CC BY
492. ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности. - Взамен ГОСТ Р ИСО/МЭК 15408-2-2008; Введ. 01 - 09 - 2014. -Москва: Стандартинформ, 2014.
3. ГОСТ Р ИСО/МЭК 15408-3-2013. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности. - Взамен ГОСТ Р ИСО/МЭК 15408-3-2008; Введ. 01- 09-2014. Москва: Стандартинформ, 2014.
ОГРАНИЧЕННО ГОМОМОРФНЫЕ СХЕМЫ ШИФРОВАНИЯ
Якушкина А.А.
Якушкина Анастасия Александровна - магистрант, направление: информационная безопасность, кафедра информационных технологий и систем, Дальневосточный государственный университет путей сообщений, г. Хабаровск
Аннотация: в статье представлен обзор известных ограниченно гомоморфных криптосистем. Обоснованы гомоморфные свойства рассмотренных криптосистем. Проведен сопоставительный анализ особенностей применения алгоритмов гомоморфного шифрования.
Ключевые слова: криптография, гомоморфное шифрование, облачные вычисления.
В настоящее время облачные вычисления являются одной из самых востребованных на текущий период технологий на рынке информационных услуг. Основной причиной такого развития является возможность для компаний и частных лиц снижения расходов на поддержание собственной ИТ-инфраструктуры за счет передачи этой работы провайдеру облачного сервиса. Однако в такой ситуации становятся небезопасными хранение и обработка конфиденциальных данных в облачной инфраструктуре.
Решением этой проблемы может служить шифрование всех конфиденциальных данных с помощью гомоморфной схемы шифрования, позволяющей проводить вычисления над зашифрованными данными без их дешифрования. Гомоморфное шифрование является своего рода схемой шифрования, которая позволяет третьему лицу (например, облаку, поставщику услуг) выполнять определенные вычислительные функции для зашифрованных данных, сохраняя при этом формат зашифрованных данных.
С исторической точки зрения в криптологии термин «гомоморфизм» впервые используется Ривестом, Адлеманом и Дертоузом [1] в 1978 году как возможное решение для вычисления без дешифровки. Этот базис привел к многочисленным попыткам исследователей во всем мире разработать такую гомоморфную схему с большим набором операций.
В этой работе основной задачей является обзор схем ограниченно гомоморфного шифрования, в которых основное внимание уделяется последним тенденциям в этой области.
ОПРЕДЕЛЕНИЕ 1. Схема шифрования называется гомоморфной над операцией «?», если она поддерживает следующее уравнение:
Е(т1) ? Е(т2) = Е(т\ ? т2), Ут1,т2 6 М, (1)
где Е - алгоритм шифрования, а М - набор всех возможных сообщений.
Схема гомоморфного шифрования в первую очередь характеризуется четырьмя операциями: KeyGen, Enc, Dec и Eval. KeyGen - это операция, которая генерирует пару ключей (открытый и закрытый) для асимметричного гомоморфного шифрования или одного ключа для симметричного. Фактически, KeyGen, Enc и Dec не отличаются от своих классических задач в обычных схемах шифрования. Однако операция Eval является специфичной для операции гомоморфного шифрования, которая берет зашифрованный текст как входные данные и выводит зашифрованный текст, соответствующий открытому тексту. Операция Eval выполняет функцию f() по зашифрованным текстам (c1, c2) без просмотра сообщений (m1, m2). Наиболее важным моментом в гомоморфном шифровании является то, что формат зашифрованных текстов после процесса шифрования должен быть сохранен для правильного дешифрования. Кроме того, размер зашифрованного текста также должен быть постоянным, чтобы поддерживать неограниченное количество операций. В противном случае увеличение размера зашифрованного текста потребует больше ресурсов, и это ограничит количество операций.
В этой статье мы остановимся на основных схемах ограниченно гомоморфного шифрования, открытие которых позволило сделать огромный шаг к первой правдоподобной схеме полностью гомоморфного шифрования.
Криптосистема BGN
До 2005 года свойства гомоморфизма всех предлагаемых криптосистем были ограничены только операциями сложения или умножения. Один из наиболее важных шагов по схеме полностью гомоморфного шифрования совершили Бонех, Го и Ниссим (BGN) [4]. Криптосистема BGN вычисляет формулы 2-ДНФ в зашифрованном тексте и поддерживает произвольное количество сложений и одно умножение, сохраняя постоянный размер зашифрованного текста. Стойкость схемы основана на решении проблемы подгруппы [7]. Задача решения подгруппы определяет, является ли элемент членом подгруппы Gp группы G сложного порядка n = pq, где p и q - отличные друг от друга простые числа.
