СХЕМА ЦИФРОВОЙ ПОДПИСИ СО СКРЫТОЙ ГРУППОЙ, ОБЛАДАЮЩЕЙ ДВУХМЕРНОЙ ЦИКЛИЧНОСТЬЮ Текст научной статьи по специальности «Математика»

УДК654.1 DOI:10.31854/1813-324X-2021-7-2-85-93

Схема цифровой подписи со скрытой группой, обладающей двухмерной цикличностью

Д.Н. Молдовян1 , Р.Ш. Фахрутдинов1, А.Ю. Мирин1, А.А. Костина1

^анкт-Петербургский Федеральный исследовательский центр Российской академии наук, Санкт-Петербург, 199178, Российская Федерация *Адрес для переписки: fahr@cobra.ru

Информация о статье

Поступила в редакцию 29.04.2021 Принята к публикации 23.05.2021

Ссылка для цитирования: Молдовян Д.Н., Фахрутдинов Р.Ш., Мирин А.Ю., Костина А.А. Схема цифровой подписи со скрытой группой, обладающей двухмерной цикличностью // Труды учебных заведений связи. 2021. Т. 7. № 2. С. 85-93. DOI:10.31854/1813-324X-2021-7-2-85-93

Аннотация: Предложен способ построения схем цифровой подписи, основанных на скрытой задаче дискретного логарифмирования, удовлетворяющих общему критерию постквантовой стойкости, который обеспечивает сравнительно малые размеры открытого ключа и подписи. На основе способа разработана практичная схема цифровой подписи, в которой операция экспоненцирования в скрытой группе с двухмерной цикличностью является базовым криптографическим примитивом. Алгебраический носитель крипто-схемы представляет собой четырехмерную конечную некоммутативную алгебру с ассоциативной операцией умножения. Благодаря заданию алгебры по прореженной таблице умножения базисных векторов, обеспечивается повышение производительности процедур генерации и проверки подлинности подписи. Открытым ключом является тройка четырехмерных векторов, вычисляемых как образы элементов скрытой группы, отображаемые с помощью маскирующих операций двух типов: 1) взаимно коммутативных с операцией экспоненциирования и 2) не обладающих этим свойством.

Ключевые слова: защита информации, компьютерная безопасность, криптография, цифровая подпись, постквантовая криптосхема, задача дискретного логарифмирования, конечная ассоциативная алгебра, некоммутативная алгебра, скрытая группа.

Введение

Одной из актуальных текущих проблем теоретической и практической криптографии является разработка двухключевых алгоритмов и протоколов [1, 2], стойких к атакам с использованием квантовых компьютеров. Криптосхемы такого типа называются постквантовыми. Всемирный конкурc на разработку постквантовых схем цифровой подписи и открытого согласования ключа, объявленный Национальным институтом стандартов и технологий США (НИСТ), ориентирован на получение к 2024 г. черновых версий постквантовых криптографических стандартов. Однако общим минусом предложенных кандидатов на постквантовые схемы электронной подписи является их недостаточная практичность, в частности большие размеры открытого ключа и подписи.

Сравнительно новым и многообещающим подходом к разработке практичных постквантовых схем цифровой подписи является использование скрытой задачи дискретного логарифмирования (СЗДЛ), задаваемой в конечных некоммутативных

ассоциативных алгебрах (КНАА), в качестве базового примитива [3-6]. Обоснование использования СЗДЛ, как постквантового криптографического примитива, объясняется тем, что задание по открытым параметрам криптосхемы периодической функции с периодом, зависящим от значения дискретного логарифма, приводит к тому, что эта функция принимает значения из многочисленных различных циклических групп, содержащихся в КНАА. Благодаря этому обстоятельству обеспечивается стойкость к квантовым атакам (атаки с использованием квантового компьютера), использующим известные полиномиальные по времени квантовые алгоритмы нахождения длины периодов периодических функций, значения которых лежат в одной явно заданной конечной циклической группе [7-9].

В первых постквантовых схемах цифровой подписи [4, 5], базирующихся на СЗДЛ и допускающих задание периодических функций, включающих период, зависящий от значения дискретного логарифма в скрытой группе, использован следующий

критерии построения: вычислительно невыполнимо построение периодической функции на основе открытых параметров схемы цифровой подписи, содержащих период с длиной, зависящей от значения дискретного логарифма, и с достаточно высокой вероятностью, принимающих значения в некоторой фиксированной циклической группе.

В расширенной постановке вопроса обеспечения достаточно высокой стойкости к квантовым атакам (постквантовой стойкости) [10] следует учесть потенциальную возможность разработки новых квантовых алгоритмов нахождения длины периода периодических функций, принимающих значения в различных коммутативных группах, содержащихся в фиксированной КНАА, используемой в качестве алгебраического носителя схемы цифровой подписи. В работе [10] предложен общий критерий постквантовой стойкости схем цифровой подписи, базирующихся на СЗДЛ: по открытым параметрам схемы цифровой подписи вычислительно невыполнима задача построения периодической функции, содержащей период, зависящий от значения логарифма в скрытой циклической группе.

