Общая алгебраическая схема распределения криптографических ключей и её криптоанализ Текст научной статьи по специальности «Математика»

2017 Математические методы криптографии №37

УДК 512.54; 519.725

ОБЩАЯ АЛГЕБРАИЧЕСКАЯ СХЕМА РАСПРЕДЕЛЕНИЯ КРИПТОГРАФИЧЕСКИХ КЛЮЧЕЙ И ЕЁ КРИПТОАНАЛИЗ1

В. А. Романьков, А. А. Обзор Омский государственный университет им. Ф.М. Достоевского, Омск, Россия

Показано, что многие известные схемы алгебраического открытого распределения криптографических ключей, использующие двусторонние умножения, являются частными случаями общей схемы такого вида. В большинстве случаев схемы строятся на платформах, которые являются подмножествами линейных пространств. К ним уже неоднократно применялся метод линейного разложения, разработанный первым автором. Метод позволяет вычислять распределяемые ключи без определения секретных параметров схемы, не решая лежащих в основе схем трудно разрешимых алгоритмических проблем. В работе показано, что данный метод применим к общей схеме, то есть является в определённом смысле универсальным. Общая схема выглядит следующим образом. Пусть G — алгебраическая система, на которой определена ассоциативная операция умножения, например группа, выбранная в качестве платформы. Предположим, что G является подмножеством конечномерного линейного пространства. Сначала задаётся открытое множество элементов gi,...,gk S G. Затем корреспонденты, Алиса и Боб, последовательно публикуют элементы вида ^pa,b(f) для a,b S G, где (fia,b(f) = afb, f S G и f — заданный или предварительно построенный элемент. Распределённый ключ имеет вид K = р^м (^al-1,bl-1 (... (^a1,b1 (gi)...)) = am-1 ...aigibi ...bi-ibi. Предположим, Алиса выбирает параметры a, b из конечно порождённой подгруппы A группы G, Боб выбирает аналогичные параметры из конечно порождённой подгруппы B группы G, с помощью которых они конструируют преобразования вида <fia,b, использованные в схеме. Тогда при некоторых естественных предположениях относительно G, A и B показывается, что любой злоумышленник может эффективно вычислить распределяемый ключ K без вычисления использованных в схеме преобразований.

Ключевые слова: криптография, криптоанализ, 'распределение ключа, линейное разложение.

DOI 10.17223/20710410/37/4

GENERAL ALGEBRAIC CRYPTOGRAPHIC KEY EXCHANGE SCHEME

AND ITS CRYPTANALYSIS

V. A. Roman'kov, A. A. Obzor Dostoevskii Omsk State University, Omsk, Russia E-mail: romankov48@mail.ru, obzor2503@gmail.com

We show that many known schemes of the cryptographic key public exchange protocols in algebraic cryptography using two-sided multiplications are the special cases of a general scheme of this type. In most cases, such schemes are built on the platforms

Исследование выполнено за счёт гранта Российского научного фонда (проект №16-11-10002).

that are subsets of some linear spaces. They have been repeatedly compromised by the linear decomposition method introduced by the first author. The method allows to compute the exchanged keys without computing any private data and, consequently, without solving the hard algorithmic problems on which the assumptions are based. Here, we show that this method can be successfully applied to the following general scheme and, thus, is a universal one. The general scheme proceeds as follows. Let G be an algebraic system with the associative multiplication, for example, a group chosen as the platform. We assume that G is a subset of a finitely dimensional linear space. First, some public elements gi,... ,gk € G are taken. Then the correspondents, Alice and Bob, sequentially publicise the elements of the form <pa,b(f) for some a,b € G, where <pa,b(f) = afb, f € G and f is a given or previously built element. The exchanged key has the form

K = <Pai,bi (^al-i,bl-l (... (^ai,bi (gi) ...))= aiaz_i... aigibi. ..bi-ibi.

We suppose that Alice chooses parameters a,b in a given finitely generated subgroup A of G, and Bob picks up parameters a,b in a finitely generated subgroup B of G to construct their transformations of the form pa,b. Under some natural assumptions about G,A and B, we show that an intruder can efficiently calculate the exchanged key K without calculation of the transformations used in the scheme.

