Сравнение производительности алгоритмов формирования электронной цифровой подписи Текст научной статьи по специальности «Математика»

ТОО' 600 500 400 300 200 100

0<-1-1-1-¿----

О 50 100 150 200 250

Рис. 2. Экспериментальные данные измерения радиоактивного распада в линейном масштабе. Ошибки измерений показаны вертикальными линиями

КОНТРОЛЬНЫЕ ВОПРОСЫ

- Что такое естественное (фоновое) облучение?

- Что такое космические лучи и из чего они состоят?

- Какие элементы ответственны за естественную радиоактивность и откуда они появились?

- Что такое радиоактивное семейство элементов?

- Чем обусловлена естественная радиоактивность почвы и воздуха? От чего зависит уровень излучения?

- Назовите три изотопа радона. Который из них вносит наибольший вклад в радиоактивность воздуха?

- Как влияет режим использования помещения на уровень естественной радиоактивности в нём?

- Что такое естественная радиоактивность. Назовите основные виды радиоактивных превращений.

- Каков основной закон радиоактивного распада? Что такое постоянная распада, период полураспада, активность источника?

- Как зарегистрировать естественную радиоактивность воздуха?

Литература

1. ГусевН. Г. и др. Защита от ионизирующих излучений. М.: Атомиздат, 1969.

2. Баранов В. И. и др. Лабораторные работы и задачи по радиометрии. М.: Атомиздат, 1964.

3. Блан Д. Ядра, частицы, ядерные реакторы. М.: Мир, 1989.

4. Ландсберг Г. С. Элементарный учебник физики. М.: Наука, 1973.

5. Сергеев В. О. и др. Практикум по ядерной физике. СПб.: СОЛО, 2006.

COMPARING THE PERFORMANCE OF ALGORITHMS OF FORMATION DIGITAL SIGNATURE Korolev M.1, Lapina N.2 СРАВНЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ АЛГОРИТМОВ ФОРМИРОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ Королев М. Е.1, Лапина Н. А.2

'Королев Михаил Евгеньевич /KorolevMihail — студент;

2Лапина Надежда Андреевна / Lapina Nadezhda - студент, кафедра компьютерных систем и сетей, факультет информатики и систем управления, Московский государственный технический университет им. Н. Э. Баумана, г. Москва

Аннотация: данная работа посвящена сравнению производительности асимметричных алгоритмов формирования электронной цифровой подписи, приведено краткое описание существующих алгоритмов и описаны их недостатки, показаны преимущества схемы на основе эллиптических кривых, описано уравнение эллиптической кривой, применяемое в криптографии, и дано подробное описание алгоритма на его основе, в работе рассмотрены способы задания кривых и продемонстрирована целесообразность использования алгоритмов на основе эллиптических кривых, заданных над векторными конечными полями.

Abstract: this work is devoted to the comparison of performance of asymmetric algorithms of formation digital signature, in article briefed description of existing algorithms and described limitations, the advantages of the scheme based on elliptic curves, described equation elliptic curve used in cryptography, and a detailed description of the algorithm based on it, the paper discusses ways of defining curves and demonstrated the feasibility of using algorithms based on elliptic curves defined over finite fields by vector.

Ключевые слова: электронно-цифровая подпись, асимметричный алгоритм, логарифмирование, эллиптическая кривая, векторное поле, шифрование.

Keywords: digital signature, asymmetric algorithm, logarithm, elliptic curve, vector field, encryption.

Основная информация об электронной подписи

Электронная цифровая подпись (ЭЦП) - некоторые данные, получаемые на основе других данных, позволяющие проверить авторство и целостность последних. В асимметричных алгоритмах ЭЦП используются два криптографических ключа. Секретный ключ, известный только автору документа, служит для шифрования файлов, с помощью него формируется ЭЦП. С помощью открытого ключа можно выполнить обратное криптографическое преобразование и проверить подлинность полученных данных. Дубликат открытого ключа находится в Удостоверяющем Центре.

Криптостойкость асимметричных криптосистем

В асимметричных криптосистемах используются односторонние функции, поэтому, чтобы найти по известному результату f(x) исходное значение x, необходимо решить сложную математическую задачу. Основные задачи и наиболее распространенные криптосистемы приведены в таблице 1.

