УСОВЕРШЕНСТВОВАННАЯ СХЕМА ПОРОГОВОЙ ПОДПИСИ CSI-FISH СО СВОЙСТВОМ БЫСТРОЙ СБОРКИ СЕКРЕТА Текст научной статьи по специальности «Компьютерные и информационные науки»

DOI: 10.55648/1998-6920-2023 -17-1 -76-91

УДК 004.021

Усовершенствованная схема пороговой подписи CSI-FiSh со свойством быстрой сборки секрета*

В. В. Давыдов1, А. Ф. Хуцаева1, И. Д. Иогансон1, Ж.-М. Н. Дакуо1,

С. В. Беззатеев1,2

'Университет ИТМО 2 Санкт-Петербургский гос. унив. аэрокосмического приборостроения (ГУАП)

Аннотация: В работе приводится новый вариант построения пороговой подписи CSI-FiSh, опубликованной в 2020 году (L. De Feo, M. Meyer). В предложенной схеме дополнительно обновляются открытые и закрытые ключи, что позволяет избежать случая компрометации дилера. В усовершенствованной схеме предлагается исключить последовательную передачу информации между пользователями при подписи и заменить её на сборку с участием дилера. Также в работе представлены экспериментальные результаты, подтверждающие эффективность предложенного подхода, и оценка безопасности полученной схемы.

Ключевые слова: криптография на изогениях эллиптических кривых, постквантовая криптография, электронно-цифровая подпись, пороговая подпись, схемы разделения секрета.

Для цитирования: Давыдов В. В., Хуцаева А. Ф., Иогансон И. Д., Дакуо Ж.-М. Н., Беззатеев С. В. Усовершенствованная схема пороговой подписи CSI-FiSh со свойством быстрой сборки секрета // Вестник СибГУТИ. 2023. Т. 17, № 1. С. 76-91.

https://doi.org/10.5564 8/1998-692 0-2 023-17-1-7 6-91.

1. Введение

В настоящее время одними из важнейших криптографических схем являются схемы пороговой подписи, которые нашли своё применение в большом количестве практических приложений [1, 2]. В связи с угрозой появления квантового компьютера большинство современных алгоритмов пороговой подписи, например подписи ECDSA [3], БЬБ [4], становятся уязвимыми к квантовым атакам с помощью алгоритма Шора [5]. Для решения данной проблемы предлагается использовать постквантовые алгоритмы, основанные на задачах, отличных от задач факторизации и дискретного логарифмирования.

Одна из таких задач - поиск изогений между эллиптическими кривыми. Данная область -самая молодая область постквантовой криптографии, которая бурно развивается в последнее время. Первая работа, посвящённая криптосистемам на изогениях и опубликованная в 2002 году, принадлежит Александру Ростовцеву и Елене Маховенко (Александровой) [6]. В дальнейшем данное направление получило широкое развитие: было опубликовано множество работ, в которых были представлены постквантовые криптосистемы, подписи и протоколы. Алгоритм выработки общего ключа SIKE [7] был представлен в конкурсе

* Работа выполнена при поддержке программы Приоритет-2030.

Статья поступила в редакцию 05.12.2022;

переработанный вариант - 25.01.2023; принята к публикации 04.02.2023.

постквантовых алгоритмов на стандартизацию [В], однако недавно Castryck и Decru представили атаку, компрометирующую данный алгоритм [9]. Тем не менее, несмотря на это, многие алгоритмы, основанные на изогениях, остаются стойкими как к классическим, так и к квантовым атакам [10].

Отличительной особенностью алгоритмов, относящихся к данному разделу, являются относительно небольшие размеры ключей и подписей по сравнению с криптосистемами и протоколами, основанными на других задачах постквантовой криптографии. Однако время выполнения алгоритмов достаточно велико, поэтому их использование не всегда практически реализуемо в системах, в которых время играет ключевую роль. На сегодняшний день существует несколько алгоритмов подписи, основанных на задаче поиска изогений. Наиболее важными алгоритмами являются подписи SeaSign [11], CSI-FiSh [12] и SQISign [13].

Стоит отметить, что в силу специфики математического аппарата, на котором строится теория изогений, построение пороговой подписи - достаточно трудная задача. Сложность обуславливается некоммутативностью кольца эндоморфизмов суперсингулярных кривых над расширением поля. Следовательно, с математической точки зрения необходимо рассматривать суперсингулярные кривые над полем F^ , где р - простое число. Так, подпись SeaSign,

основанная на схеме CSIDH [14], использует групповое действие идеалов на множестве у'-ин-вариантов над полем F^ . Дальнейшим улучшением SeaSign является подпись CSI-FiSh, где

предложено эффективное вычисление группового действия. Подпись SQISign, в свою очередь, строится над расширением поля F 2 , поэтому построение пороговой подписи затруднительно.