При выполнении общего критерия постквантовой стойкости, разрабатываемая схема цифровой подписи будет защищенной от атак, использующих как известные, так и новые квантовые алгоритмы нахождения длины периода периодических функций. В работе [10] предложен механизм реализации общего критерия, включающий использование коммутативной группы, обладающей двухмерной цикличностью (частный тип групп с двумя порождающими элементами, характеризующийся тем, что порождающие элементы имеют одинаковый порядок, см., например, [11]) в качестве скрытой группы.

Постановка задачи

Известные схемы цифровой подписи [10, 12], удовлетворяющие общему критерию постквантовой стойкости, построены с удвоением открытого ключа и удвоением проверочного уравнения, а также использованием вектора, в качестве дополнительного элемента подписи. Это приводит к удвоению размера открытого ключа и увеличению длины подписи в 3 раза при одновременном снижении производительности криптосхемы по сравнению со схемами цифровой подписи, основанными на первом критерии.

В настоящей статье предлагается способ реализации схем цифровой подписи, удовлетворяющих общему критерию постквантовой стойкости и свободных от недостатков их аналогов, предложенных ранее в работах [10, 12].

Используемый алгебраический носитель

В качестве алгебраического носителя алгоритмов цифровой подписи, основанных на скрытой задаче дискретного логарифмирования, обычно применяются КНАА четной размерности т > 4, в которых содержится достаточно большое число различных подмножеств элементов, представляющих собой конечные коммутативные группы. Конечные алгебры задаются путем определения в конечном векторном пространстве с операциями сложения векторов и скалярного умножения дополнительной операции векторного умножения, обладающей свойствами дистрибутивности слева и справа относительно операции сложения. Пусть некоторое т-мерное векторное пространство задано над простым конечным полем и имеется некоторый его базис в виде набора векторов е1, ..., в,, ..., вт. Некоторый вектор А можно записывать в виде:

1) упорядоченного множества его координат а, е С£(р): А = (ао, а1, ..., ат- 1);

2) суммы А = Ти^о1 а1е1, где а,в, - компоненты вектора А.

Операция умножения вектора А = ТЦ^Ю^а^е^ на вектор В = ТУ—'^в] определяется по следующей формуле, в которой всевозможные произведения вида е1 • е] заменяются по некоторому правилу на однокомпонентные векторы:

т-1т-1

А^В=^^а1Ь](еге]), (1)

1=0 ]=0

Указанное правило удобно представить в виде таблицы умножения базисных векторов (ТУБВ), предполагая, что вместо каждого из произведений е^ • в] подставляется на некоторый вектор Хвк, указанный в ячейке на пересечение ;-й строки и у-го столбца. Если X = 1, то в ячейках ТУБВ указывается базисный вектор вк. Если X г 1, то значение X называется структурным коэффициентом.

Для задания КНАА разрабатывается ТУБВ, которая определяет операцию векторного умножения, обладающую свойствами некоммутативности и ассоциативности. При реализации последнего свойства для произвольной тройки векторов А, В и С выполняется следующее равенство:

(А • В) • С = А • (В • С). (2)

С учетом формул (1) и (2) легко показать, что ТУБВ, которая задает выполнимость равенства для всевозможных троек базисных векторов, определяет ассоциативное векторное умножение:

(е1 • е,) ек = ег (е, • ек).

С целью повышения производительности алгоритмов генерации и проверки подлинности цифровой подписи представляет интерес использование четырехмерных КНАА, в которых операция умножения задана по прореженным ТУБВ, т. е. по ТУБВ,

в ячейках которых присутствует структурный коэффициент X = 0.

Таблица 1 дает пример прореженной ТУБВ и используется для задания алгебраического носителя в разрабатываемой схеме цифровой подписи, основанной на скрытой задаче дискретного логарифмирования и удовлетворяющей общему критерию постквантовой стойкости.

В случае, если равенство А • В = В • А выполняется для произвольной пары векторов A и B, операция умножения и задаваемая алгебра называются коммутативными, в противном случае - некоммутативными. В последнем случае имеем КНАА.

ТАБЛИЦА 1. Прореженная ТУБВ, задающая четырехмерную КНАА с глобальной единицей (цт1, X"1, 0, 0), где ц ф 0; X ф 0 [12]

TABLE 1. A Sparse Basis Vector Multiplication Table that Defines a Four-Dimensional Non-Commutative Associative Algebra with Global Unit(ц1, X-1, 0, 0), where,цф0; Хф0[12]

eo ei e2 e3

eo цео 0 0

ei 0 Xei Xe2 0

e2 це2 0 0 ^ei

ез 0 Xe3 Xe0 0

Конечные группы с многомерной цикличностью

Конечной группой с ц-мерной цикличностью называется коммутативная группа с ц порождающими элементами, имеющими одинаковый порядок [11, 13]. В работах [11, 13] приведены примеры групп с ц-мерной цикличностью (ц > 2) и обсуждается их применение для построения схем цифровой подписи. Рассмотрим, например, двухмерную конечную ассоциативную алгебру с операцией умножения, заданной по таблице 2. Ее мультипликативная группа имеет строение, зависящее от структурного коэффициента X. Если X является квадратичным невычетом в GF(p), то указанная группа является циклической и имеет порядок Q = p2 - 1 [13]. Если X является квадратичным вычетом в GF(p), то она является группой с двухмерной цикличностью и имеет порядок Q = (p - 1)2 [13].