Таблица 1. Основные ассиметричные криптосистемы

Математическая проблема Система

Факторизация больших чисел. Для шифрования используется операция возведения в степень по модулю большого числа или же последовательности Люка. RSA, LUC

Поиск квадратных корней составного числа. Криптосистема Рабина

Дискретное логарифмирование (ДЛ) в конечном поле. Схема Эль-Гамаля

ДЛ в группе точек эллиптической кривой. Эллиптические кривые

В схеме Эль-Гамаля используется сложность задачи ДЛ в мультипликативных группах, имеющих большой простой порядок [1]. В качестве простого поля Галуа (конечного поля) GF(p), в котором содержится группа, обычно используется конечное кольцо Zn , где n численно равно произведению простых чисел р и q, причем р ф q. Кроме того, в некоторых алгоритмах используются расширенные конечные поля GF(pk), обычно это GF(2k) бинарное конечное поле. Как для GF(p), так и для GF(pk) существующие методы решения задачи ДЛ имеют субэкспоненциальную сложность порядка O(exp(c(logploglogp)d)), где с и d некоторые константы, а p - размер поля. В схеме RSA используется задача факторизации числа n, которая эквивалентна задаче извлечения квадратного корня. Обе задачи тоже имеют субэкспоненциальную сложность, поэтому для обеспечения достаточной стойкости алгоритмов ЭЦП на основе RSA, LUC, схемы Эль-Гамаля и схемы Рабина при нынешних вычислительных мощностях размер порядка полей должен быть более 210 бит, а значения |n|>210 бит [2], при этом обеспечивается уровень стойкости 280 операций. С ростом вычислительных мощностей увеличивается и необходимый порядок полей, что негативно сказывается на производительности.

Однако на данный момент не существует субэкспонециального алгоритма решения задачи ДЛ в группе точек ЭК, поэтому достаточная криптостойкость достигается на ключах, с существенно меньшей длиной, это положительно отражается на времени создания и расшифровки ЭЦП [3]. Самые быстрые методы решения ДЛ на ЭК имеют сложность O(q05), где q — порядок ЭК. Для обеспечения уровня стойкости в 280 операций необходимо q160.

Уравнение ЭК в криптографии

В настоящее время наилучшие показатели демонстрируют алгоритмы ЭЦП, основанные на конечных группах точек ЭК, групповой операцией является композиция точек. Конечные векторные поля и группы могут конкурировать с эллиптическими кривыми по эффективности синтезируемых алгоритмов ЭЦП, но на данный момент задача ДЛ в векторных структурах является малоизученной [4].

В криптографии под ЭК понимается набор точек, чьи координаты удовлетворяют некоторому уравнению ЭК и принадлежат конечному полю, в котором в виде формул заданы правила выполнения операций над парами координат. Формулы могут иметь различный вид, так как от характеристики поля зависит вид уравнения ЭК. Уравнение ЭК над произвольным полем F имеет вид:

у2 + агху + а3у = х3 + а2х2 + а4х + а6 , (1)

где

Если характеристика данного поля (char F) не равна двум или трем, то уравнение ЭК можно записать в форме Вейерштрасса:

у 2 = х 3 + ах + Ь, (2)

где , причем

4а 3 + 2 7 Ь2Ф0 (3)

Описываемая этим уравнением кривая, к каждой точке которой можно провести касательную, называется гладкой ЭК. Если же

4а 3 = - 2 7 Ь 2 , (4)

то кривая становится сингулярной, такие кривые не рекомендуется использовать, так как это снижает стойкость схемы ЭЦП [4].

Алгоритм генерации и проверки ЭЦП на основе ЭК

Алгоритм, являющийся стандартом в РФ, основан на ЭК и описан в ГОСТ Р 34.102012. Стандарт содержит алгоритм формирования ЭЦП на основе некоторых параметров, но не описывает механизм их генерации.

Согласно ГОСТ Р 34.102012 в качестве модуля ЭК используется простое число p, p>3. Порядок циклической подгруппы группы точек ЭК обозначается q, q - простое число, 2254<q<2256 или 2508<q<2512 [5].

ЭК задается уравнением:

(5)

где

Стандарт регламентирует использование точки P с координатами (xP,yP), такой что Р =£ О, и произведение q на P равно 0. В качестве секретного ключа выбирается целое число d, а в открытым ключом является точка [5].

Q =dP (6)

Формирование подписи (R, S) осуществляется в соответствии с алгоритмом, описанным ниже. Вычисляется точка С ЭК:

C = kP , (7)

где k случайное целое число, 0<k<q.

И для этой точки вычисляется значение R:

R = хсто dq, (8)

где xC — координата точки C. Затем находится

5 = (R d + fee) то dq , (9) (10)

где Н — значение хэш-функции от подписываемого сообщения.

Для значений R и S вычислить векторы R и S , цифровой подписью будет являться конкатенация этих векторов. К исходному сообщению добавляется ЦП длиной 29 или 210 бит и текстовое поле с дополнительной информацией, например с идентификаторами субъекта, подписавшего сообщение, или же датой и временем отправки сообщения.

