CC BY
18
МАТЕМАТИКА
Вестн. Ом. ун-та. 2012. № 2. С. 53-56. УДК 512.62
С.Ю. Ерофеев, В.А. Романьков
О ВОЗМОЖНОСТИ ПОСТРОЕНИЯ ОДНОСТОРОННИХ ФУНКЦИЙ НА ОСНОВБ НЕРАЗРЕШИМОСТИ ПРОБЛЕМЫ ЭНДОМОРФНОЙ СВОДИМОСТИ В ГРУППАХ
Рассматривается схема построения возможной односторонней функции в группе с неразрешимой проблемой эндоморфной сводимости. Анализируются предпосылки криптографической стойкости данной схемы. В качестве приложения предлагается схема аутентификации. Отмечается, что для ее криптостойкости требуется неразрешимость более сильной проблемы двукратной эндоморфной сводимости.
Ключевые слова', односторонняя функция, эндоморфная сводимость, Диофантова проблема, протокол аутентификации.
Введение
Односторонние (в другой терминологии - однонаправленные) функции являются неотъемлемой частью криптографических схем и протоколов. Теоретически их существование при формальном определении до сих пор не установлено. В то же время односторонние функции являются основным инструментом во многих разделах и приложениях криптографии, в частности в электронных подписях, протоколах аутентификации, алгоритмах генерации псевдослучайных последовательностей и т. п. Конечно, используемые с указанной целью функции можно назвать только возможно односторонними.
Формально односторонней называется функция, эффективно вычислимая за полиномиальное время на детерминированной машине Тьюринга, для которой не существует вероятностной машины Тьюринга, вычисляющей за полиномиальное время обратную к этой функции (точнее, вычисляющей по значениям функции хотя бы один из соответствующих аргументов) с более чем экспоненциально малой вероятностью.
Известными кандидатами на роль односторонних являются следующие функции.
Степенная функция
/ : X ь^ xe(moàn), (1)
определенная на кольце Zn вычетов по модулю п,, где п = pq - произведение больших различных (секретных) простых чисел, Нод(<г,<р(/7)) = 1 для функции Эйлера (p{n) = {p-\){q-\).
Функция (1) используется в качестве функции шифрования в системе RSA или в качестве цифровой подписи на основе RSA. Эта функция фигурирует также в ряде других схем, базирующихся на сложности задачи разложения чисел на множители.
Показательная функция
g:x»gx, (2)
определенная на кольце целых чисел Z со значениями в конечном поле F, где g - порождающий элемент мультипликативной (циклической)
группы Fq . Криптостойкость ее основана на трудности вычисления дискретного логарифма в конечных полях. Функция (2) используется, напри-
© С.Ю. Ерофеев, В.А. Романьков, 2012
мер, в системе шифрования Эль Гамаля, известных протоколах Диффи Хеллмана, Масси-Омуры, базовом протоколе цифровой подписи Эль Гамаля и других схемах (см. об этом: [1; 2]).
Относительно общей теории односторонних функций смотреть монографии [3-5]. В работах А.А. Левина [6; 7] приведена универсальная функция, которая автоматически является односторонней, если существует хотя бы одна формально односторонняя функция. Такие функции названы полными односторонними функциями. Для их построения А.А. Левин использовал нумерацию всех машин Тьюринга [б] и комбинаторный тайлинг [7].
В работе [8] приведены другие примеры полных односторонних функций. В ней предлагается новый кандидат на роль односторонней функции. В качестве платформы для нее рассматривается бесконечная группа с неразрешимой проблемой эндоморфной сводимости. Конкретное предложение - свободная метабелева группа достаточно большого ранга. Теоретическая база в данном случае дана в работе [9], где доказана соответствующая неразрешимость. В.А. Романьков в работах [9; 10] ввел в рассмотрение интерпретацию диофантовых уравнений в свободных нильпотентных группах ступени > 9 и свободных метабелевых группах достаточно большого ранга, позволяющую перенести алгоритмическую неразрешимость Диофантовой проблемы, установленную Ю.В. Матиясевичем [11], на алгоритмическую неразрешимость проблемы эндоморфной сводимости в рассматриваемых группах.
