Научная статья на тему 'О СТОЙКОСТИ ГОМОМОРФНОЙ КРИПТОСИСТЕМЫ ДОМИНГО-ФЕРРЕРА ПРОТИВ АТАКИ ТОЛЬКО ПО ШИФРТЕКСТАМ'

О СТОЙКОСТИ ГОМОМОРФНОЙ КРИПТОСИСТЕМЫ ДОМИНГО-ФЕРРЕРА ПРОТИВ АТАКИ ТОЛЬКО ПО ШИФРТЕКСТАМ Текст научной статьи по специальности «Математика»

CC BY
20
4
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
гомоморфное шифрование / атака / на основе только шифр-текста / криптоанализ / факторизация / криптосистема Доминго-Феррера / homomorphic encryption / cryptanalysys / ciphertext-only attack / DomingoFerrer’s encryption scheme / factorization problem

Аннотация научной статьи по математике, автор научной работы — Трепачева Алина Викторовна

Предлагается анализ криптостойкости гомоморфной криптосистемы Доминго-Феррера против атаки только по шифр-текстам. Эта криптосистема даёт хороший контрпример к гипотезе об эквивалентности атаки только по шифр-текстам и атаки с известными открытыми текстами на криптосистемы, гомоморфные над кольцом вычетов по модулю труднофакторизуемого числа.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ON THE SECURITY OF DOMINGO-FERRER’S HOMOMORPHIC CRYPTOSYSTEM AGAINST CIPHERTEXT-ONLY ATTACK

The paper proposes an analysis of the security of the Domingo-Ferrer’s homomorphic encryption scheme against the ciphertext-only attack. This cryptosystem provides a good counterexample to the equivalence hypothesis of ciphertext-only attack and known plaintext attack on encryption schemes, that are homomorphic over the residue ring modulo a hardly-factorizable number.

Текст научной работы на тему «О СТОЙКОСТИ ГОМОМОРФНОЙ КРИПТОСИСТЕМЫ ДОМИНГО-ФЕРРЕРА ПРОТИВ АТАКИ ТОЛЬКО ПО ШИФРТЕКСТАМ»

Теорема 2. Вероятность успеха противника, восстанавливающего секретный ключ криптоалгоритма Стрибог-С, ограничена значением

AdvgR^c(t,q,l) ^ AdvfR(t',q + 1) < 2k.

Для обработки сообщения с длиной менее n бит алгоритмам Стрибог-К, Стрибог-С, НМАС-Стрибог-256 и НМАС-Стрибог-512 потребуется соответственно 4, 5, 8 и 9 вызовов функции g, что говорит о сравнительно высокой вычислительной эффективности предложенного криптоалгоритма.

Программные реализации анализируемых криптоалгоритмов представлены в [6].

ЛИТЕРАТУРА

1. Р 50.1.113 2016 — Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хеширования. М.: Стандартинформ, 2016.

2. КирюхинВ.А. Keyed Streebog is a Secure PRF and MAC. CTCrvpt 2022. June 6-9, Novosibirsk, Russia, https://eprint.iacr.org/2022/972.

3. Bellare M. and Rogaway P. Introduction to Modern Cryptography. University of California at Davis, 2005. https://web.cs.ucdavis.edu/~rogaway/classes/227/spring05/book/main. pdf.

4. Dinur I. and Leurent G. Improved generic attacks against hash-based MACs and HAIFA // LNCS. 2014. V. 8616. P. 149-168.

5. Yasuda K. "Sandwich" is indeed secure: How to authenticate a message with just one hashing // LNCS. 2007. V. 4586. P. 355-369.

6. Репозиторий «Ключевой Стрибог». https://gitflic.ru/project/vkir/streebog.

УДК 519.6 DOI 10.17223/2226308Х/16/25

О СТОЙКОСТИ ГОМОМОРФНОЙ КРИПТОСИСТЕМЫ ДОМИНГО-ФЕРРЕРА ПРОТИВ АТАКИ ТОЛЬКО ПО ШИФРТЕКСТАМ1

А. В. Трепачева

Предлагается анализ криптостойкости гомоморфной криптосистемы Доминго-Феррера против атаки только по шифртекстам. Эта криптосистема даёт хороший контрпример к гипотезе об эквивалентности атаки только по шифртекстам и атаки с известными открытыми текстами на криптосистемы, гомоморфные над кольцом вычетов по модулю труднофакторизуемого числа.

