УДК 512.6, 519.165, 519.725 Н.В. Медведев, С.С. Титов
Почти пороговые схемы разделения секрета на эллиптических кривых
Работа посвящена исследованию схем разделения секрета при помощи многочленов на эллиптических кривых. Изучены структуры доступа и основные свойства таких схем. Доказана теорема о неразрешенных коалициях, приведен пример.
Ключевые слова: схема разделения секрета, эллиптические кривые, многочлены, структура доступа, пороговые схемы, циклы, матроиды, конечные поля.
Схема разделения секрета (СРС) включает в себя дилера, формирующего секрет, и участников, получающих долю от этого секрета [1, 2]. Только объединившись, n участников пороговой схемы « n из N» могут восстановить секрет. Эту СРС описал Ади Шамир [3]. Он использовал многочлен, который может быть построен по n точкам, определяемым координатами из конечного поля. Таким образом, в СРС Шамира участники параметризуются элементами данного конечного поля, что геометрически означает ось абсцисс, а также еще одного «несобственного» участника, соответствующего «бесконечно удаленной» точке. В данной работе, в развитие статьи [4], предлагается использовать эллиптическую кривую и точки на ней для параметризации участников и исследуются свойства получающейся СРС.
Разделение секрета на эллиптической кривой происходит по следующему алгоритму: дилер выбирает эллиптическую кривую EC с необходимым количеством точек (не менее N). Каждому из участников СРС (в том числе хранителю секрета) ставится в соответствие точка на эллиптической кривой, включая «бесконечно удаленную». Затем дилер выбирает многочлен степени n на этой кривой. Коэффициенты данного многочлена известны только ему. Точка на эллиптической кривой, которая обозначает участника - хранителя секрета, известна всем. Дилер подставляет координаты этой точки в выбранный им многочлен, вычисляет значение секрета. Для того чтобы каждому участнику раздать свою долю секрета, дилер подставляет координаты точки участника в многочлен, получая долю секрета для него. В итоге участник имеет точку на эллиптической кривой (login) и долю секрета (password). Для восстановления секрета нескольким участникам необходимо объединиться, чтобы восстановить коэффициенты выбранного дилером многочлена. Математически это сводится к решению некоторой системы уравнений. Участники, составляющие разрешенную коалицию, получают искомый многочлен, куда подставляют координаты точки, обозначающей секрет. В итоге они получают секрет, который сформировал дилер [4].
Исследования требуют следующих свойств СРС: идеальность, линейность, совершенность и пороговость. СРС - идеальная, т.к. каждому из участников дается одинаковый размер доли секрета.
Как известно [1, 5, 6], разрешенные коалиции идеальной схемы определяются циклами некоторого
связного матроида, изучение которого и дает структуру доступа. Схема совершенная следует из ее линейности. Линейность и пороговость рассматриваются ниже.
Конструкция СРС
Напомним [7, 8], что в случае произвольного поля всякую эллиптическую кривую можно преобразовать к виду
У2 + ct\XY + азУ = X3 + a2X2 + 04X + аб . (1)
Дискриминант определяется следующим образом:
Д = -¿2^8 - 8b43 - 27b(2 + 9^2^4^6, (2)
2 2 2 2 2 где ¿2 = С1 + 4c2, ¿4 = 2c4 + 0103, ¿6 = 03 + 4c6 , ¿8 = 01 a( + 4c2a( - 0^0304 + 0203 -04 [7].
Над полем характеристики, не равной двум, эллиптическая кривая (1) может быть приведена к
2 3 2
виду у = Х + 0Х + ¿x+с .
Теорема Хассе об эллиптических кривых утверждает, что количество N точек на эллиптической кривой ЕС(ОЕ(д)) близко к мощности q конечного поля:
(^-1)2 < ЕС(ОЕ(д))| < (4д +1)2. (3)
В общем виде многочлен, который выбирает дилер, имеет вид Е(Р) = а(х) + Р(х)у, где а(х), Р(х) - многочлены над полем ОЕ(д). Степень многочлена Е определяется по формуле deg Е = max{2degа,2degP + 3} . Если Е (Р) = 0, то точка Р = (х, у) є ЕС называется корнем многочлена. Так, для аналога схемы Шамира схемы «5 из N » необходимо задать многочлен степени пять. В общем виде многочлен степени, равной либо меньшей 5, имеет вид Е = а(х) + Р(х)у, где
а(х) = Ах2 + Вх+С, Р(х) = Бх+Е . Здесь А, В,С, Б, Е єОЕ(д) и deg Е = 5 при Б ф 0.
