О применении эллиптических кривых в некоторых протоколах электронного голосования Текст научной статьи по специальности «Математика»

УДК 519.7

О ПРИМЕНЕНИИ ЭЛЛИПТИЧЕСКИХ КРИВЫХ В НЕКОТОРЫХ ПРОТОКОЛАХ ЭЛЕКТРОННОГО ГОЛОСОВАНИЯ

С. М. Рацеев, О. И. Череватенко

Рацеев Сергей Михайлович, доктор физико-математических наук, профессор кафедры информационной безопасности и теории управления, Ульяновский государственный университет, 432017, Россия, Ульяновск, Л. Толстого, 42, ratseevsm@mail.ru

Череватенко Ольга Ивановна, кандидат физико-математических наук, доцент кафедры высшей математики, Ульяновский государственный педагогический университет имени И. Н. Ульянова, 432063, Россия, Ульяновск, Площадь 100-летия со дня рождения В. И. Ленина, 4, chai@pisem.net

Протоколы электронного голосования позволяют проводить процедуру голосования, в которой избирательные бюллетени существуют только в электронной форме. Данные протоколы обеспечивают тайный характер голосования. Основное свойство протокола голосования — универсальная проверяемость, т. е. предоставление возможности всякому желающему, включая сторонних наблюдателей, в любой момент времени проверить правильность подсчета голосов. В работе рассматриваются криптографические протоколы электронного голосования на основе протоколов Шаума-Педерсона и Крамера-Франклина-Шонмейкерса-Янга. Данные протоколы приводятся на основе эллиптических кривых, применение которых позволяет значительно уменьшить размеры параметров протоколов и увеличить их криптографическую стойкость. Основное преимущество эллиптической криптографии заключается в том, что на данный момент не известно ни одного субэкспоненциального алгоритма решения задачи дискретного логарифмирования в группе точек эллиптической кривой.

Ключевые слова: протокол электронного голосования, битовое обязательство, схема разделения секрета.

РО!: 10.18500/1816-9791 -2018-18-1 -62-68

ВВЕДЕНИЕ

В данной работе приводятся модификации протоколов Шаума - Педерсона и Крамера - Франклина - Шонмейкерса - Янга на эллиптических кривых. Сам принцип функционирования криптосистем на эллиптических кривых подробно изложен в [1].

Безопасность криптосистем на эллиптических кривых ECC (Elliptic Curve Cryptography), как правило, основана на трудности решения задачи дискретного логарифмирования в группе точек эллиптической кривой [1]. Исследования показывают, что в классе криптосистем с открытым ключом криптосистемы на эллиптических кривых превосходят классические криптосистемы на основе модулярной арифметики, как минимум, по двум важным параметрам: степени защищенности в расчете на каждый бит ключа и быстродействию при аппаратной и программной реализации. Наглядно это демонстрирует следующая таблица (длины ключей для ECC и RSA при одинаковой криптостойкости согласно NIST [2]).

ECC key size RSA key size Key ratio AES key size

(Bits) (Bits) (Bits)

163 1024 1 : 6

256 3072 1 : 12 128

384 7680 1 : 20 192

512 15360 1 : 30 256

1. МОДИФИКАЦИЯ ПРОТОКОЛА ГОЛОСОВАНИЯ НА ОСНОВЕ ПРОТОКОЛА ШАУМА-ПЕДЕРСЕНА

Рассмотрим модификацию протокола электронного голосования, приведенного в работе [3]. Пусть в голосовании участвуют п избирателей Г,..., Рп, которые являются абонентами некоторой сети и подают свои голоса в электронной форме: «за» и «против», которые соответственно представимы значениями 1 и -1. К протоколу предъявим два основных требования: 1) голосование должно быть тайным; 2) должна быть обеспечена правильность подсчета голосов.

Пусть Т — центр подсчета голосов. Будем предполагать, что центр честный и пользуется безусловным доверием всех избирателей.

