CC BY
36
УДК 512.54; 003.26; 003.26.09
DOI 10.25513/1812-3996.2019.24(3).21-30
МЕТОДЫ ЛИНЕЙНОЙ АЛГЕБРЫ В КРИПТОАНАЛИЗЕ И ЗАЩИТА ОТ НИХ В. А. Романьков
Омский государственный университет им. Ф. М. Достоевского, г. Омск, Россия
Аннотация. Дан обзор методов линейной алгебры, используемых в алгебраическом криптоанализе. Рассмотрены авторские методы линейного и нелинейного разложения и span-метод Б. Тсабана. Приведены примеры использования этих методов для построения эффективных атак на протоколы алгебраической криптографии. Дано описание нового авторского метода маргинальных множителей, позволяющего защитить некоторые схемы алгебраической криптографии, в том числе хорошо известную схему Аншель-Аншеля-Гольдфельда, от атак с использованием методов линейной алгебры.
Ключевые слова
Алгебраическая криптография, алгебраический криптоанализ, метод (не)линейного разложения, маргинальное множество
Финанситрование
Исследование выполнено при поддержке РФФИ в рамках научного проекта № 18-41-550001
LINEAR ALGEBRA METHODS IN CRYPTANALYSIS AND PROTECTION AGAINST THEM V. A. Roman'kov
Dostoevsky Omsk State University, Omsk, Russia
Abstract. We observe the linear algebra methods that are used in the algebraic cryptanaly-sis. The author's methods of linear and non-linear decompositions, and the B. Tsaban's the span-method are considered. We give examples of efficient attacks by the linear algebra methods to a number of algebraic cryptographic protocols. We describe a new author's method of marginal factors that allows to protect some of schemes of the algebraic cryptography, specifically the well-known Anshel-Anshel-Goldfeld scheme, against the linear algebra attacks.
Keywords
Algebraic cryptography, algebraic cryptanalysis, (non)linear decomposition method, marginal set
Acknowledgements
The reported study was funded by the RFBR according to the research project № 18-41-550001
Информация о статье
Дата поступления 17.05.2019
Дата принятия в печать 01.07.2019
Дата онлайн-размещения
Article info
Received 17.05.2019
Accepted 01.07.2019
Available online 28.10.2019
1.Введение
Статья представляет расширенный обзор результатов, доложенных автором на следующих конференциях: GAGTA 2019, Geometric and Asymptotic Group Theory with Applications, 26-30 May, 2019, Bar Ilan University, Israel; Russian Workshop on Complexity and Model Theory, 9-11 June, 2019, Moscow Institute of Physics and Technology (National Research University), Moscow; SIBECRYPT'19, 9-14 September, Tomsk State University,Tomsk. Большая часть этих результатов отражена в тезисах докладов, подготовленных для указанных конференций.
Статья состоит из двух частей. В первой части дается представление разработанных автором методов криптографического анализа алгоритмов алгебраической криптографии. Описываются основные элементы метода линейного разложения. Приводятся примеры его использования для эффективных атак на известные алгоритмы. Дается представление об альтернативном подходе Б. Тсабана, также базирующемся на линейной алгебре и некоторых теоретико-вероятностных результатах. Кроме того, приводится описание основных элементов авторского метода нелинейного разложения с соответствующими примерами его применения.
Вторая часть статьи посвящена построению эффективных методов защиты от атак, использующих средства линейной алгебры, в том числе приведенные выше. Для этого вводится новое понятие маргинального множества элементов группы относительно значения данного слова от конкретных элементов. Показывается, как использование маргинальных множеств позволяет уходить от проблемы нахождения сопрягающего элемента, лежащей в основе многих алгоритмов алгебраической криптографии, к значительно более сложной проблеме вхождения-сопряженности.
2. Методы линейной алгебры в криптографическом анализе схем алгебраической криптографии
2.1. Метод линейного разложения
Метод введен в рассмотрение автором в [1] и [2], получил дальнейшее развитие в [3-5] и ряде других публикаций. Подробно освещен в монографии [6]. Метод детерминированный и доказуемый, применим как к конечным, так и к бесконечным объектам. Отличительной его особенностью является то, что построенный по этому методу алгоритм криптографического анализа находит распределяемый ключ или передаваемое сообщение, не вычисляя секретных параметров, использованных при зашиф-
ровании. Алгоритм не решает алгоритмической проблемы, лежащей в основе криптографических построений, обходя тем самым построенную авторами защиту и не преодолевая трудностей, заложенных при построении криптографической схемы.
Метод использован для криптографического анализа криптографических алгоритмов Маркова-Михалева и др., Грибова-Золотых и др., Росошека, Харли, Мегрелишвили, Шпильрайна-Ушакова, Ка-хроби-Шпильрайна и др., Ко-Ли и др., Ванга и др., Гу-ченга, Хехта и ряда других авторов.
Метод работает в тех случаях, когда платформа шифрования G является частью линейного пространства V, например, группой матриц над некоторым конструктивным полем F (конечным или бесконечным), рассматриваемой как подмножество линейного пространства M(n, F) матриц размера п. Типичными элементами метода являются: построение базиса линейного подпространства, порожденного подмножеством из G определенного вида в пространстве V, использование свойств этого подпространства для раскрытия передаваемого сообщения или распределяемого ключа.