Для проверки подписи необходимо вычислить R':

R ' = хсто dq, (11)

и проверить равенство R' = R. Координаты точки С находятся из уравнения: С = ( (5 e" 1) то d q) G + ( (q - R ) e" 1то d q ) Q, (12)

Производительность данного алгоритма на порядок выше, чем производительность RSA и DSA. ГОСТ Р 34.102012, также содержит требования к длине хеш-кода, необходимый размер 256 или же 512 бит.

Эллиптическая криптография над векторными полями

В существующих алгоритмах на основе ЭК используются либо конечное поле ZP — кольцо вычетов по модулю простого числа, либо расширенные конечные поля GF(pk), обычно это GF(2k) бинарное конечное поле. Математические операции при этом являются обычными операциями в поле, над которым построена ЭК: умножение в полях представляет собой умножение по модулю p, т.е. результат арифметического умножения делится на простое число

р. Кроме того, элементы поля GF(pk) можно представить как многочлены над GF(p) степени не выше п - 1. Если элементы в GF(pk) представлены в стандартном базисе

Ва={ а 0,а 1.....а к~ (13)

где а Е GF (рк) — генератор базиса В а,то умножение в базисе представляет собой полиномиальное умножение по модулю неприводимого многочлена g(x) над GF(p),причем g(a)=0 [6]. При таком представлении разбить вычисления на несколько одновременно выполняемых операций трудно.

Существует также векторный способ представления ЭК. Если формировать поля в векторных пространствах, то все операции выполняются над множеством координат векторов, при этом координаты вычисляются по отдельности. Следовательно, можно распараллелить вычисления и повысить скорость создания и проверки ЭЦП при задании ЭК над полями, сформированными в конечных к-мерных векторных пространствах. Все конечные поля одного порядка изоморфны, поэтому использование векторной формы представления не повлияет на структурные свойства ЭК и сложность задачи ДЛ на ЭК, безопасность ЭЦП останется прежней. Сравнение производительности

При выполнении умножения ЭК требуются операции сложения, умножения и операция инвертирования (вычисления мультипликативного обратного) в конечном поле, которая гораздо медленнее умножения, что значительно влияет на сложность вычислений. Используя проективные координаты при векторном представлении, можно устранить операции инвертирования, но при этом увеличивается количество операций умножения [4]. Поэтому наибольшее влияние на производительность оказывает сложность операции умножения. При выполнении равенства (14)

I Ь \=к \ Р I , (14)

где |р| длина числа р в битах, размеры порядков векторного поля GF(pk) и простого поля Zb равны. При этом производительность алгоритмов будет примерно одинаковой, так как сложность операции умножения М(GF(p)) в поле GF(p) пропорциональна |р|2, а операция умножения элементов поля GF(pk) включает к2 операций умножения в поле GF(p) [2]. Количество делений уменьшится в к раз, если делить на р сумму произведений пар координат, а не каждую пару в отдельности перед сложением. Это приводит к увеличению скорости вычислений примерно в к раз [2]. Возрастанием сложности деления из-за увеличения делимого можно пренебречь.

Выводы. Алгоритмы на основе эллиптических кривых являются наиболее эффективными для формирования ЭЦП. Реализация алгоритмов эллиптической криптографии на основе векторных полей обеспечивает значительный рост производительности при заданном уровне стойкости. Это обусловлено следующим:

• в полях, заданных в векторных пространствах, операция умножения является свободной от операции инвертирования;

• задача ДЛ не имеет решения субэкспоненциальными методами при корректном выборе размерности конечного векторного пространства;

• есть возможность распараллелить вычисления, так как при умножении координаты результирующего вектора могут быть вычислены одновременно;

• в векторных полях, при заданном размере порядка, сложность операций ниже, чем в конечных полях.

Литература

1. Молдовян Н. А. Практикум по криптосистемам с открытым ключом. СПб.: БХВ-Петербург, 2007. 298 с.

2. Молдовян Н. А. Теоретический минимум и алгоритмы цифровой подписи. СПб.: БХЧ Петербург, 2010. 304 с.: (Учебное пособие).

3. БухштабА. А. Теория чисел. М.: Просвещение, 1996. 384 с.

4. Болотов А. А., Гашков С. Б., Фролов А. Б. Элементарное введение в эллиптическую криптографию. Протоколы криптографии на элептических кривых. М.: КомКнига, 2006. 274 с.

5. ГОСТ Р 34.102012. Федеральное Агентство по техническому регулированию и метрологии. Национальный стандарт Российской Федерации. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. Введ. 20120807; взамен ГОСТ Р 34.102001.

6. Гашков С. Б., Сергеев И. С. Сложность вычислений в конечных полях, Фундаментальная и прикладная математика. М.: Открытые Системы, 2011/2012. Том 17. № 4. С. 95-131.