ТАБЛИЦА 2. Задание двухмерной ассоциативной алгебры над полем GF(p) (X ф 0)

TABLE 2. Setting Two-Dimensional Associative Algebra Over Field GF(p) (Хф0)

e0 ei

H eo e0 H ei

H ei ^lei Xe0

В настоящей работе разрабатывается схема цифровой подписи, основанная на СЗДЛ и использующая коммутативную группу с двухмерной цикличностью в качестве скрытой группы. Важным мо-

ментом является задание скрытой группы, содержащей элементы достаточно большого простого порядка. Это может быть реализовано при выборе характеристики р поля С^Хр), равной простому числу вида р = 2ц + 1, где д - 256-битное простое число. При таком выборе и значении X, являющимся квадратичным вычетом, мультипликативная группа двухмерной алгебры, заданной по таблице 2, имеет двухмерное циклическое строение и содержит подгруппу Г<ад> порядка д2, генерируемую некоторым базисом <6, Q>, где каждый из двухмерных векторов 6 и Q имеет порядок, равный простому числу д. Легко установить, что группа Г<ад> включает единичный вектор (1, 0) и д2 - 1 различных векторов, имеющих одно и тоже значение порядка, равное простому числу д. Группа Г<ад> включает д + 1 циклических подгрупп порядка д. Любой фиксированный вектор, отличный от (1, 0), содержится в единственной циклической подгруппе.

Свойства алгебраического носителя

В работе [14] показано, что двухсторонней глобальной единицей четырехмерной КНАА, заданной по таблице 1, является вектор Е = (ц-1, X-1, 0, 0), а порядок мультипликативной группы этой алгебры равен значению:

П = р(р- 1)(р2 - 1). (3)

При этом для произвольного заданного вектора (2 = (Яо, Чг, Ч2, Чз) доказаны следующие положения:

1) условие обратимости вектора Q выражается формулой ЦоЦг Ф Я2Чз [14];

2) условие необратимости вектора Q выражается формулой ЦоЦг = Ц2Чз [14];

3) множество всех векторов, перестановочных с Q, описывается следующей формулой [14]:

X = (х0,х1,х2,х3) =

щ2й + (\Цг - Мо^ , ^ Л (4)

= (d,

М2

^.hMh),

42

где й, И = 0,1, ..., р - 1.

Множество (4) включает р2 различных векторов, в том числе вектор Q, нулевой элемент (0,0,0,0) и единицу Е.

Утверждение 1 [14]. Любые два элемента V и Ш, входящие в множество (4), являются взаимно перестановочными, т. е. имеет место равенство ШУ = У •Ш.

Утверждение 2 [15]. Подмножество обратимых векторов, входящих в множество (4) образуют мультипликативную коммутативную группу с единицей Е.

Утверждение 3 [15]. Координаты ненулевых необратимых векторов, содержащихся в множестве (4) удовлетворяют следующему равенству:

й = , |

2Мз ~

м

(Ч1 - МоУ , ^2

Мз

ы2ч2

+

(5)

Используя равенство (5), можно подсчитать число необратимых и обратимых векторов, содержащихся в множестве (4).

Рассмотрим следующие два случая.

Случай 1. Вектор Q является обратимым элементом. Если координаты Q таковы, что подкоренное выражение в (5) является квадратичным невычетом в поле бДр), то все ненулевые векторы, входящие в (4), являются обратимыми. Легко заметить, что в этом случае операции умножения и сложения векторов являются замкнутыми в (4) и удовлетворяют свойствам операций конечного поля характеристики р, т. е. множество векторов (4) образует поле бДр2), мультипликативная группа которого является циклической и имеет порядок р2 - 1. Для построения схемы цифровой подписи важным является существование обратимых векторов, порядок которых равен р2 - 1 и произвольному заданному делителю р2 - 1.