Keywords: cryptography, cryptanalisis, key exchange, linear decomposition.

Введение

В алгебраической криптографии известен ряд схем шифрования и распределения ключей на алгебраических системах: группах, полугруппах, кольцах или алгебрах, в которых используются двусторонние умножения на элементы соответствующих систем. Таковы схемы Андрекута [1], Ванга и др. [2], Стикеля [3], Б. и Т. Харли [4, 5], Шпильрайна — Ушакова [6], а также ряд других схем, часть из которых изложена в [7, 8]. Сюда же можно отнести схемы, применяющие сопряжения, из которых наиболее известна схема Ко и др. [9] —некоммутативный аналог алгоритма Диффи — Хелл-мана [10].

Введённый первым автором в рассмотрение метод линейного разложения, теоретические основы которого изложены в [11] (см. также [12, 13]), позволяет при определённых условиях эффективно находить в перечисленных выше и в ряде других криптографических схем и протоколов передаваемые или распределяемые данные без вычисления соответствующих секретных ключей шифрования. Основным условием является наличие в используемой платформе структуры линейного пространства. Приложения метода содержатся в приведённых выше работах, а также в [14-16] и ряде других работ. Заметим также, что в [17] предложен метод нелинейного разложения, уже не предполагающий наличия структуры векторного пространства у платформы, на которой строится схема. Метод хорошо работает, например, на ряде схем, построенных на полициклических группах, которые сейчас часто предлагаются в качестве платформ [18-20].

В данной работе мы обращаем внимание на то, что перечисленные схемы алгебраического открытого распределения ключей являются частными случаями одной общей схемы. При условиях, о которых говорилось выше, метод линейного разложения для нахождения распределяемых данных применим к этой общей схеме.

1. Описание общей схемы распределения ключей

В качестве платформы выбирается алгебраическая система О: группа, полугруппа, кольцо или алгебра. Каждая такая система наделена операцией умножения «•». Предполагаем, что эта операция ассоциативна. Любой паре элементов а,Ь Е О отвечает преобразование (а,Ь ■ О ^ О, определённое правилом (а,Ь(д) = а • д • Ь, д Е О. В дальнейшем для упрощения записи операция «•» не указывается.

Преобразования удовлетворяют соотношению (а,Ь ◦ (с,а = (саМ и образуют полугруппу Б (О). При наличии в О единицы 1 существует тождественное преобразование указанного вида е = (1,1. Если элементы а и Ь обратимы, то определено обратное преобразование (-1 = (а-1,Ь-1. Если О — группа, то Б (О) также группа.

Обычно в протоколах указываются подмножества А, В С О, из которых выбираются элементы, участвующие в записи преобразований. При этом первый корреспондент— Алиса — выбирает эти элементы из А, а второй корреспондент — Боб — из В. Часто считается, что элементы из А и В попарно перестановочны между собой, то есть для любого а Е А и любого Ь Е В выполнено равенство аЬ = Ьа.

Рассматриваемые схемы устроены следующим образом. Сначала публикуются, то есть объявляются открытыми, несколько (обычно один) элементов д1,...,д^ Е О. Затем Алиса и Боб последовательно публикуют значения вида <ра,ь(/), где f Е О — уже опубликованный ранее элемент. Распределённый ключ выглядит как

К = (а1,Ь1 ((а1-1,Ь1-1 (. . . (РаиЬ1 (д%) ...)) = . . . а^! . . . Ь-Ь. (1)

