Научная статья на тему 'Схема пост-квантовой агрегированной подписи на основе теории алгебраического кодирования'

Схема пост-квантовой агрегированной подписи на основе теории алгебраического кодирования Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
309
41
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
КРИПТОГРАФИЯ НА ОСНОВЕ ТЕОРИИ КОДИРОВАНИЯ / СХЕМА ЭЛЕКТРОННОЙ ПОДПИСИ CFS / АГРЕГИРОВАННАЯ ПОДПИСЬ / ПОСТКВАНТОВАЯ КРИПТОГРАФИЯ / CODE BASED CRYPTOGRAPHY / CFS SIGNATURE / AGGREGATE SIGNATURE / POST-QUANTUM CRYPTOGRAPHY

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Макаров Артём Олегович

Агрегированные подписи позволяют объединять индивидуальные подписи различных подписантов для различных сообщений в единую подпись, которая затем может быть использована для проверки любого из подписанных сообщений. При этом размер результирующей агрегированной подписи меньше суммарного размера индивидуальных подписей. Подписи данного типа могут быть использованы с целью уменьшения размера передаваемых сообщений в ряде приложений, таких как протоколы защищённой маршрутизации (SBGP) или инфраструктура закрытых ключей.Однако большинство современных схем подписи основываются на предположении о сложности задач дискретного логарифмирования и факторизации, что делает их нестойкими перед квантовым противником, способным на эффективное выполнение квантового алгоритма факторизации Шора. Учитывая возможность появления квантового компьютера, способного на эффективное выполнение данного алгоритма, задача построения пост-квантовых схем подписи встаёт наиболее остро. Одной из групп схем пост-квантовых подписей являются подписи на основе теории алгебраического кодирования, которым и посвящена данная статья.Целью данной работы является построение схемы пост-квантовой последовательной агрегированной подписи на основе теории алгебраического кодирования. Метод исследования: построение пост-квантовой агрегированной подписи с использованием односторонней подстановки с секретом на основе задач алгебраического кодирования, анализ теоретических и практических атак для полученной схемы, представление параметров схемы, сравнение предложенной схемы подписи с существующими схемами.Результат работы: схема пост-квантовой агрегированной подписи на основе теории алгебраического кодирования, рекомендуемые параметры схемы. Параметр стойкости схемы составляет 80 бит, схема обладает полной агрегацией, т.е. размер подписи не увеличивается с ростом числа подписантов.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Макаров Артём Олегович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

APCFS - Post-Quantum Code Based Aggregate Signature Scheme

Aggregate signatures allow to compress n signatures on n different messages from n distinct users into one aggregate signature. This signature with the public keys can be used as signature for any of the signed messages and can convince the verifier every user signed his own message. At the same time, the size of aggregate signature should be less than the size of combined individual signatures. Signature schemes of this type can improve efficiency of numerous applications like SBGP protocol of secure Internet routing and PKI.On the other hand, most of proposed aggregate signature schemes based on assumption that Discrete log and Factorization problems are hard for attacker. At the same time, these problems are known to be efficiently solvable by quantum computer performing Shor algorithm. Considering the possibility of efficient quantum computer in the next few decades the problem of building post-quantum signatures schemes becomes urgent. Code-based signatures schemes are known as one of the candidates for post-quantum signatures. This article presents code-based sequential aggregate signature scheme APCFS as extension of Parallel-CFS signature scheme. The proposed aggregation technique of individual Parallel-CFS signatures allows to achieve full signature aggregation, such that the size of aggregate signature is the same as the size of individual Parallel-CFS signature. By doing this we create the first code-based signature scheme of this kind.

Текст научной работы на тему «Схема пост-квантовой агрегированной подписи на основе теории алгебраического кодирования»

I СХЕМА ПОСТ-КВАНТОВОЙ АГРЕГИРОВАННОЙ ПОДПИСИ НА ОСНОВЕ ТЕОРИИ АЛГЕБРАИЧЕСКОГО КОДИРОВАНИЯ

Макаров А.О.'

Агрегированные подписи позволяют объединять индивидуальные подписи различных подписантов для различных сообщений в единую подпись, которая затем может быть использована для проверки любого из подписанных сообщений. При этом размер результирующей агрегированной подписи меньше суммарного размера индивидуальных подписей. Подписи данного типа могут быть использованы с целью уменьшения размера передаваемых сообщений в ряде приложений, таких как протоколы защищённой маршрутизации (SBGP) или инфраструктура закрытых ключей.