Если подкоренное выражение в (5) является квадратичным вычетом в поле то формула

(4) для каждого из значений й = 0,1, ..., р - 1 при двух различных значениях И, определяемых формулой (5), задает пару ненулевых необратимых векторов, т. е. с учетом нулевого вектора в множестве (4) имеем 2р - 1 необратимых векторов и р2 - (2р - 1) = (р - 1)2 обратимых. Значение порядка группы обратимых векторов О = (р - 1)2 подсказывает, что они образуют конечную группу с двухмерной цикличностью. Пусть а — примитивный элемент поля б^Хр), тогда вектор-скаляр аЕ входит в указанную группу и имеет порядок р - 1. Всевозможные степени вектора аЕ генерируют р - 1 различных векторов. Пусть обратимый вектор V (например, V = Q), входящий в множество (4) и непредставимый в виде степени вектора аЕ имеет порядок р - 1. Тогда легко показать, что базис <аЕ, V> генерирует коммутативную группу Г<оЕ,к> порядка (р - 1)2, имеющую двухмерное циклическое строение. Единицей группы Г<аЕ,к> является вектор Е. Так как Г<аЕ,к> включает только обратимые векторы, перестановочные с Q, то Г<аЕ,к> является группой обратимых векторов множества (4). Для построения предлагаемой схемы цифровой подписи важным является наличие в используемом алгебраическом носителе достаточно большого числа коммутативных групп с двухмерной цикличностью как подмножеств алгебраических элементов. (В общем случае различные векторы Q задают различные группы с двухмерной цикличностью.)

Случай 2. Вектор Q является необратимым элементом. Допустим, что координаты вектора Q

удовлетворяют условию = т. е. он является необратимым. Из условия необратимости получаем q2 = дэ-1^^ и представление формулы (5) в следующем виде:

к =

^й

>Чз

Мо

Мз

й

(6)

где й = 1, 2, ..., р - 1. Из (6) следует, что множество (4) включает 2(р - 1) необратимых векторов, отличных от нулевого вектора, и р2 - 2(р - 1) - 1 = = (р - 1)2 обратимых векторов. Множество последних включает все вектор-скаляры /Е, где / = 1, 2, ..., ..., р - 1, и образует конечную коммутативную группу порядка (р - 1)2, обладающую двухмерной цикличностью.

Таким образом, группу с двухмерной цикличностью (ее базис) можно задать, генерируя необратимый вектор Q и вычисляя по формулам (4) и (6) некоторый вектор X порядка р - 1 (для различных значений й проверяем значение порядка вектора X), т. е. имеем еще один способ задания группы с двухмерной цикличностью. В работе [15] доказано, что в случае необратимого вектора Q множество (4) действительно содержит обратимый вектор, отличный от вектор-скаляра и имеющий значение порядка р - 1.

Способ выполнения критерия постквантовой стойкости

Для построения схемы цифровой подписи, удовлетворяющей общему критерию постквантовой стойкости, представляет интерес использовать идею, предложенную ранее в работе [10] и заключающуюся в применении маскирующего умножения элементов скрытой циклической группы простого порядка д на перестановочные с ними элементы из другой циклической группы, также имеющей порядок д. В принципе данная идея может быть реализована при задании скрытой группы, имеющей двухмерное или многомерное циклическое строение. При этом могут быть применены различные способы формирования открытых параметров схемы цифровой подписи с использованием указанного маскирующего умножения. Однако практический интерес представляют способы, которые обеспечивают существенное уменьшение размера подписи по сравнению со схемой цифровой подписи [10]. С этой целью предлагается следующий способ формирования открытого ключа при использовании КНАА, заданной по таблице 1, в качестве алгебраического носителя:

1) сформировать базис <6, Q> коммутативной группы Г<ад>, включающий векторы порядка д; обратимые векторы 6 и Q являются секретными и задают скрытую группу Г<ад>, обладающую двухмерной цикличностью;

й

2) сгенерировать случайные обратимые четырехмерные векторы А и В порядка р2 - 1;

3) сгенерировать случайное натуральное число х < д и вычислить вектор и = А • • В-1 (умножение слева на А и умножение справа на В1 маскируют группу Г<ад>, в которой выполняется операция экспоненцирования в степень х; при этом отображение вектора 6х в вектор и не является коммутативным с операцией экспоненцирования);

4) вычислить вектор У = В • в • Q • В-1 (эта формула задает автоморфное отображение вектора в • Q, которое является взаимно коммутативным с операцией экспоненцирования);

5) сгенерировать случайное натуральное число и < д (и * х) и вычислить вектор 2 = В • 0й • А-1.

Левое умножение на В и правое на А-1 задает маскирующее отображение вектора Qu, которое не является коммутативным с операцией экспоненциро-вания. Однако это отображение и отображение, используемое в ходе применения указанного выше способа формирования открытого ключа, позволяют построить композиционные отображения, обладающие свойством взаимной коммутативности с операцией экспоненцирования. Последнее используется в процедуре проверки подлинности цифровой подписи и для обеспечения корректности разработанной схемы цифровой подписи. Открытым ключом является тройка векторов и, У и 6. Размер открытого ключа (и, У, 7) равен 768 байт.

Первый этап формирования открытого ключа состоит в генерация базиса <6, Q> скрытой коммутативной группы с двухмерной цикличностью. Для задания группы Г<ад> предлагается следующий алгоритм генерации двух независимых порождающих векторов 6 и Q.