Доли секрета для пяти участников дают зависимость:
(Ах1 + Вхі + С) + (Бхі + Е) уі = sl,
(Ах1 + Вх2 + С) + (Бх2 + Е) у2 = S2,
< (Ах^ + Вхз + С) + (Бхз + Е)уз = 53, (4)
(Ах4 + Вх4 + С) + (Бх4 + Е) у4 = 54,
(Ах5 + Вх5 + С) + (Бх5 + Е) у5 = 55.
Здесь точки р = (х,,уі), (і = 1,...,п) соответствуют участникам: 5 , (і = 1,...,п) - их доли секрета. Для разделения секрета коалиция из п = 5 участников должна объединиться и решить систему уравнений (4) для пяти неизвестных А,В,С,Б,Е . Если они однозначно найдут значения этих параметров, то смогут однозначно восстановить секрет, т.е. значение многочлена Е в любой точке Р є ЕС, и, следовательно, эта коалиция является разрешенной.
Коалиция участников будет неразрешенной, если система линейных уравнений (4) не имеет однозначного решения, т.е. определитель ё однородной системы равен нулю. Определитель ё для коалиции участников с конечными точками равен
х2 х1 х1 Л у1
х2 х2 х2 у2 у2
х3 х3 х3 у3 у3
х2 л4 х4 х4 у4 у4
х5 х5 х5 у5 у5
ё =
Определитель для коалиции участников с «бесконечно удаленной» точкой Р5 имеет вид
ё =
(5)
х1 х1 1 х1 у Л
х2 х2 1 х2 у2 у2
х3 х3 1 х3 у3 у3
х4 х4 1 х4 у4 у4
0 0 0 1 0
х12 х1 1 Л
х22 х2 1 у2
х322 х3 1 у3
х2 4 х4 1 у4
(6)
Значение многочлена Е(х,у) = (Ах + Вх + С) + (Бх+Е)у в точке Р(х,у) кривой ЕС можно
2
представить в виде скалярного произведения двух векторов (А,В,С,Б,Е)• (х ,х,1,ху,у). «Бесконечно удаленная» точка соответствует вектору (0,0,0,1,0), т.е. старшему коэффициенту многочлена. Из
этого представления следует линейность СРС [1].
Конечно же, хотелось бы получить хоть какое-то обоснование привлечения вычислительно затратных эллиптических кривых над конечным полем. В качестве подобного обоснования можно привести переход от ГОСТ ЭЦП 1994 г. к ГОСТ ЭЦП 2001 г. посредством замены мультипликативной группы поля вычетов на аддитивную группу точек эллиптической кривой, и эта замена позволила снизить длину ключа с 1024 до 256 бит при той же криптостойкости.
Н.В. Медведев, С. С. Титов. Почти пороговые схемы разделения секрета на эллиптических кривых 93 Свойства СРС
Напомним [7, 8], что для произвольной ненулевой рациональной функции / над кривой ЕС и произвольной точки Р этой кривой можно определить целое число оМр (/), называемое порядком
этой функции в точке Р . Тогда дивизором функции / называется Б = &у(/) = Е оМр (/)(Р).
РеЕС
Такие дивизоры называются главными [7]. Степенью произвольного дивизора Б = Е Пр(^
РеЕС
Пр е X , называется число deg(Б) = Е Пр . Основой описания минимальных разрешенных коали-
РеЕС
ций и циклов соответствующего матроида является
Теорема 1. Для П различных точек на эллиптической кривой ЕС существует многочлен степени П , имеющий эти точки своими корнями, тогда и только тогда, когда сумма этих П точек равна нулю в группе точек данной кривой.
Доказательство. Пусть Р[ + Р2 +... + РП = 0 . Возьмем дивизор Б = 1(Р) +1(Р2) +... +1(РП)-п(0). Воспользуемся теоремой, характеризующей группу главных дивизоров кривой как группу всех дивизоров Б нулевой степени, удовлетворяющих условию
°(Р) = Е ПрР = 0, (7)
РеЕС
где 0 - нулевой элемент группы кривой, т.е. ее «бесконечно удаленная» точка [7]. Рассмотрим два параметра дивизора: ст(Б) и deg(Б).
Гст(Б) = 1-Р +1-Р2 +... + 1-Рп -п- 0 = 0,
^(Б) = 1 + 1 +... + 1-п = 0. ( )
Поскольку ст(Б) = 0 и deg(Б) = 0, этот дивизор является главным, и, по теореме о главных дивизорах [7], существует рациональная функция / такая, что Б = div(/), а так как нет полюсов в
конечных точках и корни имеют единичную кратность, то / есть многочлен.