1. Диофантова проблема
Будем говорить, что в эффективно заданной группе С разрешима проблема эндоморфной сводимости, если существует алгоритм, решающий для любой пары элементов /, g группы С, является ли / образом элемента g для какого-либо эндоморфизма (р е ЕпсЮ или нет. Легко показать, что проблема эндоморфной сводимости разрешима для любой конечно порожденной абелевой группы.
Из разрешимости уравнений в свободной группе Р, доказанной Г.С. Маканиным [13], следует разрешимость проблемы эндоморфной сводимости в группе Р. В то же время найдены достаточно просто задаваемые группы, в которых проблема эндоморфной сводимости оказалась неразрешимой. Среди них свободные метабелевы группы достаточно большого ранга. Перейдем к описанию этого результата работы [9].
Диофантовым называется многочлен Р(х,,...,Хп) с целыми коэффициентами от коммутирующих переменных Х1,... ,Хп .
Уравнение вида
Р(хи...,хп) = 0 (3)
называется диофантовым. Ю.В. Матиясе-вич в работе [11] (полное доказательство в работе [12]) установил неразрешимость Диофантовой проблемы - 10-й проблемы Гильберта, тем самым завершив усилия ряда математиков, в частности Д. Робинсон, М. Дэвиса и X. Патнэма. Он доказал, что не существует алгоритма, определяющего по произвольному диофантову уравнению (3), обладает ли оно решением в целых числах. Данный результат часто называют неразрешимостью Диофантовой проблемы. Более того, Ю.В. Матиясевич заметил, что существует фиксированный диофантов многочлен Р(х1 ,...,Хп) такой, что алгоритмически не разрешима проблема существования решений в целых числах в классе диофантовых уравнений вида
Р(х1,...,хп) = а, (4)
где а - произвольное целое число.
В работе [14] неразрешимость Диофантовой проблемы установлена для класса уравнений от 13 переменных, в докладе Ю.В. Матиясевича [15] было объявлено, что количество переменных может быть уменьшено до 9. Эта оценка была изложена со всеми деталями в работе [16].
2. Общая схема построения односторонних функций на основе неразрешимости проблемы эндоморфной сводимости
Пусть С - эффективно заданная группа, в которой разрешима проблема равенства и не разрешима проблема эндоморфной сводимости. Допустим, что нам необходимо построить на группе С одностороннюю функцию со значением также в С . Как правило, эффективно заданные группы конечно порождены, поэтому мы предполагаем, что в С существует конечное порождающее множество В = {Ь1,...,Ьп} . Произвольный элемент g группы С записывается как групповое слово g = g{bl,...,bn) от фиксированных порождающих элементов. Каждый эндоморфизм (р'.С^С однозначно определяется своими значениями на элементах порождающего множества В. Если (р{Ь1) = И< для / = 1 ,...,п, то значением
элемента ё = будет элемент
(p(g) = g(h1,.. . Однако не любое отображение (р\ В —> С продолжается до эндоморфизма в общем случае, поэтому представляется перспективным выбирать в качестве группы С свободную группу конечного ранга некоторого многообразия групп. Тогда любое отображение (р : В —> С , где В
О возможности построения односторонних функций..
55
- базис группы С (т. е. множество свободных порождающих группы С ), однозначно определяет эндоморфизм (р'.С^С.
Пусть задан класс К диофантовых уравнений (3) от ограниченного числа переменных Хх,...,Хп , для которого неразрешима Диофантова проблема. Рассмотрим свободную метабелеву группу Мп с базисом
В = В работе [9] представлена
эффективная процедура, сопоставляющая произвольному уравнению (3) и классу К пары элементов g, / группы Мп такие, что / является эндоморфным образом элемента g тогда и только тогда, когда соответствующее уравнение (3) разрешимо в целых числах. Отсюда следует неразрешимость проблемы эндоморфной сводимости в группе Мп. Более того, если выбрать в качестве класса К множество диофантовых уравнений КР вида (4), то элемент g = g{bl,...,br¡) можно зафиксировать. Элемент / = /(Ь1,...,Ьп) будет, в свою очередь,
выбираться как степень И" другого фиксированного элемента И = И(Ь1,...,ЬП) группы С , где а - целое число из правой части вида (4). Элемент / = Иа будет эндоморфным образом элемента g в группе С тогда и только тогда, когда уравнение (4) разрешимо в целых числах.