• алгоритм генерации ключей: открытым ключом является набор (n, G, G1, e, g, h). В открытом ключе e является билинейным отображением, такое, что e: G х G ^ Gj, где G, Gj - группы порядка n = qjq2. Элементы ключа g и u являются образующими группы G и задают h = , а h является генератором G с порядком qj, который является секретным ключом.
• алгоритм шифрования: для шифрования сообщения m выбирается случайное число r из набора {0,1, ..., n - 1} и зашифровывается с использованием предварительно вычисленных g и h следующим образом:
c = E(m) = g m h r mod n (2)
• алгоритм дешифрования: чтобы расшифровать зашифрованный текст с, сначала вычисляется cs = cq1 = (gmhr)q1 = (gq1) m (обращаем внимание, что hq1 = 1 mod n) и gs = gq1 с использованием секретного ключа q1 и дешифрование выполняется следующим образом:
m = D(c) = logg- c (3)
Для эффективного дешифрования пространство сообщений должно быть небольшим из-за того, что дискретный логарифм накладывает ограничение скорости на процесс дешифрования.
• гомоморфное свойство относительно операции сложения: гомоморфное сложение открытых текстов m1 и m2 с использованием зашифрованных текстов E (m1) = c1 и E (m2) = c2 выполняются следующим образом:
c = c1c2hr = (gmlhrl)(gm2hr2)hr = gml+m2hr\ (4)
где r = r1 + r2 + r, и не трудно заметить, что m1 + m2 можно легко восстановить из полученного зашифрованного текста c.
• гомоморфное свойство относительно операции умножения: для выполнения гомоморфного умножения используется g1 с порядком n и h1 с порядком q1 и установим g1 = e (g, g), h1 = e (g, h) и h = gaq2. Затем гомоморфное умножение сообщений m1 и m2 с использованием зашифрованных текстов c1 = E (m1) и с2 = E (m2) вычисляется следующим образом:
с = e(c1,c2)h[ = e(gm^,gm^)hl =
_ т1т2,т1г2+г2т1 + ац2г1г2 + г _ m^i. г
— У 1 ni — ifi ni
Видно, что Г равномерно распределено подобно r, и поэтому mjm2 может быть правильно восстановлено из полученного зашифрованного текста с. Однако c теперь находится в группе G1 вместо G, поэтому другая операция гомоморфного умножения в G1 недопустима. Однако полученный шифротекст в G1 все еще допускает неограниченное количество гомоморфных сложений.
Другие криптосистемы
В истории схем гомоморфного шифрования одна из первых схем ограниченно гомоморфного шифрования - схема Polly Cracker [8]. Она позволяет выполнять операции умножения и сложения с зашифрованным текстом. Однако размер зашифрованного текста растет экспоненциально относительно гомоморфной операции, особенно операции умножения. Позднее были разработаны более эффективные варианты [9, 10], но почти все из них впоследствии оказались уязвимыми для атак [11]. Не так давно Альбрехт [12] представил схему Polly Cracker с криптосистемой Noise, где операции гомоморфного сложения не увеличивают размер зашифрованного текста, а умножение возводит размер зашифрованного текста во вторую степень.
Другая идея вычисления операций с зашифрованными данными реализуется на разных схемах. Сандер, Янг и Юнг (SYY) описали первую схему ограниченно гомоморфного шифрования над полугруппой NC1 [3], что требует меньших свойств, чем группа. NC1 - класс сложности, который включает в себя схемы с полулогарифмической глубиной и полиномиальным размером. Предлагаемая схема поддерживала полиномиальное множество сложений зашифрованных текстов с одним элементом умножения / отрицания. Юваль Ишай и Анат Паскин (IP) расширили набор до программ разветвления (также двоичные схемы принятия решений), которые являются ориентированными ациклическими графами, где каждый узел имеет два исходящих ребра с маркированными двоичными 0 и 1 [5]. Более того, Мелхор [13] предложил обобщенный метод для получения схемы шифрования, позволяющей вычислять глубину схемы. Схема закодированного шифрования получена из хорошо известных схем шифрования с некоторыми гомоморфными свойствами. Например, он показал, как получить комбинацию BGN [4] и Кавачи [14]. Как упоминалось ранее, BGN допускает произвольное количество добавлений и одно умножение, тогда как схема Кавачи только аддитивно гомоморфна. Следовательно, полученная комбинированная схема позволяет совершать произвольное количество сложений и два умножения.
