Об усложнении дискретного логарифмирования в полях характеристики 2 Текст научной статьи по специальности «Математика»

Об усложнении дискретного логарифмирования в полях характеристики 2

Валерий М. Максимов, Эдуард А. Применко

Аннотация — В реальных практических задачах, связанных с проблемами защиты информации, вычисления часто проводятся в полях характеристики 2. Современные вычислительные технологии, в частности, применение суперкомпьютеров, позволяют проводить вычисления для достаточно больших значений т = 128,256,512. с развитием вычислительной техники и разработкой новых методов анализа систем защиты информации приходится увеличивать параметр т. Кроме того, важно, чтобы вычисления, необходимые для обеспечения защиты информации легальным участникам информационного обмена, выполнялись за ограниченное время. В то же время для гипотетического злоумышленника, обладающего современными

вычислительными ресурсами, взлом системы защиты должен быть невозможен за ограниченное время.

Для построения циклических групп большого порядка, широко применяемых при синтезе криптографических протоколов, предлагается строить башни квадратичных расширений полей характеристики два. Устанавливается сложность построения таких расширений в зависимости от степени поля. В работе даётся метод построения квадратичного расширения полей ('") со сложностью построения порядка с ■ тгде с не зависит от т. Метод основан на построении двумерной алгебры с единицей над полем. Этот процесс удвоения степени поля можно продолжать и строить поля каждый раз в 2 раза большей степени. При этом не требуется строить неприводимые многочлены высших степеней.

Ключевые слова — БЬР, задача дискретного логарифмирования, квадратичное расширение поля, примитивный элемент.

I. Введение

В реальных практических задачах, связанных с проблемами защиты информации, вычисления часто проводятся в полях GF{ 2"') = 'J? ( т g. в полях характеристики 2. Современные вычислительные технологии, в частности, применение

суперкомпьютеров, позволяют проводить вычисления для достаточно больших значений т = 128,256,512 q развитием вычислительной техники и разработкой новых методов анализа систем защиты информации приходится увеличивать параметр т. Так, например, в стандарте шифрования DES (1976 год) m = 64, а в ныне

Статья получена 15 августа 2018.

В.М. Максимов, Российский университет дружбы народов (РУДН), Российский государственный гуманитарный университет (РГГУ). Э.А. Применко, Московский государственный университет имени М.В.Ломоносова.

действующем стандарте шифрования — 128.256 Кроме того, важно, чтобы вычисления, необходимые для обеспечения защиты информации легальным участникам информационного обмена, выполнялись за ограниченное время. В то же время для гипотетического злоумышленника, обладающего современными вычислительными ресурсами, взлом системы защиты должен быть невозможен за ограниченное время. Для разрешения этой проблемы мы будем использовать важное условие на число т допускающим, что обладая вычислительными ресурсами для вычислений в поле ! 1'' - , например, для реализации задачи DLP (задача дискретного логарифмирования),

предполагается невозможность эффективно

реализовывать криптоалгоритмы в поле 32{т ■ (1 + с)), г > Гц > О

В работе даётся метод построения квадратичного расширения полей со сложностью построения

порядка г - г л1, где с не зависит от т. Метод основан на построении двумерной алгебры с единицей над полем ('"•). Эта алгебра будет полем если для

некоторого базисного элемента е, 6 ^ где П - единица алгебры, £ с условием е2 = с + п £ ('"•), и

многочлен / = е~+е + а неприводим над полем (?"■). Этот процесс удвоения степени поля можно продолжать и строить поля степени 2* - т. При этом не требуется строить неприводимые многочлены высших степеней. В качестве примера рассмотрим задачу дискретного логарифмирования, на которой основаны современные стандарты ЭЦП.

Пусть С — группа, а е С и ог^(а) = Л Возведение а в степень " ^ требует не более Т "К групповых

операций. Так, если .V — 2Ш1)|), то Т < 2000. в то же время нет общего алгоритма решения задачи дискретного логарифмирования, т.е. решения уравнения а1' = Ь в группе С, кроме полного перебора [3],[4],[8], за исключением специальных групп, например, группы точек эллиптической кривой, где есть более эффективные алгоритмы, чем полный перебор. Современные криптографические стандарты построены на основе мультипликативной группы конечного поля или на основе группы точек эллиптической кривой над конечным полем. В работах [1],[2] исследовалась возможность построения некоммутативных групп большого порядка на основе конечных алгебр. В данной работе исследуется возможность построения групп большого порядка на основе квадратичного расширения конечного поля ОГ{2т) = При таком подходе

можно значительно усложнить решение задачи

дискретного логарифмирования для злоумышленника. Так, например, пусть с — з^(2т.) = gf*(25"'), а е G. ord(a) = 2~'" — 1 т е а — примитивный элемент поля ^(Э"'}.

