147-89: поиск слабых блоков // Известия ЮФУ. Технические науки. Информационная безопасность. 2014. №2 (151). С. 129-138.
УДК 519.725 Б01 10.17223/2226308X710/27
КРИПТОГРАФИЧЕСКИЙ АНАЛИЗ ОБОБЩЁННОГО ПРОТОКОЛА ЭЛЬ-ГАМАЛЯ НАД ГРУППОЙ ОЬ(8, ¥251)1
Д. Д. Болотов, Е. А. Магдин
Приводится криптографический анализ обобщённого протокола Эль-Гамаля над группой СЬ(8,^251), описанного в работе Педро Хехта. Показано, что существует алгоритм, который эффективно вычисляет формируемый в протоколе ключ. Схема формирования общего ключа в обобщённом протоколе Эль-Гамаля является частным случаем схемы Шпильрайна — Ушакова. Анализ показывает, что рассматриваемый протокол является теоретически и практически нестойким.
Ключевые слова: криптографический анализ, протокол Эль-Гамаля, протокол Шпильрайна — Ушакова.
Введение
В работе рассматривается опубликованный в 2017 г. обобщённый протокол Эль-Гамаля [1], который в общем случае строится на группе матриц над конечным полем.
1 Исследование выполнено при поддержке Российского научного фонда (проект №16-11-10002).
Математические методы криптографии
65
Автор [1] предлагает использовать конкретную группу матриц размера 8 х 8 над простым конечным полем Е251- Схема формирования ключа в протоколе Хехта является частным случаем схемы из протокола Шпильрайна — Ушакова [2].
В [3] показано, что если протокол Шпильрайна — Ушакова (соответственно — протокол Хехта) построен на линейной группе, то существует эффективная процедура, вычисляющая формируемый общий ключ без знания и без вычисления секретных параметров протокола. Другими словами, показана криптографическая нестойкость протокола при указанном условии. В работе приводится конкретная реализация этой процедуры, которая в данном случае существенно упрощается.
1. Протокол формирования общего секретного ключа Хехта
Приведём описание протокола формирования общего секретного ключа из [1]. Предположим, что два корреспондента — Алиса и Боб — договорились о выборе линейной группы СЬ(8, F251) и двух матриц С и Р из СЬ(8, F251).
В процессе получения открытого ключа Алиса выбирает натуральные числа к1,к2 € N и диагональную матрицу Да = diag(A1,... , Л8), Л^ € F251. Затем она вычисляет матрицы А = РД^Р-1 и А' = Ак1 САк2. Открытым ключом Алисы является матрица А'.
Аналогичным образом Боб выбирает диагональную матрицу Дд = diag(^1,... , ^8), ^ € F251, вычисляет матрицу В = РДд Р-1, выбирает натуральные числа г1,г2 € N и вычисляет матрицу В' = ВГ1 СВГ2. Открытым ключом Боба является матрица В'. Затем Алиса и Боб обмениваются ключами А' и В'.
После обмена ключами Алиса вычисляет сформированный ключ К = Ак1 В' Ак2, а Боб вычисляет К' = ВГ1 А'ВГ2. Несложно проверить, что ключи, полученные Алисой и Бобом, одинаковы:
К = Ак1 В 'Ак2 = Ак1 (ВГ1 СВГ2 )Ак2 = ВГ1 (Ак1 САк2 )ВГ2 = ВГ1 А'ВГ2 = К'.
2. Криптографический анализ протокола Хехта
Предположим, что Джон перехватывает все сообщения, которые отправляют между собой Алиса и Боб, знает протокол, с помощью которого Алиса и Боб обмениваются сообщениями, и следующие элементы протокола: Р, С, А', В' € СЬ(8, F251). Матрицы А' и В' Джон может представить следующим образом:
А' = Ак1 САк2 = (РДАР-1)к1 С(РДАР-1)к2 = (РДА1 Р-1)С(РДА2 Р-1), В' = ВГ1 СВГ2 = (РДБ Р-1)Г1 С(РДБ Р-1)Г2 = (РДД1 Р-1)С(РДД2 Р-1).
