Криптографический анализ схемы полилинейной криптографии Текст научной статьи по специальности «Математика»

УДК 512.54

DOI 10.25513/1812-3996.2019.24(2).12-16

КРИПТОГРАФИЧЕСКИЙ АНАЛИЗ СХЕМЫ ПОЛИЛИНЕЙНОЙ КРИПТОГРАФИИ Т. А. Бонич, М. А. Панферов, В. А. Романьков

Омский государственный университет им. Ф.М. Достоевского, г. Омск, Россия

Аннотация. Приведен криптографический анализ схемы полилинейной криптографии на нильпотентных группах, предложенной Кахроби и др. Отмечено, что атака, основанная на методе эффективного вычисления неизвестной степени m в матричном равенстве А = Вт (решении проблемы дискретного логарифма) в группе унитреугольных матриц над простым конечным полем, показывает криптографическую нестойкость данной схемы.

Ключевые слова

Алгебраическая криптография, полилинейная криптография, криптоанализ, нильпотентная группа, распределение ключа

Финансирование

Работа третьего автора выполнена при поддержке РФФИ и Правительства Омской области в рамках научного проекта № 18-41-550001а

CRYPTOGRAPHIC ANALYSIS OF THE SCHEME OF POLYLINEAR CRYPTOGRAPHY

T. A. Bonich, M. A. Panferov, V.A. Roman'kov

Dostoevsky Omsk State University, Omsk, Russia

Abstract. We give a cryptographic analysis of the scheme of the polylinear cryptography using nilpotent groups proposed by Kahrobaei et al. We show that an attack based on the efficient method of computing of an unknown exponent m in a matrix equality A = Bm (solution of the discrete logarithm problem) in a group of unitri-angular matrices proves vulnerability of the scheme.

Available online 05.07.2019

Keywords

Algebraic cryptography, poiylinear cryptography, cryptanalysis, nilpotent group, key exchange

Acknowledgements

The reported of the third author was fanded by RFBR and Government of Omsk region according to the research project № 18-41-550001a

Информация о статье

Дата поступления 02.04.2019

Дата принятия в печать 11.04.2019

Дата онлайн-размещения 05.07.2019

Article info

Received 02.04.2019

Accepted 11.04.2019

1. Введение

За последние годы полилинейные отображения неоднократно привлекали внимание криптографов. Идея их использования в защите информации была предложена Бонехом и Сильвербергом в [1]. Одним из основных ее успешных использований считается применение для неразличимости обфус-каций. См. по этому поводу [2; 3]. Попытки построения схем, основанных на полилинейных отображениях, были предприняты в алгебраической криптографии (см., напр., [4], где в качестве платформы шифрования предлагалось использовать нильпо-тентную группу ступени нильпотентности два).

Настоящая заметка связана с недавней работой [5] американского криптографа Д. Кахроби совместно с итальянскими коллегами А. Тортора и М. Тота. Мы анализируем предложенный в этой работе протокол полилинейной криптографии на платформе нильпотентной группы, фигурирующий в [5] как Протокол II.

Структура дальнейших разделов статьи следующая. В разделе 2 мы представляем полилинейные отображения и общую идею их использования в криптографии. Здесь также приводятся необходимые для данной статьи сведения о нильпотентных группах. В разделе 3 мы описываем метод вычисления неизвестной степени m матричного равенства A = Вт в группе UT(n, Fp), где Fp - конечное простое поле характеристики p. Объясняем, как этот алгоритм позволяет эффективно вычислять аналогичные степени относительно элементов конечной нильпотентной группы. Другими словами, представляем эффективное решение проблемы дискретного логарифма для класса конечных нильпотентных групп. Раздел 4 посвящен описанию Протокола II из [5] и демонстрации его уязвимости с помощью атаки, использующей описываемую в разделе 3 процедуру.

2. Полилинейные отображения

Пусть n - натуральное число. Для двух копий C и D циклической группы простого порядка p отображение а: C ^ D называется полилинейным, если при любых Ä1,.,Än£ Zи дг,.,дп е Cвыполнено равенство

a(0iAl.....gxnn) = «(01.....gny, (1)

где Л = *...*Л„.

Отображение а называется невырожденным, если для любого не единичного элемента g е C элемент а(д,..., g) также не единичный.