Шаг 1.1. Сгенерировать случайный необратимый вектор И.

Шаг 1.2. Выбирая случайное значение й (1 < й < р - 1) и используя формулы (4) и (6), вычислить обратимый вектор X.

Шаг 1.3. Проверить, является ли число д порядком вектора X. Если порядок вектора X не равен д или X является вектор-скаляром, то перейти к шагу 1.2. (с учетом того, что р = 2ц + 1, легко показать, что в среднем потребуется выполнить «4 раза шаги 1.2 и 1.3 для перехода к шагу 1.4).

Шаг 1.4. Взять в качестве первого элемента базиса скрытой группы вектор 6 = X.

Шаг 1.5. Сгенерировать натуральное число р, где (1 < р < р - 1), и порядок которого по модулю р равен значению д; затем вычислить второй элемент Q базиса скрытой группы: Q = • X.

Второй этап формирования открытого ключа состоит в генерации случайных обратимых векторов А и В порядка р2 - 1 и выполняется следующим образом.

Шаг 2.1. Сгенерировать случайный обратимый вектор И = (Г0, Г1, Г2, гз) с координатами Г2 * 0 и гз * 0.

2.2. Вычислить значения (см. формулу (5)):

5 =

Oi - рго)2 .

4\2ri

+ ^Т ) modP-

е = 5 qmodp.

Шаг 2.3. Если е = р - 1, то значение подкоренного выражения формулы (5), записанной для вектора И, является квадратичным невычетом (в соответствии с критерием Эйлера) и множество векторов, перестановочных с И, содержат векторы порядка р2 - 1.

Шаг 2.4. Если е = 1, то перейти к шагу 2.1.

Шаг 2.5. Сгенерировать пару случайных значений й (1 < й < р - 1) и И (1 < И < р - 1).

Шаг 2.6. В соответствии с формулой (3) вычислить вектор:

( vr2d + (Х^ - ^г0)Ь г3 \

X = ( а,—-V-1—— к ).

V Хг2 г2 )

Шаг2.7. Если одновременно выполняются неравенства X2 * Е и XV * Е, то в качестве вектора порядка р2 - 1 взять вектор V = X.

Все случайно генерируемые векторы и числа, использованные в ходе процесса вычисления открытого ключа, относятся к секретным параметрам. Открытыми параметрами схемы цифровой подписи являются элементы открытого ключа и параметры задания четырехмерной алгебры, используемой в качестве алгебраического носителя крипто-схемы.

Соответствие общему критерию стойкости к квантовым атакам и корректность разработанной схемы цифровой подписи обеспечивается комбинированием согласованных маскирующих операций двух различных типов: 1) свободных от свойства взаимной коммутативности с операцией экс-поненцирования и 2) обладающих этим свойством. Без знания секретных векторов А, В, 6 и Q предположительно задание периодической функции, в которой содержатся периоды с длиной, зависящей от значений х и и, является вычислительно невыполнимой задачей (нахождение х и и представляет собой задачу дискретного логарифмирования в скрытой группе).

Так, рассмотрим периодическую функцию:

р1(1,Я = (и •у •гу(и ^гу =

Пусть длина периода этой функции равна (5/, 5/). Тогда в силу независимости векторов 6 и Q при условии Д = (1 + х)и - (1 + и)х * 0 (Д — главный детерминант следующей системы линейных уравнений с неизвестными 5/ и 5/) имеем:

ix8t + 8t + x8j = 0modq| r6£ = Omodq (5 j + u8i + u8j = Omodq J ^ \8j = Omodq

т. е. функция у) содержит только периоды, длина которых равны значениям (к^, tq) при целочисленных значениях к и t (вероятность выполнения условия Д = 0 пренебрежимо мала). Легко показать, что последнее относится и к следующим двум периодическим функциям:

Р2(1,]) = (г • и)^ = В • 0;и1+] • • В-1-,

Р3(1,]) = (и• г) •и•у^ =а^ сх1+х+' • • в-1.

Процедуры генерации и проверки подлинности цифровой подписи

Вычисление подписи к электронному документу М предлагается выполнять по следующему алгоритму (рисунок 1а):

С

Начало

)

Сгенерировать случайные k,t EN: к < q,t < q

Вычислить V = AGk QlA-1 и e = fH(M,V)

Найти (s, d) ((x + e)s + xd = к mod q, {(u + e)s + ud = t mod q. (e, s, d)

\

(О

1) сгенерировать случайные натуральные числа к < д и t < д и вычислить вектор V:

V = Авк •д^А-1;

2) вычислить первый элемент подписи в виде двоичного числа е = /я(М, V), где /я - некоторая специфицированная 256-битная хэш-функция, удовлетворяющая требованию строгой коллизионной стойкости;

3) вычислить второй 5 и третий й элементы цифровой подписи как решение следующей системы уравнений первой степени:

((х + е)Б + хй = kmodq; {(и + е)Б + ий = £тао^.