В криптографии с открытым ключом хорошо известна проблема Диффи-Хеллмана: для группы G и ее элемента /определить по двум значениям fk и /г, где k, l - натуральные числа, значение fkl. В алгебраической криптографии рассматриваются следующие ее некоммутативные аналоги:
1) аналог с сопряжениями: для группы G и ее элемента / определить по двум сопряженным к / элементам fa= a/a'1 и fh=b/b~1, где a, b е G, ab = ba, элемент fab = ab/b~1a~1= ba/a~1b~1= fba;
2) аналог с двусторонними домножениями: для группы G и ее элемента /определить по паре элементов вида a/a' и b/b', где a, b. a', b' e G, ab = ba, a'b' = b'a', элемент ab/b'a' = ba/a'b';
3) аналог с автоморфизмами: для группы G и ее элемента / е G определить по двум элементам вида а (/) и ß (/), где а, ß е Aut(G), aß = ßa, элемент а (ß (/)) = ß (а (/)).
Метод линейного разложения при некоторых естественных условиях на группу G (прежде всего, это существование эффективного вложения в конечно мерное линейное пространство V) эффективно решает каждую из этих проблем.
Схема доказательства.
1.1) Обычно предполагается, что сопрягающие элементы a и b выбираются из двух конечно порожденных подгрупп A = gp(ai,^,ak) и, соответственно, B = gp(bt,^,b{). Если G вложена в конечно мерное
подпространство V над полем F с эффективно выполнимыми операциями, то эффективно строится базис линейного подпространства Lin(/A), порожденного множеством fA = {а/а-1: а е Л}. Для этого последовательно выписываются при всех возможных сочетаниях индексов (различные по записи) элементы af/aj"£(e е {0,1, —1}), afaJ/aT4af£ {e,r¡ е {0,1, —1}), ... . Далее следуют элементы с длиной записи сопрягающего элемента 3, 4, ... . Затем, начиная с элемента /, включаются в базис элементы последовательности, не выражающиеся через предыдущие (уже построенные) элементы базиса. Проверка осуществляется алгоритмом исключения Гаусса, эффективность которого хорошо известна. Шаг - это обработка элементов последовательности с фиксированной длиной записи сопрягающих элементов. Базис построен, если на некотором шаге в него не был добавлен ни один элемент. В качестве практической рекомендации предлагается выбирать достаточно большое множество элементов последовательности, тогда они с высокой вероятностью породят указанное подпространство. См. примеры в [7]. Линейная независимость для дальнейших построений не обязательна.
Пусть E = {fCl,...,fCm ■ Ci е А} - построенный базис пространства Lin(/A). Вычислим коэффициенты A¿ е F разложения fa = A¿ fCi, используя алгоритм исключения Гаусса. Подставим в правую часть этого выражения fbвместо /. Получим A¿ (fb)Ci = (I1™! Á¿ (fCi))b = fab. Таким образом, без вычисления закрытых параметров и решения соответствующих трудно разрешимых проблем вычислено распределяемое значение fab.
1.2) Обычно предполагается, что элементы домножения а,а' и b, b' выбираются из двух конечно порожденных подгрупп А = gp(aí,.,ak) и, соответственно, B = gp(bt,..., b¿). Если G вложена в конечно мерное подпространство V над полем F с эффективно выполнимыми операциями, то эффективно строится базис линейного подпространства Lin(A/A), порожденного множеством А/А = {а/а': а, а' е А}. Для этого последовательно выписываются (различные по записи) элементы af/aj7{e,r¡ е {0,1,-1}), afa^gafaj7' {e,r¡,e',r¡'е {0,1,-1}), ... . Затем, начиная с элемента /, включаются в базис элементы последовательности, не выражающиеся через предыдущие (уже построенные) элементы базиса. Проверка осуществляется алгоритмом исключения Гаусса, эффективность которого хорошо известна. Шаг - это обработка элементов последовательности
с фиксированной длиной записи элементов домножения. Завершение доказательства аналогично случаю 1.1). Далее мы вернемся к этой ситуации в п. 1.4.
1.3) В данном случае для использования метода линейного разложения кроме условий пунктов 1.1) и 1.2) относительно V требуется, чтобы автоморфизмы а и в продолжались до автоморфизмов линейного пространства V. Пусть а выбирается из конечно порожденной подгруппы А = др(а1,.,ак) группы Аи^б), а в, соответственно, - из В = = др(р1,...,р1). Строим базис Е = {р.1 (/),.., № 6 А] подпространства ип(А(/)), порожденного элементами ц(/), ц е А, подобно тому, как это делалось в пунктах 1) и 2), затем находим коэффициенты разложения а(^) = ^¿^(/ОД; е F. Подставляем в правую часть в(/) вместо /. Получаем ^А^С/)) = = в (а (/)) = а (в (/)).
Конечно, при конкретной реализации приведенной схемы необходимо требовать эффективность работы не только с элементами группы б и пространства V, но и с фигурирующими в схеме автоморфизмами.
