Научная статья на тему 'ОБ ОДНОМ КВАЗИГРУППОВОМ АЛГОРИТМЕ ШИФРОВАНИЯ, СОХРАНЯЮЩЕГО ФОРМАТ'

ОБ ОДНОМ КВАЗИГРУППОВОМ АЛГОРИТМЕ ШИФРОВАНИЯ, СОХРАНЯЮЩЕГО ФОРМАТ Текст научной статьи по специальности «Математика»

CC BY
19
7
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
FPE / квазигруппа / правильное семейство / FPE / quasigroup / proper family

Аннотация научной статьи по математике, автор научной работы — Царегородцев Кирилл Денисович

Рассматривается возможный подход к построению схем шифрования, сохраняющего формат, на основе квазигрупповых преобразований (левых и правых сдвигов на псевдослучайные элементы). Показано, что в случае функционального задания квазигруппы с помощью правильных семейств дискретных функций над прямым произведением групп обратное к левому (правому) сдвигу преобразование также задаётся правильным семейством.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ON THE SECURITY OF DOMINGO-FERRER’S HOMOMORPHIC CRYPTOSYSTEM AGAINST CIPHERTEXT-ONLY ATTACK

One of the possible approaches to the construction of “medium-sized” format preserving encryption (FPE) schemes is analyzed, which can be described as follows. Let us assume that there is a quasigroup (M, ◦), where M is a “medium-sized” set (i.e., |M| = 215 and above), and we want to construct a tweakable encryption scheme Eτ k : M → M. Then with the help of k and τ one can generate (using some pseudorandom function) a series of pseudorandom elements ki ∈ M. To encrypt m ∈ M, one then applies a series of left shifts, i.e., c ← k1 ◦ (. . . (kℓ ◦ m) . . .) ∈ M. The security of this method depends on the security of a pseudorandom function and the security of distinguishing a series of left shifts from the random permutation on M. We show that if one uses functional representation of a quasigroup operation using the proper families of discrete functions over the product of Abelian groups Hⁿ, then left (right) shift, as well as its inverse, can be specified using proper families representation of an operation. A family of functions F : Mⁿ → Mⁿ is called proper iff for any x, y ∈ Mn there exists i such that xi ≠ yi, but Fi(x1, . . . , xn) = Fi(y1, . . . , yn). If M = Hⁿ, where (H, +) is a group, then one can define the following map: πF = (x1 + F1(x1, . . . , xn), . . . , xn + Fn(x1, . . . , xn)), which is a permutation in case of a proper family F. Then we can define a quasigroup operation x ◦ y = πF (x) + πG(y), where F and G are two proper families. The following theorem is proven: if F is a proper family over Hⁿ, then the family F(x) = (−x) + π−1 F (x), where πF (x) = x+F(x), x ∈ Hⁿ, is also proper. This theorem allows us to invert the ◦ operation using the functional representation: x = πe F ((x ◦ y) − πG(y)). FPE, quasigroup, proper family

Текст научной работы на тему «ОБ ОДНОМ КВАЗИГРУППОВОМ АЛГОРИТМЕ ШИФРОВАНИЯ, СОХРАНЯЮЩЕГО ФОРМАТ»

4. Doming о-Ferrer J. A new privacy homomorphism and applications / / Inform. Process. Lett. 1996. V. 60. No. 5. P. 277-282.

5. CheonJ.H., KimW.-H., and NamH.S. Known-plaintext crvptanalvsis of the Domingo-Ferrer algebraic privacy homomorphism scheme // Inform. Process. Lett. 2006. V. 97. No.3. P. 118-123.

6. Трепачева А. В. Улучшенная атака по известным открытым текстам на гомоморфную криптосистему Доминго-Феррера. // Труды ИСП РАН. 2014. Т. 26. №5. С. 83-98.

