Теорема 2. Вероятность успеха противника, восстанавливающего секретный ключ криптоалгоритма Стрибог-С, ограничена значением
AdvgR^c(t,q,l) ^ AdvfR(t',q + 1) < 2k.
Для обработки сообщения с длиной менее n бит алгоритмам Стрибог-К, Стрибог-С, НМАС-Стрибог-256 и НМАС-Стрибог-512 потребуется соответственно 4, 5, 8 и 9 вызовов функции g, что говорит о сравнительно высокой вычислительной эффективности предложенного криптоалгоритма.
Программные реализации анализируемых криптоалгоритмов представлены в [6].
ЛИТЕРАТУРА
1. Р 50.1.113 2016 — Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хеширования. М.: Стандартинформ, 2016.
2. КирюхинВ.А. Keyed Streebog is a Secure PRF and MAC. CTCrvpt 2022. June 6-9, Novosibirsk, Russia, https://eprint.iacr.org/2022/972.
3. Bellare M. and Rogaway P. Introduction to Modern Cryptography. University of California at Davis, 2005. https://web.cs.ucdavis.edu/~rogaway/classes/227/spring05/book/main. pdf.
4. Dinur I. and Leurent G. Improved generic attacks against hash-based MACs and HAIFA // LNCS. 2014. V. 8616. P. 149-168.
5. Yasuda K. "Sandwich" is indeed secure: How to authenticate a message with just one hashing // LNCS. 2007. V. 4586. P. 355-369.
6. Репозиторий «Ключевой Стрибог». https://gitflic.ru/project/vkir/streebog.
УДК 519.6 DOI 10.17223/2226308Х/16/25
О СТОЙКОСТИ ГОМОМОРФНОЙ КРИПТОСИСТЕМЫ ДОМИНГО-ФЕРРЕРА ПРОТИВ АТАКИ ТОЛЬКО ПО ШИФРТЕКСТАМ1
А. В. Трепачева
Предлагается анализ криптостойкости гомоморфной криптосистемы Доминго-Феррера против атаки только по шифртекстам. Эта криптосистема даёт хороший контрпример к гипотезе об эквивалентности атаки только по шифртекстам и атаки с известными открытыми текстами на криптосистемы, гомоморфные над кольцом вычетов по модулю труднофакторизуемого числа.
Ключевые слова: гомоморфное шифрование, атака, на основе только шифртек-ста, криптоанализ, факторизация, криптосистема Доминго-Феррера.
Введение
Изучение гомоморфных криптосистем актуально в связи с приложениями в облачных вычислениях, в которых необходимо обеспечить сложение и умножение шифртек-стов так, чтобы расшифрование было гомоморфизмом шифртекстов на кольцо вычетов [1].
1 Работа выполнена при финансовой поддержке программы «Гранты ИБ МТУСИ» на 2022 г., проект JVM9/21-K по договору 40469-49/2021-к.
Интересным направлением в этой области является построение гомоморфных криптосистем, стойкость которых опирается на задачу факторизации чисел |2|, Предложено несколько таких криптосистем, в которых множеством открытых текстов является Zn, оде n — труднофакторизуемое число (RSA-модуль), Многие из упомянутых криптосистем оказались нестойки к атаке с известными открытыми текстами, в связи с чем возник вопрос: может ли какая-то из этих криптосистем, тем не менее, быть стойкой к атаке только но шифртекстам (англ, COA) и в каком случае? Или, другими словами, эквивалентна ли атака но шифртекстам атаке с известными открытыми текстами дня упомянутых криптосистем? В случае отрицательного ответа на этот вопрос достаточно одного примера криптосистемы такого тина, дня которой эти атаки не эквивалентны |3|.
В работе |4| представлена симметричная алгебраически гомоморфная криптосистема, которую будем называть DF96, Стойкость этой криптосистемы проанашзирована дня случая атаки с известными открытыми текстами |5, 6|, однако анализа её стойкости против атаки только но шифртекстам проведено не было.
1. Описание криптосистемы DF96
Будем обозначать как s S случайный выбор элемента s из множества S по равномерному распределению. Пусть n = pq, оде p и q — простые числа, p < q. Пространство открытых текстов криптосистемы DF96 — Zn, пространство шифртекстов — Zp[x] х Zq[x], а пространство ключей К — Z* х Z*. Алгоритмы генерации ключей, шифрования и расшифрования приведены па рис. 1.
cryptDF96.rf(ra, (rp, rq))_
Для всех г = 2,.... d — 1
щ -е- Ln
a\ = (m — ai) (mofl n) a(x) = (id ■ xd + ... + O! ■ x <E Zn[x] тг(х) = [a(rp ■ x)] (mod p) p(x) = [a(rq ■ x)] (mod q) Вернуть (7г(х),р(х))
PecryptDF96¿((7г(х),/j(x)). (rp,rq))_
1: ap(x) = nir-1 -x)
2: a, (a;) = p(r~l ■ x)
3: mp = [ap(l)] (mod p)
4: mq = [a?(l)] (mod q)
5: Вернуть mpq(q~1 (mod p)) + mqp(p~1 (mod q))
Рис. 1. Алгоритмы криптосистемы ЭР9б Сложение и умножение шифртекстов осуществляются покоординатно:
Со = С1 о С2 = (П1 о П2,Р1 О р2).