Пусть Е — эллиптическая кривая над некоторым конечным полем ^, д — некоторый достаточно большой простой делитель числа |Е|, О, Н — некоторые точки эллиптической кривой, имеющие порядок д. Доверенный центр Т выбирает секретный ключ х, 0 < х < д, и публикует в открытом доступе открытый ключ У = [х]О.

Каждый избиратель р посылает центру Т сообщение, содержащее идентификатор этого избирателя и его голос а* Е {-1,1}, зашифрованный с помощью вероятностного шифра на ключе У следующим образом: и* = [к*]О, V = [к*]У + [а*]Н, (и, V) — бюллетень голосования (передается центру Т), где к* — некоторое случайное число, 0 < к* < д. Центр расшифровывает бюллетени, подсчитывает и публикует итог. Расшифрование бюллетеня (и*, V*) происходит следующим образом: вычисляется V + [д — х]и = [а*]Н; так как а* Е {-1,1}, то из [а*]Н легко находится а*.

п

После этого центр Т вычисляет $ = ^ а* и публикует итог голосования $.

Поскольку все бюллетени находятся в некотором хранилище данных, то любой избиратель, а также всякий сторонний наблюдатель может вычислить

п п п п

А = Е и = В = ^ V = ^([к*]У + [а*]Н).

*=1 *=1 *=1 *=1

п

Обозначим С = ^[к*]У. При этом С = [х]А. Если центр правильно подсчитал

*=1

п

голоса, то должно выполняться равенство [$]Н = ^[а*]Н. Поэтому, если из В вы-

*=1

честь [$]Н, то должно получиться значение С. Пусть (С = В — [$]Н. Проверяющий не знает значения С и не может самостоятельно выяснить, верно ли, что С = С Но при этом нетрудно проверить, что должно выполняться равенство С = [х]А. Поэтому проверяющий может потребовать от центра доказательство следующего факта: в группе точек эллиптической кривой дискретный логарифм С по основанию A равен дискретному логарифму У по основанию О.

Приведем модификацию протокола Шаума и Педерсена [4,5] доказательства данного факта на эллиптических кривых.

1. Доказывающий случайным образом выбирает к, 0 < к < д, вычисляет

= [к]О, Д2 = [к] А и передает , Д2 проверяющему.

2. Проверяющий генерирует случайное число а, 0 ^ а < д, которое передает доказывающему.

3. Доказывающий вычисляет s = k + ax ( mod q) и передает s проверяющему.

4. Проверяющий убеждается, что [s]G = R1 + [a]Y и [s]A = R2 + [a]¿7.

Таким образом, центр T может доказать утверждение C = [x]A каждому желающему.

2. МОДИФИКАЦИЯ ПРОТОКОЛА КРАМЕРА - ФРАНКЛИНА-ШОНМЕЙКЕРСА-ЯНГА НА ЭЛЛИПТИЧЕСКИХ КРИВЫХ

Рассмотрим более сложный протокол электронного голосования [6,7]. Задача ставится следующим образом. Пусть в голосовании участвуют n избирателей P1,..., Pn, которые являются абонентами некоторой сети и подают свои голоса в электронной форме: «за» и «против», которые соответственно представимы значениями 1 и -1. Имеется m счетных комиссий, которые создаются для обеспечения анонимности и предотвращения фальсификации итогов голосования. К протоколу предъявим следующие требования: 1) голосуют только уполномоченные избиратели; 2) любой участник имеет право отдать не более одного голоса; 3) ни один из участников не может знать, как проголосовал другой; 4) никто не может дублировать чужой голос; 5) конечный результат будет подсчитан корректно; 6) любой желающий может проверить правильность результата; 7) протокол должен работать и в тех случаях, когда некоторые участники ведут себя нечестно.

Приведем модификацию протокола, предложенного в 1996 г. [6], на эллиптических кривых. Сначала каждая комиссия фиксирует закрытый ключ и публикует открытый ключ.