В этом случае, если злоумышленник может эффективно решать задачу дискретного логарифмирования в поле ^("О. то решение этой задачи в поле (2т) будет значительно сложнее. Например, если /'К--'" ~1> и /' — большое простое число, то эта задача практически неразрешима.

II. Построение алгебры а размерности 2 над полем

Рассмотрим алгебру Лч(т, ") размерности 2 над полем '^("0 с базисом 1 (единица поля 3"з("0) и е, удовлетворяющему условию

Таким образом,

А2 о?) = {xl + уе | х,

Из (1) следует, что

Выясним при каких условиях элемент " = х i - + У i1" Ф обратим в А2(т, п} Из (2) следует, что для этого необходимо и достаточно, чтобы выполнялись условия

Если У- = 11 '1 Ф 0, то (3) будет иметь вид:

Следовательно, у- = 0 = 'Т'. Если У- Ф 0, то определитель D системы (3) равен:

Так как У\ Ф то D = 0, тогда и только тогда, когда

Это значит, что '' ''i является корнем

многочлена f(t) = t2+ t + a, т.е. этот многочлен приводим над полем '").

Таким образом, если = + ^ + п неприводим над полем ^а (?"•), то любой элемент алгебры А2(?п, а) отличный от 0 обратим. Т.е. алгебра А2(7п, а) является полем, изоморфным полю GFi23'").

III. Поиск элемента, порождающего неприводимый

многочлен

Найдём элемент " £ (?"■), порождающий неприводимый многочлен /(0 = f2 + f + » Легко видеть что отображение = t2 + t поля ^(т) в поле ('"•). является линейным и1401 = {'-'■ 1} = Поэтому --1 = F>»№) = {V'(i) I f е ^("0} является аддитивной подгруппой (подпространством) 3з("0 и

Поле ^("О как аддитивная группа разбивается относительно подгруппы Л на два смежных класса:

. 1 — можно рассматривать как линейное пространство

размерности т — 1 над полем т е поле из двух

элементов 0 и 11. Из изложенного выше, следует справедливость следующего утверждения: Утверждение 1. Для того, чтобы алгебра А (т., '■) была полем, необходимо и достаточно, чтобы п е В.

IV. Алгоритм поиска элемента п е В

Линейное подпространство Л имеет размерность т - 1.

Если ал.....ат-1 базис .4, а элемент г> £ Л то п е в.

Поэтому можно предложить следующий алгоритм поиска элемента п ? В

1. Случайно выбираем ^ £ ^(т), ^ ф 0 и

вычисляем ,21 = ' 1 + ' 1.

2. Проверяем условие: ^ =

3. Если ДА, то переходим к п.1.

4. Выбираем случайно 'а е ('"•). Ь Ф ф 0 и

вычисляем "з = Ч + 'з.

5. Проверяем линейно зависимы ли векторы д1. (ч.

6. Если ДА, то переходим к п.3.

7. Если мы определили систему линейно

независимых элементов .....■ ('2 € к < т)

из .4, то выбираем ак+1 £ Л

8. Проверяем на линейную независимость систему

из векторов а1.....■ а>. +1. Если эта система

линейно зависима, возвращаемся к п.5.

9. При к = т — 1 процесс выбора базиса группы .4

заканчивается. Базис .....а-н>-1 группы .4

найден.

Далее для поиска элемента о. е В применяем следующую естественную процедуру; а именно: Выбираем случайно п с: ?з("0 и проверяем на линейную

независимость систему элементов ал...... ат-1 ■ ["1.

Если эта система линейно независима, то п £ В. Так как время нахождения элементов базиса .4 зависит от случайного выбора и сложности вычислений, то возникает проблема экспериментального определения времени решения этой задачи - т.е. время нахождения элемента О:. Работа в этом направлении будет продолжена в дальнейшем.