При умножении размер шифртекстов растет экспоненциально.
2. Основные результаты
Определение 1 (задача СОАоге^^,..., сг)), Пусть противник А владеет шифр-текстами в\ = (п1(х),р1 (ж)),... ,сг = (пг(ж), рг(ж)) криптосистемы ЭР96, созданными на ключе (гр, гд) при параметре Задача СОАорэм(сь ..., сг) состоит в том, чтобы раскрыть р, (гр, гд),
Лемма 1. Для любого f (ж) € Ъп[ж] существует некоторый шифртекет криптосистемы ЭР96, такой, что f (ж) является первой (или второй) координатой этого шифр-текста.
Доказательство. Для заданного f (ж) выберем случайный гр € Ъ*п. Считаем, что гр — первая координата ключа криптосистемы ЭР96, шифрующая т € Ъп, который по модулю р равен f (г-1). При зашифровании коэффициенты полинома приводятся по модулю р, однако при проведении гомоморфных операций приведение по р не происходит, от чего шифртекет не перестаёт быть корректным (т, е, коэффициенты полинома
р
шифртекета). Аналогично для гд € Ъ*п- ■
Теорема 1. Если существует алгоритм А, решающий задач у СОАор9б,^(с1,..., сг) за р (р ^ и) операций с шифртекетами ЭР96 и с вероятноетыо е, то существует алгоритм В, который, имея открытый доступ к А, находит сомножитель и за р операций
е
Доказательство. Рассмотрим алгоритм 1 (алгоритм В факторизации и).
Алгоритм 1. B(n,d,/)
Для всех i = 1,..., /:
Для всех j = 1,..., d — 1:
Yj <— Zn; 5j <— Zn.
Yd Zn\{0} 5d Zn\{0};
п»(ж) := YdXd + ... + YiX Pi(x) := SdXd + ... + ¿ix, (p (г^ гд-1)) := A((ni(x),Pi(ж)),... , (nl(x),Pl(x))). Вернуть p, n/p.
Если А с преимуществом е за р операций находит секретный ключ ЭР96, то В раскрывает факторизацию и за р операций с преимуществом е. ■
А
дачи СОАор9м(сь ..., сг), Через Еез(д(ж), f (ж)) обозначен результант полиномов f (ж) и #(ж).
Предположим, что алгоритм 2 делает т внешних итераций (строки 2-13), так что |£| = I + т. Тогда общее число операций с шифртекстами р ^ т(/ + т)(/ + т — 1)2/2, Когда строится алгоритм факторизации, он должен иметь возможность генериро-
и
раепределению п1(ж),..., пг(ж) и р1(ж),..., рг(ж), мы можем рассматривать их как первые и вторые координаты шифртекетов ОР96, При этом распределение ф па множестве
открытых текстов будет равномерным (сводимость от СОАор9б,^(с1,..., сг) к задаче
ф
Отметим, что обратная сводимость не имеет места, В самом деле, пусть атакующий знает разложение числа и, то те знает (гр,гд), Тогда, подставляя любые значения из
Алгоритм 2. A((ni(x), pi(x)),..., (пг(x), рг(х)))
L := ni(x),... , пг(я). Пока true
i {1,..., |L|}; j {1,..., |L|}; {+,-, •};
Y(ж) := ^¿(x) о nj(x); L := L U {7(x)}. Для всех i, j G {1,..., |L|}: Для всех k, t G {1,..., |L|}:
5 НОД(Еез(п(x) — n?(x),nk(x) — nt(x)),n).
Если (1 < 5 < n) Л (5 mod n = 0), то p = 5;
r-1 = HOД((ll(x) — nj(x)) mod p, (nfc(x) — nt(x)) mod p); q = n/p;
r-1 = HC^((pj(x) — pj (x)) mod q, (pfc (x) — pt(x)) mod q).
q
Вернуть p, (r-1,r-1).
Z* и Z* вместо rp и rq соответственно, на шагах 1 и 2 алгоритма DecryptDF96,d атакующий может получать на выходе некоторый открытый текст, и у него нет критерия, чтобы отделить правильный вариант rp и rq от неправильного в случае равномерного распределения открытых текстов.