2.2. Span-метод Б. Тсабана
В [8] (см. также [9]) Б. Тсабан и др. ввели в рассмотрение полиномиальный по времени вероятностный метод алгебраического криптоанализа, названный ими линейным эроп-методом. Метод позволяет разрабатывать способы эффективного решения вычислительных проблем в группах матриц над конечными полями, значит и в группах, допускающих эффективные представления матрицами над конечными полями. Метод улучшает более ранние методы, описанные в [10; 11]. Как и в методе линейного разложения, Брэп-метод предполагает построение базисов некоторых линейных подпространств, определяемых матричной группой б над конечным полем ^ порядка д.
Приведем типичный пример использования метода. Допустим, нужно решить проблему поиска сопрягающего элемента X для данных матриц А и В = ХАХ_1 из группы СЦп, Данное уравнение заменяется на систему линейных однородных уравнений относительно элементов матрицы X, соответствующую матричному уравнению ХА = ВХ. Строится базис Е = {ех, ..., е8} пространства решений и записывается общее решение X =^=1 а^е^. Теперь нужно, варьируя коэффициенты а^, / = 1, ..., э, найти среди решений невырожденную матрицу X (достаточно найти любое такое решение). Известно, что невырожденное решение существует. Значит, можно воспользоваться следующей леммой.
Лемма обратимости (см. [8], Lemma 9).
Пусть элементы еъ ..., es кольца матриц M(n, Fq) таковы, что некоторая их линейная комбинация Ef=i «¿е; с коэффициентами из Fq является обратимой матрицей. Если коэффициенты выбираются в соответствии с равномерным распределением на Fq, то вероятность получения невырожденного решения будет не меньше, чем p = 1-
Метод эффективен, если n существенно мало по отношению к q.
2.3. Метод нелинейного разложения
Данный метод введен автором в [12] как дополнение к методу линейного разложения. Он работает в тех случаях, когда группа не допускает представления матрицами или это представление имеет слишком большой размер для возможного использования. Конечно, здесь также предполагается выполнение ряда условий, связанных с разрешимостью проблемы вхождения в конечно порожденные подгруппы группы, выбранной в качестве платформы для криптографической схемы. Эти условия, как правило, выполняются в конечно порожденных нильпотентных и полициклических группах, часто предлагаемых для такого качества в последние годы. Относительно соответствующей теории см. [6], приложения можно найти в [4; 5], [7]. Метод нелинейного разложения при некоторых естественных предположениях о группе G (прежде всего они касаются эффективной разрешимости проблемы представления элемента конечно порожденной подгруппы в виде слова от ее порождающих элементов) эффективно решает две из трех перечисленных выше проблем, аналогичных проблеме Диффи-Хеллмана, а именно проблем 1.1) и 1.3).
Схема доказательства.
2.1) Как и выше, предполагается, что сопрягающие элементы a и b выбираются из двух конечно порожденных подгрупп A = gp(a1,^,ak) и, соответственно, B = gp(b1,^,bi) группы G. Если в G эффективно строятся конечные порождающие множества подгрупп определенного вида и эффективно решается проблема записи элемента подгруппы через эти порождающие элементы, то можно воспользоваться следующим рассуждением. Вначале эффективно строится конечное множество порождающих элементов подгруппы gp(fA), порожденной множеством fA = {a/a-1: a е A}. Для этого последовательно выписываются для всех возможных сочетаний индексов (различные по записи) элементы
af/afE(e е {0,1,-1}), afa'/a/V6 6 24 -
6 {0,1, —1}), ... . Далее следуют элементы с длиной записи сопрягающего элемента 3, 4, ... . Затем, начиная с элемента f, строится конечная система порождающих элементов для gp(fA), в которую включаются элементы последовательности, не выражающиеся через предыдущие (уже построенные) элементы системы. Возможность такой проверки обусловлена сделанными выше предположениями. Шаг
- это обработка элементов последовательности с фиксированной длиной сопрягающих элементов. Система построена, если на некотором шаге в нее не был добавлен ни один элемент. В качестве практической рекомендации предлагается выбирать достаточно большое множество элементов последовательности, тогда они с высокой вероятностью породят указанную подгруппу. Минимальность системы для дальнейших построений не обязательна.
Пусть E = [fCl,...,fCm ■ ct е A}- построенная система порождающих элементов подгруппы gp(fA). Найдем выражение fa = u(fCl,...,fCm ) в виде слова от найденных порождающих элементов. Подставим в правую часть этого выражения /&вместо f. Получим u((fb)ci,...,((fb)c™) = u(jci,...,fCm)b = fab. Таким образом, без вычисления закрытых параметров и решения соответствующих трудно разрешимых проблем вычислено распределяемое значение fab.
2.2) Для использования метода нелинейного разложения уже не требуется ни представления G в конечно мерном пространстве V, ни дополнительных условий на автоморфизмы а и б. Пусть а выбирается из конечно порожденной подгруппы А = gp(a1,.,ak) группы Aut(G), а б, соответственно,
- из В = gp(ß1,...,ßl). Строим систему E = [ßi(f),..-,ßm(f)'- ßi 6 А} порождающих элементов подгруппы gp(Af)), порожденной элементами ц(/), ц е А, подобно тому, как это делалось в пункте 1), затем находим представление a(f) = u(ß1(f), ...,ßm(f)) в виде слова от найденных порождающих элементов. Подставляем в правую часть 6(f) вместо f. Получаем u(ß1(ß(J)),.,ßm(ß(f))) =
= ß(u{li1{f).....^m(/)))= ß (а f)) = а ( б(f)).