Ключевые слова: гомоморфное шифрование, атака, на основе только шифртек-ста, криптоанализ, факторизация, криптосистема Доминго-Феррера.

Введение

Изучение гомоморфных криптосистем актуально в связи с приложениями в облачных вычислениях, в которых необходимо обеспечить сложение и умножение шифртек-стов так, чтобы расшифрование было гомоморфизмом шифртекстов на кольцо вычетов [1].

1 Работа выполнена при финансовой поддержке программы «Гранты ИБ МТУСИ» на 2022 г., проект JVM9/21-K по договору 40469-49/2021-к.

Интересным направлением в этой области является построение гомоморфных криптосистем, стойкость которых опирается на задачу факторизации чисел |2|, Предложено несколько таких криптосистем, в которых множеством открытых текстов является Zn, оде n — труднофакторизуемое число (RSA-модуль), Многие из упомянутых криптосистем оказались нестойки к атаке с известными открытыми текстами, в связи с чем возник вопрос: может ли какая-то из этих криптосистем, тем не менее, быть стойкой к атаке только но шифртекстам (англ, COA) и в каком случае? Или, другими словами, эквивалентна ли атака но шифртекстам атаке с известными открытыми текстами дня упомянутых криптосистем? В случае отрицательного ответа на этот вопрос достаточно одного примера криптосистемы такого тина, дня которой эти атаки не эквивалентны |3|.

В работе |4| представлена симметричная алгебраически гомоморфная криптосистема, которую будем называть DF96, Стойкость этой криптосистемы проанашзирована дня случая атаки с известными открытыми текстами |5, 6|, однако анализа её стойкости против атаки только но шифртекстам проведено не было.

1. Описание криптосистемы DF96

Будем обозначать как s S случайный выбор элемента s из множества S по равномерному распределению. Пусть n = pq, оде p и q — простые числа, p < q. Пространство открытых текстов криптосистемы DF96 — Zn, пространство шифртекстов — Zp[x] х Zq[x], а пространство ключей К — Z* х Z*. Алгоритмы генерации ключей, шифрования и расшифрования приведены па рис. 1.

cryptDF96.rf(ra, (rp, rq))_

Для всех г = 2,.... d — 1

щ -е- Ln

a\ = (m — ai) (mofl n) a(x) = (id ■ xd + ... + O! ■ x <E Zn[x] тг(х) = [a(rp ■ x)] (mod p) p(x) = [a(rq ■ x)] (mod q) Вернуть (7г(х),р(х))

PecryptDF96¿((7г(х),/j(x)). (rp,rq))_

1: ap(x) = nir-1 -x)

2: a, (a;) = p(r~l ■ x)

3: mp = [ap(l)] (mod p)

4: mq = [a?(l)] (mod q)

5: Вернуть mpq(q~1 (mod p)) + mqp(p~1 (mod q))

Рис. 1. Алгоритмы криптосистемы ЭР9б Сложение и умножение шифртекстов осуществляются покоординатно:

Со = С1 о С2 = (П1 о П2,Р1 О р2).

При умножении размер шифртекстов растет экспоненциально.

2. Основные результаты

Определение 1 (задача СОАоге^^,..., сг)), Пусть противник А владеет шифр-текстами в\ = (п1(х),р1 (ж)),... ,сг = (пг(ж), рг(ж)) криптосистемы ЭР96, созданными на ключе (гр, гд) при параметре Задача СОАорэм(сь ..., сг) состоит в том, чтобы раскрыть р, (гр, гд),

Лемма 1. Для любого f (ж) € Ъп[ж] существует некоторый шифртекет криптосистемы ЭР96, такой, что f (ж) является первой (или второй) координатой этого шифр-текста.

