CC BY
13
Значения 8гз можно найти как решение соответствующей системы линейных уравнений, например методом Гаусса. После этого, подставив в правую часть вместо матрицы О матрицу В', Джон получит сформированный ключ К и сможет читать все сообщения, которые отправляют Алиса и Боб между собой:
Е 8гз(РЕгР-1)В'(РЕ3Р-1) = £ 8гз(РЕгР-1)(РВВР-1)О(РВВР-1)(РЕ3Р-1) = ¿,7=1 г,з=1
= Е (РОВР-1) (8г3(РЕгР-1)О(РЕ3Р-1)) (РВ^Р-1) =
г,з=1
= (РВ^ Р-1)1 £ 8гз(РЕгР-1)О(РЕзР-1) ) (РВ^Р-1) =
= Е (PEiP-1)G(PEjP-1)j Br2 = BriA'Br2 = K.
Заключение
Данная атака основана на методе линейной разложимости [3]. Для её осуществления достаточно, чтобы протокол строился на линейной группе. Необходимые вычисления выполняются методом Гаусса, который квадратичен по числу уравнений и линеен по числу неизвестных. Заметим, что достаточно найти любое частное решение соответствующей системы линейных уравнений. Уравнений в данном случае 64 (число элементов в матрице), неизвестных 64 (коэффициенты в разложении). При атаке «грубой силой» пришлось бы подбирать параметры ki, k2, r1 и т2. Этот перебор может быть ограничен, но ограничение не может быть меньше, чем порядок мультипликативной группы поля для каждого из этих параметров. Кроме того, пришлось бы подбирать ненулевые элементы поля а\,... ,а8, ßi,... , ß8. Размер этого ключевого пространства 25016. Атака методом линейного разложения на рассматриваемый протокол является не только эффективной, но и практически реализуемой. От общей схемы атаки методом линейного разложения на протокол Шпильрайна — Ушакова [3] рассматриваемая атака отличается тем, что для неё нет необходимости строить базисы линейных подпространств, без чего не обойтись в общем случае.
ЛИТЕРАТУРА
1. Hecht P. Post-Quantum Cryptography (PQC): Generalized ElGamal Cipher over GF(2518). arXiv:1702.03587v1 [cs.CR], 12 Feb 2017. 6 p.
2. Shpilrain V. and Ushakov A. Thompson's group and public key cryptography // LNCS. 2005. V. 3531. P. 151-164.
3. Романьков В. А. Алгебраическая криптография. Омск : Изд-во Ом. ун-та, 2013. 135 с.
УДК 003.26, 519.725 Б01 10.17223/2226308Х/10/28
КВАДРАТ КОДА РИДА — МАЛЛЕРА И КЛАССЫ ЭКВИВАЛЕНТНОСТИ СЕКРЕТНЫХ КЛЮЧЕЙ КРИПТОСИСТЕМЫ МАК-ЭЛИСА — СИДЕЛЬНИКОВА
В. В. Высоцкая
Исследован вид классов эквивалентности секретных ключей криптосистемы Мак-Элиса — Сидельникова. Найден вид этих классов в случае, когда квадрат кода
Математические методы криптографии
67
с порождающей матрицей (Я|НЯ), где Я — порождающая матрица кода Рида — Маллера порядка г и длины 2т (то есть ИМ(г, т)), равен декартову квадрату кода порядка 2г той же длины. В данном случае существует взаимно однозначное соответствие класса эквивалентности и декартова квадрата группы автоморфизмов кодов ИМ(г, т). Показано, что доля остальных случаев стремится к нулю при стремлении размерности кода к бесконечности.
Ключевые слова: криптосистема Мак-Элиса — Сидельникова, код Рида — Маллера, квадрат кода, классы эквивалентности.
Криптосистема Мак-Элиса — Сидельникова [1] является модификацией распространённой кодовой криптосистемы Мак-Элиса [2]. Кодовыми называются криптосистемы, основанные на задачах из теории кодов, исправляющих ошибки. Такие системы обладают одной отличительной особенностью: одному и тому же открытому ключу может соответствовать некоторое множество секретных ключей, поэтому секретные ключи могут быть разбиты на классы эквивалентности. Вопрос изучения этих классов актуален, так как знание их структуры позволяет строить эффективные атаки на кодовые криптосистемы [3].
Секретным ключом криптосистемы Мак-Элиса — Сидельникова является кортеж (Н^Н2, Г), где Н^Н2, Г — матрицы над полем СЕ(2), причём Н^Н2 —невырожденные, а Г — перестановочная. Открытым ключом криптосистемы является матрица С = (Н\К || Н2Я) • Г, где символом || обозначена конкатенация матриц по столбцам; Я — стандартная форма порождающей матрицы кода Рида — Маллера ИМ (г, т).