Обратно, пусть многочлен / существует. Вычислим дивизор этого многочлена как частный случай рациональной функции
Б = аад = к1 • (Р) + к2 • (Р2) +... + кп • (Рп)-п(0) , (9)
где к1,к2,...,кП >1 - кратности корней. Порядок «бесконечно удаленной» точки равен (-п), так как степень многочлена равна п . Поскольку все точки разные, то если для какого-то г имеем к > 1, то степень дивизора Б будет больше нуля: deg(Б) = к1 + к2 +... + кП - п > 0. А это противоречит теореме о главных дивизорах. Значит к1 = к2 =... = кП =1, и тогда ст(Б) = 1-Р[ +1-Р +... + 1-РП -п• 0 = Р[ + Р +... + РП и ст(Б) = 0, поэтому Р1 + Р2 +...+РП = 0 . Теорема доказана.
Итак, если в коалиции участников меньше чем п , то такая коалиция будет неразрешенной. Если в коалиции участников ровно п , и сумма точек-участников не равна 0, то это разрешенная коалиция. Если в коалиции участников ровно п , и сумма точек-участников равна 0, то это неразрешенная коалиция. Если в коалиции более чем п участников, то она будет неразрешенной тогда и только тогда, когда сумма любых ее п точек-участников равна нулю.
Пусть сумма точек-участников в неразрешенной коалиции (Д,..., РП} равна нулю,
Р[ +... + РП = 0. Берем Р - любую точку, не принадлежащую (Л,. .,РП}, тогда Р + Р2 +... + РП = (Р-Р) + (Р + Р2 +... + РП) = Р-Р + 0 = Р-Р Ф0, так как Р ФР1, поэтому dФ0 для (Р,Р2,...,РП} и Е однозначно определяется точками (Р,Р1,...,РП} . Значит, добавление в неразрешенную коалицию из п участников любого другого участника, не состоящего в этой коалиции, делает данную коалицию разрешенной [4, 9, 10]. Итак, циклы матроида данной схемы разделения секрета состоят либо из п , либо из (п +1) точки. Для таких схем мы считаем естественным ввести термин почти пороговые « п,(п+1) из N » схемы.
Для изучения вопроса о пороговости схемы рассмотрим следующую задачу. Пусть дана конеч -ная абелева группа О, |О| = N и дано целое число п такое, что 0 < п < N . Существуют ли такие п
различные элементы Х1,Х2,...,хП группы О , что их сумма Х1 + Х2 +... + хП равна нулю? Посредством рутинных алгебраических выкладок, приведение которых здесь неуместно, доказана
Теорема 2. В конечной абелевой группе О для данного п такого, что 0 < п < Ю , не существует п -подмножества, сумма элементов которого равна нулю, в следующих лишь случаях: 1) О - элементарная абелева группа вида 2^, причем п = 2 при 5 > 1 или п = 25 - 2 при 5 > 2 ; 2) в группе О
имеется единственный (ненулевой) элемент второго порядка и п = О (во втором случае группа О -
циклическая четного порядка).
Для СРС на эллиптических кривых эта теорема означает, что схема разделения секрета будет пороговой лишь в двух тривиальных случаях: 1) группа изоморфна 22 или 2^ (точки на оси абсцисс), п = 2 ; 2) схема является пороговой « N из N» схемой, группа точек эллиптической кривой циклическая, ее порядок равен N, где N четно.
Теоремы 1 и 2 дают не только описание структуры доступа, но и показывают, что при случайном выборе коалиций они будут разрешенными с очень большой вероятностью. Так, число всех п -коалиций равно СN, что соответствует латинской N -мерной таблице N х N х...х N [11]. В этой
таблице ИП 1 строк и в каждой содержится по одному нулю, т.е. всего ИП 1 нулей в таблице. Тогда
^-1 -1 к П!
вероятность того, что коалиция участников будет неразрешенной, равна ------= 0(N )«---------
СП N N
при N ^да. Только в малом количестве 0(N 1) случаев, когда сумма точек участников равняется нулю 0, придется добавить еще одного участника.
Пример СРС
Рассматриваются кривые над полем ОЕ(9). Элементы поля представляются в виде: 0=0+0 г,
1=1+0 г, 2=2+0 г, 3=0+1 г, 4=1+1 г, 5=2+1 г, 6=0+2 г, 7=1+2 г, 8=2+2 г, где г2 +1 = 0. Расчет числа точек для всех эллиптических кривых на полем ОЕ(9) показал, что число точек находится в проме-
2 3 2
жутке от 4 до 16, что соответствует теореме Хассе (3). Так, кривая у = х + 5х + х+4 является эллиптической, так как Дф0 (2), и имеет 11 точек, включая «бесконечно удаленную». Координаты точек на кривой: (хьл) = (3;3), (Х2,у2) = (3;6), (хз,уз) = (5;1), (Х4,У4) = (5;2), (Х5,У5) = (6;3),
(У6)=С6;^ (х7, У7)=С7;^ (x8, У8)=С7;6^ (^, У9)=(У10)=С8;8^ да=°.