Отсюда можно вывести следующее общее заключение. Если бы длины значений <р(Ь{) = И. для 1 = 1,..., П , соответствующие эндоморфизму (р, переводящему g в /, можно было оценить сверху полиномиальными функциями от а , то проблема эндоморфной сводимости g к / в группе Мп была бы разрешимой. Поскольку это не так, подобной оценки не существует. Это приводит к невозможности переборного решения проблемы.
В работе [9] также замечено, что если элемент g переводится эндоморфизмом (р
в элемент / = /?", то тогда существует эндоморфизм у/ группы Мп , фиксирующий порождающие Ь], Ъ2 и такой, что
<//(6 ) = V С/ = 3,•••,«), гДе (<*!,■■;а„) ~ Целочисленное решение соответствующего диофантова уравнения (4). Любой эндоморфизм такого вида переводит элемент g в
элемент вида /?с, где С - целое число. Отсюда следует, что мы можем определить функцию
V '■ 2 (5)
сопоставляющую набору (а3,...,ап) число а . Эту функцию можно рассматривать как возможно одностороннюю.
3. Протокол аутентификации
Впервые идея использования рассматриваемой схемы для построения протокола аутентификации на платформе группы с разрешимой проблемой равенства и неразрешимой проблемой эндоморфной сводимости была высказана В.А. Романьковым в докладе на семинаре в Graduate Center City University of New York в 2007 г. Впоследствии идея была описана в статье Д. Григорьева и В. Шпильрайна [17], которые опирались на результаты В.А. Романькова из работ [9; 10]. В общих чертах протокол выглядит следующим образом.
Установка. Выбирается бесконечная эффективно заданная группа G с разрешимой проблемой равенства и неразрешимой проблемой эндоморфной сводимости. Абонент А фиксирует публичный элемент g и секретный эндоморфизм (р, вычисляет и публикует образ / = (p(g) . Элементы g и f выбираются таким образом, чтобы проблема эндоморфной сводимости для пары (g,f) была трудна. Это означает, что по / трудно вычислить эндоморфизм, переводящий g в /.
Алгоритм аутентификации.
1. В качестве сессионного ключа выбирается эндоморфизм (в работе [17] автоморфизм) у/, вычисляется элемент V = !//(/) и передается в систему С, в которой осуществляется аутентификация пользователя А.
2. Система С с равной вероятностью выбирает случайный бит и отсылает его А.
3. Если А получает 0, то он просто публикует у/ , а С проверяет, что действительно
V - образ / относительно у/. Если А получает 1 , то он вычисляет композицию X = (ру/, передает ее С, который проверяет
справедливость равенства V = %(g) .
Схема выглядит как протокол аутентификации с нулевым разглашением, аналогичный известному протоколу Фиата-Шамира (см., напр.: [1] или [2]). Однако для ее криптостойкости необходимо выполнение ряда дополнительных условий. Во-первых, необходимо, чтобы существовал фигурирующий в протоколе элемент g, проблема вхождения в множество эндоморфных образов которого была алгоритмически неразрешимой. Как объяснялось выше, это возможно, если в качестве группы G выбрать свободную метабелеву группу Мп достаточно большого ранга п. В этом случае элемент / можно брать случайным образом из цик-
лической подгруппы гр(И), полагая f = h" в соответствии с уравнением (4). Но далее аналогичные условия должны быть выполнены для пары элементов f, V. Результаты работы [9] уже не позволяют считать, что проблема вхождения в множество эндо-морфных образов элемента f алгоритмически не разрешима. Но даже если бы это было так, приведенных условий все равно оказалось бы недостаточно.