Отсюда видно, что для получения ключа К достаточно применить к элементу д^ преобразование (и,ь, где и = а^1-1.. .а1,ь = Ь1... Ьг-1 Ь¡. Предполагается, что все преобразования вида ,ь, были использованы при публикации данных. Другими словами, для любой пары а^, Ь^ среди опубликованных данных есть с и й, такие, что й = ,ь, (с). Если элементы а^ и Ьj обратимы, то с = (-1 ь. (й), то есть можно считать, что преобразование (-V также использовано и может быть включено в запись (1). Именно это обстоятельство при определённых условиях на О, А и В позволяет эффективно вычислить К, не определяя элементы aj,Ьj. Об этом говорится в п. 2. Заметим, что при этом становится несущественным, кто из корреспондентов выбирает конкретные значения aj,Ьj, определяя преобразование ,ь,. Заметим, что в некоторых схемах (см., например, [4, 5]), кроме значений вида (a,ь(f), иногда публикуются суммы таких значений. Для рассматриваемых схем это несущественно, так как в процессе криптографического анализа восстанавливаются слагаемые таких сумм (см. пример из п. 3).

2. Основные леммы

Предположим, что в качестве платформы распределения ключей используется группа О, являющаяся подмножеством некоторого конечномерного линейного пространства V. Два корреспондента (Алиса и Боб) договариваются об элементе Н Е О, а также о двух конечно порождённых подгруппах А и В группы О. Предполагается, что любой из элементов а Е А перестановочен с любым из элементов Ь Е В. Все эти данные считаются открытыми.

Предположим, что в данной схеме корреспонденты, начиная с элемента Н, последовательно публикуют элементы вида (а1ьь1 (и) = а^иЬ^, где аг,Ьг Е А (Алиса), и (с,(и) = С3udj, где ^Е В (Боб), в записях которых и — один из уже полученных до этого элементов. Распределяемый ключ имеет вид

К=(191 а,* (... ((и (Н)...)),

где каждая пара (/,дг) совпадает либо с парой вида (аг,Ьг), либо с парой вида (с,-, <),

ег е {±1}.

Следующая лемма показывает, как можно строить базисы линейных подпространств пространства V, порождаемые элементами из О определённого вида. Эта лемма содержится в [11-13] и приводится здесь для замкнутости изложения.

Лемма 1. Пусть А — конечно порождённая подгруппа группы О, А = {а1,... , а^), О является подмножеством конечномерного линейного пространства V над полем Е и Н — элемент группы О. Допустим, что все основные вычисления в V, то есть сложение, умножение на скаляр, решение системы линейных уравнений, эффективны. Тогда существует эффективный способ построения базиса Е = {е1,... ,е3} линейного подпространства Ьт(АНА), порождённого в V всеми элементами вида аНЬ, где а,Ь е А.

Доказательство. Рассмотрим произвольно упорядоченное, начинающееся с Н множество всех элементов вида с£Н<п, где £,п е {±1}; с,< — элементы вида аг или 1. Назовём это множество первым списком, обозначив его Ь1. Выполним следующие операции построения части {в\, е2,...} базиса Е, являющейся базисом линейного подпространства, порождённого списком Ь\\

1) Полагаем е1 = Н.

2) Пусть уже построены элементы {в\,... , е4} базиса Е. Рассматриваем следующий элемент списка с£Н<п. Если он линейно зависим с уже выбранными элементами, он удаляется из списка. Если независим, включается в Е.

Когда первый список закончится, формируется новый произвольно упорядоченный список Ь2 всех элементов вида с£е*<, как при формировании первого списка, где е* — элемент части Е, сформированной после окончания первого списка (за исключением е1).

Далее последовательно рассматриваются элементы списка Ь2 и выполняется действие 2. После окончания действий с Ь2, в результате которых будет получена часть базиса Е, являющаяся базисом подпространства, порождённого списками Ь1 и Ь2, составляется третий список по тому же правилу, и т. д.

3) Процесс построения Е закончен, если при обработке очередного списка в Е не добавится ни одного элемента.