Однако большинство современных схем подписи основываются на предположении о сложности задач дискретного логарифмирования и факторизации, что делает их нестойкими перед квантовым противником, способным на эффективное выполнение квантового алгоритма факторизации Шора. Учитывая возможность появления квантового компьютера, способного на эффективное выполнение данного алгоритма, задача построения постквантовых схем подписи встаёт наиболее остро. Одной из групп схем пост-квантовых подписей являются подписи на основе теории алгебраического кодирования, которым и посвящена данная статья.

Целью данной работы является построение схемы пост-квантовой последовательной агрегированной подписи на основе теории алгебраического кодирования.

Метод исследования: построение пост-квантовой агрегированной подписи с использованием односторонней подстановки с секретом на основе задач алгебраического кодирования, анализ теоретических и практических атак для полученной схемы, представление параметров схемы, сравнение предложенной схемы подписи с существующими схемами.

Результат работы: схема пост-квантовой агрегированной подписи на основе теории алгебраического кодиро-вания, рекомендуемые параметры схемы. Параметр стойкости схемы составляет 80 бит, схема обладает полной агрегацией, т.е. размер подписи не увеличивается с ростом числа подписантов.

Ключевые слова: криптография на основе теории кодирования, схема электронной подписи CFS, агрегированная подпись, пост-квантовая криптография.

Введение

Системам обеспечения безопасности часто приходится иметь дело с электронными подписями, выработанными различными пользователями для различных сообщений. Например, в инфраструктуре открытых ключей (PKI) цепочка сертификатов содержит n подписей различных центров сертификации (CA) на n различных закрытых ключах. Аналогичная ситуация при использовании протокола SBGP — каждый узел сети получает список из n подписей, соответствующих определенному пути длины n в сети. Каждый узел подписывает собственный сегмент пути в сети, и итоговый список из n+1 подписи передаётся следующему узлу. В результате число подписей, сопровождающих сообщение при передаче, линейно растёт с числом пройденных узлов. Обе описанных системы могли бы получить выигрыш при использовании алгоритма "сжатия" списка электронных подписей для разных сообщений, подписанных различными сторонами. Для уменьшения размеров итоговых подписей, как правило, используются так называемые схемы агрегированных подписей [1], позволяющих преобразовать различные индивидуальны электронные подписи в единую подпись, которая затем может быть использована для проверки любого из подписанных сообщений.

DOI: 10.21681/2311-3456-2019-2-69-76

Большинство современных схем подписи (включая агрегированные) основываются на предположении о сложности задач факторизации больших чисел и нахождения дискретного логарифма. Однако, принимая во внимание возможность появления в ближайшем будущем эффективного квантового компьютера, наиболее остро встаёт задача разработки пост-квантовых схем подписи.

Главным эффектом появления квантового компьютера является практическая эффективная реализация алгоритма Шора [2], позволяющего решать задачи дискретного логарифмирования и факторизации за полиномиальное время, и алгоритма Гровера [3], позволяющего производить поиск в множестве из N элементов за N1/,,. В то время как алгоритм Гровера оказывает лишь линейное влияние на стойкость криптосистем (фактически необходимо удвоение длины симметричных ключей для сохранения исходного уровня стойкости), возможность эффективного применения алгоритма Шора делает такие криптосистемы как RSA и ECDSA нестойкими, сводя экспоненциальную сложность атак к полиномиальной. Именно поэтому в настоящий момент идёт активное создание и исследование пост-квантовых ассиметричных криптосистем.

Одной из групп вычислительно сложных квантовых задач являются задачи на основе теории алгебраического

1 Макаров Артём Олегович, аспирант кафедры «Криптология и кибербезопасность», НИЯУ «МИФИ», Москва, Россия. E-mail: [email protected]

кодирования. В основе сложности данных задач лежит частный случай задачи нахождения скрытой подгруппы (Hidden Subgroup Problem), для которой не известно существования эффективного квантового алгоритма или возможного эффективного применения алгоритмов Гровера и Шора. Отличительной особенностью данной группы задач является факт того, что криптосистемы, построенные на их основе, являются легко реализуемыми и легко вычислимыми, так как большинство вычислений в них сводятся к матричным операциям, которые могут быть эффективно выполнены как на стандартных процессорах, так с использованием FPGA [4]. Электронные подписи на основе задач теории кодирования обладают небольшим размером, относительно других пост-квантовых схем подписи. Всё это делает криптосистемы на основе теории кодирования одним из наиболее вероятных кандидатов на роль пост-квантовых асимметричных криптосистем.

