Научная статья на тему 'Квадрат кода Рида - Маллера и классы эквивалентности секретных ключей криптосистемы Мак-Элиса - Сидельникова'

Квадрат кода Рида - Маллера и классы эквивалентности секретных ключей криптосистемы Мак-Элиса - Сидельникова Текст научной статьи по специальности «Математика»

CC BY
249
14
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
КРИПТОСИСТЕМА МАК-ЭЛИСА-СИДЕЛЬНИКОВА / КОД РИДА-МАЛЛЕРА / КВАДРАТ КОДА / КЛАССЫ ЭКВИВАЛЕНТНОСТИ / MCELIECE SIDELNIKOV CRYPTOSYSTEM / REED MULLER CODE / CODE SQUARE / MCELIECE / SIDELNIKOV CRYPTOSYSTEM / REED / EQUIVALENCE CLASSES

Аннотация научной статьи по математике, автор научной работы — Высоцкая Виктория Владимировна

Исследован вид классов эквивалентности секретных ключей криптосистемы Мак-Элиса Сидельникова. Найден вид этих классов в случае, когда квадрат кода с порождающей матрицей (R|HR), где R порождающая матрица кода Рида Маллера порядка r и длины 2m (то есть RM(r, m)), равен декартову квадрату кода порядка 2r той же длины. В данном случае существует взаимно однозначное соответствие класса эквивалентности и декартова квадрата группы автоморфизмов кодов RM(r, m). Показано, что доля остальных случаев стремится к нулю при стремлении размерности кода к бесконечности.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

The Reed - Muller code square and equivalence classes of McEliece - Sidelnikov cryptosystem private keys

Equivalence classes of McEliece Sidelnikov cryptosystem private keys are studied in the work. The structure of the classes is described in the case, when the square of the code with the generator matrix (R|HR), where R is a generator matrix of the Reed Muller code RM(r, m) of order r and length 2m, equals the Cartesian square of the code of order 2r and the same length. In this case, there exists a bijection between an equivalence class and the Cartesian square of automorphism group of the code RM(r,m). Moreover, it is shown that the ratio of matrices H causing other cases approaches zero when the code dimension approaches infinity.

Текст научной работы на тему «Квадрат кода Рида - Маллера и классы эквивалентности секретных ключей криптосистемы Мак-Элиса - Сидельникова»

Значения 8гз можно найти как решение соответствующей системы линейных уравнений, например методом Гаусса. После этого, подставив в правую часть вместо матрицы О матрицу В', Джон получит сформированный ключ К и сможет читать все сообщения, которые отправляют Алиса и Боб между собой:

Е 8гз(РЕгР-1)В'(РЕ3Р-1) = £ 8гз(РЕгР-1)(РВВР-1)О(РВВР-1)(РЕ3Р-1) = ¿,7=1 г,з=1

= Е (РОВР-1) (8г3(РЕгР-1)О(РЕ3Р-1)) (РВ^Р-1) =

г,з=1

= (РВ^ Р-1)1 £ 8гз(РЕгР-1)О(РЕзР-1) ) (РВ^Р-1) =

= Е (PEiP-1)G(PEjP-1)j Br2 = BriA'Br2 = K.

Заключение

Данная атака основана на методе линейной разложимости [3]. Для её осуществления достаточно, чтобы протокол строился на линейной группе. Необходимые вычисления выполняются методом Гаусса, который квадратичен по числу уравнений и линеен по числу неизвестных. Заметим, что достаточно найти любое частное решение соответствующей системы линейных уравнений. Уравнений в данном случае 64 (число элементов в матрице), неизвестных 64 (коэффициенты в разложении). При атаке «грубой силой» пришлось бы подбирать параметры ki, k2, r1 и т2. Этот перебор может быть ограничен, но ограничение не может быть меньше, чем порядок мультипликативной группы поля для каждого из этих параметров. Кроме того, пришлось бы подбирать ненулевые элементы поля а\,... ,а8, ßi,... , ß8. Размер этого ключевого пространства 25016. Атака методом линейного разложения на рассматриваемый протокол является не только эффективной, но и практически реализуемой. От общей схемы атаки методом линейного разложения на протокол Шпильрайна — Ушакова [3] рассматриваемая атака отличается тем, что для неё нет необходимости строить базисы линейных подпространств, без чего не обойтись в общем случае.