Объясним это заключение. Каждый новый список состоит из элементов предыдущего списка, домноженных слева и справа на порождающие элементы из А или их обратные, допускается, что один из домножаемых элементов равен 1 . Введём обозначение X = {а±1,... , а±1,1}. Тогда первый список Ь1 является подмножеством в ХНХ, второй — Ь2 — подмножеством в X2НХ2 и т.д. Если при обработке очередного списка Ьг+1 С Хг+1НХг+1 ни один из его элементов не был включен в строящийся базис Е, значит, Ьг+1 принадлежит линейному подпространству, порождённому всеми предыдущими списками (соответственно всеми уже построенными элементами базиса), т.е. Хг+1НХ¿+1 С Lin(u;=1XjНХ*). Но тогда Хг+2НХг+2 С Х(Lin(u;=1XjНХ*))Х С С Lin(u;.=1lXjНХ*) С Lin(U!• =1Х * НХ *). Значит, рассмотрение списка ¿¿+2 также не добавит базисных элементов, и т. д. В то же время очевидно, что рассматриваемое подпространство лежит в подпространстве, порождённом всеми списками. Из приведённого рассуждения следует, что всего списков, которые могут дать вклад в строящийся базис, не больше, чем размерность всего линейного пространства V. ■

Следующая лемма является ключевой в последующем криптографическом анализе. Предполагается, что выполнены все перечисленные выше соглашения.

Лемма 2. Пусть О — группа, являющаяся подмножеством конечномерного линейного пространства V над полем Е. Предположим, что даны элементы и и V = (и), где а,Ь Е А являются секретными для стороннего наблюдателя.

Тогда для любого элемента вида т = <^>с^(и), где с,й Е В также неизвестны (другими словами, т Е ВиВ), можно определить элемент г = ^а,ь(т), используя структуру линейного пространства V.

Доказательство. По условию V Е АиА. Строим базис Е пространства Ып(АиА), как это объяснено в лемме 1. Пусть Е = {а1иЬ1,...,агиЬг}, аг,Ьг Е А. Используя алгоритм Гаусса при решении соответствующих систем линейных уравнений, получаем разложение

г

V = аагиЬг, а Е Е.

г=1

Все величины, входящие в запись (1), известны. Подставим в правую часть (1) вместо и элемент т и выполним необходимые преобразования, используя поэлементную перестановочность подгрупп А и В:

г г / г \

агагтЬг = ^ агагсийЬг = с ( ^ агагиЬг \ й = cvd = саиЬй = а(сий)Ь = атЬ = г.

г=1 г=1 \г=1 )

Лемма доказана. ■

Замечание 1. Приведённые результаты с очевидными поправками проходят также для случая, когда О — полугруппа (с единицей или без неё), А и В — подполугруппы.

Сформулируем мнемоническое правило эффективного получения элемента, вытекающее из лемм 1 и 2:

V = фа,ь(и) (а,Ь Е А) & т Е ВиВ ^ ра,ь(т);

V = ^с,а(и) (с,й Е В) & т Е АиА ^ рс,а(т).

Приведённая запись означает, что, вычислив по лемме 1 базис соответствующего векторного пространства и зная элементы и и V из левой части правила (его предположений), можно эффективно вычислить образ элемента т из правой части правила (его заключения).

3. Примеры нахождения распределяемого ключа

Пример 1. Опишем протокол 1 Ванга и др. из [2]. В этой работе в качестве платформы протокола распределения ключа предлагается использовать одну из групп Артина Вп, п Е N.

По известному представлению Лоуренс — Краммера каждая из групп Вп допускает точное матричное представление р над некоторым полем Е. Представление р и поле Е определяются в явном виде. Обратное отображение р-1 также определяется эффективно [21]. Значит, можно предположить, что платформа О описываемого ниже протокола является частью конечномерного линейного пространства V.

Алиса и Боб соглашаются относительно выбора (неабелевой) группы О и случайно выбранного элемента к Е О, а также двух подгрупп А и В группы О, таких, что аЬ = Ьа для любой пары элементов а Е А и Ь Е В. Предполагаем, что подгруппы А и В заданы конечными множествами порождающих элементов {а1,... , ап} и {Ь1,..., Ьт} соответственно. Все эти данные считаются известными.

Алгоритм распределения ключа работает следующим образом:

— Алиса выбирает четыре элемента c\, c2, di, d2 Е A, вычисляет x = di0ihc2d2 и пересылает по открытой сети (публикует) элемент x, предназначенный Бобу.