Группа G называется нильпотентной, если существует конечный центральный ряд нормальных подгрупп

{1} = G0 = G < G±< G2<-<Gn = G, (2)

где центральность ряда означает, что любой фактор ^¿/^¿+1 принадлежит центру факторгруппы С/С;+1. Длина кратчайшего центрального ряда называется ступенью нильпотентности группы в. Нильпо-тентными являются конечные р-группы, т. е. группы примарного порядка рг относительно простого числа р. Более того, любая конечная нильпотентная группа есть прямое произведение конечного числа конечных р-групп (ее силовских подгрупп). Нильпотентной будет любая группа унитреугольных матриц ит(п, К) над полем или ассоциативным кольцом с единицей К. Относительно свойств нильпотентных групп см. [6] или [7].

Для элементов а, Ь произвольной группы в обозначим через [а, Ь] их коммутатор аЬа~1Ь~1. Простой коммутатор произвольного веса п определяется индуктивно. По определению [а, Ь] - простой коммутатор веса 2. Если и = [а1,а2,..., ап] - простой коммутатор веса п, то [и, аИ+1] - простой коммутатор веса п + 1. Также индуктивно определяются (простые) энгелевы коммутаторы. По определению [а, Ь; 1] = = [а, Ь]. Полагаем [а, Ь; п + 1] = [[а, Ь; п], Ь]. Группа в нильпотентна ступени не больше чем п тогда и только тогда, когда любой простой коммутатор веса п + 1 от ее элементов равен 1. Наименьшее п с этим свойством как раз и будет ее ступенью нильпотентности. Это равносильно тому, что на группе в выполнено тождество [х1,х2,..,хп+1] = 1. Группа в называется п-энгелевой, если она удовлетворяет тождеству [хх, х2; п] = 1. Нильпотентная группа ступени п является п-энгелевой, обратное утверждение в общем случае неверно.

На любой группе в выполнены следующие коммутаторные тождества (х, у, г е в):

[у,х] = [х,у]_1, [ху,г] = х[у,г]х~1[х,г],

[х,уг] = [х,у]у[х,г]у~1, (3)

[х,у_1] = у_1[у,х]у, [х_1,у] = х_1[у, х]х. Если группа в нильпотентна ступени п, то из этих тождеств следует, что для любых целых чисел А1,..Дп и любого простого коммутатора и = = [х1,х2,.,х„] веса п от элементов группы в выполнено равенство

[х/1,х2Ч ..., х„я"] = и1, где Л = Л, *...* Лп. (4) Это означает, что отображение, определяемое коммутатором и, полилинейно.

Из (4) в частности следует, что если А = уб и х? = = 1, то их = 1.

3. Вычисление степеней (дискретных логарифмов) в группе унитреугольных матриц

Рассмотрим группу ит(п, унитреугольных матриц размера п над простым конечным полем

характеристики p. Мы представим эффективную процедуру вычисления по матрице A такой матрицы B, что A = Вт для некоторого натурального числа m > 1 при условии, что такая матрица B существует. Процедура легко обобщается на случай группы ит(п, Z над кольцом Zцелых чисел. Заметим, что указанная процедура представляет решение проблемы дискретного логарифма в унитреугольных матричных группах над простыми конечными полями или над кольцом Z. Относительно этой проблемы см. [8]. Случай матричной группы разобран в [9]. Алгоритм.

Заметим, что для любой матрицы C е ит(п, выполнено равенство СрП 1 = E. Поэтому можно считать, что m < ри_1.

Представим m следующим образом: т = т0 + т1р + т2р2 + —\-тп_2рп~2, (5) где 0 < т.1 < р - 1.

Представим правую часть уравнения A = Вт в виде произведения матриц:

А = Вт° *Вт 1Р *... * втп~2рП~2. (6)

Поиск т1 (I = 0,..., п-2):

Шаг 1. Для того чтобы найти т0, составим систему линейных уравнений (СЛУ) относительно элементов первой побочной диагонали матриц А и Вт°:

а12 = Ь12 *т0(той р), а2з = Ь23 *т0(той р),

(7)

\п-1)п = Ь(„_1)П *m0(mod р).

Если первая побочная диагональ матрицы B нулевая, то и первая побочная диагональ матрицы A также нулевая. Аналогичное утверждение имеет место для каждой следующей диагонали. Найдя первую ненулевую побочную диагональ матрицы B (пусть это диагональ с номером q), составляем по ней СЛУ аналогичную (7) для вычисления т0: (а1д+1 = Ъ1д+1 *т0(той р), а2,ч+2 = Ь2,ч+2 *т0{той р),

(8)

y.an-q,n = bn-q,n *m0(mod р).

Решая эту систему, находим т0 (решение в данном случае однозначное), вычисляем и переносим множитель Вт° в левую часть. Получаем равенство

А* В~т° =Вт 1Р *... *Втп~2рП~2. (9) Заметим, что теперь левая часть имеет q + 1 нулевую побочную диагональ.

