Криптосхемы над задачей скрытого дискретного логарифмирования для защиты информации в инфотелекоммуникационных системах водного транспорта Текст научной статьи по специальности «Математика»

УДК 519 Д. В. Захаров,

аспирант,

СПГУВК;

Н. А. Молдовян,

д-р техн. наук, профессор, Учреждение Российской академии наук «Санкт-Петербургский институт информатики и автоматизации РАН»

КРИПТОСХЕМЫ НАД ЗАДАЧЕЙ СКРЫТОГО ДИСКРЕТНОГО ЛОГАРИФМИРОВАНИЯ ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ ВОДНОГО ТРАНСПОРТА

CRYPTOSCHEMES OVER HIDDEN DISCRETE LOGARITHM PROBLEM FOR INFORMATION PROTECTION IN TELECOMMUNICATION SYSTEMS OF THE WATER TRANSPORT

Рассмотрен способ генерации элементов конечных некоммутативных групп Г шестимерных и четырехмерных векторов над полем GF(p) для задания скрытой задачи дискретного логарифмирования, используемой в синтезе криптосхем с открытым ключом, обладающих стойкостью к атакам на основе гомоморфизмов группы Г в поле GF(ps) для различных значений s, 1 < s < m.

This article presents a methods of generation elements of the finite non-commutative groups offour-dimen-sions vectors and six-dimensions vectors defined over the field GF(p). These elements are applied to design public-key cryptoschemes based on hard problem called finding hidden discrete logarithm problem, which are secure against attacks based on homomorphism’s of the group Г into the field GF(ps), where 1 < s < m.

Ключевые слова: трудная задача, задача дискретного логарифмирования, некоммутативные группы векторов, конечные группы, криптосхема.

Key words: hard problem, discrete logarithm problem, non-commutative groups of vectors, finite groups, cryptoschemes.

Введение

Криптосистемы с открытым ключом широко используются для решения задач обеспечения информационной безопасности и информационно-телекоммуникационных системах. Вычислительно трудная задача дискретного логарифмирования (ЗДЛ) в скрытой подгруппе (ЗДЛСП) конечной некоммутативной группы Г представляет значительный интерес как примитив криптосистем с открытым ключом [1, с. 61-65;

2, р. 165-176] обладающих высоким быстродействием. Формулировка ЗДЛСП состоит

в требовании вычисления неизвестного элемента X е Г с Г (Г — коммутативная

комм 4 комм ^

подгруппа группы Г, имеющая достаточно большой порядок) и числа х в уравнении У = X°(^)°Х -1, где заданы У е Г, Г с Г и

комм

G е Г; ° — групповая операция. Как было показано в работе [2, р. 165-176] рассматриваемая задача в случае групп четырехмерных векторов и матриц размерности 2^2 может ^ 89 быть сведена к решению двух независимых трудных задач: ЗДЛ в циклической подгруппе и задачи поиска сопрягающего элемента (нахождение неизвестного элемента X е Г

комм

в уравнении У = X°G°X -1), используя гомо-

Выпуск 3

морфное отображение Г в конечное поле О^(р), над которым задается группа Г.

Для устранения таких атак в [3, р. 183194] предложено выбирать порядок элемента

О, равный некоторому достаточно большому простому числу, которое не делит число р — 1. В случае рассмотренных в [3] групп такой подход реализуем достаточно легко путем выбора характеристики поля р такой, что число р + 1 содержит большой простой делитель q и генерации элемента О, имеющего порядок, равный числу q. Однако если для некоторых типов конечных некоммутативных групп Г допустить возможность обнаружения гомоморфизмов групп Г в расширенные поля ОЕ(р!!), где 5 > 1 — степень расширения простого поля [4, р. 177-186], то даже при указанном выборе элемента О ЗДЛСП в случае конечных групп матриц размерности 2^2 и конечных некоммутативных групп четырехмерных векторов при 5 = 2 будет распадаться на указанные две независимые трудные задачи, что будет означать существенное снижение сложности решения ЗДЛСП. Учитывая, что указанные гомоморфизмы не дают возможности расщепления ЗДЛ в скрытой подгруппе при условии, что порядок элемента О является взаимно простым со значениями р — 1 и р2 — 1, равными порядку мультипликативной группы поля О^(р) и О^(р2) соответственно, можно рекомендовать использовать элементы О порядка р. Такие элементы в группах четырехмерных векторов и матриц размерности 2x2 существуют, поскольку порядок таких некоммутативных групп описывается формулой О = р(р — 1)(р2 — 1). В случае конечных групп матриц размерности тхт, заданных над полем О^(р), их порядок О описывается формулой [5]:

.