— Боб выбирает шесть элементов f ]_, f2, g]_, g2, g3, g4 Е B, вычисляет y = gi f ihf2g2 и w = 9af1xf2g4, затем публикует элемент (y,w), предназначенный Алисе.

— Алиса выбирает два элемента d3, d4 Е A, вычисляет z = d3c1 yc2d4 и u = d- 1wd2 1, затем публикует элемент (z,u) для Боба.

— Боб вычисляет и публикует элемент v = g-1zg-1 для Алисы.

— Алиса вычисляет ключ Ka = d-1 vd-1 = c1f1 hf2c2.

— Боб вычисляет ключ Kb = g-1ug-[1 = c1f1hf2c2, равный Ka.

В результате Алиса и Боб вырабатывают общий секретный ключ K = Ka = Kb . Криптографический анализ

В протоколе использованы следующие преобразования:

<Pdi_ci_,C2d2 , p9ifi,f292 , p93fl,f294, <Pd3CltC2d4, pd-i_,d2 , Pd1, 92 '

Непосредственно проверяется, что ключ K можно представить в виде

K = <Pcifi,f2C2 (h) = ^"1,d2 (VdiCi,C2d2 (<Pdl,92 iV9lfl,f292 (h)))) ■

Проследим, что все вычисления при таком представлении ключа K может проделать любой наблюдатель (не знающий параметров преобразований), используя только леммы 1 и 2.

Результат первого преобразования y = p91f1,f292 (h) известен, как передаваемое по сети сообщение.

Результат второго преобразования p—92 (y) определяется по мнемоническому правилу

v = Pd1,92 (z) & y Е AzA ^ Pddl,92 (y) = f 1hf2 ■ Результат третьего преобразования определяется по мнемоническому правилу

x = PdiCi,C2d2(h) & fihf2 Е BhB ^ PdiCi,C2d2(f ihf2) = dicifihf2Qid^. Результат четвертого преобразования определяется по мнемоническому правилу u = Pdi,d2 (w) & d ic if ihf2c2d2 Е BwB ^ pd^d2 (d ic ifihf2Q2d2) = c if'ihf2Q2 = K■

Пример 2. Известный протокол Ко и др. [9] называют некоммутативным аналогом протокола Диффи — Хеллмана. Предлагаемая его авторами платформа — одна из групп кос Артина Bn, n Е N. Относительно её представления матрицами см. пример 1. Соглашения о первоначальном выборе платформы G = Bn, элемента h Е G, двух конечно порождённых подгрупп A и B группы G те же самые, что и в примере 1. Алгоритм распределения ключа работает следующим образом:

— Алиса выбирает элемент а Е A, вычисляет ha = aha9 i и пересылает по открытой сети (публикует) элемент ha, предназначенный Бобу.

— Боб выбирает элемент b Е B, вычисляет hb = bhb9 i и пересылает по открытой сети (публикует) элемент hb, предназначенный Алисе.

— Алиса вычисляет ключ Ka = (hb)a = hab.

— Боб вычисляет ключ KB = (ha)b = hba.

Так как аЬ = Ьа, эти ключи совпадают, предоставляя корреспондентам Алисе и Бобу секретный распределённый ключ К = К а = К в. Криптографический анализ

Заметим, что

К = аЬка-1Ь-1 = (<рь,ь- (к)).

Результат первого преобразования кь = ^ь,ь-1 (к) известен, как передаваемое по сети сообщение.

Результат второго преобразования определяется по мнемоническому правилу ка = <ра,а-1 (к) & кь Е ВкВ ^ ^а.а-1 (кЬ) = К.

Пример 3. Опишем протокол Б. и Т. Харли [4, 5]. Пусть О — конечно порождённая коммутативная подгруппа общей линейной группы ОЬп(Е) над полем Е. Эти данные открыты.

Алгоритм работает следующим образом:

— Боб выбирает у Е Еп и элемент Ь Е О, вычисляет и публикует уЬ.