8
Любую диагональную матрицу Д € СЬ(8, F251) можно представить как Д = ^ А&Е,
где Лк € F251; — матрица, в которой к-й элемент на диагонали равен 1 (екк = 1), а
88
все остальные равны 0. При разложениях Д^1 = ^ а^Е и Д^2 = ^ взЕ матрица А'
¿=1 3=1
имеет вид
А' = (Р Е агЕгР-1)С(Р Е взЕР-1) = (Раг£гР-1)С(Рв-ЕР-1) =
¿=1 3=1 г,3=1
= Е агвз(РЕгР-1)С(РЕзР-1 )= Е (РЕгР-1)С(РЕзР-1), где = агвз. ¿,3=1 ¿,3=1
Значения 8гз можно найти как решение соответствующей системы линейных уравнений, например методом Гаусса. После этого, подставив в правую часть вместо матрицы О матрицу В', Джон получит сформированный ключ К и сможет читать все сообщения, которые отправляют Алиса и Боб между собой:
Е 8гз(РЕгР-1)В'(РЕ3Р-1) = £ 8гз(РЕгР-1)(РВВР-1)О(РВВР-1)(РЕ3Р-1) = ¿,7=1 г,з=1
= Е (РОВР-1) (8г3(РЕгР-1)О(РЕ3Р-1)) (РВ^Р-1) =
г,з=1
= (РВ^ Р-1)1 £ 8гз(РЕгР-1)О(РЕзР-1) ) (РВ^Р-1) =
= Е (PEiP-1)G(PEjP-1)j Br2 = BriA'Br2 = K.
Заключение
Данная атака основана на методе линейной разложимости [3]. Для её осуществления достаточно, чтобы протокол строился на линейной группе. Необходимые вычисления выполняются методом Гаусса, который квадратичен по числу уравнений и линеен по числу неизвестных. Заметим, что достаточно найти любое частное решение соответствующей системы линейных уравнений. Уравнений в данном случае 64 (число элементов в матрице), неизвестных 64 (коэффициенты в разложении). При атаке «грубой силой» пришлось бы подбирать параметры ki, k2, r1 и т2. Этот перебор может быть ограничен, но ограничение не может быть меньше, чем порядок мультипликативной группы поля для каждого из этих параметров. Кроме того, пришлось бы подбирать ненулевые элементы поля а\,... ,а8, ßi,... , ß8. Размер этого ключевого пространства 25016. Атака методом линейного разложения на рассматриваемый протокол является не только эффективной, но и практически реализуемой. От общей схемы атаки методом линейного разложения на протокол Шпильрайна — Ушакова [3] рассматриваемая атака отличается тем, что для неё нет необходимости строить базисы линейных подпространств, без чего не обойтись в общем случае.
ЛИТЕРАТУРА
1. Hecht P. Post-Quantum Cryptography (PQC): Generalized ElGamal Cipher over GF(2518). arXiv:1702.03587v1 [cs.CR], 12 Feb 2017. 6 p.
2. Shpilrain V. and Ushakov A. Thompson's group and public key cryptography // LNCS. 2005. V. 3531. P. 151-164.
3. Романьков В. А. Алгебраическая криптография. Омск : Изд-во Ом. ун-та, 2013. 135 с.
УДК 003.26, 519.725 Б01 10.17223/2226308Х/10/28
КВАДРАТ КОДА РИДА — МАЛЛЕРА И КЛАССЫ ЭКВИВАЛЕНТНОСТИ СЕКРЕТНЫХ КЛЮЧЕЙ КРИПТОСИСТЕМЫ МАК-ЭЛИСА — СИДЕЛЬНИКОВА
В. В. Высоцкая
Исследован вид классов эквивалентности секретных ключей криптосистемы Мак-Элиса — Сидельникова. Найден вид этих классов в случае, когда квадрат кода
