4. Doming о-Ferrer J. A new privacy homomorphism and applications / / Inform. Process. Lett. 1996. V. 60. No. 5. P. 277-282.
5. CheonJ.H., KimW.-H., and NamH.S. Known-plaintext crvptanalvsis of the Domingo-Ferrer algebraic privacy homomorphism scheme // Inform. Process. Lett. 2006. V. 97. No.3. P. 118-123.
6. Трепачева А. В. Улучшенная атака по известным открытым текстам на гомоморфную криптосистему Доминго-Феррера. // Труды ИСП РАН. 2014. Т. 26. №5. С. 83-98.
УДК 512.548.7+004.056.55 DOI 10.17223/2226308Х/16/26
ОБ ОДНОМ КВАЗИГРУППОВОМ АЛГОРИТМЕ ШИФРОВАНИЯ,
СОХРАНЯЮЩЕГО ФОРМАТ
К. Д. Царегородцев
Рассматривается возможный подход к построению схем шифрования, сохраняющего формат, на основе квазигрупповых преобразований (левых и правых сдвигов на псевдослучайные элементы). Показано, что в случае функционального задания квазигруппы с помощью правильных семейств дискретных функций над прямым произведением групп обратное к левому (правому) сдвигу преобразование также задаётся правильным семейством.
Ключевые слова: FPE, квазигруппа, правильное семейство.
Шифрование, сохраняющее формат (FPE, Format Preserving Encryption [1], далее FPE-ехема) — алгоритм, позволяющий зашифровывать сообщения из произвольного конечного множества M таким образом, что результат зашифрования также лежит в множестве M, Такой тип алгоритмов довольно востребован на практике, о чём свидетельствует большое количество работ, рассматривающих стойкость таких крипто-примитивов [1-3]. При этом подобные алгоритмы часто подвержены специфическим атакам, связанным, в том числе, и с возможным относительно малым размером области определения [4, 5]. Известны «доказуемо стойкие» алгоритмы как для очень малых (|M| « 210), так и для очень больших областей определения (размер которых приближается к размеру области определения стандартных блочных шифров либо превышает их, wide-block encryption), в то время как для «средних» областей определения всё ещё не существует одного предпочтительного подхода. В этой работе мы рассмотрим возможный подход к построению FPE-ехем, основанный на квазигрупповых операциях.
Определение 1. Квазигруппой (Q, о) называется множество Q с заданной на нём бинарной операцией о со следующим свойством: для любых а, b уравнения а о x = b, x о а = b однозначно разрешимы (относительно x),
Другими словами, операции левого (x ^ La(x) = аох) и правого (x ^ Ra(x) = хоа)
Q
Основанные на квазигрупповых преобразованиях алгоритмы интенсивно изучались [6-9], некоторые из них предлагались в качестве кандидатов на международную стандартизацию (например, [10]). В работе [11] предложен следующий подход. Преобразуем элемент m е M, где (M, о) — некоторая квазигруппа, в элемент c G M следующим образом:
m ^ c = Lfcb...)fc£(m) = ki о (k2 о (... (k£ о m)...)), (1)
m
Mc
Математические методы криптографии
103
псевдослучайным образом в зависимости от параметров алгоритма производятся левые и правые сдвиги. Относительно приведённой FPE-ехемы можно задать следующие вопросы:
— насколько ¿-преобразование «похоже» та случайную подстановку на M?
— как устроено обращение операции m ^ ¿k1,...,kl (m) (далее для краткости будем говорить «¿-преобразование»)?
Частичный ответ на первый вопрос был дан ранее, ¿-преобразования рассматривались, в частности, в работах [7, 9, 12], Так, в работе [12] среди прочего показано, что для любой квазигрупповой операции о при случайном независимом выборе элементов ki € M (при условии, что носитель распределения ki достаточно большой) распределение элемента c экспоненциально быстро сходится к равновероятному распределению па множестве M, При этом результаты работы [12] неприменимы к ситуации,
m
ki
ций (на основе мастер-ключа и настройки (tweak)) стойкость полученной FPE-ехемы
в стандартной модели TPRP [13] может быть оценена через стойкость используемой
¿
где противнику даётся либо случайная подстановка п € SM, либо ¿-преобразование ¿fci,...,fc£ для случайно выбранных ki € M, и его задачей является различение этих двух ситуаций, В той же работе указано, что стойкость полученной схемы сильно зависит от структуры квазигруппы и её свойств,
В настоящей работе рассмотрим ограниченный класс квазигрупп, порождённых «правильными семействами» дискретных функций [14],
Определение 2. Отображение F: Mn ^ Mn будем называть правильным семейством (размера и), если для любых двух неравных наборов x,y € Mn найдётся такой индекс г, что xi = yi; но Fi(жь ..., xn) = Fi(y1,..., yn).