— Алиса хочет послать Бобу секрет х Е Еп. Для этого она выбирает элементы а^а Е О, вычисляет и пересылает по сети сообщение (ха,уЬа1), предназначенное Бобу.

— Боб выбирает Ь1,Ь2 Е О, вычисляет и пересылает сообщение (хаЬ1,уа1Ь2), предназначенное Алисе.

— Алиса вычисляет (хЬ1 ,уЬ2) и пересылает сообщение хЬ1 — уЬ2 для Боба.

— Боб вычисляет х — уЬф-1 и восстанавливает х. Боб может использовать уЬ в дальнейшем.

Криптографический анализ

Так как платформа О — коммутативная группа, можно считать, что корреспонденты используют произвольные односторонние (правые) умножения рс = с Е О, а также, что А = В = О. Аргументы леммы 1 позволяют построить базисы подпространств вида Ьт(дО), д Е О. Условие т Е ВиВ леммы 2 выполняется автоматически. Соответственно упрощается мнемоническое правило. Подгруппа О порождает в ОЬп(Е) конечномерную подалгебру, на которую продолжаются действия преобразований рс. Отсюда следует, что для вычисления секрета достаточно найти его выражение как элемента этой подалгебры через заданные элементы и использованные в протоколе преобразования вида рс.

В рассматриваемом протоколе заданы элементы уЬ,ха и хЬ1 — уЬ2, использованы преобразования рь1, ра1, ра1ь2ь-1. Первое преобразование отвечает паре (ха,хаЬ]), второе—паре (уЬ,уЬа1), третье —паре (уЬ,уа1Ь2). Запишем искомое выражение:

х = Р-1(хЬ1 — уЬ2) + Р-11(Р-1^(уа1Ь2)).

4. Оценка сложности алгоритмов в предложенном криптографическом анализе

Алгоритм, описанный в лемме 1, строит базис подпространства конечномерного линейного пространства над полем, используя метод Гаусса решения систем линейных уравнений. В каждом рассматриваемом случае нужно определить только наличие или отсутствие решения у данной системы. Для верхней оценки числа полевых операций

в алгоритме заметим, что это число в алгоритме Гаусса для матрицы размера (t х s) оценивается как O(t2s). Пусть r — размерность пространства V, что совпадает с числом уравнений в системах. Число неизвестных не превышает r, так как оно равно числу уже включённых в базис подпространства элементов и не может превышать размерности всего пространства. Значит, каждый раз выполняется не более O(r3) операций. Общее число просматриваемых списков не превышает r, так как из каждого из них, за исключением последнего, хотя бы один элемент должен добавляться в базис. В то же время первый список должен дать хотя бы два элемента базиса. В каждом из списков не более 4k2r элементов. Всего таких элементов не более 2k2r2. Итоговая оценка даёт O(k2r5) операций. Эта оценка весьма грубая.

В некоторых случаях необходимо учитывать предварительное представление платформы матрицами и операции, связанные с обратным переходом относительно таких представлений, чтобы записать полученный ключ в исходном виде. Например, в [21] показано, что из матричного вида элемента группы кос Bn его стандартная запись восстанавливается с использованием не более чем O(n3 log2 dt) операций, где dt — некоторый эффективно вычислимый параметр, зависящий от соответствующего элемента. Заметим, что получение матричной записи элемента производится фактически за время, определяемое линейной функцией его длины.

В алгоритме леммы 2 также применяется алгоритм Гаусса. В данном случае он каждый раз находит единственное решение. Так как всего используется ограниченное число построений базиса и разложений по нему, общая оценка остается прежней: O(k2r5).

ЛИТЕРАТУРА

1. Andrecut M. A Matrix Public Key Cryptosystem. arXiv math.: 1506.00277v1 [cs.CR], 31 May 2015.

2. Wang X., Xu C., Li G., et al. Double Shielded Public Key Cryptosystems. Cryptology ePrint Archive, Report 2014/558, Version 20140718:185200, 2014. https://eprint.iacr.org/2014/ 558

3. Stickel E. A new method for exchanging secret keys // Proc. Third Intern. Conf. ICITA 05. Contemp. Math. 2005. V. 2. P. 426-430.

