ОБ ОДНОМ КВАЗИГРУППОВОМ АЛГОРИТМЕ ШИФРОВАНИЯ, СОХРАНЯЮЩЕГО ФОРМАТ Текст научной статьи по специальности «Математика»

4. Doming о-Ferrer J. A new privacy homomorphism and applications / / Inform. Process. Lett. 1996. V. 60. No. 5. P. 277-282.

5. CheonJ.H., KimW.-H., and NamH.S. Known-plaintext crvptanalvsis of the Domingo-Ferrer algebraic privacy homomorphism scheme // Inform. Process. Lett. 2006. V. 97. No.3. P. 118-123.

6. Трепачева А. В. Улучшенная атака по известным открытым текстам на гомоморфную криптосистему Доминго-Феррера. // Труды ИСП РАН. 2014. Т. 26. №5. С. 83-98.

УДК 512.548.7+004.056.55 DOI 10.17223/2226308Х/16/26

ОБ ОДНОМ КВАЗИГРУППОВОМ АЛГОРИТМЕ ШИФРОВАНИЯ,

СОХРАНЯЮЩЕГО ФОРМАТ

К. Д. Царегородцев

Рассматривается возможный подход к построению схем шифрования, сохраняющего формат, на основе квазигрупповых преобразований (левых и правых сдвигов на псевдослучайные элементы). Показано, что в случае функционального задания квазигруппы с помощью правильных семейств дискретных функций над прямым произведением групп обратное к левому (правому) сдвигу преобразование также задаётся правильным семейством.

Ключевые слова: FPE, квазигруппа, правильное семейство.

Шифрование, сохраняющее формат (FPE, Format Preserving Encryption [1], далее FPE-ехема) — алгоритм, позволяющий зашифровывать сообщения из произвольного конечного множества M таким образом, что результат зашифрования также лежит в множестве M, Такой тип алгоритмов довольно востребован на практике, о чём свидетельствует большое количество работ, рассматривающих стойкость таких крипто-примитивов [1-3]. При этом подобные алгоритмы часто подвержены специфическим атакам, связанным, в том числе, и с возможным относительно малым размером области определения [4, 5]. Известны «доказуемо стойкие» алгоритмы как для очень малых (|M| « 210), так и для очень больших областей определения (размер которых приближается к размеру области определения стандартных блочных шифров либо превышает их, wide-block encryption), в то время как для «средних» областей определения всё ещё не существует одного предпочтительного подхода. В этой работе мы рассмотрим возможный подход к построению FPE-ехем, основанный на квазигрупповых операциях.

Определение 1. Квазигруппой (Q, о) называется множество Q с заданной на нём бинарной операцией о со следующим свойством: для любых а, b уравнения а о x = b, x о а = b однозначно разрешимы (относительно x),

Другими словами, операции левого (x ^ La(x) = аох) и правого (x ^ Ra(x) = хоа)

Q

Основанные на квазигрупповых преобразованиях алгоритмы интенсивно изучались [6-9], некоторые из них предлагались в качестве кандидатов на международную стандартизацию (например, [10]). В работе [11] предложен следующий подход. Преобразуем элемент m е M, где (M, о) — некоторая квазигруппа, в элемент c G M следующим образом:

m ^ c = Lfcb...)fc£(m) = ki о (k2 о (... (k£ о m)...)), (1)

m

Mc

Математические методы криптографии

103

псевдослучайным образом в зависимости от параметров алгоритма производятся левые и правые сдвиги. Относительно приведённой FPE-ехемы можно задать следующие вопросы:

— насколько ¿-преобразование «похоже» та случайную подстановку на M?

— как устроено обращение операции m ^ ¿k1,...,kl (m) (далее для краткости будем говорить «¿-преобразование»)?

Частичный ответ на первый вопрос был дан ранее, ¿-преобразования рассматривались, в частности, в работах [7, 9, 12], Так, в работе [12] среди прочего показано, что для любой квазигрупповой операции о при случайном независимом выборе элементов ki € M (при условии, что носитель распределения ki достаточно большой) распределение элемента c экспоненциально быстро сходится к равновероятному распределению па множестве M, При этом результаты работы [12] неприменимы к ситуации,

m

ki

ций (на основе мастер-ключа и настройки (tweak)) стойкость полученной FPE-ехемы

в стандартной модели TPRP [13] может быть оценена через стойкость используемой

¿

где противнику даётся либо случайная подстановка п € SM, либо ¿-преобразование ¿fci,...,fc£ для случайно выбранных ki € M, и его задачей является различение этих двух ситуаций, В той же работе указано, что стойкость полученной схемы сильно зависит от структуры квазигруппы и её свойств,

В настоящей работе рассмотрим ограниченный класс квазигрупп, порождённых «правильными семействами» дискретных функций [14],

Определение 2. Отображение F: Mn ^ Mn будем называть правильным семейством (размера и), если для любых двух неравных наборов x,y € Mn найдётся такой индекс г, что xi = yi; но Fi(жь ..., xn) = Fi(y1,..., yn).