В данной статье представлено расширение существующей пост-квантовой схемы подписи Parallel-CFS, построенной на основе задач теории кодирования, для получения последовательной агрегированной подписи. Представленная схема является первой описанной агрегированной схемой подписи на основе задач теории кодирования.

Последовательные агрегированные подписи

Основная идея, лежащая в основе агрегации подписей: имея n различных электронных подписей для n различных сообщений, выработанных n различными пользователями, иметь возможность преобразовать данные подписи в единую электронную подпись, размеры которой меньше размеров объединённых индивидуальных подписей. Полученная подпись может быть использована для проверки подписи для каждого из n сообщений.

Опишем формальное определение схемы агрегированной электронной подписи. Схемой агрегированной подписи называется четвёрка алгоритмов — Генерация ключей, Подпись, Агрегация и Агрегированная проверка подписи.

Генерация ключей: имея на вход параметр l, получить пару ключей (PK.,SK.) для каждого пользователя u.,i £{1..п}.

Подпись: имея на вход сообщение M и секретный ключ SK, получить подпись о для сообщения M.

Агрегация: имея на вход сообщения M1,..,Mn, открытые ключи РКг.....PKn и подписи ог.....on соответствующих

сообщений, получить агрегированную подпись о.

Агрегированная проверка подписи: имея на вход сообщения Мг.....Mn, открытые ключи РКг.....PKn и агрегированную подпись о, проверить её верность для всех сообщений, и в случае успеха вернуть 1, иначе — 0.

В соответствии с введенными определениями выделяют следующие типы агрегированных подписей: общие (General) агрегированные подписи и последовательные (Sequential) агрегированные подписи [1].

При использовании общих электронных подписей каждый пользователь ui независимо подписывает собственное сообщение M. с использованием ключа SK и получает подпись oi. Затем любой стороной (в том числе и не участвующей в процедуре подписи сообщений)

используется алгоритм агрегации, на вход которого подаётся п подписей о1.....оп, которые агрегируются в единственную подпись о. Заметим, что агрегация может происходить последовательно — подписи ог и о2 могут быть агрегированы в подпись о12, которая затем может быть агрегирована с подписью о3 с целью получения подписи о123 и так далее. Подписи данного типа могут быть получены без взаимодействия между пользователями в процессе подписания.

В последовательных подписях агрегация может быть получена только в процессе подписания очередного сообщения пользователем. Иными словами, алгоритмы Агрегации и Подписи объединяются в единый алгоритм Агрегированной Подписи. Каждый пользователей а с помощью ключа SK¡ производит подпись своего сообщения М. с использованием текущего значения агрегированной подписи о^ для получения новой агрегированной подписи о.. Таким образом, подписанты должны последовательно взаимодействовать между собой в процессе формирования агрегированной подписи, путём передачи агрегированной подписи.

Для оценки качества агрегации подписей вводится понятие коэффициента сжатия подписи: \адд\

(1)

г = 1 -

п\с\

где |оад | — размер агрегированной подписи, |о| — размер индивидуальной подписи, п — число подписантов. Схема агрегированной схемы называется оптимальной при г=1-1/п или говорят, что схема обеспечивает полную агрегацию.

Схема электронной подписи CFS Первая асимметричная криптосистема на основе теории алгебраического кодирования была предложена Ма-кЭлисом [5]. Единственной [6] известной стойкой схемой подписи на основе криптосистемы МакЭлиса является схема электронной подписи Куртуа-Файниаса-Сендриера [7] (CFS). Стойкость данной схемы сводится к стойкости криптосистемы МакЭлиса, которая в свою очередь основана на предположении о сложности решения задачи декодирования двоичного кода Гоппы. В данном разделе представлено описание схемы CFS и её модификации.

Для начала дадим формальное описание криптосистемы Нидерайдера, которая является основой для построения схемы электронной подписи CFS.

Генерация ключей. Выбрать параметры т и ^ п=2т. Пусть Г(^) двоичный код Гоппы, заданный полиномом £ F2m ) степени t и с поддержкой S, где S — перестановка элементов F2m). Описанный код может исправлять до t ошибок. Пусть Н систематическая т^хп матрица проверки кода Г(£^). Н является открытым ключом, £ и S образуют закрытый ключ.

Зашифрование. Для зашифрования открытого текста р он преобразуется в ошибку ер длины п и веса Хэммин-га не более чем ^ используя обратимое отображение Ф(. С использованием открытого ключа Н вычисляется s=HXeT, р — синдром, соответствующий ошибке ер, являющийся шифртекстом.