В 2020 году Luca de Feo и Michael Meyer предложили схему пороговой подписи CSI-FiSh [15]. Позже Daniel Cozzo и Nigel Smart представили вариант активно защищённой распределённой пороговой подписи CSI-FiSh [16]. Однако такие варианты имеют ключевой недостаток - сборка секрета и случайного значения в схеме осуществляется последовательно всеми пользователями, что сильно замедляет работу схемы. В нашей работе мы предлагаем усовершенствованный вариант схемы без последовательной передачи информации между пользователями при подписи, сильно сокращая время выполнения алгоритма.

2. Математический аппарат

Пусть К - конечное поле, Е - эллиптическая кривая, заданная над К. Изогенией между двумя эллиптическими кривыми Е и Еу называется нетривиальный гомоморфизм:

ф-.Е ^ Еу, ф(0е)=0е , где 0 - точка на бесконечности на кривых Е и Еу соответственно.

Пусть К = ¥р, где р - некоторое простое число. Эллиптическая кривая называется суперсингулярной, тогда и только тогда, когда Е [р] = {0е } , где Е [р] - это множество точек кручения.

Множество точек на кривой Е (К) (К - алгебраическое замыкание поля К), отображающееся изогенией ф в точку 0е на кривой Еу, называется ядром изогении и обозначается кег (ф). Поскольку изогения ф определяет групповой гомоморфизм из Е в Еу, ее ядро кег (ф)

- это подгруппа на кривой Е. И, наоборот, любая подгруппа X а Е | определяет изоге-

нию ф : Е ^ Еу с кег (ф) = X, то есть Еу = Е / X. Уравнение для Еу и изогения ф могут быть

вычислены с помощью алгоритма Велу [17]; обычно выбираются подгруппы X небольшого размера.

Кольцо эндоморфизмов End (E) состоит из всех изогений ф: E ^ E . Если кривая задана над конечным полем, то соответствующее кольцо эндоморфизмов обозначается En dp {Е)-

Для обычной (несуперсингулярной) кривой End(£) = Endj? (£), для суперсингу-

лярной кривой над : EndF (E)ci End(£).

По теореме Дойринга [18] для суперсингулярной кривой Е над F^ полное кольцо эндоморфизмов End (is) изоморфно порядку О в алгебре кватернионов, тогда как Endj^ ( Е) изоморфно порядку (У в мнимом квадратичном поле Q^yj-p

Групповое действие (операция) [19] обычно представляет собой простое отображение:

где G - это группа, а X - это множество, такие что для любых g\,g2 е G и x е X выполняется:

Si * (&2 * х) = (§i§2) * ^ • В нашем случае G = Cl(O), где С1 - группа классов идеалов, X — Л - множество эллиптических кривых.

2 3 2

Множество Л состоит из элементов А, таких что Е^:у =х + Ах + х. Таким образом, 2 3

Eg соответствует y = x + x.

Пример выполнения группового действия [20].

Пусть задан идеал \ = (i,n — 1), и если = - это циклическая группа, тогда

групповое действие 1-изогении задается следующим образом:

[1]*Е = Е/(р).

Следовательно, вычисление группового действия для идеала \ = {t,n — 1) происходит в два этапа:

1. Найти точку Р порядка £ .

2. Вычислить l-изогению

E ^ E/(P), используя формулу Велу [17]. Также на данный момент существуют более эффективные алгоритмы, позволяющие вычислять идеалы вида g = (g -l) [14].

Далее предполагается, что группа классов идеалов С1 (С) является циклической порядка N = #С1(0), генерируется классом идеала 0.

В [14] был предложен эффективный способ вычисления групповой операции * на суперсингулярных эллиптических кривых с большим количеством F^ рациональных подгрупп малой размерности. Важно отметить, что в современных криптографических алгоритмах, использующих в своей основе суперсингулярные эллиптические кривые, на начальном этапе алгоритма необходимо выбирать кривую с известным кольцом эндоморфизмов. Обычно в каче-

2 3

стве начальной кривой выбирается кривая Eg : y = x + x .

Безопасность, основанная на групповом действии, зиждется на допущении, что это действие трудно обратимо. Выделяют две основные проблемы: GAIP (Group Action Inverse Problem - проблема поиска обратного для группового действия) и MT-GAIP (Multi-Target

Group Action Inverse Problem - проблема поиска множественных обратных для группового действия).

