Научная статья на тему 'Мультилинейные криптосистемы в асимметричной криптографии'

Мультилинейные криптосистемы в асимметричной криптографии Текст научной статьи по специальности «Математика»

CC BY
191
41
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИСПОЛЬЗОВАНИЕ МУЛЬТИЛИНЕЙНЫХ ОТОБРАЖЕНИЙ / МУЛЬТИЛИНЕЙНЫЕ КРИПТОСИСТЕМЫ / СВЯЗНАЯ СЛОЖНОСТЬ ГРУППОВЫХ КРИПТОПРОТОКОЛОВ

Аннотация научной статьи по математике, автор научной работы — Косолапов Дмитрий Олегович, Харин Евгений Алексеевич, Гончаров Сергей Михайлович, Корнюшин Павел Николаевич

Описаны три криптосистемы с использованием мультилинейных отображений. Внедрение мультилинейных криптосистем позволит значительно снизить связную сложность групповых криптопротоколов

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Мультилинейные криптосистемы в асимметричной криптографии»

УДК 681.322.067

Д.О. Косолапов, Е.А. Харин, С.М. Гончаров, П.Н. Корнюшин Мультилинейные криптосистемы в асимметричной криптографии

Описаны три криптосистемы с использованием мультилинейных отображений. Внедрение

мультилинейных криптосистем позволит значительно снизить связную сложность групповых криптопротоколов.

Асимметричные криптосистемы (криптосистемы с открытым ключом) были предложены в 1976 г. У. Диффи и М. Хеллманом. Их суть состоит в том, что каждым участником схемы генерируются два ключа, связанные между собой по определенному правилу. Один ключ является открытым и доступен всем участникам, а другой объявляется закрытым и сохраняется в тайне. Немного позднее были разработаны криптосистема RSA и семейство протоколов Эль-Гамаля.

Безопасность асимметричных криптосистем основана на сложности решения некоторых общеизвестных математических задач, таких как, например, задача факторизации целого числа и задача нахождения дискретного логарифма в конечном поле. Алгоритмы решения данных задач имеют субэкспоненциальную сложность, поэтому при определенных размерах ключей их решение полагают невозможным на современном этапе развития вычислительной техники.

В 90-х годах XX в. получили распространение асимметричные криптосистемы на эллиптических кривых, использующие в качестве базовой алгебраической структуры группу точек эллиптической кривой, заданной над конечным полем. Эллиптические криптосистемы получаются небольшим преобразованием схемы Эль-Гамаля, основаны на сложности решения задачи дискретного логарифма и обеспечивают аналогичный уровень безопасности при меньших длинах ключей.

В 2000 г. [1] была предложена первая билинейная криптосистема — криптосистема на основе билинейных спариваний в группе точек эллиптической кривой. Билинейное спаривание представляет собой отображение (функцию) e : Gi х G2 ® G3 , для которого выполняется свойство билинейности

e(aP, bP) = e(P, P)ab , где Gi и G2 — торсионные подгруппы группы точек эллиптической кривой, заданной над конечным полем; G3 — подгруппа мультипликативной группы конечного поля. Безопасность билинейных криптосистем основана на сложности получения одного из (или обоих) аргументов функции по известному значению функции и другого аргумента [2].

Билинейные спаривания позволили упростить некоторые криптосистемы, а также решить специфические задачи в криптографии. Например, с использованием билинейных спариваний легко реализуется схема шифрования на основе идентификационных данных (IBE) [3], в которой открытый ключ пользователя получается явным образом из его идентификатора, а закрытый генерируется и выдается Центром генерации закрытых ключей (далее — Центр).

Боне и Сильверберг [4] предложили обобщение билинейного спаривания и ввели понятие мульти-линейной формы — отображения вида m : Gi х Gi х... х Gi ® G2 , обладающего свойством мультили-

n

n

П ai

нейности, т.е. цХар,a2P,...,anP) = m(P,...,P)i=i . Использование мультилинейных форм позволит упростить большинство современных n -сторонних криптопротоколов. Однако вопрос построения конкретных мультилинейных отображений до сих пор остается открытым.

Мультилинейные криптосистемы могут быть построены путем обобщения некоторых билинейных криптосистем. Приведем описание трех мультилинейных схем.

Мультилинейная схема шифрования на основе идентификационных данных [3].