0

Вычислить V = (UYeZ)s • (UZ)d

Вычислить e = fH(M,V).

a) b)

Рис. 1. Алгоритм вычисления (а) и проверка (b) цифровой подписи

Fig. 1. Calculation Algorithm (a) and Verification Algorithm (b) of Digital Signature

Подписью является тройка 256-битных чисел (е, 5, й) и имеет длину 96 байт. Вычислительная сложность процедуры вычисления подписи приближенно может быть оценена как две операции возведения четырехмерных векторов в 256-битную степень.

Проверка подлинности цифровой подписи (рисунок 1Ь) осуществляется по открытому ключу (и, У, Т), используя следующий алгоритм: 1) вычислить значение V:

V/= (и уе •г)" • (и •гу,

2) вычислить значение хэш-функции от документа с присоединенным к нему вектором V:

ё=Гн(М$);

3) при выполнении равенства ё = е подпись признается подлинной (в противном случае подпись признается ложной).

Докажем корректность предложенной схемы цифровой подписи. Допустим, что подпись (е, 5, й) была вычислена в соответствии с алгоритмом генерации подписи. Тогда на первом шаге проверочной процедуры будет вычислен вектор:

V = (U Ye •Z)8 • (U •Z)d = = (A Gx B-1B G Q^ B-iB • Qu • A-1)s • (AGxB-1BQuA-1)d =

= A • GXS • Ges • Qes • QUS • Qxd • Qud • д-1 =

— A " Qxs+es+xd , Qes+us+ud , Д—1 — = A • G(x+e)s+xd • Q(e+u)s+ud • Д — 1 =

= AGkQtA-1 = V.

Поскольку V = V, то на втором шаге проверочной процедуры будет вычислено значение ё, удовлетворяющие равенству ё = е, т. е. подпись признается подлинной, что доказывает корректность разработанной схемы цифровой подписи.

Сопоставление с известными постквантовыми схемами цифровой подписи

С точки зрения компромисса между производительностью и размером открытого ключа и подписи предпочтительными представляются следующие два кандидата на постквантовый стандарт цифровой подписи, которые предложены в ходе конкурса НИСТ: Falcon [16] и Dilithium [17]. Сравнение разработанной постквантовой схемы цифровой подписи с указанными кандидатами и схемой цифровой подписи из работы [10] представлено в таблице 3 (сравнение выполнено для версий для версий алгоритмов Falcon и Dilithium, соответствующих уровню 128-битной стойкости). Схемы цифровой подписи, разработанные на основе СЗДЛ, обладают значительно меньшими размерами подписи и открытого ключа. При этом предложенная

схема цифровой подписи является более производительной.

ТАБЛИЦА 3. Сравнение разработанной авторами схемы цифровой подписи с известными аналогами

TABLE 3. A Rough Comparison of the Developed by the Authors Signature Scheme with Known Analogues

Схема цифровой подписи Длина, байт Скорость, отн. ед.

цифровой подписи открытого ключа генерации цифровой подписи верификации цифровой подписи

[16] 657 897 5 3

[17] 2044 1184 2 1

[10] 192 768 4 3

Авторская схема 96 384 15 10

Заключение

Предложен новый способ построения схем цифровой подписи, удовлетворяющих общему критерию постквантовой стойкости, который позволяет существенно сократить размер подписи по сравнению со способом, описанным в работе [10]. На основе способа разработана конкретная постквантовая схема цифровой подписи, которая представляется более практичной по сравнению с известными кандидатами на постквантовый стандарт цифровой подписи, предложенными в ходе конкурса НИСТ [2] по разработке постквантовых двухключе-вых криптосхем.

ИСТОЧНИК ФИНАНСИРОВАНИЯ

Работа выполнена при финансовой поддержке РФФИ в рамках научного проекта № 21-57-54001-Вьет_а).

Список используемых источников

1. Ding J., Steinwandt R. Post-Quantum Cryptography // Revised Selected Papers of the 10th International Conference (PQCrypto 2019, Chongqing, China, 8-10 May 2019). Lecture Notes in Computer Science. Security and Cryptology. Springer, 2019. Vol. 11505. 418 p.

2. Announcing Request for Nominations for Public-Key Post-Quantum Cryptographic Algorithms // Federal Register. 2016. Vol. 81. No. 244. Available from: https://www.gpo.gov/fdsys/pkg/FR-2016-12-20/pdf/2016-30615.pdf [Accessed 24th May 2021]

3. Молдовян А.А., Молдовян Д.Н. Постквантовые протоколы цифровой подписи на основе скрытой задачи дискретного логарифмирования // Вопросы защиты информации. 2019. № 2(125). С. 23-32.