4. Harley B. and Harley T. Group Ring Cryptography. arXiv: 1104.17.24v1 [math.GR], 9 April 2011. 20 p.

5. Harley T. Cryptographic Schemes, Key Exchange, Public Key. arXiv math.: 1305.4063v1 [cs.CR], May 2013. 19p.

6. Shpilrain V. and Ushakov A. A new key exchange protocol based on the decomposition problem // Algebraic Methods in Cryptography. Contemp. Math. 2006. V. 418. P 161-167.

7. Myasnikov A., Shpilrain V., and Ushakov A. Group-Based Cryptography. (Advances courses in Math., CRM, Barselona). Basel; Berlin; New York: Birkhauser Verlag, 2008. 183 p.

8. Myasnikov A., Shpilrain V., and Ushakov A. Non-commutative Cryptography and Complexity of Group-Theoretic Problems. (Amer. Math. Soc. Surveys and Monographs). Providence, RI: Amer. Math. Soc., 2011. 385 p.

9. Ko K. H., Lee S. J., Cheon J. H., et al. New public-key cryptosystem using braid groups // CRYPTO 2000. LNCS. 2000. V. 1880. P. 166-183.

10. Романьков В. А. Введение в криптографию. Курс лекций. М.: Форум, 2012. 240с.

11. Романьков В. А. Алгебраическая криптография. Омск: Изд-во Ом. ун-та, 2013. 135 с.

12. Романьков В. А. Криптографический анализ некоторых известных схем шифрования, использующих автоморфизмы // Прикладная дискретная математика. 2013. №3(21). С. 35-51.

13. Myasnikov A. G. and Roman'kov V. A. A linear decomposition attack // Groups Complexity Cryptology. 2015. V.7. P. 81-94.

14. Roman'kov V. A. and Menshov A. V. Cryptanalysis of Andrecut's Public Key Cryptosystem. arXiv math.: 1507.01496v1 [math.GR], 6 Jul 2015.

15. ГорноваМ.Н., КукинаЕ.Г., Романьков В. А. Криптографический анализ протокола аутентификации Ушакова — Шпильрайна, основанного на проблеме бинарно скрученной сопряжённости // Прикладная дискретная математика. 2015. №2(28). С. 46-53.

16. Roman'kov V. A. A polynomial time algorithm for the braid double shielded public key cryptosystems // Bulletin of the Karaganda University. Mathematics Series. 2014. No. 4(84). P. 110-115; arXiv math.:1412.5277v1 [math.GR], 17 Dec 2014.

17. Roman'kov V. A. A nonlinear decomposition attack // Groups Complexity Cryptology. 2017. V. 8. P. 197-207.

18. Eick B. and Kahrobaei D. Polycyclic Groups: A New Platform for Cryptology? arXiv math.: 0411.077v1 [math.GR], 3 Nov 2004. 7p.

19. Gryak K. J. and Kahrobaei D. The status of polycyclic group-based cryptography: A survey and open problems // Groups Complexity Cryptology. 2017. V. 8. P. 171-186.

20. Cavallo B. and Kahrobaei D. A Family of Polycyclic Groups over which the Conjugacy Problem is NP-complete. arXiv math.: 1403.4153v2 [math. GR], 19 Mar 2014. 14 p.

21. CheonJ.H. and Jun B. A polynomial time algorithm for the Braid Diffie — Hellman Conjugacy Problem // CRYPT0-2003. LNCS. 2003. V. 2729. P. 212-225.

REFERENCES

1. Andrecut M. A Matrix Public Key Cryptosystem. arXiv math.: 1506.00277v1 [cs.CR], 31 May 2015.

2. Wang X., Xu C., Li G., et al. Double Shielded Public Key Cryptosystems. Cryptology ePrint Archive, Report 2014/558, Version 20140718:185200, 2014. https://eprint.iacr.org/2014/ 558

3. Stickel E. A new method for exchanging secret keys. Proc. Third Intern. Conf. ICITA 05. Contemp. Math., 2005, vol.2, pp. 426-430.