Данная схема является стойкой к атаке на основе выбранного шифртекста в модели со случайным оракулом при предположении сложности решения мультилинейной проблемы Диффи—Хеллмана. Пусть имеется n абонентов с идентификаторами IDi,..., IDn , которым должно быть отправлено зашифрованное сообщение, при этом число и состав абонентов могут изменяться. Протокол состоит из алгоритмов инициализации, получения секретного ключа, шифрования и расшифрования. Пусть k — принимаемый протоколом на этапе инициализации параметр безопасности.

Инициализация

1. На основе k Центр генерирует простой порядок q групп Gi и G2 , 2n -мультилинейную форму m : Gi х Gi х ... х Gi ® G2 и произвольный образующий элемент группы P e Gi .

2n

*

2. Центр случайным образом выбирает Si,...,sn e Zq и вычисляет Ppubj = SiP,...,Ppubn = snP .

* * 1

3. Центр выбирает криптографические хеш-функции Hi : {0,i} ® G* , H2 : G2 ® {0,i}1 для некоторого 1 , H3 : {0, i}1 х {0, i}1 ® Z* и H4 : {0, i}1 ® {0, i}1 .

52_ТЕХНИЧЕСКИЕ НАУКИ

1 * I

Пространством сообщений и шифртекстов являются множества ц = {0,1} и С = О* х {0,1}1 .

*

51,...,sn е Х* называются мастер-ключами абонентов. Системными параметрами является набор

(О^^ p, РриЬ1,..., РриЬп, Н1 ^ H3, Н4) . Получение секретного ключа Для Юь.., Юп е {0,1}*:

* *

1. Центр вычисляет Q^д = Н^^^) е О*,...,(щг = Н^(^п) е О* .

2. Центр вычисляет закрытые ключи dID1 = = 5пОюп , где 51,..., 5п — мастер-

ключи.

Шифрование

Для шифрования сообщения М открытыми ключами 1^,..., Юп абонент выполняет следующие операции:

1. Вычисляет Ощ = Н^Щ) е О*,..., 01Е>п = Н1(Юп) е О* .

2. Выбирает случайное о е {0,1}1.

3. Устанавливает г = Нз(о, М) .

4. Вычисляет шифртекст С = (гР, о © Н2(дг), М © Н^(о)^ ,

где д = m(QIDi,...,QIDnppubi,...,Рриьп)е °2.

Расшифрование

1. Пусть С = {и, V, — шифртекст, полученный абонентом с идентификатором . Для расшифрования С абонент получает у Центра секретный ключ dIDi е О* и вычисляет:

V © Н2 (m(QID1,..., , ^, <2юм ОЮп, РриЬ ,..., Рриь1-1 РриЬ^+1,..., РриЬп )) = о .

2. Абонент вычисляет ^ © Н4(о) = М .

3. Далее вычисляет г = Нз(о, М) и проверяет и = гР . Если равенство ложно, то он не принимает шифртекст, в противном случае полагает, что М — открытый текст.

Корректность схемы подтверждается следующим выражением:

т((°ю1 (Ю1_1 , dIDl, Сщ+1 (Юп, РриЬ1 РриЬ{-1, и РриЬ1+1 РриЬп ) = = т(С>Щ ,..., , РриЬ1 P,..., РриЬп УГ = \т((Ю1,..., , РриЬ1 РриЬп )Г = дГ.

Мультилинейный протокол подписи Боне, Линна и Шахема [5].

Пусть имеется п абонентов, которым необходимо совместно подписать сообщение т , при этом каждому из абонентов необходимо проверить подпись всех предыдущих (например, схема согласования служебной записки в компании). Условием реализации протокола является существование 2,3,..., п, п + 1 -мультилинейных форм Ц2,тз,...,тп,тп+1.

Генерация ключа

**

Пусть Н1 : {0,1} ® О* — криптографическая хеш-функция. Закрытыми ключами является набор

*

Х1,...,хп е Хц , открытыми ключами — набор РриЬ1 = х^Р,...,РриЬп = хпР .

Подпись

*

По данному секретному ключу х\ и сообщению т е {0,1} 1-й подписывающий вычисляет подпись 5 = хН1(т) и отправляет ее второму абоненту, который осуществляет проверку подлинности подписи по предложенной ниже схеме. Затем вычисляет свою подпись 5 = Х25 и отправляет следующему абоненту. После подписи п абонентами сообщение т и подпись 5 = Х]....хпН]_(т) отправляются получателю.

Проверка подписи

По открытым ключам РриЬ1 = х\Р,..., РриЬп = хпР , сообщению т и подписи 5 получатель проверит равенство \i.n+i(P,..., P, 5) = Цп+1(РриЬ1,..., РриЬп, Н1(т)) .