Расшифрование. Для расшифрования шифртекста s необходимо применить алгоритм декодирования синдрома s для получения ошибки е . Открытый текст вос-

станавливается с помощью вычисления обратного преобразования ф(-1 от ошибки ep.

Классическое описание схемы Нидерайдера содержит использование двух матриц для «усложнения» структура матрицы H. На практике использование этим матриц не является необходимым: перестановочная матрица nXn задаётся использованием поддержки S, а обратимая mtXn матрица не является необходимой, если H представлена в систематичекой форме.

Теперь приступим к описанию схемы CFS. Схема подписи CFS [7] использует принцип "hash-and-sign", при котором сначала вычисляется хэш от подписываемого сообщения, а затем производится подпись для полученного хэш значения. Хэш-функция, используемая в CFS, имеет выход в mt бит. Подписываемое сообщение хэши-руется, а затем рассматривается как шифртекст в схеме Нидерайдера. Однако расшифрованы могут быть только шифртексты, соответствующие синдромам ошибок веса

/2т\ г™ т

не более t. Это означает, что только I t ) 7Г из 2 возможных синдромов могут быть расшифрованы как шифртексты. Иными словами, только один из t! документов может быть подписан, что делает использование данного подхода сложно реализуемым для практического применения. Однако существуют два метода преодоления данной проблемы — использование счётчика, как части подписываемого сообщения, и осуществление полного декодирования. Оба метода, однако, требуют в среднем t! операций расшифрования схемы Нидерайдера.

Атаки на схему электронной подписи CFS

Существует два основных типа атак на схему CFS — атака на восстановление ключа, целью которой является восстановление закрытого ключа из открытого, и подделка подписи, при которой пытаются создать верную подпись для сообщения без использования закрытого ключа. Атаки на восстановление ключа на схему МакЭлиса традиционно менее эффективны, чем атаки на декодирование [8], однако недавние достижения в построении алгоритмов различимости кодов Гоппы может привести к появлению новых атак. На текущий момент нет известных реализуемых атак данного типа, поэтому далее будут описаны атаки на декодирование, которые в контексте схем подписи являются атаками на подделку подписи. Для подделки CFS подписи атакующему необходимо найти корректную пару документ/подпись и таким образом решить вычислительную задачу декодирования синдрома: найти вектор ошибки, соответствующий заданному синдрому, имеющий при этом вес, меньше заданного. В отличие от обычной Задачи Декодирования (Syndrome Decoding, SD) необходимо найти любой вектор ошибки из многих.

Формальное описание данной проблемы выглядит следующим образом: для параметров n,t,r,N, двоичной гхп матрицы Н, множества двоичных векторов S={S.£ {ОДУ },i£{l,N} найти двоичный вектор ошибки е с весом Хэмминга не более t, такой что: 3i£ {l..N}:HxeT=S.. Данная задача часто носит название декодирование одного из многих синдромов (One out of Many Syndrome Decoding, OMSD).

Наиболее эффективными практическими атаками на декодирование одного из многих синдромов являются

атака на декодирование информационного множества (Information Set Decoding, ISD) и атаки на основе обобщенного алгоритма дней рождений (Generalized Birthday Algorithm, GBA), позволяющие проводить атаки сложно-

mt wit mt

стью порядка 2 2 11 2 3 ^ВгС2 3 ) соответственно [9]. Схема электронной подписи Parallel-CFS Использование атаки на основе обобщенного алгоритма дней рождений даёт снижение асимптотической

mi тс mt

стойкости CFS с 2 2 до 2 3 3 ) по сравнению с ис-

пользованием атаки на декодирование информационного множества, которая использовалась авторами CFS при изначальном анализе схемы. Атака на основе обобщенного алгоритма дней рождений оставляет схему асимптотически стойкой, однако требует существенного пересмотра её параметров для обеспечения требуемого уровня стойкости. Увеличение параметров m и t приводит к значительному росту в размере открытых ключей (размер которых является экспонентой от t). При линейном увеличении параметров для обеспечения необходимой стойкости схема становится не применима в практическом смысле. Для решения данной проблемы была предложена модификация схемы CFS — Параллельная схема CFS (Parallel-CFS) [9].

Для получения подписи сообщения вместо вычисления одного хэш значения (с использованием функции h) для сообщения D, используются два хэш значения (с использованием двух различных хэш-функций h1 и h2) и параллельная подпись обоих значений h1 (D) и h2 (D). Таким образом, для осуществления атаки необходимо подделать две подписи для обоих хэш-функций. В то же время эти две поддельные подписи должны быть для одного и того же документа D. Обобщенно используется i различных хэш-функций для получения i параллельных подписей одного сообщения, где i параметр схемы.