V. Об экспериментальной оценке предложенного

АЛГОРИТМА

Оценка времени нахождения базы группы Л требует точных оценок всех встречающихся алгоритмов и учета времени их выполнения.

Поэтому удобнее время нахождения базы рассматривать как случайную величину, возникающую в условиях вычислений. Проводя независимо нахождение базы Л достаточно большое число раз получим экспериментальные распределения времени его нахождения.

Если уже выбран базис из к элементов, то к +1 базисный элемент не принадлежит подпространству, натянутому на к базисных векторов. Такое пространство состоит из 2'1 элементов. Таким образом, выбор к + 1-го базисного элемента происходит из множества,

состоящего из 2'" 1 — 2k элементов. При

равновероятном выборе, вероятность выбора А-го

■>■■■ 1 2'' _ i__|

базисного элемента равна 2- 1 — 2™-1 Так как

1

к < m - 1, то эта вероятность не меньше Поэтому за небольшое число выборов мы угадаем к + 1-ый базисный элемент. Время выбора элемента а из В, смежного класса группы .4.

Если уже все базисные элементы Л известны, то мы производим случайный равновероятный выбор из всего множества Так как И = 1^1, то вероятность

выбора (У равна Вероятность того, что элемент О не будет выбран за 1 испытаний равна ¥. Если Т„ — время проверки принадлежности выбранного элемента множеству „4, то время ожидания появления а не превосходит суммы

Т\ п + Tt JTTJ + Т\ JT7? + ■ ■ ■ = Т,а + ф + ф + ...} = Вели Т — время появления а, то это случайная величина и экспериментально можно найти её распределение. Оценка сложности алгоритма установления линейной

независимости векторов а i.....ak на основе алгоритма

Гаусса очевидно не превосходит к3. Поскольку к не превосходит m -1, и алгоритм Гаусса применяется для каждого к, к =1,2i» - 1 т0 общая сложность не превосходит m

Поскольку каждый выбор элемента "/, связан со случайным выбором, как это описано выше, то в оценке сложности m может появиться константа С, которая не зависит от числа ш, но зависит от уровня вероятности, при котором мы считаем выбор а1. достоверным.

VI. Специальные случаи построения

НЕПРИВОДИМЫХ КВАДРАТИЧНЫХ ПОЛИНОМОВ Если m = 2 к + 1, то для поиска п е В. т.е. построения неприводимого над полем J^i'"} многочлена fit) = t + t + а нужно вычислить

Тг(а) = а + а2 + ■ ■ ■ + а2""1'е {0, 1}

Если Тг(а) = то п е В. Поскольку Р(Гг(а) = 1) = i то за 1 экспериментов с вероятностью Р = ^ ~~ F, мы найдем элемент а £ В.

Замечание. Если ш = 2 к + 1, то -) = - и многочлен t2 + t + неприводим над полем ^з (?"•). Утверждение2. Пусть т = 2к-&, НОД(2~ +1- 2"'-1) = НОД^-2) = 1- ¿Щ(2к) с :Ji(m). Тогда многочлен f(t) = f- + t + в и неприводим над полем ( "'} тогда и только тогда, когда многочлен /(0 неприводим над полем 2'').

Доказательство. Необходимость очевидна. Допустим, что ЯМ =*Й+*<) + Яо= °> fo е ^(f'î), т.е. ДО — приводимый. Следовательно,

Докажем достаточность. Из (4) следует, что

^ = f<1 = + + ^о Индукцией по i легко установить, что

При i = к из (5) следует:

Возможны случаи

1. Тг(в0) = 0'

Тогда из (6) вытекает, что 'о = -. Это значит, что ord(tи) | (2- - тс t0 е и следовательно,

многочлен fit) приводим над подполем Пришли

к противоречию с условием утверждения.

2. Тг(ва) = i

В этом случае из (6) следует, что

и1

ti = U) + 11.

Возводя обе части последнего равенства в степень 22",

получим:

.>>1Л >>1

ti = t¡ +l = t.a + l + l = t0. Таким образом,

Так как, по условию, НОД(2~ + 1- 2'" - 1) = 1, то из (7) следует, что

Это означает, что tи £ } Снова пришли к противоречию с условием. Тем самым справедливость утверждения 2 полностью

доказана.