<ч 1=0

ж

о

= В соответствии с теоремой Силова [5]

00 наличие простого делителя р порядка конеч-

ной некоммутативной группы показывает наличие элементов порядка р, содержащихся в таких группах. Это означает, что выбор элемента О порядка р для задания ЗДЛСП является достаточно общим способом для формулировки частных вариантов ЗДЛСП над

конечными группами матриц, решение которых не может быть сведено к решению ЗДЛ и задачи поиска сопрягающего элемента путем использования гомоморфных отображений. В случае конечных некоммутативных групп векторов неизвестна общая формула, описывающая значение их порядка, однако в случаях, исследованных в работе [6, с. 12-18] в группах векторов размерности 6 и 8, заданных над полем О^(р), было установлено, что порядок группы также делится на число р. Это показывает важность предлагаемого способа и в случае применения групп векторов для задания указанных частных вариантов ЗДЛСП с целью синтеза криптосхем, стойких к атакам на основе гомоморфных отображений группы Г в поле О^(р5), где 5 < т.

Для построения криптосхем практического значения важным вопросом является наличие способов нахождения элементов порядка р в конечных некоммутативных группах при больших значениях характеристики р > 280. В настоящем сообщении рассматриваются способы нахождения элементов порядка р в некоммутативных группах шестимерных и четырехмерных векторов, заданных над полем О^(р).

Четырехмерные векторы порядка р

Пусть конечная некоммутативная группа четырехмерных векторов задана с помощью групповой операции умножения векторов, выполняемой с помощью таблицы умножения базисных векторов, показанной как табл. 1 (определение операции умножения векторов см. в [1; 3]). Векторы порядка р легко найти, используя следующее утверждение.

Утверждение 1. Четырехмерные векторы над конечным полем О^(р) с умножением, заданным по табл. 1, вида (V-1, Ь, с, ё) обладают порядком, равным р, если координаты Ь, с и ё удовлетворяют условию

хЬ2 +с2 + и12 = 0тос1 р. (1)

Доказательство. В соответствии с правилами умножения четырехмерных векторов возведение вектора (V-1, Ь, с, ё) в квадрат дает вектор (V-1, 2Ь, 2с, 2ё). Действительно, по формуле умножения векторов имеем

(V-1, Ь, с, ё) ° (у-1, Ь, с, ё) = (V-1 - ту-1Ь2 - у-1с2 -- ту-1ё)е + (Ь + Ь - ёс + сё)1 + (с + тёЬ + с -

- тЬё)] + (ё - сЬ + Ьс + ё)к =

= (V-1 - у-1(тЬ2 + с2 + тё2)) e +2Ьi + 2с\ + 2ёк.

С учетом условия (1) получаем (у-1,Ь,с, ё)2 = (у-1,2Ь,2с,2ё). Допустим

(у-1, Ь, с, ё)к = (у-1, кЬ, кс, кё). (2)

Тогда получаем (у-1,Ь,с,ё)к + 1 = (у-1, Ь, с, ё)к°(у-1, Ь, с, ё) =

= (у-1, кЬ, кс, кё) ° (у-1, Ь, с, ё) =

= (у-1, (к + 1)Ь, (к + 1)с, (к + 1)ё).

В соответствии с методом математической индукции формула (2) верна при произвольных натуральных к. Утверждение 4 доказано.

Таблица 1

Таблица умножения базисных векторов для случая четырехмерного векторного пространства над полем С^(р) (0 < т < р, 0 < V < р)

Базисные векторы Базисные векторы

е 1 к

г ve У1 у! ук

1 VI -ТУ-1е к -"Ч

у! -к -у-1е 1

к vk -1 - т у 1 е

Генерация шестимерных векторов порядка р

Пусть конечная некоммутативная группа шестимерных векторов задана с помощью групповой операции умножения векторов, выполняемой с помощью таблицы умножения базисных векторов, показанной как табл. 2 (определение операции умножения векторов см. в [1; 3]). Векторы порядка р легко найти, используя следующее утверждение.

Утверждение 2. Шестимерные векторы над конечным полем ОЕ(р) с умножением, заданным по табл. 2 вида (у-1, Ь, с, ё, /, £), обладают порядком, равным р, если координаты Ь, с, ё, £ и g удовлетворяют условию

-

-2^^ос1 р . (3)

Афс + Ьс1 + сё) = -/2 тос1 р

Доказательство. В соответствии с правилами умножения векторов возведение

вектора (у-1, Ь, с, ё, /, g) в квадрат дает вектор (у-1, 2Ь, 2с, 2ё, 2/ 2g) Действительно, по формуле умножения векторов имеем

=v-1v-1ve + v-1bvi + у-1су + v-1ёvk + у-1/уи +

+ v-1gvv + Ь у-1у1 + bbv-1Ae + ЬcAu + ЬёАу +

+ Ь/] + bgk + с v-1vj + сЬАу + ccv-1Ae +

+ cёAu + cfk + cgi + ё v-1vk + ёЬ Au + ёcAv +

+ ёёv-1Ae + ёfi + ёgj +

+fv-1vu + fbk + £с\ + /ё] + //V + fgv-1Ae +

+ g у-1^ + gЬj + gck + gёi + g/V-1Ae + ggu =

= (у-1у-1у+ ЬЬv-1A +сс v-1A +ёёv-1A +/gv-1A + g/V-1A)e + (у-1уЬ + Ьу-1у + cg + ё/+/с + gё)i +