Использование CFS со счётчиком невозможно для использования в параллельной схеме CFS [9]. Таким образом, для применения в параллельном CFS используется схема CFS на основе полного декодирования. Пусть 5

( П )>2mt

наименьшее целое число, такое что u + Й/ .Тогда произвольный синдром может быть декодирован (с высокой вероятностью) в ошибку веса не более t+5. При использовании данного метода подписант проходит по всем ошибкам ср 5 (i) веса 5 и пытается декодировать синдром S = h(D) +Hx<ps(0T. (2)

Когда декодируемый синдром получен для заданного индекса i_0 необходимо найти открытый текст p'a-.Hxytip'J = sio = h(D) + Hx<ps(i0)T. (3)

Подписью является значение

Pi0 = <P7Îe0p(p'O + <PsVaï)> (4)

т.е. открытый текст соответствующий ошибке веса t+5 Для проверки подписи необходимо проверить верность равенства Hx<pt+S(p. f = h(D).

Возможна модификация Алгоритма Дней Рождений для нахождения нескольких решений, т.е. обобщение его на случай атаки на схему Parallel-CFS. Основной идеей является получения большого числа верных подписей для хэш значения первой хэш-функции h, и использова-

Рис.1. Схема получения агрегированной подписи APCFS

ние полученных решений как возможных подписей для второй хэш-функции Используя техники описанные в [9,10] можно получить последовательную атаку на схему

Р-СРБ сложностью для £ = , где тХ,'\ — па-

раметры схемы.

Схема агрегированной электронной подписи APCFS В данном разделе представлено формальное описание предлагаемой схемы пост-квантовой агрегированной подписи. В качестве основы для построения схемы используется параллельная схема CFS [7], к которой применяется принцип последовательной агрегации, аналогичный схеме MQSAS [11], а именно построения агрегированной подписи с использованием произвольной подстановки [12]. Схема получила название Агрегированной Параллельной Подписи CFS — APCFS.

Генерация ключей: Выбрать параметры т и I, п=2Ат,

L>5[(nls)

> V

, и . криптографических хэш-функции 1т.....И . Пусть Г(&Б) двоичный код Гоппы, заданный поли-

1 тгЛт „ ^

номом д £ Щ степени I и поддержкой Б, где ь — перестановка элементов . Пусть Н систематическая пих п матрица проверки кода Г(&Б) является открытым ключом, £ и S образуют закрытый ключ.

Агрегированная подпись. Имея подпись оп-1 сообщений D1.....Dn_1, открытые ключи Н1.....Нп-1, получить агрегированную подпись для сообщений D1.....Dn (рис.1). Сначала производится проверка агрегированной подписи оп-1. В случае её верности для сообщения D вычисляются \ хэш значений

АО-мадпАасади-.-пмАО (5)

у

к которым побитно прибавляется подпись

с - ЛСп) Ш = < (6)

Если длина вектора оп1 меньше длины 1п(п), то оп1 дополняется с помощью дополнения РК13#7. Затем ис-

пользуется алгоритм декодирования кодов Гоппы схемы CFS с полным декодированием для получения . ошибок

.Сп)

.С")

е™ веса не более t+5, таких что //х е{ =

- h)

Подписью является

= (7) Агрегированная проверка подписи. Имея сообщения D1.....Dn, агрегированную подпись o=on = p1n ||...||pin, открытые ключи H1.....Hn для k=n.....t последовательно вычисляются (рис.2):

Л| ¿ = Нхф1+6(рЮ),] = 1,..,1, (8)

oi-X = unpad(Аф1 ф Ai(Djt)||...||/i®t© fti(fk)), (9) где unpad операция удаления PKCS#7 дополнения. В конце производится проверка о0=?0.

Для демонстрации корректности схемы без потери общности зафиксируем i=2. При осуществлении проверки подписи, в случае если хотя бы одна подпись в цепочке будет неверна, итоговое значение о_0 будет отлично от

нуля, так как в случае неверной подписи ° ~ ^ данная подпись не даст равенства

■СУ)

(10)

что впоследствии даст неверное значение о_0-1)=р.

(j-i)

||р2с_1). Таким образом, равенство о0=0 возможно только в случае верных подписей ст,]=(1,..,п}.

При формировании каждой новой подписи каждым подписантом могут быть использованы техники сжатия подписи, описанные в [7]. Таким образом, каждая агрегированная подпись о будет иметь меньший размер. При максимальном сжатии операция проверки усложняется на незначительное число матричных операций в матрице Н, что не оказывает значительного влияния на скорость проверки подписи.