4. Harley B. and Harley T. Group Ring Cryptography. arXiv: 1104.17.24v1 [math.GR], 9 April 2011. 20 p.

5. Harley T. Cryptographic Schemes, Key Exchange, Public Key. arXiv math.: 1305.4063v1 [cs.CR], May 2013. 19p.

6. Shpilrain V. and Ushakov A. A new key exchange protocol based on the decomposition problem. Algebraic Methods in Cryptography. Contemp. Math., 2006, vol.418. pp 161-167.

7. Myasnikov A., Shpilrain V., and Ushakov A. Group-Based Cryptography. (Advances courses in Math., CRM, Barselona). Basel, Berlin, New York, Birkhauser Verlag, 2008. 183 p.

8. Myasnikov A., Shpilrain V., and Ushakov A. Non-commutative Cryptography and Complexity of Group-Theoretic Problems. (Amer. Math. Soc. Surveys and Monographs). Providence, RI, Amer. Math. Soc., 2011. 385 p.

9. Ko K. H., Lee S. J., Cheon J. H., et al. New public-key cryptosystem using braid groups. LNCS, 2000, vol. 1880, pp. 166-183.

10. Roman'kov V. A. Vvedenie v kriptografiyu. Kurs lektsiy [Introduction to Cryptography. Lecture Course]. Moscow, Forum Publ., 2012. 240p. (in Russian)

11. Roman'kov V. A. Algebraicheskaya kriptografiya [Algebraic Cryptography]. Omsk, OmSU Publ., 2013. 135 p. (in Russian)

12. Roman'kov V. A. Kriptograficheskiy analiz nekotorykh izvestnykh skhem shifrovaniya, ispol'zuyushchikh avtomorfizmy [Cryptographic analysis of some known encryption schemes using automorphisms]. Prikladnaya Diskretnaya Matematika, 2013, no.3(21), pp.35-51. (in Russian)

13. Myasnikov A. G. and Roman'kov V. A. A linear decomposition attack. Groups Complexity Cryptology, 2015, vol. 7, pp. 81-94.

14. Roman'kov V. A. and Menshov A. V. Cryptanalysis of Andrecut's Public Key Cryptosystem. arXiv math.: 1507.01496v1 [math.GR], 6 Jul 2015.

15. GornovaM.N., KukinaE.G., and Roman'kov V. A. Kriptograficheskiy analiz protokola autentifikatsii Ushakova —Shpil'rayna, osnovannogo na probleme binarno skruchennoy sopryazhennosti [Cryptographic analysis of the autentification protocol by Ushakov — Shpilrain based on the bi-twisted conjugacy problem]. Prikladnaya Diskretnaya Matematika, 2015, no. 2(28), pp. 46-53. (in Russian)

16. Roman'kov V. A. A polynomial time algorithm for the braid double shielded public key cryptosystems. Bulletin of the Karaganda University. Mathematics Series, 2014, no. 4(84), pp. 110-115; arXiv math.:1412.5277v1 [math.GR], 17 Dec 2014.

17. Roman'kov V. A. A nonlinear decomposition attack. Groups Complexity Cryptology, 2017, vol. 8, pp. 197-207.

18. Eick B. and Kahrobaei D. Polycyclic Groups: A New Platform for Cryptology? arXiv math.: 0411.077v1 [math.GR], 3 Nov 2004. 7p.

19. Gryak K. J. and Kahrobaei D. The status of polycyclic group-based cryptography: A survey and open problems. Groups Complexity Cryptology, 2017, vol. 8, pp. 171-186.

20. Cavallo B. and Kahrobaei D. A Family of Polycyclic Groups over which the Conjugacy Problem is NP-complete. arXiv math.: 1403.4153v2 [math. GR], 19 Mar 2014. 14 p.

21. CheonJ.H. and Jun B. A polynomial time algorithm for the Braid Diffie — Hellman Conjugacy Problem. CRYPT0-2003, LNCS, 2003, vol.2729, pp. 212-225.