Сравнение некоторых наиболее известных схем ограниченно гомоморфного шифрования приведено в таблице 2. Как показано в таблице 2, в то время как в криптосистемах Яо, SYY и IP размер зашифрованного текста растет с каждой гомоморфной операцией, в BGN он остается постоянным. Это свойство BGN стало огромным шагом к получению схемы полностью гомоморфного шифрования.
Криптосистема Количество операций Схема вычислений Размер зашифрованных данных
Яо [2] Произвольное «Запутанная» логическая схема Растет как минимум линейно
SYY [3] Полиномиальное множество сложений с одним элементом умножения / отрицания Подгруппа Ж"1 Растет экспоненциально
BGN [4] Неограниченное сложение и одно умножение 2-ДНФ Остается неизменнным
IP [5] Произвольное Программы разветвления Не зависит от размера функции
В современном мире, ориентированном на Интернет, конфиденциальность данных играет более значительную роль, чем когда-либо прежде. Для высокочувствительных систем, таких как онлайн-торговля и электронный банкинг, крайне важно защитить учетные записи пользователей и их активы от злонамеренных третьих лиц. Тем не менее, сегодняшней нормой является шифрование данных и обмен ключами с поставщиком услуг, оператором облаков и т. д. В этой модели контроль конфиденциальности конфиденциальных данных теряется. Пользователи или поставщики услуг с ключом имеют исключительные права на данные. Одним из перспективных направлений сохранения конфиденциальности данных является использование схем гомоморфного шифрования. Гомоморфное шифрование - это особый вид схемы шифрования, который позволяет любому третьему лицу работать с зашифрованными данными без предварительного расшифровки.
В процессе выполнения работы был проведен анализ гомоморфных свойств известных ограниченно гомоморфных криптосистем, включающий выявление особенностей генерации ключей, функции шифрования и дешифрования.
Результаты работы являются значимыми как в практическом, так и в научном плане, поскольку могут быть использованы для дальнейшего исследования полностью гомоморфных криптосистем с целью усовершенствования алгоритмов гомоморфного шифрования.
Список литературы
1. Rivest R.L., Adleman L., Dertouzos M. L.. On data banks and privacy homomorphism // Foundations of secure computation, 1978. C. 169-180.
2. Yao A. Protocols for Secure Computations / Andrew Chi-Chih Yao // 23rd Annual Symposium on Foundations of Computer Science, 1982. C. 160-164.
3. Sander T., Young A., Yung, M. Non-interactive cryptocomputing for NC1 // FOCS, 1999. C. 554-567.
4. Boneh D. Evaluating 2-DNF formulas on ciphertexts / Dan Boneh, Eu-Jin Goh, Kobbi Nissim // In Theory ofcryptography, 2005. C. 325-341.
5. Ishai Y., Paskin A. Evaluating branching programs on encrypted data.// In Theory of Cryptography, 2007. С. 575-594.
6. Gentry C. A fully homomorphic encryption scheme. [Электронный ресурс]. Режим доступа: https://crypto.stanford.edu/craig/craig-thesis.pdf, своб./ (дата обращения: 29.05.2018).
7. Shpilrain V., Zapata G. Using the subgroup membership problem in public key cryptography // Contemp. Math. V. 418. Providence, RI: Amer. Math. Soc., 2006. C. 169-179.
8. Fellows M., Koblitz N. Combinatorial cryptosystems galore // Contemp.Math. № 168, 1994. C. 51-61.
9. Vehel F., Perret L. A Polly Cracker system based on satisfiability / Françoise Levy-dit Vehel, Ludovic Perret // Coding, Cryptography and Combinatorics, 2004. C. 177-192.
10. Ly L.V. Polly Two: A new algebraic polynomial-based public-key scheme // Applicable Algebra in Engineering, Communication, and Computing. Vol. 17, 2006. C. 267-283.
11. Steinwandt R. A. ciphertext-only attack on Polly Two // Applicable Algebra in Engineering, Communication and Computing, 2010. C. 85-92.
12.Albrecht M.R., Farshim P., Faugere J.C., Perret L. Polly cracker, revisited // Advances in Ctyptology - ASIACRYPT-2011, 2011. C. 179-196.
13.Melchor C., GaboritP., Herranz J. Additively homomorphic encryption with d-operand multiplications // Advances in Cryptology - CRYPT0-2010, 2010. C. 138-154.
14. Kawachi A., Tanaka K., Xagawa K. Multi-Bit Cryptosystems based on Lattice Problems // 10th international conference on Practice and theory in public-key cryptography, 2007. C. 315-329.