Пусть F, G — два правильных семейства размера и над прямым произведением Hn групп (H, +), Тогда операция пр(x), определённая как

пр = (xi + Fi(xi,... ,Xn),... ,Xn + Fn(xi, . . . ,Xn)) ,

Hn

смотреть следующую операцию умножения о на Hn х Hn:

(x,y) ^ x ◦ y = пр(x)+ nG(y) j (2)

где + понимается как покомпонентное сложение в группе H,

Hn

подстановку п-1, Можно показать, что существует правильное семейство G = F, такое, что п-1 = nG (такое семейство можно назвать «дуальным», поскольку дважды применённая операция F ^ F оставляет исходное семейство па месте),

F Hn FF

данное как

F(x) = (-x)+ п-1 (x), пр(x) = x + F(x), x € Hn, (3)

Hn

F FF

ем (3), и операция о задается формулой (2), то операция x о y обращается справа

следующим образом:

x = пр ((x ◦ y) - пс(У)) .

Аналогичным образом операция x о y может быть обращена слева с использованием G GF

Из теоремы 1 вытекает, что как ¿-преобразование, так и обратное к нему ¿-1 могут

быть заданы с помощью правильных семейств дискретных функций. Это позволяет

перейти от табличного задания квазигруппы к функциональному [14].

ЛИТЕРАТУРА

1. Bellare М., Ristenpart Т., Rogaway P., and Stegers Т. Format-preserving encryption // LNCS. 2009. V. 5867. P. 295-312.

2. Lee J.-K., Koo В., RohD., et al. Format-preserving encryption algorithms using families of tweakable blockciphers 11 LNCS. 2014. V.8949. P. 132-159.

3. Dworkin M. Recommendation for Block Cipher Modes of Operation: Methods for Format-Preserving Encryption. NIST Special Publication 800-38G. 2016.

4. Hoang V. Т., Tessaro S., and Trieu N. The curse of small domains: New attacks on format-preserving encryption // LNCS. 2018. V. 10991. P. 221-251.

5. Anion O., DunkelmanO., Keller N., et al. Three third generation attacks on the format preserving encryption scheme FF3 // LNCS. 2021. V. 12697. P. 127-154.

6. Марков В. Т., Михалёв А. В., Нечаев А. А. Неассоциативные алгебраические структуры в криптографии и кодировании // Фундамент, и прикл. матем. 2016. Т. 21. №4. С. 99-124.

7. Markovski S. and Bakeva V. Quasigroup string processing: Part 4 // Contributions. Sec. Natural Math. Biotechn. Sci. 2006. V. 27. No. 1-2. http://csnmbs.manu.edu.mk/index.php/ csnmbs/article/view/5.

8. Shcherbacov V. Elements of Quasigroup Theory and Applications. N.Y.: Chapman and Hall/CRC, 2017. 598 p.

9. Артамонов В. А. Квазигруппы и их приложения // Чебышевский сборник. 2018. Т. 19. №2. С. 111-122.

10. Gligoroski D., 0degard R. S., Mihova M., et al. Cryptographic hash function Edon-R'. Proc. 1st Intern. Workshop on Security and Communication Networks. Trondheim, Norway, 2009. P. 1-9.

11. Tsaregorodtsev K. Format-preserving encryption: a survey // Математические вопросы криптографии. 2022. Т. 13. №2. С. 133-153.

12. Яшунский А. Д. О скорости сходимости квазигрупповых сверток вероятностных распределений // Дискретная математика. 2022. Т. 34. №3. С. 160-171.

13. Liskov М., RivestR., and Wagner D. Tweakable block ciphers //J. Crvptologv. 2011. V. 24. No. 3. P. 588-613.

14. Носов В. А., Панкратьев A. E. О функциональном задании латинских квадратов // Интеллектуальные системы. Теория и приложения. 2008. Т. 12. №1-4. С. 317-332.