ЛИТЕРАТУРА

1. Hecht P. Post-Quantum Cryptography (PQC): Generalized ElGamal Cipher over GF(2518). arXiv:1702.03587v1 [cs.CR], 12 Feb 2017. 6 p.

2. Shpilrain V. and Ushakov A. Thompson's group and public key cryptography // LNCS. 2005. V. 3531. P. 151-164.

3. Романьков В. А. Алгебраическая криптография. Омск : Изд-во Ом. ун-та, 2013. 135 с.

УДК 003.26, 519.725 Б01 10.17223/2226308Х/10/28

КВАДРАТ КОДА РИДА — МАЛЛЕРА И КЛАССЫ ЭКВИВАЛЕНТНОСТИ СЕКРЕТНЫХ КЛЮЧЕЙ КРИПТОСИСТЕМЫ МАК-ЭЛИСА — СИДЕЛЬНИКОВА

В. В. Высоцкая

Исследован вид классов эквивалентности секретных ключей криптосистемы Мак-Элиса — Сидельникова. Найден вид этих классов в случае, когда квадрат кода

Математические методы криптографии

67

с порождающей матрицей (Я|НЯ), где Я — порождающая матрица кода Рида — Маллера порядка г и длины 2т (то есть ИМ(г, т)), равен декартову квадрату кода порядка 2г той же длины. В данном случае существует взаимно однозначное соответствие класса эквивалентности и декартова квадрата группы автоморфизмов кодов ИМ(г, т). Показано, что доля остальных случаев стремится к нулю при стремлении размерности кода к бесконечности.

Ключевые слова: криптосистема Мак-Элиса — Сидельникова, код Рида — Маллера, квадрат кода, классы эквивалентности.

Криптосистема Мак-Элиса — Сидельникова [1] является модификацией распространённой кодовой криптосистемы Мак-Элиса [2]. Кодовыми называются криптосистемы, основанные на задачах из теории кодов, исправляющих ошибки. Такие системы обладают одной отличительной особенностью: одному и тому же открытому ключу может соответствовать некоторое множество секретных ключей, поэтому секретные ключи могут быть разбиты на классы эквивалентности. Вопрос изучения этих классов актуален, так как знание их структуры позволяет строить эффективные атаки на кодовые криптосистемы [3].

Секретным ключом криптосистемы Мак-Элиса — Сидельникова является кортеж (Н^Н2, Г), где Н^Н2, Г — матрицы над полем СЕ(2), причём Н^Н2 —невырожденные, а Г — перестановочная. Открытым ключом криптосистемы является матрица С = (Н\К || Н2Я) • Г, где символом || обозначена конкатенация матриц по столбцам; Я — стандартная форма порождающей матрицы кода Рида — Маллера ИМ (г, т).

В [4] установлена связь между классом эквивалентности [(Н^Н2, Г)] секретных ключей и множеством С (Н1,Н2) подстановок Г, для которых существуют невырожденные двоичные матрицы Н1 ,Н'2, такие, что (Н1Я || Н2Я) • Г = (Н'1 Я || Н'2Я). Поэтому задача изучения классов эквивалентности секретных ключей свелась к задаче изучения структуры множества С.

Пусть С — код с порождающей матрицей (Я || НЯ), где Н = Н-1Н2.

Утверждение 1. С2 С ИМ(2г,т) х ИМ(2г,т).

Теорема 1. Если С2 = ИМ(2г,т) х ИМ(2г,т), то

С = Аи^ИМ(г,т)) х Аи^ИМ(г,т)).