Рассмотрим общую схему, под которую подпадает большое число алгоритмов, использующих двусторонние домножения. Далее мы приведем два примера конкретных протоколов, показывающие широкую применимость методов линейного и нелинейного разложения для построения алгоритмов криптографического анализа.
2.4. Общая схема алгоритмов, использующих двусторонние домножения
Данный раздел основан на работе автора [13].
Большинство известных схем алгебраической криптографии, использующих двусторонние домно-жения, являются частными случаями одной общей схемы (см. описание ниже). Часто такие схемы строятся на группах, являющихся подгруппами линейных пространств, например на матричных группах. Метод линейного разложения позволяет эффективно вычислять в данном случае распределяемый ключ или передаваемое сообщение без вычисления секретных параметров. См. монографию [2] и статьи [1; 3; 4; 14-17]. Далее будут описаны некоторые основные элементы такого вычисления и приведены примеры его использования
Некоторые такие схемы предложены М. Андре-кутом [18], Л. Гу и др. [19; 20], Б. и Т. Харли [21; 22], В. Шпильрайном и А. Ушаковым [23], Е. Стикелем [24], Х. Вангом и др. [25]. Ряд схем описан в [26] и [27]. Схемы, использующие сопряжения, например известная схема Ко-Ли и др. [28], рассматриваемая как некоммутативный аналог классической схемы Диффи-Хеллмана (см. [29]), также могут анализироваться указанным способом.
Пусть G - группа, выбранная в качестве платформы для схемы распределения ключа. Предположим, что G - подмножество конечно мерного линейного пространства V. Два корреспондента, Алиса и Боб, соглашаются относительно элемента h е G и двух конечно порожденных подгрупп A и B группы G, заданных конечными множествами порождающих элементов. Предположим, что любой элемент a е A перестановочен с любым элементом b е B. Все эти данные открыты.
Корреспонденты, начиная с h, попеременно публикуют элементы вида ваа,(и) = aua', где a, a' е A (Алиса), и вь ь, (u) = bub', где b, b' е B (Боб), а элемент и равен h или совпадает с одним из ранее построенных элементов. Алиса, как и Боб, может публиковать сразу несколько элементов. Распределенный ключ имеет вид
к = вС1,С1,(вС1_1,С1_1,( ... (0Cl,Cl, (h)))) =
= clcl_1^. c1gc1' ^cl_1'cl', (1)
где каждая пара (с;,с/) совпадает либо с парой вида (a,a'), a, a' е A, либо с парой вида (b, b'), b, b' е B. 2.5. Криптоанализ общей схемы Следующая лемма говорит о возможности эффективного построения базиса линейного подпространства пространства V, порожденного элементами группы G определенного вида. Различные версии этой леммы были доказаны в [1-4; 13]. См. также [6].
Лемма 1. Пусть A - конечно порожденная подгруппа группы G, являющейся подмножеством конечно мерного пространства V над полем F, и h -фиксированный элемент из G. Предположим, что все основные операции в V, то есть сложение и умножение на скаляр, эффективно вычислимы. В этом случае эффективно строится базис E = (еъ ..., es} любого линейного подпространства Lin(AhA), порожденного всеми элементами вида aha', где a, a' е A, причем этот базис состоит из порождающих элементов указанного вида.
Следующая лемма является ключевым утверждением для алгебраического криптоанализа схем с двусторонними домножениями. Предполагается выполнение данных выше условий.
Лемма 2. Пусть v = 6aa,(u), где a, a' е A - закрытые параметры Алисы. Тогда для любого элемента w = eb b,(u), где b, b' е B (другими словами, w е BuB), эффективно строится элемент z = Ba a,(w). Построение этого элемента основывается на структуре линейного пространства V.
Схема доказательства 1.2) лемм 1 и 2 приведена выше.
Пример 1 [25]. Рассмотрим протокол Ванга и др. из [25]. В нем корреспонденты выбирают в качестве платформы одну из групп Вп кос Артина. В 1990 году Р. Лоуренс описала семейство представлений групп Вп матрицами. Примерно через 10 лет С. Биге-лоу [30] и Д. Краммер [31] независимо доказали линейность групп Вп. В частности, было установлено, что представления Лоуренс pn : Bn ^ GL(n(n-1)/2, Z [t±x, s±x]) являются вложениями для любого n е N. Они стали называться представлениями Лоуренс-Краммера. Образ pn(g) эффективно строится по любому g е Вп. Более того, существует эффективная процедура восстановления косы g е Вп по ее образу pn (g). В [10] показано, что это может быть сделано за O(2m3log dt) умножений элементов матриц pn (g). Здесь m = n(n - 1) / 2 и dt - параметр, эффективно вычислимый по pn (g). См. [10] относительно деталей.
Таким образом, можно предположить, что G является частью линейного пространства V. Перейдем к описанию протокола. Алиса и Боб выбирают группу G и случайный элемент h е G. Также они выбирают две конечно порожденные подгруппы A и B группы G такие, что ab = ba для любой пары элементов a е A и b е B. Эти данные открыты.
Алгоритм
Алиса выбирает элементы с1,с2,^1^2е A, вычисляет и публикует x = d1c1hc2d2 для Боба.