УДК 512.548.7+004.056.55 DOI 10.17223/2226308Х/16/26

ОБ ОДНОМ КВАЗИГРУППОВОМ АЛГОРИТМЕ ШИФРОВАНИЯ,

СОХРАНЯЮЩЕГО ФОРМАТ

К. Д. Царегородцев

Рассматривается возможный подход к построению схем шифрования, сохраняющего формат, на основе квазигрупповых преобразований (левых и правых сдвигов на псевдослучайные элементы). Показано, что в случае функционального задания квазигруппы с помощью правильных семейств дискретных функций над прямым произведением групп обратное к левому (правому) сдвигу преобразование также задаётся правильным семейством.

Ключевые слова: FPE, квазигруппа, правильное семейство.

Шифрование, сохраняющее формат (FPE, Format Preserving Encryption [1], далее FPE-ехема) — алгоритм, позволяющий зашифровывать сообщения из произвольного конечного множества M таким образом, что результат зашифрования также лежит в множестве M, Такой тип алгоритмов довольно востребован на практике, о чём свидетельствует большое количество работ, рассматривающих стойкость таких крипто-примитивов [1-3]. При этом подобные алгоритмы часто подвержены специфическим атакам, связанным, в том числе, и с возможным относительно малым размером области определения [4, 5]. Известны «доказуемо стойкие» алгоритмы как для очень малых (|M| « 210), так и для очень больших областей определения (размер которых приближается к размеру области определения стандартных блочных шифров либо превышает их, wide-block encryption), в то время как для «средних» областей определения всё ещё не существует одного предпочтительного подхода. В этой работе мы рассмотрим возможный подход к построению FPE-ехем, основанный на квазигрупповых операциях.

Определение 1. Квазигруппой (Q, о) называется множество Q с заданной на нём бинарной операцией о со следующим свойством: для любых а, b уравнения а о x = b, x о а = b однозначно разрешимы (относительно x),

Другими словами, операции левого (x ^ La(x) = аох) и правого (x ^ Ra(x) = хоа)

Q

Основанные на квазигрупповых преобразованиях алгоритмы интенсивно изучались [6-9], некоторые из них предлагались в качестве кандидатов на международную стандартизацию (например, [10]). В работе [11] предложен следующий подход. Преобразуем элемент m е M, где (M, о) — некоторая квазигруппа, в элемент c G M следующим образом:

m ^ c = Lfcb...)fc£(m) = ki о (k2 о (... (k£ о m)...)), (1)

m

Mc

Математические методы криптографии

103

псевдослучайным образом в зависимости от параметров алгоритма производятся левые и правые сдвиги. Относительно приведённой FPE-ехемы можно задать следующие вопросы:

— насколько ¿-преобразование «похоже» та случайную подстановку на M?

— как устроено обращение операции m ^ ¿k1,...,kl (m) (далее для краткости будем говорить «¿-преобразование»)?

Частичный ответ на первый вопрос был дан ранее, ¿-преобразования рассматривались, в частности, в работах [7, 9, 12], Так, в работе [12] среди прочего показано, что для любой квазигрупповой операции о при случайном независимом выборе элементов ki € M (при условии, что носитель распределения ki достаточно большой) распределение элемента c экспоненциально быстро сходится к равновероятному распределению па множестве M, При этом результаты работы [12] неприменимы к ситуации,

m

ki

ций (на основе мастер-ключа и настройки (tweak)) стойкость полученной FPE-ехемы

в стандартной модели TPRP [13] может быть оценена через стойкость используемой

¿

где противнику даётся либо случайная подстановка п € SM, либо ¿-преобразование ¿fci,...,fc£ для случайно выбранных ki € M, и его задачей является различение этих двух ситуаций, В той же работе указано, что стойкость полученной схемы сильно зависит от структуры квазигруппы и её свойств,

В настоящей работе рассмотрим ограниченный класс квазигрупп, порождённых «правильными семействами» дискретных функций [14],

Определение 2. Отображение F: Mn ^ Mn будем называть правильным семейством (размера и), если для любых двух неравных наборов x,y € Mn найдётся такой индекс г, что xi = yi; но Fi(жь ..., xn) = Fi(y1,..., yn).