Рис.2. Схема проверки агрегированной подписи APCFS

Теоретическая стойкость агрегированной электронной подписи APCFS

Рассмотрим теоретическую стойкость полученной схемы. Для начала опишем формальное определение используемой модели для определения теоретической стойкости, которая может быть сведена к стойкости схемы Нидерай-дера как односторонней функции. Функция зашифрования N схемы Нидерайдера с параметрами тД является стойкой односторонней функцией, такой, что для любых злоумышленников, моделируемых вероятностной полиномиальной машиной Тьюринга, вычислительно сложно найти прообраз х для заданного значения у=^х). Преимущество ппотияника А ппотия сЬункиии N оппелеляетпя как:

= Рт{у «- {ОД}тс,х А\ ЙГ(х) = у] < е (11)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

для пренебрежимо малой функции Односторонняя функция называется (9,е) стойкой, если не существует эффективного алгоритма А, выполняемого время не более 9, который способен получить верную подпись с вероятностью больше чем Предполагая (9',е') стойкость функции 1\1, схема АРСРБ последовательной агрегированной подписи является (9,е) стойкой против создания новой подписи при адаптивной атаке с доступом к оракулу агрегированной подписи, причём для всех (9,е): (*<Ь + Чн + IV ^ е;; (12)

в < в' - (4кцн + 4ькц^ + 7 - 1)..

Доказательство теоремы аналогично доказательству теоремы из [12]: злоумышленник запрашивает у оракула агрегированной подписи не более qS подписей, выполняет не более qH операций хэширования, используя время не более 9 и получает верную подпись с вероятностью не более Число пользователей при последовательной агрегации не превосходит к. Таким образом, получаем теорему аналогичную [12] с умноженным на i значением qS, так как при каждом запросе, злоумышленник факти-

чески получает i подписей. Описанное константное умножение не влияет на теоретическую асимптотическую стойкость. Таким образом, показана теоретическая стойкость схемы APCFS, при использовании предположения о стойкости схемы Нидерайдера.

Практическая стойкость агрегированной электронной подписи APCFS

Практическая стойкость схемы сводится к стойкости единичной схемы Parallel-CFS против наилучшей практической атаки, так как фактически схема является итеративном применением схемы Parallel-CFS с использованием различных ключей. Нетрудно видеть, что использование схемы APCFS эквивалентно n независимым подписям различных сообщений различными подписантами, и сложность атаки эквивалентна сложности атаки на создание поддельной подписи для произвольного подписанта, так как одновременная атака на несколько ключевых пар не даст преимущество по сравнению с атакой на одну ключевую пару. Таким образом, сложность практической атаки на схему APCFS с параметрами m,t можно оценивать как

7711 / 77l£ ч

min [2"ä~log2 f 2Т" J ,Llog2L]

(13)

L = 2*i+

7-mt

для " , где m,t,i — параметры схемы.

Параметры схемы APCFS

Предлагаемые параметры схемы подписи APCFS представлены в таблице 1. Заметим, что схема APCFS является оптимальной, и коэффициент сжатия не зависит от изменения параметров.

Производительность APCFS на одном ядре Intel Xeon W3670 3.20GHz составляет порядка одной подписи в секунду, что является приемлемым значением, при использовании в реальных системах [13].

меньший размер агрегированной подписи, при определённых параметрах. В то же время стоит отметить, что размер открытого ключа схемы APCFS значительно больше, чем в схеме MQSAS (на несколько порядков), что ограничивает применение данной схемы на встраиваемых устройствах, для которых большой размер ключей может стать критичным.

Выводы

В статье была описана первая схема агрегированной подписи на основе теории кодирования — АРОРБ. Рассмотрены существующие практические атаки на схемы подписи на основе теории алгебраического кодирования применительно к предлагаемой схеме. Рассмотрена теоретическая стойкость схемы, сведённая к стойкости функции зашифрования криптосистемы Ниде-райдера.

Представленная схема обладает малым размером подписи, однако низкой скоростью подписи (порядка одной секунды) и имеет достаточно большой размер ключей. Параметр стойкости схемы составляет 80 бит.

Описанная схема, в отличии от других известных пост-квантовых схем, обладает полной агрегацией, т.е.