Проблема GAIP описывается следующим образом. Пусть дана эллиптическая кривая Е, End (is) = О, необходимо найти такой идеал а с= О, что Е - а * Eq .

Сложность решения GAIP строится на отсутствии методов на изогениях, подобных алгоритму быстрого возведения в степень, и проблемы, как и поиск обратного в группе [12].

Проблема MT-GAIP может быть описана следующим образом. Пусть дано к эллиптических кривых Ei,..., Efc, где End(£i) = ... = End (Ек) = 0 , необходимо найти такой идеал а с: О

, что Ej = а * Ej , для некоторых i, j е {1, 2,..., к} и i Ф j. Схема подписи С SI-FiSh основана на

сложности MT-GAIP.

3. Схема подписи CSI-FiSh

Кратко опишем схему подписи CSI-FiSh, приведённую в [14]. Схема основывается на преобразовании Фиата-Шамира, которое используется в схеме идентификации на основе изоге-ний, предложенной Столбуновым [21] и Кувенем (Couveignes) [22]. Авторы предложили неинтерактивный протокол, на основе которого и строится подпись.

В данной подписи открытым ключом является набор кривых Ец,..., Eg —, полученный из

набора идеалов а^,а^, ..., ttg_j , который, в свою очередь, получен как Qa' = аг-, i е{1, ..., S_ 1}, где множество at выступает в качестве закрытого ключа. Открытые ключи

получаются как Ej =да' * Eq = [аг-]_£о, i е{1,...,£-1}, где Eq - начальная кривая, аг- eR Ждг, где N - размерность заданной группы классов идеалов, то есть N =#С\(0}.

Подписывающая сторона вычисляет набор кривых Е^ = дЛ' -к Eq = [bj ] Eq , где bjeRZN, i e {l,..., t], /V = #C1 (OJ. Значение bj выбирается случайно и не разглашается, данный параметр необходим для формирования и проверки подписи. Далее формируются компоненты подписи, вычисляется хэш от набора получившихся кривых и подписываемого сообщения с

помощью дерева Меркла, то есть (q,..., Л^Е^ ||...|| Е^ || где с,- е + ,

* t

Н - криптографическая хэш-функция, такая что TL: (0,1} —» +1,..., S -1} .

Авторы статьи предложили увеличить количество значений сг- в два раза, поскольку кривая Е = [ a ] Е0 изоморфна кривой E' = [_a ] Е0, что позволяет в два раза расширить набор публичных ключей. Получается, что ранее набор представлял собой последовательность из Е0,Ei,..., Eg_i, а сейчас из E_g+i, ...,Ео,...,Eg_j.

Затем вычисляется r = bi _sign(Ci)a|c jmodN, откуда получаем множество (rj,..., rt) . Так как Ci может принимать отрицательные значения, то его значения берутся по модулю. Действительно, согласно с вычислением ri знание bi позволит узнать информацию о секретном ключе.

Другими словами, пользователь самостоятельно генерирует набор обязательств (Cj,..., ct), а затем сразу же дает на него набор ответов (rj,..., rt) для проверки корректности

обязательств. Таким образом, подпись формируется как с = (rj,., rt,Cj,..., ct ) . Необходимо

подчеркнуть, что увеличение отрезка Cj повышает свойство надежности протокола (soundness); вероятность «подлога» одного значения Cj составляет 1 / (2s -1) .

Проверка подписи осуществляется с помощью проверки равенства (Ci,..., ct) ==(Ci,..., C'), где cj вычисляется как хэш от получившегося набора кривых и сообщения.

С помощью набора ответов (Г[,..., rt) происходит вычисление E(j)=[r]EC. , а затем

(cj,..., Е® II/и).

Выбор параметров S и t зависит от требуемого уровня безопасности, в статье проводится оценка зависимости размера подписи, времени генерации ключей, подписи и ее проверки от значений S, t.

В свою очередь, S и t соотносятся как вероятность «подлога» значений подписи (или обязательств) 1/ (2S - l)t, то есть t раз отправляются значения Cj е {—S +1,...,S -1}.

4. Вариант пороговой подписи CSI-FiSh

Опишем построение пороговой подписи, показанное в работе [15]. Важной особенностью такой схемы является структура коммуникации между пользователями во время сборки секрета. Для разделения и сборки секрета используется схема разделения секрета Шамира [23].

Опишем последовательную сборку секрета й? для групповой операции. Пусть участники Т\,Т>2,.--Т>п используют {к,п) -схему Шамира для полинома

/(х) = хк-1 + /_2хк_2 + .../\Х + й и получают свои тени секрета й^ й.2,---, йп, где й = / (XI). Им необходимо собрать секрет й, не разглашая его, то есть получить [й] Е°, где Е° - начальная кривая в изогенном графе. Для упрощения записи и без ущерба для общности будем считать, что в сборке секрета принимают участие 7\, , ..., Т\. В таком случае базисные полиномы Лагранжа вычисляются как:

. . к X _ X.