В [4] установлена связь между классом эквивалентности [(Н^Н2, Г)] секретных ключей и множеством С (Н1,Н2) подстановок Г, для которых существуют невырожденные двоичные матрицы Н1 ,Н'2, такие, что (Н1Я || Н2Я) • Г = (Н'1 Я || Н'2Я). Поэтому задача изучения классов эквивалентности секретных ключей свелась к задаче изучения структуры множества С.
Пусть С — код с порождающей матрицей (Я || НЯ), где Н = Н-1Н2.
Утверждение 1. С2 С ИМ(2г,т) х ИМ(2г,т).
Теорема 1. Если С2 = ИМ(2г,т) х ИМ(2г,т), то
С = Аи^ИМ(г,т)) х Аи^ИМ(г,т)).
Таким образом, для случая равенства можно получить описание классов эквивалентности.
В случае строгого вложения можно рассмотреть матрицу Н специального вида, такую, что в ней существует ортогональная подматрица Н, которая расположена с точностью до перестановки строк и столбцов следующим образом:
" Н Н1 "
0 Н2 ]
Для матрицы вида (1) верны следующие факты.
Теорема 2. Если матрица Н имеет вид (1), то имеет место строгое вложение С2 С ИМ(2г,т) х ИМ(2г,т).
Теорема 3. Если выполнено строгое вложение С2 С ИМ(2г, т) х ИМ(2г, т) и подпространство, порождённое строками матрицы (Нт | 0 || Е | 0), пересекается с (С2)х, то матрица Н имеет вид (1).
Утверждение 2. Доля матриц вида (1) среди невырожденных матриц размера k х k есть O(k22-k).
Таким образом, доля матриц H вида (1) мала, а значит, почти всегда известна структура множества G и можно описать классы эквивалентности секретных ключей криптосистемы Мак-Элиса — Сидельникова.
ЛИТЕРАТУРА
1. Сидельников В. М. Открытое шифрование на основе двоичных кодов Рида — Маллера // Дискретная математика. 1994. Т. 6. №2. С. 3-20.
2. McEliece R. J. A public-key cryptosystem based on algebraic coding theory // DSN Progress Report. 1978. V. 42-44. P. 114-116.
3. Сидельников В. М., Шестаков С. О. О системе шифрования, построенной на основе обобщенных кодов Рида-Соломона // Дискретная математика. 1992. Т. 4. №3. С. 57-63.
4. Чижов И. В. Пространство ключей криптосистемы Мак-Элиса — Сидельникова: дис. ... канд. физ.-мат. наук. М.: МГУ, 2010.
УДК 512.6: 003.26 DOI 10.17223/2226308X/10/29
О ЯВНЫХ КОНСТРУКЦИЯХ ДЛЯ РЕШЕНИЯ ЗАДАЧИ
"A SECRET SHARING"
К. Л. Геут, К. А. Кириенко, П. О. Садков, Р. И. Таскин, С. С. Титов
Рассматривается следующая задача: построить подмножество M С F^, удовлетворяющее двум условиям: 1) каждый элемент u £ M может быть представлен в виде суммы трёх различных элементов множества M = F^ \ M; 2) сумма любых трёх различных элементов из M принадлежит M. Излагаются подходы к решению этой проблемы, в частности, для чётной размерности предложена явная конструкция искомого множества на основе кубической параболы.
Ключевые слова: NSUCRYPTO-2015, поле Галуа, кривая, разделение секрета.
Во втором раунде олимпиады по криптографии NSUCRYPTO-2015 [1] была предложена задача на специальный приз программного комитета Problem 1 "A secret sharing", в ноябре 2016 г. отмеченная как все ещё не решённая [2].
Постановка задачи требует предложить для каждого натурального n £ N явную конструкцию подмножества M множества F^ всех битовых строк длины n, удовлетворяющего следующим двум условиям:
1) каждый элемент u £ M может быть представлен в виде u = x ф y ф z, где x, y, z — различные элементы множества M = F^ \ M;
2) для всех различных x, y, z £ M справедливо x ф y ф z £ M.
Обозначая L = M, можем переписать условия 1 и 2 для L. Как показывают вычислительные эксперименты, |L| ^ 2n/2. Это оправдывает подход к построению L в виде кривой при чётном n = 2m.
Пусть n = 2m (m £ N); представим F^ в виде декартова произведения F^ = F^ х F^, а множество L — в виде кривой, состоящей из точек (x,y) этой плоскости, удовлетворяющих уравнению F(x,y) = 0 (x,y £ F^). Будем искать уравнение кривой L в явном виде
y = f (x), (1)