Пример 1. Пусть m = 2--7 = 2S.J2(2S) = GF(2-%

Следовательно, если £ 3^(28) и оп1(в„) = 3 т0 многочлен /(0 = t~ +1 + д0 неприводим над полем

GF{ 22S).

Пример 2. Пусть - 2:i ■ 11 - 88, ^,(88) - GF{28S). НОД(22'5 + 1. 2** - 1) = НОД(257, (2й* - 1}} = d Вычислим

b — 2SS - 1 (mod 257} - (2я)11 - 1

(mod 257} = (-1}11 - 1 = -2 (mod 257) Таким образом, d = 1. Следовательно, многочлен ЦГ) = t2 + t + ^ где ord{do) = 22¡ - 1 = 255

VII. О гипотезах для элементов больших порядков алгебры -л 2(11)

Поскольку алгебра -Аз(«О является полем порядка 22'", то для практического приложения (например, построения открытых ключей) важно указать какой-нибудь примитивный элемент этого поля или элемент большого порядка > 2'"'1+"'. К сожалению, мы не можем сказать, что элемент г, или 11 + г, или другой конкретный элемент, которые были бы примитивными, т.е. образующими мультипликативной группы этого поля или элементы большого порядка. Поэтому встает вопрос об оценке порядка таких конкретных элементов. Для усложнения дискретного логарифмирования основанного на элементах поля нам достаточно

выбрать элемент алгебры

с порядком большим

чем 2':1+-'"". где - > -и > Действительно, если элемент а £ ^í"') имеет порядок больший чем 2'11 '

то все степени а- а~.....а различны и мы можем

применить процесс дискретного логарифмирования для а'\ где п — любое, 2'" < п < 2,:1+г!"'. Идея усиления дискретного логарифмирования состоит в том, что при порядке элемента а равного 2"' реализация алгоритма нахождения дискретного логарифма ещё возможна, в то время как при порядке 2'. 1+--.U,, уже практически нереализуема при г больше некоторого -и■ -о > 0. Поэтому если порядок элементов е., - + с. i + Где ¿ примитивный элемент f больше чем то нахождение их порядков

практически нереализуемо.

Допустим гипотезу, что элементы с- - +( + а также некоторые другие имеют порядки - 1 при

любых т. Если эту гипотезу можно было бы подтвердить или опровергнуть, то её можно было бы подтвердить для всех т ^ так как можно считать, что задача нахождения дискретного логарифма реально решается для 2123 элементов. Тогда в случае её справедливости возникает возможность "бесконечного" увеличения сложности дискретного логарифмирования. В условиях выбора т нам достаточно лишь одно удвоение.

Как отмечалось выше, мы начинаем искать квадратичные расширения поля З^О"), т.е. искать некоторый элемент "2 t для которого алгебра

'1 - ' является полем. Это поле определяется соотношением < т = « + '1, где элементы -i (единица) и ( i являются базой алгебры -^з(щ) над полем ^(''•). Тогда элемент е i берем как образующий мультипликативной группы поля порядка 2-'" — 1. Так как поля с

одинаковым числом элементов изоморфны, то поле 2(?") можно обозначить Аналогично можно

найти квадратичные расширения поля ^í-'"} и его примитивный элемент.

При этом, если в первом случае потребовалось Cmi операций (константа С от m не зависит), то при нахождении квадратичного расширения (2т) потребуется не более 16Ст.1 операций. Таким образом, реально находится элемент п2 £ 3^(2? л,) и берутся элементы -а (единица) и образующие базу алгебры .Дз (2т) _ прИ этом ('i ~ fl- + с~. Если элемент е.2 является образующим мультипликативной группы поля А2(2т\

то его можно обозначить Для элемента

, сложность дискретного логарифмирования равна С 21'". Таким образом, процесс квадратичного расширения можно было бы продолжать сколь угодно долго, так как на каждом шаге расширение вновь

полученного поля реально возможно. Таким образом, предложенные в работе методы позволяют сделать вывод о возможности проведения дальнейших исследований с использованием компьютерных технологий. Авторы предполагают продолжение этой работы в направлении экспериментальных вычислений на базе высокопроизводительного вычислительного кластера Российского университета дружбы народов (РУДН).