Пусть F, G — два правильных семейства размера и над прямым произведением Hn групп (H, +), Тогда операция пр(x), определённая как
пр = (xi + Fi(xi,... ,Xn),... ,Xn + Fn(xi, . . . ,Xn)) ,
Hn
смотреть следующую операцию умножения о на Hn х Hn:
(x,y) ^ x ◦ y = пр(x)+ nG(y) j (2)
где + понимается как покомпонентное сложение в группе H,
Hn
подстановку п-1, Можно показать, что существует правильное семейство G = F, такое, что п-1 = nG (такое семейство можно назвать «дуальным», поскольку дважды применённая операция F ^ F оставляет исходное семейство па месте),
F Hn FF
данное как
F(x) = (-x)+ п-1 (x), пр(x) = x + F(x), x € Hn, (3)
Hn
F FF
ем (3), и операция о задается формулой (2), то операция x о y обращается справа
следующим образом:
x = пр ((x ◦ y) - пс(У)) .
Аналогичным образом операция x о y может быть обращена слева с использованием G GF
Из теоремы 1 вытекает, что как ¿-преобразование, так и обратное к нему ¿-1 могут
быть заданы с помощью правильных семейств дискретных функций. Это позволяет
перейти от табличного задания квазигруппы к функциональному [14].
ЛИТЕРАТУРА
1. Bellare М., Ristenpart Т., Rogaway P., and Stegers Т. Format-preserving encryption // LNCS. 2009. V. 5867. P. 295-312.
2. Lee J.-K., Koo В., RohD., et al. Format-preserving encryption algorithms using families of tweakable blockciphers 11 LNCS. 2014. V.8949. P. 132-159.
3. Dworkin M. Recommendation for Block Cipher Modes of Operation: Methods for Format-Preserving Encryption. NIST Special Publication 800-38G. 2016.
4. Hoang V. Т., Tessaro S., and Trieu N. The curse of small domains: New attacks on format-preserving encryption // LNCS. 2018. V. 10991. P. 221-251.
5. Anion O., DunkelmanO., Keller N., et al. Three third generation attacks on the format preserving encryption scheme FF3 // LNCS. 2021. V. 12697. P. 127-154.
6. Марков В. Т., Михалёв А. В., Нечаев А. А. Неассоциативные алгебраические структуры в криптографии и кодировании // Фундамент, и прикл. матем. 2016. Т. 21. №4. С. 99-124.
7. Markovski S. and Bakeva V. Quasigroup string processing: Part 4 // Contributions. Sec. Natural Math. Biotechn. Sci. 2006. V. 27. No. 1-2. http://csnmbs.manu.edu.mk/index.php/ csnmbs/article/view/5.
8. Shcherbacov V. Elements of Quasigroup Theory and Applications. N.Y.: Chapman and Hall/CRC, 2017. 598 p.
9. Артамонов В. А. Квазигруппы и их приложения // Чебышевский сборник. 2018. Т. 19. №2. С. 111-122.
10. Gligoroski D., 0degard R. S., Mihova M., et al. Cryptographic hash function Edon-R'. Proc. 1st Intern. Workshop on Security and Communication Networks. Trondheim, Norway, 2009. P. 1-9.
11. Tsaregorodtsev K. Format-preserving encryption: a survey // Математические вопросы криптографии. 2022. Т. 13. №2. С. 133-153.
12. Яшунский А. Д. О скорости сходимости квазигрупповых сверток вероятностных распределений // Дискретная математика. 2022. Т. 34. №3. С. 160-171.
13. Liskov М., RivestR., and Wagner D. Tweakable block ciphers //J. Crvptologv. 2011. V. 24. No. 3. P. 588-613.
14. Носов В. А., Панкратьев A. E. О функциональном задании латинских квадратов // Интеллектуальные системы. Теория и приложения. 2008. Т. 12. №1-4. С. 317-332.