Доказательство. Для заданного f (ж) выберем случайный гр € Ъ*п. Считаем, что гр — первая координата ключа криптосистемы ЭР96, шифрующая т € Ъп, который по модулю р равен f (г-1). При зашифровании коэффициенты полинома приводятся по модулю р, однако при проведении гомоморфных операций приведение по р не происходит, от чего шифртекет не перестаёт быть корректным (т, е, коэффициенты полинома

р

шифртекета). Аналогично для гд € Ъ*п- ■

Теорема 1. Если существует алгоритм А, решающий задач у СОАор9б,^(с1,..., сг) за р (р ^ и) операций с шифртекетами ЭР96 и с вероятноетыо е, то существует алгоритм В, который, имея открытый доступ к А, находит сомножитель и за р операций

е

Доказательство. Рассмотрим алгоритм 1 (алгоритм В факторизации и).

Алгоритм 1. B(n,d,/)

Для всех i = 1,..., /:

Для всех j = 1,..., d — 1:

Yj <— Zn; 5j <— Zn.

Yd Zn\{0} 5d Zn\{0};

п»(ж) := YdXd + ... + YiX Pi(x) := SdXd + ... + ¿ix, (p (г^ гд-1)) := A((ni(x),Pi(ж)),... , (nl(x),Pl(x))). Вернуть p, n/p.

Если А с преимуществом е за р операций находит секретный ключ ЭР96, то В раскрывает факторизацию и за р операций с преимуществом е. ■

А

дачи СОАор9м(сь ..., сг), Через Еез(д(ж), f (ж)) обозначен результант полиномов f (ж) и #(ж).

Предположим, что алгоритм 2 делает т внешних итераций (строки 2-13), так что |£| = I + т. Тогда общее число операций с шифртекстами р ^ т(/ + т)(/ + т — 1)2/2, Когда строится алгоритм факторизации, он должен иметь возможность генериро-

и

раепределению п1(ж),..., пг(ж) и р1(ж),..., рг(ж), мы можем рассматривать их как первые и вторые координаты шифртекетов ОР96, При этом распределение ф па множестве

открытых текстов будет равномерным (сводимость от СОАор9б,^(с1,..., сг) к задаче

ф

Отметим, что обратная сводимость не имеет места, В самом деле, пусть атакующий знает разложение числа и, то те знает (гр,гд), Тогда, подставляя любые значения из

Алгоритм 2. A((ni(x), pi(x)),..., (пг(x), рг(х)))

L := ni(x),... , пг(я). Пока true

i {1,..., |L|}; j {1,..., |L|}; {+,-, •};

Y(ж) := ^¿(x) о nj(x); L := L U {7(x)}. Для всех i, j G {1,..., |L|}: Для всех k, t G {1,..., |L|}:

5 НОД(Еез(п(x) — n?(x),nk(x) — nt(x)),n).

Если (1 < 5 < n) Л (5 mod n = 0), то p = 5;

r-1 = HOД((ll(x) — nj(x)) mod p, (nfc(x) — nt(x)) mod p); q = n/p;

r-1 = HC^((pj(x) — pj (x)) mod q, (pfc (x) — pt(x)) mod q).

q

Вернуть p, (r-1,r-1).

Z* и Z* вместо rp и rq соответственно, на шагах 1 и 2 алгоритма DecryptDF96,d атакующий может получать на выходе некоторый открытый текст, и у него нет критерия, чтобы отделить правильный вариант rp и rq от неправильного в случае равномерного распределения открытых текстов.

Если распределение открытых текстов отлично от равномерного и количество шифртекстов достаточно для надёжного различения этих распределений, то это может служить критерием правильности угадывания rp и rq, Но в этом случае средняя сложность атаки алгоритмом 2 снижается за счёт повышения вероятности появления шифртекстов ci и Cj, таких, что DecryptDF96d(ci, (rp,rq)) = DecryptDF96 d(cj, (rp,rq)), Таким образом, знание разложения n не исключает перебора попарных разностей и подсчёта их наибольшего общего делителя.