Боб выбирает элементы [1,[2,д1,д2,д3,д4 е В, вычисляет и публикует у = д1[1Ь[2д2 и ш = д3Д х[2д4 для Алисы.
Алиса выбирает элементы й3,й4 е А, вычисляет и публикует г = й3,с1ус2й4 и и = й^юй^1 для Боба.
Боб вычисляет и публикует V = д^гд^1 для Алисы.
Алиса вычисляет ключ КА = с1/1И/2с2.
Боб вычисляет ключ Кв = д-^ид^1 = с1/1И/2с2.
Распределенный ключ: К' = КА=КВ.
Криптоанализ
Протокол использовал следующие преобразования:
0Г, Г = {й1С1,С2й2), в8, Э = (0!/!, /202), Р = (5З/1,?254), вч, Я = (¿зС^с^), б^1,
Г = 0"1, л = 02). (2)
Прямым вычислением получаем выражение К = вт(И) = 0Г1(0Г (б"1^ (Л)))), (3)
где т = (с^, /2с2).
Покажем, что ключ К эффективно вычислим по леммам 1 и 2.
Выход первого преобразования у = вп(Л) открыт.
Выход второго преобразования б^"1(у) эффективно вычислим:
V = б"1(г) & у е АгА Н б"1(у) = /1Л/2. (4)
Выход третьего преобразования эффективно вычислим:
х = ер(К) & /1А/2 е ВИВ Н бх(/1й/2) =
= й1с1[1Л[2й2с2. (5)
Выход четвертого преобразования эффективно вычислим:
и = 05_1(ю) & й1с1[1И[2с2й2 е
е ВюВ Н в^1(й1с1[1Ь[2с2й2) = с1/1Л/2с2 = К. (6)
Таким образом вычислен К.
Пример 2 [32].
Следующий протокол Махалонобиса [32] можно рассматривать как некоммутативный аналог классического протокола Масси-Омуры. В качестве платформы берется группа в. Естественно предположить, что в в эффективно выполнимы основные операции умножения и взятия обратного, а также что эффективно задаются автоморфизмы группы в, для которых эффективно вычисляются обратные элементы. Также необходимо считать, что в группе в эффективно разрешима проблема равенства. Криптоанализ данного протокола в случае, если в - матричная группа, проведен методом линейного разложения в [34]. Показана уязвимость протокола в этом случае. Метод нелинейного разложения применен в
[5]. Показана нестойкость протокола при выполнении условий применимости метода.
Алиса и Боб выбирают как группу G, так и конечно порожденную абелеву подгруппу Ф ее группы автоморфизмов Aut(G).
Алгоритм
Алиса выбирает (случайным образом) элемент h е G, а также автоморфизм а е Ф, вычисляет и публикует элемент а (h) для Боба.
Боб выбирает случайным образом автоморфизм ß е Ф, вычисляет и публикует элемент ß (а (h)) для Алисы.
Алиса вычисляет элемент a_1(ß (а (h))) = ß (h), затем выбирает случайным образом автоморфизм уе Ф, вычисляет и публикует элемент у (ß(h)) для Боба.
Боб вычисляет элемент ß_1(y (ß(h))) = у (h), являющийся переданным ему ключом.
Криптоанализ
См. [34]. Предположим, что можно эффективно выбрать из элементов вида qf), q е Ф, где f е G- фиксированный элемент, конечное множество порождающих элементов {Я;f) : Я; е Ф, i = 1, ..., k} подгруппы Ф(А = gp(q(f) : q е Ф) а также эффективно записать через эти порождающие элементы любой элемент из Ф(Д
Пусть f = ß (а (h)). Тогда можно найти выражение открытого элемента у (ß (h)) = ß (у (h)) в виде значения некоторого слова u(A1(f), ..., Xkf)). Вынося за значение слова и автоморфизм ß и сокращая на него обе части, получим требуемое значение у (h) = и(Ях(а^)), ..., Ак(а (h)). Значит, это значение можно вычислить по слову u, автоморфизмам Я; (I = 1,..., k), и открытому элементу а^).
3. Способы защиты от атак, использующих методы линейной алгебры
Данный раздел основан на работе автора [35].
Далее будет введено в рассмотрение понятие множества маргинальных наборов, соответствующих выражению и значению группового слова w в группе G, существенно обобщающему понятие w-маргинальной подгруппы, определяемой словом w в группе G. На основе этого понятия вводится новая улучшенная версия знаменитого AAG-протокола Аншель-Аншеля-Гольдфельда [33]. Улучшенная версия, в отличие от оригинальной, оказывается защищенной относительно span-метода Б. Тсабана. Улучшенная версия основана на смешанной проблеме вхождения-сопряженности, в то время как оригинальная версия базируется на трудной разрешимости проблемы поиска сопрягающего элемента.
Дадим краткое описание оригинальной версии AAG -протокола. Рассматривается группа G, для которой фиксируются открытые наборы элементов a= (аг, ..., ак) и b = (Ьх, ..., ). Алиса выбирает закрытый элемент u е gp(at, ..., ак) и публикует набор Ьи= (Ь", ..., Ьг"). Боб выбирает закрытый элемент vе gp(b1, ..., Ьг) и публикует набор av = (aj7, ..., a£). Затем каждый из корреспондентов, используя открытые и свои закрытые данные, вычисляет элемент
K = u«, ..., а^и-1 = v v (Ь^...,Ьги)_1 = [v u], (7) являющийся распределенным ключом.