Пусть E — эллиптическая кривая над некоторым конечным полем F, q — некоторый достаточно большой простой делитель числа |E|, G — некоторая точка эллиптической кривой, имеющая порядок q, H = [u]G для некоторого 0 < u < q, причем нахождение значения u по известному H должно являться трудной задачей.

1. Заполнение бюллетеня избирателями

1.1. Избиратель Pi выбирает голос ai Е {-1,1} и случайный элемент ki Е Zq. Затем он публикует свидетельство

Roi = [k]G + [a¿]H, i = 1,..., n,

скрывающего поданный им голос (битовое обязательство). В результате в общем доступе будут свидетельства всех участников R01,..., R0n.

1.2. Также каждый избиратель Pi выполняет автономную версию протокола доказательства знания следующим образом. Для краткости обозначим b = ai, R0 = R0i. Pi выбирает случайные элементы 0 < d, z, w < q, вычисляет

Ri =

Ro =

[z]G + [-d](Ro + H), b = 1,

[w]G, b = -1,

[w]G, b = 1,

[z]G + [-d](R0 - H), b = -1

и находит значение хеш-функции a = h(R0, R, R) (mod q). После этого Pi вычисляет четверку значений

(di,Sl6 = X'

(с/, d, Z, Z): 6 = -1,

где d = a — d ( mod q), J = w + kd ( mod q). Затем избиратель P публикует значения (Ro,Ri,R2), a, (di,d2,si, s2). Любой желающий может осуществить проверку корректного голосования участника P. Для этого проверяются равенства:

a = di + d2 ( mod q), [si]G = Ri + [di](Ro + H), [s^G = R2 + [d2](Ro — H).

2. Передача бюллетеней комиссиям. Для передачи бюллетеней с голосами избирателей счетным комиссиям используется совершенная проверяемая схема разделения секрета Педерсена - Шамира [8]: i-й избиратель выбирает два многочлена над полем Zq степени T, 0 < T < m:

Ui(x) = ki + kiiж + ... + kTixT G Zq[ж], V (ж) = ai + aiix + ... + aTiXT G Zq [ж],

где коэффициенты j aj-i — случайные числа из Zq, 1 ^ j ^ T. Значения (xj ,yij, zij) = (xj, Ui(xj ),Vi (xj)), Xj G Z*, попарно различны, j = 1,...,m, являются долями (m, T + 1) пороговой схемы разделения секрета (ki,ai). Здесь значение T определяется тем, что если не произошло никакого сговора более чем в T избирательных комиссиях, то невозможно вычислить, как голосовал отдельный участник. В то же время выборы будут успешны, если, по крайней мере, T +1 избирательных комиссий действуют правильно.

Также для данных коэффициентов р вычисляет проверочные значения:

Bio = [ki]G + [ai]H, Bii = [kii]G + [aii]H, ..., BiT = [kri]G + [a^H,

которые публикуются в открытом доступе. Заметим, что значение Bi0 = [ki + uai]G зависит от случайного числа ki. Поэтому даже если кто-то и сможет вычислить значения u и ki + uai (решив задачу дискретного логарифмирования), то это не даст ему никакой информации о значении ai. Заметим, что свойство совершенности играет очень важную роль при защите информации [9,10].

Избиратель р шифрует значения (xj,yij ,zij) на открытом ключе j-й избирательной комиссии, после чего ей передаются полученные значения, j = 1, . . . , m. j-я комиссия после расшифрования и восстановления значений (xj,yij, zij) делает проверку

[yij ]G + [zij ]H = Bio + [xj ]Bii + ... + [xT ]BiT.

Итак, каждая счетная комиссия имеет следующие наборы:

1: (xi ,yn ,zn), ..., (xi,y„i ,zni),

m : (xm5 yim5 zim)j . . . , (xm, ynm, znm).