Заключение

Показана сводимость атаки на криптосистему DF96 только по шифртекетам к за-

n

ки зрения выяснения эквивалентности атак только по шифртекетам и с известными открытыми текстами на гомоморфные криптосистемы, множество открытых текстов которых — это Zn, а именно: эти атаки не эквивалентны для криптосистем такого типа, В общем виде можно сказать, что данный факт исходит из того, что при фиксированном секретном ключе зашифрование действует еюръективно на множестве шифр-текстов, Иными словами, для генерации корректных шифртекстов нет необходимости в знании секретного ключа —любому шифртекету при любом ключе соответствует некоторый открытый текст,

ЛИТЕРАТУРА

1. Gentry С. Fully Homomorphic encryption using ideal lattices // Proc. 41-th ACM Svmp. STOC'09. Bethesda, USA, 2009. P. 169-178.

2. Vaikuntanathan V. Computing blindfolded: New developments in fully homomorphic encryption // Proc. 52nd Ann. Svmp. FOCS. Palm Springs, CA, USA, 2011. P. 5-16.

3. Трегшчева А. В. О соотношениях между атаками на симметричные шифры, гомоморфные над кольцом вычетов // Безопасность информационных технологий. 2017. Т. 24. №2. С.82-91.

4. Doming о-Ferrer J. A new privacy homomorphism and applications / / Inform. Process. Lett. 1996. V. 60. No. 5. P. 277-282.

5. CheonJ.H., KimW.-H., and NamH.S. Known-plaintext crvptanalvsis of the Domingo-Ferrer algebraic privacy homomorphism scheme // Inform. Process. Lett. 2006. V. 97. No.3. P. 118-123.

6. Трепачева А. В. Улучшенная атака по известным открытым текстам на гомоморфную криптосистему Доминго-Феррера. // Труды ИСП РАН. 2014. Т. 26. №5. С. 83-98.

УДК 512.548.7+004.056.55 DOI 10.17223/2226308Х/16/26

ОБ ОДНОМ КВАЗИГРУППОВОМ АЛГОРИТМЕ ШИФРОВАНИЯ,

СОХРАНЯЮЩЕГО ФОРМАТ

К. Д. Царегородцев

Рассматривается возможный подход к построению схем шифрования, сохраняющего формат, на основе квазигрупповых преобразований (левых и правых сдвигов на псевдослучайные элементы). Показано, что в случае функционального задания квазигруппы с помощью правильных семейств дискретных функций над прямым произведением групп обратное к левому (правому) сдвигу преобразование также задаётся правильным семейством.

Ключевые слова: FPE, квазигруппа, правильное семейство.

Шифрование, сохраняющее формат (FPE, Format Preserving Encryption [1], далее FPE-ехема) — алгоритм, позволяющий зашифровывать сообщения из произвольного конечного множества M таким образом, что результат зашифрования также лежит в множестве M, Такой тип алгоритмов довольно востребован на практике, о чём свидетельствует большое количество работ, рассматривающих стойкость таких крипто-примитивов [1-3]. При этом подобные алгоритмы часто подвержены специфическим атакам, связанным, в том числе, и с возможным относительно малым размером области определения [4, 5]. Известны «доказуемо стойкие» алгоритмы как для очень малых (|M| ~ 210), так и для очень больших областей определения (размер которых приближается к размеру области определения стандартных блочных шифров либо превышает их, wide-block encryption), в то время как для «средних» областей определения всё ещё не существует одного предпочтительного подхода. В этой работе мы рассмотрим возможный подход к построению FPE-ехем, основанный на квазигрупповых операциях.

Определение 1. Квазигруппой (Q, о) называется множество Q с заданной на нём бинарной операцией о со следующим свойством: для любых а, b уравнения а о x = b, x о а = b однозначно разрешимы (относительно x),

Другими словами, операции левого (x ^ La(x) = аох) и правого (x ^ Ra(x) = хоа)

Q

Основанные на квазигрупповых преобразованиях алгоритмы интенсивно изучались [6-9], некоторые из них предлагались в качестве кандидатов на международную стандартизацию (например, [10]). В работе [11] предложен следующий подход. Преобразуем элемент m е M, где (M, о) — некоторая квазигруппа, в элемент c е M следующим образом:

m ^ c = Lfcb...)fc£(m) = ki о (k^ о (... (ki о m)...)), (1)

m

пы M переводится в элемент c, В [11] предложены также варианты схемы, в которых

i Надоели баннеры? Вы всегда можете отключить рекламу.