Пусть F, G — два правильных семейства размера и над прямым произведением Hn групп (H, +), Тогда операция пр(x), определённая как

пр = (xi + Fi(xi,... ,Xn),... ,Xn + Fn(xi, . . . ,Xn)) ,

Hn

смотреть следующую операцию умножения о на Hn х Hn:

(x,y) ^ x ◦ y = пр(x)+ nG(y) j (2)

где + понимается как покомпонентное сложение в группе H,

Hn

подстановку п-1, Можно показать, что существует правильное семейство G = F, такое, что п-1 = nG (такое семейство можно назвать «дуальным», поскольку дважды применённая операция F ^ F оставляет исходное семейство па месте),

F Hn FF

данное как

F(x) = (-x)+ п-1 (x), пр(x) = x + F(x), x € Hn, (3)

Hn

F FF

ем (3), и операция о задается формулой (2), то операция x о y обращается справа

следующим образом:

x = пр ((x ◦ y) - пс(У)) .

Аналогичным образом операция x о y может быть обращена слева с использованием G GF

Из теоремы 1 вытекает, что как ¿-преобразование, так и обратное к нему ¿-1 могут

быть заданы с помощью правильных семейств дискретных функций. Это позволяет

перейти от табличного задания квазигруппы к функциональному [14].

ЛИТЕРАТУРА

1. Bellare М., Ristenpart Т., Rogaway P., and Stegers Т. Format-preserving encryption // LNCS. 2009. V. 5867. P. 295-312.

2. Lee J.-K., Koo В., RohD., et al. Format-preserving encryption algorithms using families of tweakable blockciphers 11 LNCS. 2014. V.8949. P. 132-159.

3. Dworkin M. Recommendation for Block Cipher Modes of Operation: Methods for Format-Preserving Encryption. NIST Special Publication 800-38G. 2016.

4. Hoang V. Т., Tessaro S., and Trieu N. The curse of small domains: New attacks on format-preserving encryption // LNCS. 2018. V. 10991. P. 221-251.

5. Anion O., DunkelmanO., Keller N., et al. Three third generation attacks on the format preserving encryption scheme FF3 // LNCS. 2021. V. 12697. P. 127-154.

6. Марков В. Т., Михалёв А. В., Нечаев А. А. Неассоциативные алгебраические структуры в криптографии и кодировании // Фундамент, и прикл. матем. 2016. Т. 21. №4. С. 99-124.

7. Markovski S. and Bakeva V. Quasigroup string processing: Part 4 // Contributions. Sec. Natural Math. Biotechn. Sci. 2006. V. 27. No. 1-2. http://csnmbs.manu.edu.mk/index.php/ csnmbs/article/view/5.

8. Shcherbacov V. Elements of Quasigroup Theory and Applications. N.Y.: Chapman and Hall/CRC, 2017. 598 p.

9. Артамонов В. А. Квазигруппы и их приложения // Чебышевский сборник. 2018. Т. 19. №2. С. 111-122.

10. Gligoroski D., 0degard R. S., Mihova M., et al. Cryptographic hash function Edon-R'. Proc. 1st Intern. Workshop on Security and Communication Networks. Trondheim, Norway, 2009. P. 1-9.

11. Tsaregorodtsev K. Format-preserving encryption: a survey // Математические вопросы криптографии. 2022. Т. 13. №2. С. 133-153.

12. Яшунский А. Д. О скорости сходимости квазигрупповых сверток вероятностных распределений // Дискретная математика. 2022. Т. 34. №3. С. 160-171.

13. Liskov М., RivestR., and Wagner D. Tweakable block ciphers //J. Crvptologv. 2011. V. 24. No. 3. P. 588-613.

14. Носов В. А., Панкратьев A. E. О функциональном задании латинских квадратов // Интеллектуальные системы. Теория и приложения. 2008. Т. 12. №1-4. С. 317-332.

i Надоели баннеры? Вы всегда можете отключить рекламу.