Таким образом, для случая равенства можно получить описание классов эквивалентности.

В случае строгого вложения можно рассмотреть матрицу Н специального вида, такую, что в ней существует ортогональная подматрица Н, которая расположена с точностью до перестановки строк и столбцов следующим образом:

" Н Н1 "

0 Н2 ]

Для матрицы вида (1) верны следующие факты.

Теорема 2. Если матрица Н имеет вид (1), то имеет место строгое вложение С2 С ИМ(2г,т) х ИМ(2г,т).

Теорема 3. Если выполнено строгое вложение С2 С ИМ(2г, т) х ИМ(2г, т) и подпространство, порождённое строками матрицы (Нт | 0 || Е | 0), пересекается с (С2)х, то матрица Н имеет вид (1).

Утверждение 2. Доля матриц вида (1) среди невырожденных матриц размера k х k есть O(k22-k).

Таким образом, доля матриц H вида (1) мала, а значит, почти всегда известна структура множества G и можно описать классы эквивалентности секретных ключей криптосистемы Мак-Элиса — Сидельникова.

ЛИТЕРАТУРА

1. Сидельников В. М. Открытое шифрование на основе двоичных кодов Рида — Маллера // Дискретная математика. 1994. Т. 6. №2. С. 3-20.

2. McEliece R. J. A public-key cryptosystem based on algebraic coding theory // DSN Progress Report. 1978. V. 42-44. P. 114-116.

3. Сидельников В. М., Шестаков С. О. О системе шифрования, построенной на основе обобщенных кодов Рида-Соломона // Дискретная математика. 1992. Т. 4. №3. С. 57-63.

4. Чижов И. В. Пространство ключей криптосистемы Мак-Элиса — Сидельникова: дис. ... канд. физ.-мат. наук. М.: МГУ, 2010.

УДК 512.6: 003.26 DOI 10.17223/2226308X/10/29

О ЯВНЫХ КОНСТРУКЦИЯХ ДЛЯ РЕШЕНИЯ ЗАДАЧИ

"A SECRET SHARING"

К. Л. Геут, К. А. Кириенко, П. О. Садков, Р. И. Таскин, С. С. Титов

Рассматривается следующая задача: построить подмножество M С F^, удовлетворяющее двум условиям: 1) каждый элемент u £ M может быть представлен в виде суммы трёх различных элементов множества M = F^ \ M; 2) сумма любых трёх различных элементов из M принадлежит M. Излагаются подходы к решению этой проблемы, в частности, для чётной размерности предложена явная конструкция искомого множества на основе кубической параболы.

Ключевые слова: NSUCRYPTO-2015, поле Галуа, кривая, разделение секрета.

Во втором раунде олимпиады по криптографии NSUCRYPTO-2015 [1] была предложена задача на специальный приз программного комитета Problem 1 "A secret sharing", в ноябре 2016 г. отмеченная как все ещё не решённая [2].

Постановка задачи требует предложить для каждого натурального n £ N явную конструкцию подмножества M множества F^ всех битовых строк длины n, удовлетворяющего следующим двум условиям:

1) каждый элемент u £ M может быть представлен в виде u = x ф y ф z, где x, y, z — различные элементы множества M = F^ \ M;

2) для всех различных x, y, z £ M справедливо x ф y ф z £ M.

Обозначая L = M, можем переписать условия 1 и 2 для L. Как показывают вычислительные эксперименты, |L| ^ 2n/2. Это оправдывает подход к построению L в виде кривой при чётном n = 2m.

Пусть n = 2m (m £ N); представим F^ в виде декартова произведения F^ = F^ х F^, а множество L — в виде кривой, состоящей из точек (x,y) этой плоскости, удовлетворяющих уравнению F(x,y) = 0 (x,y £ F^). Будем искать уравнение кривой L в явном виде

y = f (x), (1)

i Надоели баннеры? Вы всегда можете отключить рекламу.