Название схемы (параметры) Параметр стойкости, бит Размер открытого ключа Размер индивидуальной подписи Размер агрегированной подписи(20 подписантов)

APCFS (16,10,2,3) 82,5 1,2 MB 270 бит 270 бит

APCFS (19,9,2,2) 80,5 10,7 MB 206 бит 206 бит

MQSAS (96,65,2,2,2) 80 55,7 kB 102 бит 254 бит

MQSAS (96,5,6,6,2) 80 55,7 kB 114 бит 570 бит

RSA (1024,17) 80 256 B 1024 бит —

APCFS (16,10,2,3) —APCFS(19,9,2,2) MQSAS(96,65,2,2,2) ^^MQSAS(96,5,6,6,2)

Число подписантов

Рис.3. Сравнение размеров агрегированных подписей APCFS и MQSAS

Как видно из сравнения, схема АРОРБ обеспечивает не увеличивает свой размер с ростом числа подписан-такой же уровень стойкости, как и MQSAS, однако имеет тов и позволяет получить преимущество в размерах под-

Таблица 1.

Параметры (m,t,6,i) Параметр стойкости, бит Размер открытого ключа Размер подписи, бит Число двоичных операций для осуществления подписи

(20,8,2,2) 75 20 MB 196 216,3

(20,8,2,3) 81 20 MB 294 216,9

(18,2,2,2) 76 5 MB 162 219,5

(18,2,2,3) 83 5 MB 288 220

(19,9,2,2) 80 10,7 MB 209 219,5

(19,9,2,3) 87 10,7 MB 309 220

(16,10,2,2) 75 1,2 MB 180 222,8

(16,10,2,3) 82 1,2 MB 270 223,4

В таблице 2 представлено сравнение подписи APCFS с агрегированной подписью MQSAS и подписью на основе RSA. На рисунке 3 представлено сравнение размеров подписей MQSAS и APCFS при различном числе подписантов.

Таблица 2.

Сравнение подписи APCFS с подписью MQSAS и RSA

писи уже при 8 подписантах по сравнению со схемой использованы для реализации схемы пост-квантовой MQSAS. агрегированной подписи при переходе к пост-квантовым

Описанные в данной статье результаты могут быть криптосистемам.

Научный руководитель: Варфоломеев Александр Алексеевич, кандидат технических наук, доцент, МГТУ им.Н. Э. Баумана, Москва, Россия. E-mail: [email protected]

Литература

1. Boneh D. A Survey of Two Signature Aggregation Techniques / Boneh D., Gentry C., Lynn B., Shacham H. // CryptoBytes. - 2003. -Vol. 6, № 2.

2. Shor P. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer // SIAM Journal on Scientic and Statistical Computing. - 1997. - Vol. 26, № 5. - pp. 1484-1509.

3. Grover L. A fast quantum mechanical algorithm for database search // Proceedings of the Twenty-Eighth Annual ACM Symposium on Theory of Computing. - 1996. - pp. 212-219.

4. Wang W. FPGA-based Key Generator for the Niederreiter Cryptosystem Using Binary Goppa Codes / Wang W., Szefer J., Niederhagen R. // Cryptographic Hardware and Embedded Systems CHES 2017. Lecture Notes in Computer Science. - 2017. - pp. 253-274.

5. McEliece R. A public-key cryptosystem based on algebraic coding theory // DSN Progress Report. - 1978. - Vol 42. - pp. 114-116

6. Bernstein D. Post-Quantum Cryptography / Bernstein D., Buchmann J., Dahmen E. // Springer-Verlag Berlin Heidelberg. - 2009. - 245 p.

7. Courtois N. How to Achieve a McEliece-Based Digital Signature Scheme / Courtois N., Finiasz M., Sendrier N. // Advances in Cryptology - ASIACRYPT 2001. Lecture Notes in Computer Science. - 2001. - Vol. 2248. - pp. 157-174.

8. Faugere J. Algebraic cryptanalysis of mcEliece variants with compact keys / Faugere J., Otmani A., Perret L., Tillich J. // Advances in Cryptology - EUROCRYPT 2010. Lecture Notes in Computer Science. - 2010. - Vol. 6110. - pp. 279-298.

9. Finiasz M. Parallel-CFS Strengthening the CFS McEliece-Based Signature Scheme // Selected Areas in Cryptography - 17th International Workshop. - 2011. - pp. 159-170.

10. Finiasz M. Security bounds for the design of code-based cryptosystems // Finiasz M., Sendrier N. / Advances in Cryptology - ASIACRYPT 2009. Lecture Notes in Computer Science. - 2009, Vol. 5912, pp. 88-105.

11. Bansarkhani R. MQSAS - A Multivariate Sequential Aggregate Signature Scheme / Bansarkhani R., Mohamed M., Albrecht Petzoldt A. // International Conference on Information Security. - 2016. - 19 p.