Шаг 2. Возводим матрицу B в степень p, тем самым обнуляя побочную диагональ с номером q + 1, и затем составляем СЛУ вида (8) для ее следующей

ненулевой побочной диагонали. Далее находим однозначное значение т1 из следующей системы.

«1,4+2 = Кч+2 *т1(той р), а2,ч+з = ь2,я+э *т1{той р),

(9)

— I

q—2,n

= ъ.

n-q-

-2,п *m1(mod р).

После чего переносим В™1 в левую часть. Таким образом, мы получаем равенство

А* В~т° *В~т1Р =Вт 2р2 *... * Втп~2рП~2 . (10)

Продолжая действовать описанным образом, мы в результате вычислим степень m. Заметим, что эта степень определяется из уравнения А = = Вт не однозначно, а с точностью до порядка матрицы В. В то же время легко увидеть, что приведенный алгоритм находит минимальное положительное решение m.

Можно также заметить, что при решении систем типа (7-9) значение неизвестного вычисляется из одного уравнения. Достаточно, чтобы оба участвующих в уравнении коэффициента не оказались одновременно равными 0. Если коэффициент из правой части равен 0, то и коэффициент из левой равен 0. Иначе система окажется неразрешимой, но по условию решение существует.

Пусть теперь G - произвольная конечная p-группа. Возможны два способа решения проблемы дискретного логарифма в G.

Первый из них связан с тем, что любая конечная p-группа G изоморфно вложима в группу ит(п, при достаточно большом значении п. Предварительно вкладываем в группу ит^, а затем определяем значение дискретного логарифма, как это описано выше.

Для реализации второго способа находим в G центральный ряд (2), факторы С1/в1+1 которого -элементарные абелевы p-группы. Такой ряд легко получается как уплотнение произвольного центрального ряда. Если п - длина ряда, то любой элемент Ь е G в степени рп равен 1. Значение m из уравнения а = Ьт можно искать в виде (5). Роль диагоналей при этом играют последовательные факторы

ряда (2). Заметим, что для группы ит^, - член такого ряда состоит из матриц, в которых первые i побочных диагоналей нулевые. Соответствующий фактор есть элементарная абелева p-группа, ранг которой равен длине соответствующей диагонали.

Наконец, для вычисления дискретного логарифма в произвольной конечной нильпотентной группе G достаточно представить ее в виде прямого

произведения р-групп, а затем найти соответствующие значения для множителей. Итоговый дискретный логарифм определяется по Китайской теореме об остатках.

Для унитреугольных групп над Z проблема дискретного логарифма решается просто, степень однозначно вычисляется по первой ненулевой диагонали. Так как любая конечно порожденная нильпотентная группа G без кручения вложима в группу UT(n, Z) при достаточно большом n, это утверждение справедливо и для G. Также можно непосредственно использовать для вычислений центральный ряд группы G с факторами без кручения (например, так называемый верхний центральный ряд - см. [6]). Любая конечно порожденная нильпотентная группа G вложима в прямое произведение конечно порожденной нильпо-тентной группы без кручения и конечной нильпотент-ной группы (см., например, [10]). Это позволяет решать проблему дискретного логарифма и в этом случае. Либо дискретный логарифм однозначно вычисляется по первой компоненте, либо, если эта компонента единичная для a и b из уравнения a = bm, то по второй - конечной компоненте.

4. Описание Протокола II из [5] с его криптографическим анализом

Протокол II

Пусть G - открытая нильпотентная группа ступени нильпотентности n + 1, не являющаяся n-энге-

левой (п > 1). Тогда существуют элементы х, Ь е в такие, что [х, Ь; п] * 1. Предположим, что п+1 пользователь А1,...,Ап+1 хотят распределить между собой закрытый ключ. Каждый пользователь А^ выбирает закрытый ненулевой ключ - натуральное число Я;, вычисляет и публикует значение ЬЯ; е в. Затем каждый пользователь А^ вычисляет элемент

[хЯг,ЬЯ2,..,ЬЯг-1,ЬЯг+1,..,ЬЯп+1] = [х,Ъ;п]1, (11) где Я = Ях *...*Яи+1.

Данный ключ является общим для всех пользователей.

Криптографический анализ.

Эффективная процедура, описанная в предыдущем разделе, позволяет вычислить по любому значению ЬЯ; параметр ^ такой, что ЬЯ; = Ь. Достаточно вычислить одно такое значение, скажем ^„+1, и получить распределенный ключ как [хМп+1,£Я2, ., , ¿Я;+1, ., ¿Яп+1 ] = |"Х,Ь; П]Я. (12)

Формально в правую часть равенства (12) входит в качестве экспоненты произведение Ях .Яи^и+1. Однако имеет место целочисленное равенство Яи+1 = ^„+1+ \8, где у - порядок элемента Ь, значит, коммутатор [х, Ь; п] в степени у равен 1, поэтому замена в показателе степени А множителя Яи+1 на не меняет элемента (12), т. е. разделенного ключа.