4. Moldovyan N.A., Moldovyan A.A. Finite Non-commutative Associative Algebras as carriers of Hidden Discrete Logarithm Problem // ВестникЮУрГУ. Серия «Математическое моделирование и программирование». 2019. Т. 12. № 1. С. 66-81. D0I:10.14529/mmp190106

5. Молдовян Н.А., Абросимов И.К Постквантовая схема ЭЦП на основе скрытой задачи дискретного логарифмирования в четырехмерной конечной алгебре // Вопросы защиты информации. 2019. № 2. С. 18-22.

6. Moldovyan A.A., Moldovyan N.A. Post-quantum signature algorithms based on the hidden discrete logarithm problem // Computer Science Journal of Moldova. 2018. Vol. 26. No. 3(78). PP. 301-313.

7. Shor P.W. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on Quantum Computer // SIAM Review. 1999. Vol. 41. Iss. 2. PP. 303-332. D0I:10.1137/S0036144598347011

8. Ekert A., Jozsa R. Quantum computation and Shor's factoring algorithm // Reviews of Modern Physics. 1996. Vol. 68. PP. 733. D0I:10.1103/RevModPhys.68.733

9. Jozsa R. Quantum algorithms and the Fourier transform // Proceedings of the Royal Society A. Mathematical, Physical and Engineering Sciences. 1998. Vol. 454. Iss. 1969. PP. 323-337. D0I:10.1098/rspa.1998.0163

10. Moldovyan N.A., Moldovyan A.A. Candidate for practical post-quantum signature scheme // Вестник Санкт-Петербургского университета. Прикладная математика. Информатика. Процессы управления. 2020. Т. 16. №. 4. С. 455-461. D0I:10.21638/11701/spbu10.2020.410

11. Moldovyan N.A. Signature Schemes on Algebras, Satisfying Enhanced Criterion of Post-quantum Security // Buletinul Academiei de Stiinte a Republicii Moldova. Matematica. 2020. No. 2(93). PP. 62-67.

12. Moldovyan N.A. Fast signatures based on non-cyclic finite groups // Quasigroups and Related Systems. 2010. Vol. 1. No. 18. PP. 83-94.

13. Moldovyan N.A., Moldovyanu P.A. New primitives for digital signature algorithms // Quasigroups and Related Systems. 2009. Vol. 2. No. 17. PP. 271-282.

14. Фахрутдинов Р.Ш., Мирин А.Ю, Молдовян Д.Н., Костина А.А. Схемы открытого согласования ключей на основе скрытой задачи дискретного логарифмирования // Информационные технологии. 2020. Т. 26. № 10. С. 577-585. D0I:10.17587/it.26

15. Гурьянов Д.Ю., Молдовян Д.Н., Молдовян А.А. Постквантовые схемы цифровой подписи: задание скрытой группы с двухмерной цикличностью // Информатизация и связь. 2020. № 4. С. 75-82. D0I:10.34219/2078-8320-2020-11-4-75-82

16. Fast-Fourier Lattice-Based Compact Signatures over NTRU // Falcon. URL: https://falcon-sign.info (дата обращения 24.05.2021)

17. Dilithium Home // CRYSTALS. Cryptographic Suite for Algebraic Lattices. URL: https://pq-crystals.org/dilithium/ index.shtml (дата обращения 24.05.2021)

* * *

Digital Signature Scheme with Hidden Group Possessing Two-Dimensional Cyclicity

D. Moldovyan1 E>, R. Fahrutdinov1, A. Mirin1, A. Kostina1

JSt. Petersburg Federal Research Center of the Russian Academy of Sciences, St. Petersburg, 199178, Russian Federation

Article info

D0I:10.31854/1813-324X-2021-7-2-85-93 Received 29 th April 2021 Accepted 23rd May 2021

For citation: Moldovyan D., Fahrutdinov R., Mirin A., Kostina A. Digital Signature Scheme with Hidden Group Possessing Two-Dimensional Cyclicity. Proc. of Telecom. Universities. 2021;7(2):85-93. (in Russ.) D0I:10.31854/ 1813-324X-2021-7-2-85-93

Abstract: A method is proposed for constructing digital signature schemes based on the hidden discrete logarithm problem, which meet ageneral criterion of post-quantum resistance. The method provides a relatively small size of the public key and signature. Based on the method, a practical digital signature scheme has been developed, in which the exponentiation operation in a hidden group with two-dimensional cyclicity is the basic cryptographic primitive. The algebraic support of a cryptoscheme is a four-dimensional finite non-commutative algebra with associative multiplication operation. By specifying algebra using abasis vector multiplication table with half of empty cells, the performance of signature generation and authentication procedures is improved. A public key is a triple of four-dimensional vectors calculated as images of elements of a hidden group which are mapped using two types of masking operations: 1) mutually commutative with the exponentiation operation and 2) not having this property.

Keywords: information protection, computer security, cryptography, digital signature, post-quantum cryptoscheme, discrete logarithm problem, finite associative algebra, non-commutative algebra, hidden group.