Для разрешения этой ситуации в работе [18] вводится определение группы с неразрешимой двукратной проблемой эндоморф-ной сводимости. Доказывается, что в свободной метабелевой группе Мп достаточно большого ранга можно выбрать элемент g, циклическую подгруппу sp{h) и конечно порожденную абелеву группу А таким образом, что для любой пары элементов (g,f) , где / е гр(И), и любой пары элементов (/, v) , где V е А, одновременно алгоритмически не разрешимы проблемы эндоморфной сводимости. Более того, знание эндоморфизма % такого, что zis) = v не позволяет эффективно находить ни эндоморфизм (р такой, что <p(g) =./, ни эндоморфизм I// такой, что l/s(f) = V. Наоборот, знание эндоморфизма у/ такого, что !//(/) = V не позволяет восстановить ни у/, ни Легко видеть, что эти условия являются необходимыми в обеспечении криптостойкости приведенного алгоритма.
Соответствующие построения проведены в работе [18] эффективно. Они основываются на упомянутых выше результатах Ю.В. Матиясевича.
ЛИТЕРАТУРА
[1] Menezes A. J., van Oorschot Р. С., Vanstone S. A.
Handbook of Applied Cryptography. CRC Press,
1996. 816 p.
[2] Романьков В. А. Введение в криптографию :
курс лекций. М. : Форум, 2012. 240 с.
[3] Goldreich О. Introduction to Complexity Theory. Lecture Notes. Weizmann Institute of Science, 1998-1999.
[4] Goldwasser S, Bellare M. Lecture Notes on Cryptography. Summer course on cryptography. MIT, 1996-2001.
[5] Sipser M. Introduction to the theory of computation. PWS Publishing, 1997. 416 p.
[6] Levin L. A. One-way Functions and Pseudorandom Generators // Combinatorica. 1987. Vol. 7. № 4. P. 357-363.
[7] Левин Л. А. Односторонние функции // Проблемы передачи информации. 2003. Т. 39. № 1. С. 103-117.
[8] Кожевников А. А., Николенко С. И. О полных односторонних функциях // Проблемы передачи информации. 2009. Т. 45. № 2. С. 101-118.
[9] Романьков В. А. Об уравнениях в свободных метабелевых группах // Сиб. матем. журн. 1979. Т. 20. № 3. С. 671-673.
[10] Романьков В. А. О неразрешимости проблемы эндоморфной сводимости в свободных ниль-потентных группах и в свободных кольцах // Алгебра и логика. 1977. Т. 16. № 4. С. 457-471.
[11] Матиясевич Ю. В. Диофантовость перечислимых множеств // Докл АН СССР. 1970. Т. 191. № 2. С. 279-282.
[12] Матиясевич Ю. В. Диофантово представление перечислимых предикатов // Изв. АН СССР. Сер. матем. 1971. № 35. С. 3-30.
[13] Маканин Г. С. Уравнения в свободной группе // Изв. АН СССР. Сер. матем. 1982. Т. 46. № 6. С. 1199-1273.
[14] Matijasevich Y. V., Robinson J. Reduction of an arbitrary diophantine equation to one in 13 unknowns // Acta Arithmetica. 1975. Vol. 27. P. 521-553.
[15] Matijasevich Y. V. Some purely mathematical results inspired by mathematical logic // Proc. Fifth Intern. Congr. Logic, Methodology and Phi-los. of Sci. (London, Ont.). Dordrecht, Reidel, Holland, 1977. P. 121-127.
[16] Jones J. Universal diophantine equation // J. Symbolic Logic. 1982. Vol. 47. 3. P. 549-571.
[17] Grigoriev D., Shpiirain V. Zero-knowledge authentication schemes from actions on graphs, groups or rings // Ann. Pure Appl. Logic. 2010. Vol. 162. P. 194-200.
[18] Myasnikov A., Roman'kov V. A. Selected questions in cryptography// Groups. Complexity. Cryp-tology. 2012.