3.1. Маргинальные множества
Введем новое понятие, существенно обобщающее понятие маргинальной подгруппы.
Определение.
Пусть G - группа и w = w(xr,..., xn) - групповое слово от n переменных. Напомним, что нормальная подгруппа N является w-маргинальной в G, если w(a1f1,., anfn) = w(/i,..,/n),
для всех at eN,ft е G. (8)
Существует максимальная w-маргинальная подгруппа w*, произведение всех w-маргинальных подгрупп группы G.
Зафиксируем g = (gi,.,gn) е Gn. Набор элементов c = (с1,.,сп) е Gn называется маргинальным набором, определяемым w и g, если имеет место равенство
w(c1g1, ... , cngn) = w(g±, ..., gn). (9)
Будем писать w(cg) = w(g) в этом случае. Множество C = Gn называется маргинальным (по отношению к w и g), если любой набор c е C является таковым. В общем случае, маргинальные наборы не замкнуты относительно умножения и взятии обратного.
Маргинальное множество может быть выбрано как множество без всякой структуры, в случае бесконечной группы оно может быть выбрано нерекурсивным.
Дадим очень простой и эффективный способ построения маргинального множества C по w(g). Этот способ универсален, так как он не зависит от структуры группы G.
Пусть w = w(at, ..., ak) = ага2 ...ak, at е G, - выражение через произведение последовательных элементов. При этом допускаются равенства at = a.j для i * j. Также выражение не обязано быть редуцированным. Рассмотрим уравнение
xiaix2a2.xkak = w. (10)
Любое решение этого уравнения может быть включено в маргинальное множество C.
Зафиксировав / и выбрав произвольные значения X] = у * /, С] е б, можно получить решение уравнения (10), полагая
Х1 = аГ-1сГ-1 ... а^сг^а^с^... а^ч1!. (11)
3.2. Улучшенная версия AAG-протокола
Предположим, что два корреспондента, Алиса
и Боб, хотят распределить между собой ключ. Они выбирают открытую группу б, эффективно заданную порождающими элементами и определяющими соотношениями. Группа б используется как платформа для распределения ключа. Как обычно, предполагаем, что операции в группе вычисляются эффективно. Также предполагаем, что в группе б эффективно разрешима проблема равенства.
Для распределения ключа корреспонденты действуют следующим образом.
Алиса выбирает натуральное число к и набор элементов a = (%, ..., ак). Эти данные открыты. Затем она выбирает секретное групповое слово и = и(хх, ..., хк) и вычисляет его значение и^) = = и(аг, ..., ак) в группе б. Также она строит открытое маргинальное множество C = вк. Боб фиксирует натуральное число I и выбирает открытый набор элементов Ь = (Ьх, ..., ). Затем он выбирает секретное слово V = у(ух, ..., уг) и вычисляет его значение ЦЬ) = v(bí, ..., Ьг) в группе б. Далее он строит открытое маргинальное множество В = Сг. Все это составляет установку системы для распределения секретного ключа между корреспондентами. Впрочем, она может быть изменена, как объясняется далее.
Замечание. Алиса публикует элементы аг, ..., ак как ..., ап^к-), где п е Бк - случайная подстановка. Та же самая подстановка применяется к элементам набора c е С Боб действует аналогичным образом.
3.3. Виртуальные и скрытые элементы
Алиса может ввести виртуальные элементы о', не задействованные в записи и^). Затем она может присоединить соответствующие виртуальные компоненты к c е С Например, она может присоединить ряд виртуальных элементов и соответствующих компонент с целью скрыть длину слова и или завуалировать уравнение (10), или выбрать элемент о' с большим централизатором или, наоборот, с малым централизатором, чтобы сделать решение проблемы более затруднительным для потенциального взломщика системы. Боб действует аналогично.
Также Алиса может скрыть некоторые элементы а1 следующим образом. Пусть а1 = и соответствующие им компоненты любого из элементов маргинального множества равны между собой, то
есть С; = С] для всех с е С. Тогда Алиса может не публиковать некоторые а, исключая соответствующие ./-компоненты из с. Необходимая информация восстанавливается очевидным образом. Боб может действовать аналогично.
Эти операции рекомендуются. После их выполнения параметры к и I заменяются на новые параметры к' и I'.
Алгоритм
Алиса выбирает набор d = ..., е О и вычисляет 6Ь = (йгЪг, ..., ^г,Ьг,). Затем она посылает набор = ((й1Ь1)и(а^>, ..., (^Д,)"^) Бобу.
Боб выбирает набор с = (сг, ..., ск,) е С и вычисляет са = (с^, ..., скак). Затем он посылает набор (са)^(й)= ((с^)^.....(ск/ак,)»Ю) Алисе.
Алиса вычисляет, используя скрытые компоненты, значение
и((с1а1)^(й).....(скаку^) и(а)~1 =
= и(сау^ и(а)"1 = и(а)"1 =
= МЬ), и(а)]. (12)
Боб аналогично вычисляет
у(Ь) ^((^А)"^,.., (сггьг)"(а)) =
= у(Ь) = у(Ь) р(Ь)-и(а^> = [у(Ь), и(а)]. (13)
Коммутатор К = [м(Ь), и(а)] является секретным распределенным ключом.