Данная схема основана на предположении существования GDH групп (CDH сложна в 01 ). Подпись защищена от подделки при атаке на основе выбранных текстов в модели со случайным оракулом.

Мультилинейный протокол подписи Занг, Сафави-Наини и Сусило [6].

Данный протокол использует предположение о сложности проблемы ^ + 1) -й степени.

Аналогично предыдущему протоколу пусть имеется п абонентов, которым необходимо совместно подписать сообщение т , при этом каждому из абонентов необходимо проверить подпись всех преды-

дущих. Условием реализации протокола является существование 2,3,..., n, n + 1-мультилинейных форм

m2>m3>...>mn>mn+1 .. Генерация ключа

Открытыми параметрами схемы является набор < Gi,G2,q,n,|2,|3,...,In,ln+1, P, H > . Закрытыми

*

ключами является набор x\,...,xn е Z* , открытыми ключами — набор Ppu^ = xp,...,Ppubn = xnP . Подпись

По данному закрытому ключу xi и сообщению m первый абонент вычисляет подпись

S = —-—1-P и отправляет ее второму абоненту, который осуществляет проверку подлинности

H(m) + Х1

подписи по предложенной ниже схеме. Затем второй абонент вычисляет свою подпись

S = -—;—---S и отправляет следующему. После подписи n абонентами сообщение m и подпись

(H(m) + Х2)

S = -—;—--——;—-1--—;—;—--- P отправляются получателю.

(H(m) + X\)(H(m) + X2)...(H(m) + xn)

Проверка подписи

По набору открытых ключей Ppub1,..., Ppubn , сообщению m и подписи S получатель проверяет равенство

mn+1(H(m)p + Ppub1, H(m)P + Ppub,,..., H(m)P + Ppubn, S) = mn+l(P, p,..., P) . Данная криптосистема является стойкой к атакам на основе выбранных сообщений в модели со случайным оракулом.

Предложенные мультилинейные криптосистемы основаны на предположении сложности решения мультилинейной проблемы Диффи—Хеллмана, а именно вычислении |m(g,..., g)^"^1 в группе G2 по заданным значениям g, ga1,..., gan+1 в группе G1 . Использование мультилинейных криптографических отображений позволит значительно уменьшить связную сложность рассматриваемых протоколов, сократив объем передаваемой информации, и потенциально может снизить вычислительную сложность алгоритмов. До настоящего времени не удалось построить криптографические мультилинейные отображения со степенью мультилинейности выше 2. Ведутся исследования по разработке таких отображений.

Литература

1. Joux A. A One Round Protocol for Tripartite Diffie-Hellman. Proceedings of ANTS 4, LNCS 1838. - 2000. P. 385-394.

2. Galbraith S., Hess F. and Vercauteren F. Aspects of Pairing Inversion. University of London, Technische Universirat Berlin, University of Leuven, 2007.

3. Boneh D. and Franklin M. Identity-based encryption from the Weil pairing, Crypto'2001, Lecture Notes in Computer Science, Springer—Verlag, 2001.

4. Boneh D. and Silverberg A. Applications of Multilinear Forms to Cryptography, 2002.

5. Boneh D., Lynn B., Shacham H. Short Signatures from the Weil Pairing. In proceedins of Asiacrypt, 2001.

6. Zhang F., Safavi-Naini R. and Susilo W. An Efficient Signature Scheme from Bilinear Pairings and it's Applications. PKC, 2004.

7. Sakai R., Ogishi IK and Kasahara M. Cryptosystems Based on Pairing. SCIS 2000-c20. — Okinawa, Japan. 2000. — January.

Косолапов Дмитрий Олегович

Дальневосточный государственный университет, аспирант Харин Евгений Алексеевич

Дальневосточный государственный университет, аспирант Гончаров Сергей Михайлович

Дальневосточный государственный университет, к.ф.-м.н., доцент

Корнюшин Павел Николаевич

Дальневосточный государственный университет

Директор ДВРУНЦ по проблемам информационной безопасности, д.ф.-м.н., профессор Эл. почта: korn@ifit.phys.dvgu.ru.

S.M. Goncharov, P.N. Korniushin, D.O. Kosolapov, E.A. Kharin This article describes three multilinear based cryptosystems

Implementation of multilinear cryptosystems lets us decrease group difficulty of multiparty cryptosystems.

i Надоели баннеры? Вы всегда можете отключить рекламу.