FUNDING

This research was funded by RFBR according to the research project 21-57-54001 Viet_a. References

1. Ding J., Steinwandt R. Post-Quantum Cryptography. Revised Selected Papers of the 10th International Conference, PQCrypto 2019, Chongqing, China, 8-10 May 2019. Lecture Notes in Computer Science. Security and Cryptology. Springer; 2019. vol.11505. 418 p.

2. Announcing Request for Nominations for Public-Key Post-Quantum Cryptographic Algorithms. Federal Register. 2016;81(244). Available from: https://www.gpo.gov/fdsys/pkg/FR-2016-12-20/pdf/2016-30615.pdf [Accessed 24th May 2021]

3. Moldovyan A.A., Moldovyan D.N. Post-Quantum Digital Signature Protocols Based on the Hidden Discrete Logarithm Problem. Information Security Questions (Voprosy zasity informacii). 2019;2(125):23-32.

4. Moldovyan N.A., Moldovyan A.A. Finite Non-commutative Associative Algebras as carriers of Hidden Discrete Logarithm Problem. Bulletin of the South Ural State University. Ser. Mathematical Modelling, Programming & Computer Software. 2019; 12(1):66-81. D01:10.14529/mmp190106

5. Молдовян Н.А., Молдовян Д.Н. Постквантовая схема ЭЦП на основе скрытой задачи дискретного логарифмирования в четырехмерной конечной алгебре // Вопросы защиты информации. 2019. № 2. С. 18-22.

6. Moldovyan A.A., Moldovyan N.A. Post-quantum signature algorithms based on the hidden discrete logarithm problem. Computer Science Journal of Moldova. 2018;26(3(78)):301-313.

7. Shor P.W. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on Quantum Computer. SIAM Review. 1999;41(2):303-332. D0I:10.1137/S0036144598347011

8. Ekert A., Jozsa R. Quantum computation and Shor's factoring algorithm. Reviews of Modern Physics. 1996;68:733. D0I:10.1103/RevModPhys.68.733

9. Jozsa R. Quantum algorithms and the Fourier transform. Proceedings of the Royal Society A. Mathematical, Physical and Engineering Sciences. 1998;454(1969):323-337. D0I:10.1098/rspa.1998.0163

10. Moldovyan N.A., Moldovyan A.A. Candidate for practical post-quantum signature scheme. Vestnik of St Petersburg University. Applied Mathematics. Computer Science. Control Processes. 2020;16(4):455-461. D0I:10.21638/11701/spbu10. 2020.410

11. Moldovyan N.A. Signature Schemes on Algebras, Satisfying Enhanced Criterion of Post-quantum Security. Buletinul Academiei de Stiinte a Republicii Moldova. Matematica. 2020;2(93):62-67.

12. Moldovyan N.A. Fast signatures based on non-cyclic finite groups. Quasigroups and Related Systems. 2010;1(18):83-94.

13. Moldovyan N.A., Moldovyanu P.A. New primitives for digital signature algorithms. Quasigroups and Related Systems. 2009;2(17):271-282.

14. Fahrutdinov R.S., Mirin A. Yu., Moldovyan D.N., Kostina A.A. Public Key - Agreement Schemes Based on the Hidden Discrete Logarithm Problem. Information Technologies (Informacionnye Tehnologii). 2020;26(10):577-585. D0I:10.17587/it.26

15. Guryanov D.Yu., Moldovyan D.N., Moldovyan A.A. Post-Quantum Digital Signature Schemes: Setting a Hidden Group with Two-Dimensional Cyclicity. Informatizatsiia isviaz. 2020;4:75-82. D0I:10.34219/2078-8320-2020-11-4-75-82

16. Fast-Fourier Lattice-Based Compact Signatures over NTRU. Falcon. URL: https://falcon-sign.info [Accessed 24th May 2021]

17. Dilithium Home. CRYSTALS. Cryptographic Suite for Algebraic Lattices. URL: https://pq-crystals.org/dilithium/index. shtml [Accessed 24th May 2021]

МОЛДОВЯН Дмитрий Николаевич

Сведения об авторах:

кандидат технических наук, научный сотрудник лаборатории кибербез-опасности и постквантовых криптосистем Санкт-Петербургского федерального исследовательского центра Российской академии наук, mdn.spectr@mail.ru

© https://orcid.org/0000-0001-5039-7198

ФАХРУТДИНОВ Роман Шафкатович

кандидат технических наук, заведующий лабораторией кибербезопасно-сти и постквантовых криптосистем Санкт-Петербургского Федерального исследовательского центра Российской академии наук, fahr@cobra.ru

МИРИН Анатолий Юрьевич

кандидат технических наук, старший научный сотрудник лаборатории ки-бербезопасности и постквантовых криптосистем Санкт-Петербургского Федерального исследовательского центра Российской академии наук, mirin@cobra.ru

КОСТИНА Анна Александровна

научный сотрудник лаборатории кибербезопасности и постквантовых криптосистем Санкт-Петербургского Федерального исследовательского центра Российской академии наук, anna-kostina1805@mail.ru