3
Для СРС «3,4 из М » существует Сц вариантов коалиций участников при п = 3 , из них неразрешенные коалиции: 1 4 9, 1 5 7, 1 6 10, 2 3 10, 2 5 9, 2 6 8, 3 5 8, 3 7 9, 4 6 7, 5 8 10, 1 2 да, 3 4 да, 5 6 да, 7 8 да, 9 10 да. Итого 15 неразрешенных трехэлементных коалиций из 165. Примеры сложения точек на этой кривой: Р2 + Р5 = Р10 , 2Р5 = Р3 и т.д. Нетрудно проверить, что сумма точек в неразрешенных коалициях равна нулю. В этом модельном примере N = 11 точек, т.е. участников М может быть от 2 до 11, а мощность множества секретов q = 9 (например, секрет и его «доли» - одна ненулевая цифра). В реальных же приложениях следует брать очень большие значения q и, в соответствии с теоремой Хассе, большие значения N, гарантирующие невозможность атаки методом грубой силы. Заключение
Рассмотрен алгоритм разделения секрета при помощи многочленов на эллиптических кривых. Изучены структуры доступа и основные свойства таких схем. Доказана теорема о неразрешенных коалициях, которая устанавливает связь между суммой точек на кривой и коалицией. Выделен класс схем разделения секрета, названный почти пороговыми. Доказано, что для схем разделения секрета на эллиптических кривых существует лишь два тривиальных случая пороговой схемы. Приведен пример.
Авторы благодарят рецензента за конструктивные замечания.
Литература
1. Введение в криптографию / под общ. ред. В.В. Ященко. - СПб.: Питер, 2001. - 288 с.
2. Болотова Е.А. Свойства решеток разграничения доступа, совершенные шифры и схемы разделения секрета / Е.А. Болотова, С.С. Коновалова, С.С. Титов // Проблемы безопасности и противод. терроризму: матер. IV Междунар. науч. конф. - М.: МЦНМО, 2009. - Т. 2. - С. 71-86.
3. Shamir A. How to share a secret // Communications of the ACM. - NY, USA: ACM, 1979. -Vol. 22, №11. - P. 612-613.
4. Медведев Н.В. Проблема разделения секрета на эллиптических кривых / Н.В. Медведев, С.П. Баутин, С.С. Титов // Проблемы прикладной математики и механики: сб. научн. тр. / УрГУПС (Екатеринбург). - 2008. - № 65(148). - С. 160-174.
5. Глухов М.М. Алгебра: учеб. для вузов / М.М. Глухов, В.П. Елизаров, А. А. Нечаев. - М.: Ге -лиос АРВ, 2003. - 336 с.
6. Глухов М.М. О применениях квазигрупп в криптографии // Прикладная дискретная математика. - 2008. - № 2. - С. 28-32.
7. Болотов А. А. Элементарное введение в эллиптическую криптографию: Алгебраические и алгоритмические основы / А. А. Болотов, С.Б. Гашков, А.Б. Фролов, А. А. Часовских. - М.: КомКни-га, 2006. - 328 с.
8. Соловьев В.В. Эллиптические кривые и современные алгоритмы теории чисел / В.В. Соловьев, В.А. Садовничий, Е.Т. Щавгулидзе и др. - Ижевск: ИКИ, 2003. - 191 с.
9. Медведев Н.В. Алгоритм шифрования SAFER и возможности его улучшения // Проблемы теоретической и прикладной математики: тез. 41-й Всерос. молодежной конф. - Екатеринбург: Институт математики и механики УрО РАН, 2010. - С. 482-486.
10. Харин Ю.С. Математические и компьютерные основы криптологии: учеб. пособие для вузов / Ю.С. Харин, В.И. Берник, Г.В. Матвеев, С.В. Агиевич. - Минск: Новое знание, 2003. - 381 с.
11. Белоусов В. Д. N-арные квазигруппы. - Кишинев: Штиница, 1972. - 227 с.
Медведев Никита Владимирович
Аспирант каф. прикладной математики
Уральского государственного университета путей сообщения (УрГУПС), г. Екатеринбург
Тел.: 8-903-079-51-53
Эл. почта: [email protected]
Титов Сергей Сергеевич
Д-р физ.-мат. наук, профессор каф. прикладной математики УрГУПС
Тел.: 8-950-194-88-81
Эл. почта: [email protected]
Medvedev N.V., Titov S.S.
Almost-threshold secret sharing schemes on elliptic curves
The article describes secret sharing schemes based on polynomials on elliptic curves. The structure of access and basic properties of such schemes are studied. The theorem on qualified coalitions is proved. The example is given.
Keywords: secret sharing schemes, elliptic curves, polynomials, the structure of access, threshold schemes, cycles, matroids, finite fields.