Криптоанализ
Определение.
Проблема вхождения-сопряженности разрешима в группе в по отношению к подмножеству С = , если существует алгоритм, решающий для
двух любых наборов a = (ах, ..., ак) и f = (f1, ..., fk) элементов группы G существует или нет элемент y е Gтакой, что (f^a^1, ..., ^акг) е C. Короче говоря, существует ли y е G, для которого /уа_1 е C? Соответствующая проблема поиска - это вопрос о существовании алгоритма, находящего решение указанной проблемы, если такое решение существует.
Предложенная версия AAG-протокола основывается на трудной разрешимости поисковой проблемы вхождения-сопряженности в случае, когда C - маргинальное множество относительно u(a) и для неизвестного слова и(хх, ..., хк) (или аналогично, когда D - маргинальное множество относительно v(b) для неизвестного слова v(yt, ..., yt)). В самом деле, предположим, что взломщик находит с' е C и y е Gтакие, что (ca)v<~b^ = (с'а)у, и аналогично находит d' е D и x е G такие, что (db)u^ = {d'b)x. Тогда он может вычислить распределяемый ключ K = [y, x] = [v(b), u(a)], как в оригинальной версии AAG.
Существуют также другие проблемы, которые следует решить перед тем, как пытаться взломать предложенный алгоритм. Присутствие виртуальных и скрытых элементов не позволяет вычислить длины слов и и v. Заметим, что каждое решение уравнения (10) будет решением уравнения вида
aiai+i... akai... ai_i =f,i = 2,..., к, а также ряда других уравнений. Следовательно, открытые данные не позволяют определить fv(-b даже, если взломщик знает длину слова v и все буквы v(b) вместе с их кратностью.
СПИСОК ЛИТЕРАТУРЫ
1. Романьков В. А. Криптографический анализ некоторых схем шифрования, использующих автоморфизмы // Прикладная дискретная математика. 2013. №. 21. С. 35-51.
2. Романьков В. А. Алгебраическая криптография. Омск : Изд-во Ом. гос. ун-та, 2013. 135 с.
3. Myasnikov A., Roman'kov V. A linear decomposition attack // Groups, Complexity, Cryptology. 2015. Vol. 7, no. 1. P. 81-94.
4. Романьков В. А., Обзор А. А. Общая алгебраическая схема распределения криптографических ключей и ее криптоанализ // Прикладная дискретная математика. 2017. № 37. С. 52-61.
5. Романьков В. А., Обзор А. А. Метод нелинейного разложения для анализа криптографических схем, использующих автоморфизмы групп // Прикладная дискретная математика. 2018. № 41. С. 38-45.
6. Roman'kov V. A. Essays in algebra and cryptology. Algebraic cryptanalysis. Omsk : OmSU, 2018. 207 p.
7. Романьков В. А. Криптографический анализ модифицированной матричной модулярной криптосистемы // Вестн. Ом. ун-та. 2018. Т. 23, № 4. С. 44-50.
8. Tsaban B. Polynomial-time solutions of computational problems in noncommutative-algebraic cryptography // J. Cryptology. 2015. Vol. 28, no. 3. P. 601-622.
9. Ben-Zvi A., Kalka A., Tsaban B. Cryptanalysis via Algebraic Spans // Advances in Cryptology - CRYPTO 2018. Editors: H. Shacham and A. Boldyreva. Lect. Notes in Comput. Sci., Vol. 10991. Berlin : Springer, 2018. P. 1-20.
10. Cheon J. H., Jun B. A Polynomial Time Algorithm for the Braid Diffie-Hellman Conjugacy Problem // Advances in Cryptology - CRYPT0-2003. Lect. Notes in Comput. Sci. Vol. 2729. Berlin : Springer, 2003. P. 212-225.
28 -
Herald of Omsk University 2019, vol. 24, no. 3, pp. 21-30
Вестник Омского университета 2019. Т. 24, № 3. С. 21-30
ISSN 1812-3996-
11. Tsaban B. The Conjugacy Problem: cryptoanalytic approaches to a problem of Dehn. Minicourse, Dusseldorf University, Germany, July-August 2012. URL: http://reh.math.uni-duesseldorf.de/gagta/slides/Tsaban mini-courses.pdf (дата обращения: 16.04.2019).
12. Roman'kov V. A non-linear decomposition attack // Groups, Complexity, Cryptology. 2015. Vol. 8, no. 2. P. 197-207.
13. Roman'kov V. Two general schemes of algebraic cryptography // Groups, Complexity, Cryptology. 2018. Vol. 10, no. 2. P. 83-98.
14. Roman'kov V. A. A polynomial time algorithm for the braid double shielded public key cryptosystems // Bulletin of the Karaganda University. Mathematics Series. 2016. № 4 (84). P. 110-115; arXiv math.:1412.5277v1 [math.GR], 17 Dec. 2014, 7 p.