СПИСОК ЛИТЕРАТУРЫ

1. Boneh D., Silverberg A. Applications of multilinear forms to cryptography // Contemporary Mathematics. 2003. Vol. 324. American Mathematical Society. P. 71-90.

2. Lin H., Tessaro S. Indistinguishability obfuscation from trilinear maps and Block-Wise local PRGs // CRYPTO'2017. 37th Annual International Cryptology Conference, Santa Barbara, CA, USA, August 20-24, 2017, Proceedings, Part I. P. 630-660.

3. Huang M.A. Trilinear maps for cryptography. Preprint: arXiv Math. 1810.03646v6 [cs. CR] 6 Feb. 2019. 19 p.

4. Mahalanobis A., Shinde P. Cryptography using groups of nilpotency class 2 // Cryptography and coding., 16th IMA International Conference, IMACC. 2017, Oxford, UK (2017). P. 127-134.

5. Kahrobaei D., Tortora A., Tota M. Multilinear cryptography using nilpotent Groups. Preprint: arXiv Math. 1902.08777v1 [cs.CR] 23 Feb. 2019. 8 p.

6. Каргаполов М. И., Мерзляков Ю. И. Основы теории групп. М. : Наука, 1972. 240 с.

7. Романьков В. А., Хисамиев Н. Г. Нильпотентные группы : курс лекций. Усть-Каменогорск : Изд-во ВКГТУ, 2013. 47 с.

8. Романьков В. А. Введение в криптографию: курс лекций. М. : Форум, 2012. 239 с.

9. Романьков В. А. Криптографический анализ аналога схемы Диффи - Хеллмана, использующего сопряжение и возведение в степень, на матричной платформе // Прикладная дискретная математика. Приложение. 2014. № 7. С. 56-58.

10. Романьков В. А. Теоремы вложения для нильпотентных групп // Сиб. матем. журн. 1972. Т. 13, № 4. С. 859-867.

- 15

Herald of Omsk University 2019, vol. 24, no. 2, pp. 12-16

Вестник Омского университета 2019. Т. 24, № 2. С. 12-16

-ISSN 1812-3996

ИНФОРМАЦИЯ ОБ АВТОРАХ INFORMATION ABOUT THE AUTHORS

Бонич Татьяна Андреевна - студентка ИМИТ, Bonich Tatiana Andreevna - Student of IMIT, Dostoev-

Омский государственный университет им. Ф. М. До- sky Omsk State University, 55a, pr. Mira, Omsk, 644077,

стоевского, 644077, Россия, г. Омск, пр. Мира, 55а; Russia; e-mail: tanya50997@gmail.com. e-mail: tanya50997@gmail.com.

Панфёров Матвей Андреевич - студент ИМИТ, Panferov Matvei Andreevich - Student of IMIT, Dosto-

Омский государственный университет им. Ф. М. До- evsky Omsk State University, 55a, pr. Mira, Omsk,

стоевского, 644077, Россия, г. Омск, пр. Мира, 55а; 644077, Russia; e-mail: magold1102@gmail.com. e-mail: magold1102@gmail.com.

Романьков Виталий Анатольевич - доктор физико-математических наук, профессор, заведующий кафедрой компьютерной математики и программирования, Омский государственный университет им. Ф. М. Достоевского, 644077, Россия, г. Омск, пр. Мира, 55а; e-mail: romankov48@mail.ru.

ДЛЯ ЦИТИРОВАНИЯ

Бонич Т. А., Панферов М. А., Романьков В. А. Криптографический анализ схемы полилинейной криптографии // Вестн. Ом. ун-та. 2019. Т. 24, № 2. С. 1216. DOI: 10.25513/1812-3996.2019.24(2).12-16.

Roman'kov Vitalii Anatolievich - Doctor of Physical and Mathematical Sciences, Professor, Head of the Department of Computing Mathematics and Programming, Dostoevsky Omsk State University, 55a, pr. Mira, Omsk, 644077, Russia; e-mail: romankov48@mail.ru.

FOR QTATIONS

Bonich T.A., Panferov M.A., Roman'kov V.A. Cryptographic analysis of the scheme of polylinear cryptography. Vestnik Omskogo universiteta = Herald of Omsk University, 2019, vol. 24, no. 2, pp. 12-16. DOI: 10.25513/1812-3996.2019.24(2).12-16. (in Russ.).