3. Подсчет голосов. Каждая j-я комиссия подсчитывает и публикует значения

n n

yj ^^ yij, zj ^^ zij.

i=i i=i

Теперь каждый желающий может проверить корректность опубликованных данных, проверив равенства:

¿ ( Roi + £[xj ]Ba J = [y ]G + [Zj ]H, j = 1,...,m,

i=i V i=i /

так как

Y1 Roi + № = Е [ki]G + [ai]H + ] ([ki]G + [aZi]H)

i=i V i=i / i=i V i=i

n

= + kii xj + ... + kTiXT ]G + [ai + aiiXj + ... + an xT ]H) =

i=i

nn

= E^fe)]G + [Vi(xj)]H) = £(&,«]G + [Zij]H) = [y]G + [zj]H.

i=1 i=1

Заметим, что для любого j = 1,... ,m значение 2j является значением некоторого многочлена над полем Zq степени не более T:

n n n n n

= ^ zij = v- (xJ ) = [Yl a4 + [Yl ai0 xJ +... + [Yl aT4xT. i=i i=i \i=i / \i=i / \i=i /

n

Поэтому для определения итога голосования ai достаточно в множестве пар

i=i

точек {(x1, z1),..., (xm, zm)} выделить любое (T + 1)-элементное подмножество {(ж0, z0),..., (жт, zt)} и вычислить

Tn

EJi П = Еai.

tAj n tAj 7

i=0 j^T j i i=1

j=i

Библиографический список

1. Hankerson D., Menezes A., Vanstone S. Guide to Elliptic Curve Cryptography. N.Y. : Springer-Verlag, 2004. 358 p.

2. An Elliptic Curve Cryptography (ECC) Primer: why ECC is the next generation of public key cryptography. The Certicom Corp. 'Catch the Curve' White Paper Series, June 2004. 24 p. URL: https://www.certicom.com/content/dam/certicom/images/pdfs/WP-ECCprimer.pdf (дата обращения: 05.09.2017)

3. Введение в криптографию / под общ. ред. В. В. Ященко. М. : МЦНМО, 2012. 348 с.

4. Chaum D., Pedersen T. P. Wallet databases with observers // Proc. Crypto'92. Lect. Notes in Comput. Sci. 1993. Vol. 740. P. 89-105.

5. Cramer R., Gennaro R., Schoenmakers B. A secure and optimally efficient multi-authority election scheme // Proc. EUROCRYPT'97. Lect. Notes in Comput. Sci. 1997. Vol. 1233. P. 103-118.

6. Cramer R., Franklin M., Schoenmakers B., Yung M. Multi-Authority Secret-Ballot Elections with Linear Work // Proc. EUROCRYPT'96. Lect. Notes in Comput. Sci. 1996. Vol. 1070. P. 72-83.

7. Черемушкин А. В. Криптографические протоколы. Основные свойства и уязвимости. М. : Академия, 2009. 272 с.

8. Pedersen T. P. Non-interactive and information-theoretic secure verifiable secret sharing // Proc. EUROCRYPT'91. Lect. Notes in Comput. Sci. 1992. Vol. 576. P. 129-140.

9. Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры. М. : Гелиос АРВ, 2005. 192 с.

10. Рацеев С.М. Некоторые обобщения теории Шеннона о совершенных шифрах // Вестн. ЮУрГУ. Сер. Матем. моделирование и программирование. 2015. Т. 8, № 1. С. 111-127.

Образец для цитирования:

Рацеев С. М., Череватенко О. И. О применении эллиптических кривых в некоторых протоколах электронного голосования // Изв. Сарат. ун-та. Нов. сер. Сер. Математика. Механика. Информатика. 2018. Т. 18, вып. 1. С. 62-68. 001: 10.18500/1816-9791-2018-18-1-62-68.