15. Горнова М. Н., Кукина Е. Г., Романьков В. А. Криптографический анализ протокола аутентификации Ушакова-Шпильрайна, основанного на проблеме бинарно скрученной сопряженности // Прикладная дискретная математика. 2015. № 28. С. 46-53.
16. Романьков В. А. Метод линейного разложения анализа протоколов скрытой информации на алгебраических платформах // Алгебра и логика. 2015. Т. 54, № 1. С. 119-128.
17. Roman'kov V. A., Menshov A. V. Cryptanalysis of Andrecut's public key cryptosystem}. arXiv math.: 1507.01496v1 [math.GR], 6 Jul 2015, 5 p.
18. Andrecut M. A matrix public key cryptosystem. arXiv math.:1506.00277v1 [cs.CR], 31 May 2015, 11 p.
19. Gu L., Wang L., Ota K., Dong M., Cao Z., Yang Y. New public key cryptosystems based on non-abelian factorization problems // Security and Communication Networks. 2013. Vol. 6, no. 7. P. 912-922.
20. Gu L., Zheng S. Conjugacy systems based on nonabelian factorization problems and their applications in cryptography // Hindawi Publishing Corporation Journal of Applied Mathematics. 2014. Article ID 630607, 10 p.
21. Hurley B., Hurley T. Group ring cryptography. arXiv math.: 1104.17.24v1 [math.GR] 9 Apr 2011, 20 p.
22. Hurley T. Cryptographic schemes, key exchange, public key. arXiv math.: 1305.4063v1 [cs.CR] May 2013,
19 p.
23. Shpilrain V., Ushakov A. A new key exchange protocol based on the decomposition problem // Algebraic Methods in Cryptography. Contemp. Math. 2006. Vol. 418. P. 161-167.
24. Stickel E. A new method for exchanging secret keys. In: Proc. of the Third Intern. Conf. on Information Technology and Applications (ICITA 05). Contemp. Math. 2005. Vol. 2. P. 426-430.
25. Wang X., Xu C., Li G., Lin H., Wang W. Double shielded public key cryptosystems. Cryptology ePrint Archive, Report 2014/558, Version 20140718:185200, 2014, 1-14, https://eprint.iacr.org/2014/558. 14 p.
26. Myasnikov A., Shpilrain V., Ushakov A. Group-based cryptography. Barselona-Basel: CRM, 2008 (Advances Courses in Math.).
27. Myasnikov A., Shpilrain V., Ushakov A. Non-commutative cryptography and complexity of group-theoretic problems. With Appendix by Natalia Mosina. 2011. Providence RI: AMS (Math. Surveys and monographs, vol. 177).
28. Ko K. H., Lee S. J., Cheon J. H., Kang J. V., Park C. New public-key cryptosystem using braid groups // Advances in Cryptology - CRYPT0-2000, Editors: Mihir Bellare. Lecture Notes in Comp. Sci. Vol. 1880, Berlin ; Heidelberg : Springer, 2000. P. 166-183.
29. Романьков В. А. Введение в криптографию. М. : Форум, 2012. 239 с.
30. Bigelow S. Braid groups are linear // J. Amer. Math. Soc. 2001. Vol. 14, no. 2. P. 471-486.
31. Krammer D. Braid groups are linear // Ann. Math. 2002. Vol. 155, no. 1. P. 131-156.
32. Mahalanobis A. The Diffie-Hellman key exchange protocol and non-abelian nilpotent groups // Israel J. Math., 2008. Vol. 165, no. 1. P. 161-187.
33. Anshel I., Anshel M., Goldfeld D. An algebraic method for public-key cryptography // Math. Res. Lett. 1999. Vol. 6, no. 3. P. 287-291.
34. Бонич Т. А., Панферов М. А. Криптографический анализ матричной версии протокола Махалонобиса // Вестн. Ом. ун-та. 2018. Т. 23, № 3. С. 12-14.
35. Roman'kov V. A. An improved version of the AAG cryptographic protocol // Groups, Complexity, Cryptology. 2019. Vol. 11, no. 1. Р. 35-42.
ИНФОРМАЦИЯ ОБ АВТОРЕ
Романьков Виталий Анатольевич - доктор физико-математических наук, профессор, заведующий кафедрой компьютерной математики и программирования, Омский государственный университет им. Ф. М. Достоевского, 644077, Россия, г. Омск, пр. Мира, 55а; e-mail: romankov48@mail.ru.
ДЛЯ ЦИТИРОВАНИЯ
Романьков В. А. Методы линейной алгебры в криптоанализе и защита от них // Вестн. Ом. ун-та. 2019. Т. 24, № 3. С. 21-30. DOI: 10.25513/1812-3996.2019. 24(3).21-30.
INFORMATION ABOUT THE AUTHOR
Roman'kov Vitalii Anatolievich - Doctor of Physical and Mathematical Sciences, Professor, Head of the Department of Computing Mathematics and Programming, Dostoevsky Omsk State University, 55a, pr. Mira, Omsk, 644077, Russia; e-mail: romankov48@mail.ru.
FOR CITATIONS
Roman'kov V.A. Linear algebra methods in cryptanalysis and protection against them. Vestnik Omskogo uni-versiteta = Herald of Omsk University, 2019, vol. 24, no. 3, pp. 21-30. DOI: 10.25513/1812-3996.2019. 24(3).21-30. (in Russ.).