Библиография

[1] А. С. Кузьмин, В. Т. Марков, А. А. Михалев, А. В. Михалев, А. А. Нечаев. Криптографические алгоритмы на группах и алгебрах. Фундаментальная и прикладная математика, 2015, том 20, №1, с. 205-222.

[2] N. Moldovyan, A. Moldovyan. Vector Finite Groups on Primitives for Fast Digital Signature Algorithms. Information Fusion and Geographic Information Systems. Lecture Notes in Geo-information and Cartography, Springer-Verlag Berlin, Heidlberg, 2009, p. 317330.

[3] Н. Коблиц. Курс теории чисел и криптографии. — М.: Научное издательство ЪТВПЛ, 2001.

[4] L. Adleman and J. DeMarrais. A subexponential algorithm for discrete logarithms over all finite fields. In D. Stinson, editor, Proceedings of CRYPTO'93, volime 773 of Lecture Notes in Comput. Sci., pages 147-158. Springer, 1993.

[5] Гашков С. Б., Сергеев И. С. О сложности и глубине булевых схем для умножения и инвертирования в конечных полях характеристики 2. Дискретная математика, том 25, вып. 1, 2013.

[6] Cryptology ePrint Archive: Report 2013/095. A new index calculus algorithm with complexity L(1/4+o(1)) in very small characteristic. Antoine Joux

[7] Herlestam T., Johannesson R. On computing logarithms over GF(2p) // BIT. 1981. V. 21. P. 326—336

[8] ElGamal T. On computing logarithm over finite fields // Advances in cryptology — CRYPTO'85 (Santa Barbara, Calif., 1985). 1986. (Lect. Notes in Comput. Sci.; V. 218). P. 396—402.

[9] Coppersmith D. Fast evaluation of discrete logarithms in fields of characteristic two. IEEE Trans // Inform. Theory. 1984. V. 30 (4). P. 587—594.

[10] "ПюшДе E. Computation of discrete logarithms in GF(2607) // Advances in Cryptology — AsiaCrypt'2001. 2001. (Lect. Notes in Comput. Sci.; V. 2248). P. 107—124.

[11] "ПюшДе E. Discrete logarithms in GF(2607). e-mail to the NMBRTHRY mailing list, February 2002. http://listserv.nodak.edu/archives/nmbrthry.html

[12] Petit C., Quisquater JJ. (2012) On Polynomial Systems Arising from a Weil Descent. In: Wang X., Sako K. (eds) Advances in Cryptology - ASIACRYPT 2012. ASIACRYPT 2012. Lecture Notes in Computer Science, vol 7658. Springer, Berlin, Heidelberg

[13] I. Semaev. New algorithm for the discrete logarithm problem on elliptic curves. Report 2015/310.

[14] C. Petit and J.-J. Quisquater. On Polynomial Systems Arising from a Weil Descent. In: Wang X., Sako K. (eds) Advances in Cryptology -ASIACRYPT 2012. ASIACRYPT 2012. Lecture Notes in Computer Science, vol 7658. Springer, Berlin, Heidelberg.

The complication of discrete logarithms in fields of characteristic 2

Valerij M. Maksimov, Eduard A. Primenko

Annotation - In real practical problems relating to the issue of information security calculations are frequently carried out in the fields of characteristic 2. In modern computing technologies, particularly, the usage of supercomputers, allow us to conduct calculations for quite large values m = 128,256,512. By developing computer technology and exploitation of new methods for analysis of information security systems, the parameter m should be increased.

In order to construct a cyclical group of a large order, which is widely used in the synthesis of cryptographic protocols, it is proposed to construct towers of quadratic extensions fields in characteristic 2. The complexity of constructing such extensions depending on the degree of the field is established. The paper provides a method for constructing a quadratic extension field with the complexity of constructing an order с ■ m1 ,where it does not depend on m. The method is based on the construction of a two-dimensional algebra with one over the field. This process of doubling the degree of the field can be proceeded and construct the field every time, 2 times greater. In addition, It is not required to construct irreducible polynomials of higher degrees.

Keywords—DLP, discrete logarithm problem, field extension, prime element.

Manuscript received August 15, 2018.

V.M. Максимов is with RUDN University and Russian State University for the Humanities.

E.A. Primenko is with Lomonosov Moscow State University.