On Application of Elliptic Curves in Some Electronic Voting Protocols

S. M. Ratseev, O. I. Cherevatenko

Sergey M. Ratseev, https://orcid.org/0000-0003-4995-9418, Ulyanovsk State University, 42, Lev Tolstoy Str., Ulyanovsk, Russia, 432017, ratseevsm@mail.ru

Olga I. Cherevatenko, https://orcid.org/0000-0003-3931-9425, Ulyanovsk State I. N. Ulyanov Pedagogical University, 4, Ploshchad' 100-letiya so dnya rozhdeniya V. I. Lenina, Ulyanovsk, Russia, 432063, chai@pisem.net

Electronic voting protocols allow us to carry out voting procedure in which ballots exist only electronically. These protocols provide the secret nature of vote. The main property of electronic voting protocols is the universal checkability, i.e. provision of an opportunity to any person interested, including detached onlookers to check correctness of counting of votes at any moment. In operation cryptography protocols of electronic vote of Shauma-Pederson and Kramera-Franklin-Shoyenmeykersa-Yunga are considered. These protocols are provided on the basis of elliptic curves which application allows us to reduce considerably the sizes of parameters of protocols and to increase their cryptography firmness. Primary benefit of elliptic cryptography is that any subexponential algorithm of the decision of the task of the discrete logarithming in group of points of an elliptic curve is not known at the moment.

Key words: electronic voting protocol, bit obligation, diagram of division of a secret. References

1. Hankerson D., Menezes A., Vanstone S. Guide to Elliptic Curve Cryptography. New York, Springer-Verlag, 2004. 358 p.

2. An Elliptic Curve Cryptography (ECC) primer : Why ECC is the next generation of public key cryptography. The Certicom Corp. 'Catch the Curve' White Paper Series, June 2004. 24 p. Available at: https://www.certicom.com/content/dam/certicom/images/pdfs/WP-ECCprimer.pdf (Accessed 5 September 2017).

3. Vvedenie v kriptografiiu [Introduction to cryptography]. Under a general edition of V. V. Yashchenko. Moscow, MTsNMO Publ., 2012. 348 p. (in Russian).

4. Chaum D., Pedersen T. P. Wallet databases with observers. Proc. Crypto'92. Lect. Notes in Comput. Sci., 1993, vol. 740, pp. 89-105.

5. Cramer R., Gennaro R., Schoenmakers B. A secure and optimally efficient multi-authority election scheme. Proc. EUROCRYPT'97. Lect. Notes in Comput. Sci., 1997, vol. 1233, pp. 103-118.

6. Cramer R., Franklin M., Schoenmakers B., Yung M. Multi-Authority Secret-Ballot Elections with Linear Work. Proc. EUROCRYPT'96. Lect. Notes in Comput. Sci., 1996, vol. 1070, pp. 72-83.

7. Cheremushkin A. V. Kriptograficheskie protokoly. Osnovnye svoistva i uiazvimosti [Cryptography protocols. Main properties and vulnerabilities]. Moscow, Academy, 2009. 272 p. (in Russian).

8. Pedersen T. P. Non-interactive and information-theoretic secure verifiable secret sharing. Proc. EUROCRYPT'91. Lect. Notes in Comput. Sci., 1992, vol. 576, pp. 129-140.

9. Zubov A. Yu. Kriptograficheskie metody zashhity informacii. Sovershennye shifry [Cryptographic Methods of Information Security. Perfect ciphers]. Moscow, Gelios ARV, 2005. 192 p. (in Russian).

10. Ratseev S. M. Some generalizations of Shannon's theory of perfect ciphers. Vestnik YuUr-GU. Ser. Mat. Model. Progr. [Bulletin of the South Ural State University, Ser. : Mathematical Modelling, Programming and Computer Software], 2015, vol. 8, no. 1, pp. 111-127 (in Russian).

Cite this article as:

Ratseev S. M., Cherevatenko O. I. On Application of Elliptic Curves in Some Electronic Voting Protocols. Izv. Saratov Univ. (N.S.), Ser. Math. Mech. Inform., 2018, vol. 18, iss. 1, pp. 62-68 (in Russian). DOI: 10.18500/1816-9791-2018-18-1-62-68.