Если распределение открытых текстов отлично от равномерного и количество шифртекстов достаточно для надёжного различения этих распределений, то это может служить критерием правильности угадывания rp и rq, Но в этом случае средняя сложность атаки алгоритмом 2 снижается за счёт повышения вероятности появления шифртекстов ci и Cj, таких, что DecryptDF96d(ci, (rp,rq)) = DecryptDF96 d(cj, (rp,rq)), Таким образом, знание разложения n не исключает перебора попарных разностей и подсчёта их наибольшего общего делителя.
Заключение
Показана сводимость атаки на криптосистему DF96 только по шифртекетам к за-
n
ки зрения выяснения эквивалентности атак только по шифртекетам и с известными открытыми текстами на гомоморфные криптосистемы, множество открытых текстов которых — это Zn, а именно: эти атаки не эквивалентны для криптосистем такого типа, В общем виде можно сказать, что данный факт исходит из того, что при фиксированном секретном ключе зашифрование действует еюръективно на множестве шифр-текстов, Иными словами, для генерации корректных шифртекстов нет необходимости в знании секретного ключа —любому шифртекету при любом ключе соответствует некоторый открытый текст,
ЛИТЕРАТУРА
1. Gentry С. Fully Homomorphic encryption using ideal lattices // Proc. 41-th ACM Svmp. STOC'09. Bethesda, USA, 2009. P. 169-178.
2. Vaikuntanathan V. Computing blindfolded: New developments in fully homomorphic encryption // Proc. 52nd Ann. Svmp. FOCS. Palm Springs, CA, USA, 2011. P. 5-16.
3. Трегшчева А. В. О соотношениях между атаками на симметричные шифры, гомоморфные над кольцом вычетов // Безопасность информационных технологий. 2017. Т. 24. №2. С.82-91.
4. Doming о-Ferrer J. A new privacy homomorphism and applications / / Inform. Process. Lett. 1996. V. 60. No. 5. P. 277-282.
5. CheonJ.H., KimW.-H., and NamH.S. Known-plaintext crvptanalvsis of the Domingo-Ferrer algebraic privacy homomorphism scheme // Inform. Process. Lett. 2006. V. 97. No.3. P. 118-123.
6. Трепачева А. В. Улучшенная атака по известным открытым текстам на гомоморфную криптосистему Доминго-Феррера. // Труды ИСП РАН. 2014. Т. 26. №5. С. 83-98.
УДК 512.548.7+004.056.55 DOI 10.17223/2226308Х/16/26
ОБ ОДНОМ КВАЗИГРУППОВОМ АЛГОРИТМЕ ШИФРОВАНИЯ,
СОХРАНЯЮЩЕГО ФОРМАТ
К. Д. Царегородцев
Рассматривается возможный подход к построению схем шифрования, сохраняющего формат, на основе квазигрупповых преобразований (левых и правых сдвигов на псевдослучайные элементы). Показано, что в случае функционального задания квазигруппы с помощью правильных семейств дискретных функций над прямым произведением групп обратное к левому (правому) сдвигу преобразование также задаётся правильным семейством.
Ключевые слова: FPE, квазигруппа, правильное семейство.
Шифрование, сохраняющее формат (FPE, Format Preserving Encryption [1], далее FPE-ехема) — алгоритм, позволяющий зашифровывать сообщения из произвольного конечного множества M таким образом, что результат зашифрования также лежит в множестве M, Такой тип алгоритмов довольно востребован на практике, о чём свидетельствует большое количество работ, рассматривающих стойкость таких крипто-примитивов [1-3]. При этом подобные алгоритмы часто подвержены специфическим атакам, связанным, в том числе, и с возможным относительно малым размером области определения [4, 5]. Известны «доказуемо стойкие» алгоритмы как для очень малых (|M| ~ 210), так и для очень больших областей определения (размер которых приближается к размеру области определения стандартных блочных шифров либо превышает их, wide-block encryption), в то время как для «средних» областей определения всё ещё не существует одного предпочтительного подхода. В этой работе мы рассмотрим возможный подход к построению FPE-ехем, основанный на квазигрупповых операциях.
Определение 1. Квазигруппой (Q, о) называется множество Q с заданной на нём бинарной операцией о со следующим свойством: для любых а, b уравнения а о x = b, x о а = b однозначно разрешимы (относительно x),
Другими словами, операции левого (x ^ La(x) = аох) и правого (x ^ Ra(x) = хоа)
Q
Основанные на квазигрупповых преобразованиях алгоритмы интенсивно изучались [6-9], некоторые из них предлагались в качестве кандидатов на международную стандартизацию (например, [10]). В работе [11] предложен следующий подход. Преобразуем элемент m е M, где (M, о) — некоторая квазигруппа, в элемент c е M следующим образом:
m ^ c = Lfcb...)fc£(m) = ki о (k^ о (... (ki о m)...)), (1)
m
пы M переводится в элемент c, В [11] предложены также варианты схемы, в которых