12. Lysyanskaya A. Sequential Aggregate Signatures from Trapdoor Permutations / Lysyanskaya A., Micali S., Reyzin L., Shacham H. // EUROCRYPT 2004: Advances in Cryptology. - 2004. - pp. 74-90.

13. Landais G. CFS Software Implementation / Landais G., Sendrier N. // Cryptology ePrint Archive. - 2012. - 15 p.

APCFS - POST-QUANTUM CODE BASED AGGREGATE SIGNATURE SCHEME

Makarov A.O.2

Abstract. Aggregate signatures allow to compress n signatures on n different messages from n distinct users into one aggregate signature. This signature with the public keys can be used as signature for any of the signed messages and can convince the verifier every user signed his own message. At the same time, the size of aggregate signature should be less than the size of combined individual signatures. Signature schemes of this type can improve efficiency of numerous applications like SBGP protocol of secure Internet routing and PKI.

On the other hand, most of proposed aggregate signature schemes based on assumption that Discrete log and Factorization problems are hard for attacker. At the same time, these problems are known to be efficiently solvable by quantum computer performing Shor algorithm. Considering the possibility of efficient quantum computer in the next few decades the problem of building post-quantum signatures schemes becomes urgent. Code-based signatures schemes are known as one of the candidates for post-quantum signatures.

This article presents code-based sequential aggregate signature scheme APCFS as extension of Parallel-CFS signature scheme. The proposed aggregation technique of individual Parallel-CFS signatures allows to achieve full signature aggregation, such that the size of aggregate signature is the same as the size of individual Parallel-CFS signature. By doing this we create the first code-based signature scheme of this kind.

Keywords: code based cryptography, CFS signature, aggregate signature, post-quantum cryptography. References

1. Boneh D., Gentry C., Lynn B., Shacham H. A Survey of Two Signature Aggregation Techniques. CryptoBytes, 2003, vol. 6, no. 2.

2. Shor P. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer. SIAM Journal on Scientic and Statistical Computing, 1997, vol. 26, no. 5, pp. 1484-1509.

2 Artyom Makarov, Department of Cryptology and Cybersecurity, NRNU MEPhI, Moscow, Russia. E-mail: [email protected]

3. Grover L. A fast quantum mechanical algorithm for database search. Proceedings of the Twenty-Eighth Annual ACM Symposium on Theory of Computing, 1996, pp. 212-219.

4. Wang W., Szefer J., Niederhagen R. FPGA-based Key Generator for the Niederreiter Cryptosystem Using Binary Goppa Codes. Cryptographic Hardware and Embedded Systems CHES 2017. Lecture Notes in Computer Science, 2017, pp. 253-274.

5. McEliece R. A public-key cryptosystem based on algebraic coding theory. DSN Progress Report, 1978, vol 42, pp. 114-116.

6. Bernstein D., Buchmann J., Dahmen E. Post-Quantum Cryptography. Springer-Verlag Berlin Heidelberg, 2009, 245 p.

7. Courtois N., Finiasz M., Sendrier N. How to Achieve a McEliece-Based Digital Signature Scheme. Advances in Cryptology — ASIACRYPT 2001. Lecture Notes in Computer Science, 2001, vol. 2248, pp. 157-174.

8. Faugere J., Otmani A., Perret L., Tillich J. Algebraic cryptanalysis of mcEliece variants with compact keys. Advances in Cryptology -EUROCRYPT 2010. Lecture Notes in Computer Science, 2010, vol. 6110, pp. 279-298.

9. Finiasz M. Parallel-CFS Strengthening the CFS McEliece-Based Signature Scheme. Selected Areas in Cryptography - 17th International Workshop, 2011, pp. 159-170.

10. Finiasz M., Sendrier N. Security bounds for the design of code-based cryptosystems. Advances in Cryptology - ASIACRYPT 2009. Lecture Notes in Computer Science, 2009, vol. 5912, pp. 88-105.

11. Bansarkhani R., Mohamed M., Albrecht Petzoldt A. MQSAS - A Multivariate Sequential Aggregate Signature Scheme. International Conference on Information Security, 2016, 19 p.

12. Lysyanskaya A., Micali S., Reyzin L., Shacham H. Sequential Aggregate Signatures from Trapdoor Permutations. EUROCRYPT 2004: Advances in Cryptology, 2004, pp. 74-90.

13. Landais G., Sendrier N. CFS Software Implementation. Cryptology ePrint Archive, 2012, 15 p.

i Надоели баннеры? Вы всегда можете отключить рекламу.