+ (у-1ус + Ь/ + су-1у + ёg + /ё + gЬ)j + (у-1уё +

+ Ьg + с/ + ёу-1у + /Ь + gc)k +

+ (v-1vf+ЬcA +cёA + ёЬA + / у-1у + gg)u +

+ (v-1vg + AЬё + AcЬ + Aёc +//+ g v-1v)v,

так как cg +ё/ + /с +gё = g(c+ё) + /(ё+с) =

= (с+ё)(^+/), Ьf+ёg + fё+gЬ =/Ь+ё) + g(ё+b)=

= (Ь+ё)^+/) и Ьg + с/+ + /Ь + +gc = /с+Ь)+

+ g(c+Ь) = (Ь+с)(^+/), то с учетом условия (3) получаем (у-1, Ь, с, ё, /, g)2 = (у-1, 2Ь, 2с, 2ё, 2/, 2g). Допустим

(V-1, Ь, с, ё, / g)k = (V-1, кЬ, кс, кё, к/ к^). (4)

Тогда получаем

(у-1, Ь, с, ё, /, g)k+1 = (у-1, Ь, с, ё, /, g)k °

° (у-1, Ь, с, ё, /, g)= (у-1, кЬ, кс, кё, к/, к§) °

° (у-1, Ь, с, ё, /, g) = (у-1, (к + 1)Ь, (к + 1)с,

(к + 1)ё, (к+1/ (к+1) ^.

В соответствии с методом математической индукции формула (4) верна при произвольных натуральных к. Утверждение 2 доказано.

Таблица 2

Таблица умножения базисных векторов для случая шестимерного векторного пространства над полем С^(р) (0 < А < р, 0 < V < р)

Базисные векторы Базисные векторы

е 1 к и V

е уе У1 у] ук Уи

1 У1 у-1Ае Аи Av к

у] Av у-1Ае Аи к 1

к ук Аи Av У-1Ае 1

и Уи к 1 ] V У-1е

V УV к 1 У-1е и

Выпуск 3

Выпуск З

Заключение

Приведенные способы нахождения элементов порядка р в конечных некоммутативных группах Г векторов, заданных над полем GF(p), имеют достаточно низкую вычислительную сложность и решают проблему задания таких вариантов ЗДЛСП, при которых использование гомоморфизма группы Г в поле GF(ps) при различных значениях 5 не позволяет свести решение ЗДЛСП к решению обычной ЗДЛ в поле GF(ps) и последующему решению задачи поиска сопрягающего элемента. Такие варианты задания ЗДЛСП с целью синтеза криптосхем с открытым клю-

чом, построенных по аналогии с протоколом открытого распределения ключей и алгоритмом открытого шифрования из работ [1-3] представляют значительный практический интерес. Однако в этих вариантах решается задача обеспечения стойкости к атакам на основе гомоморфизмов и не рассматриваются другие возможные подходы к решению ЗДЛСП. Для более полной оценке стойкости криптосхем на основе ЗДЛСП следует продолжить исследование других возможных подходов к решению данной сравнительно новой трудной задачи.

Работа поддержана грантом РФФИ 11-07-00004-а.

Список литературы

1. Молдовян Д. Н. Конечные некоммутативные группы как примитив криптосистем с открытым ключом / Д. Н. Молдовян // Информатизация и связь. — 2010. — № 1.

2. Moldovyan D. N. Non-Commutative Finite Groups as Primitive of Public-Key Cryptoschemes / D. N. Moldovyan // Quasigroups and Related Systems. — 2010. — Vol. 18.

3. Moldovyan D. N. A New Hard Problem over Non-Commutative Finite Groups for Cryptographic Protocols / D. N. Moldovyan, N. A. Moldovyan // Springer Verlag LNCS. — 2010. — Vol. 6258.

4. Moldovyan D. N. Cryptoschemes over hidden conjugacy search problem and attacks using homomorphisms / D. N. Moldovyan, N. A. Moldovyan // Quasigroups and Related Systems. — 2010. — Vol. 18.

5. КаргаполовМ. И. Основы теории групп / М. И. Каргаполов, Ю. И. Мерзляков. — М.: Физ-матлит, 1996. — 287 с.

6. Молдовян Д. Н. Задание некоммутативных конечных групп векторов для синтеза алгоритмов цифровой подписи / Д. Н. Молдовян [и др.] // Вопросы защиты информации. — 2009. — № 4.

УДК 681.3 И. А. Куприянов,

аспирант, СПГУВК

МАТРИЦЫ СПЕЦИАЛЬНОГО ПОРЯДКА ДЛЯ АЛГОРИТМОВ АУТЕНТИФИКАЦИИ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ ВОДНОГО ТРАНСПОРТА SPECIAL-ORDER MATRICES FOR THE INFORMATION AUTENTIFICATION ALGORITHMS IN COMPUTERIZED SYSTEMS OF WATER TRANSPORT

В настоящей статье приводится доказательство утверждения, что порядок невырожденных треугольных матриц произвольной размерности, заданных над GF(p), на главной диагонали которых располо-