к (X )= П •

Тогда, чтобы собрать секрет, кривая передаётся участнику Т\, который вычисляет кривую Е1 следующим образом:

Е = [ й • 1 (0)] Ео,

где /' = 1 ,...,к.

Затем кривая передается участнику ТЬ, который вычисляет Е2 :

е2 = [а2 • /2 (о)] ех = [а2-/2(о)+£/1-/1 (о)] е0 .

Действие продолжается до участника к , который вычисляет:

Ек = [йк • 1к (°)] Ек_1 = [й] Ео • Заметим, что секрет й не получает никто из участников, его нахождение - сложная задача, равносильная задаче поиска пути в изогенном графе.

В пороговой схеме С81-Р18Ь [15] происходит разделение между участниками двух параметров - секретных ключей а^,/ е{1,...,£_ 1} , которые раздаются участникам дилером, а

также случайных значений Ь^^ г е{1, ..., , тени которых генерируются участниками

самостоятельно на этапе подписи. Случайные значения Ъ используются в протоколе доказательства без разглашения, основанном на схеме CSIDH, и участвуют в создании подписи. При этом самой «затратной» операцией с точки зрения времени выполнения является последовательное вычисление t значений Щ , полученных из теней Ъц , сгенерированных случайно каждым пользователем . Сборка таких значений осуществляется по алгоритму, показанному

выше в данном разделе. При большом значении к такая схема работает неэффективно по времени, поэтому необходимо её оптимизировать.

5. Описание предлагаемого решения

Поскольку длительное время работы пороговой подписи обусловлено выполнением t • к операций группового действия при осуществлении подписи, целесообразно сократить количество таких операций. Для этого предлагается использовать дилера не только для генерации ключа, но и при вычислении подписи.

Важным условием является то, что в процессе генерации секрет не должен знать никто из участников, в том числе и сам дилер. В современных схемах данную проблему решают просто

- дилер «забывает» секрет. Однако стоит учитывать факт компрометации дилера, в таком случае секрет становится известен третьим лицам. Таким образом, предлагается схема, основанная на [15], сохраняющая конфиденциальность секрета, то есть секрет (в собранном виде) никому не известен.

Генерация ключей

Согласно оригинальной схеме секретный ключ - это набор целых чисел ctj е Z^, где N = #С\(0'), i е{1,...,£-1}, где S - параметр безопасности. Будем «делить» каждое число

между участниками с помощью схемы разделения секрета Шамира. Для того, чтобы дилер не знал собранный секрет, предлагается следующее усовершенствование схемы.

Пусть дилер генерирует набор секретных чисел {aj,a^,.,ag_i}, считает тени для каждого из них с помощью схемы разделения секрета Шамира, а затем передаёт полученные тени Sj

каждому из участников соответственно. После этого системой выбирается случайный участник, который генерирует набор случайных значений соли |salt^,salt2, ..., е^дг, «делит» каждый элемент набора с помощью схемы разделения секрета Шамира, обновляет набор публичных ключей и отправляет каждому другому участнику Vj доли

salt j, i e {j, ..., S _ j}, j e {j, ..., n}, где n - общее количество участников. Выбор случайного

участника можно осуществлять с помощью специальных протоколов, например схемы электронной лотереи Пейе [24].

Затем каждый участник вычисляет сумму полученных теней соли и своих теней секрета Sij + saltjy, таким образом обновляя итоговый секрет. В итоге имеем две групповые операции

для каждого из чисел - подсчёт е- = [a]Eo,i e {1v..,S_ j} дилером, где a - секретный ключ, а также подсчёт PKi = [salt,- ]Е\,i e {j,...,S _ j} каждым участником. Всего групповых операций

- 2 •( S _j) •

Подпись

Основной проблемой при формировании подписи является последовательное вычислительно затратное выполнение нескольких групповых операций для сборки случайных

значений {Z^,b2,...,bt}. В схеме [15] реализована круговая система последовательного подсчёта ekj ^[bj]ekj~l,i e{1,...,t},j e{1,...,n}.

Для значительного ускорения процесса сборки теней предлагается вариант с использованием дилера, аналогичный варианту, предложенному при генерации ключей. Дилер сгенерирует набор случайных значений {bi, b2,...,bt} и раздаст их тени между всеми участниками с

помощью схемы разделения секрета Шамира, после чего один случайный участник сгенерирует соль, которую разделит между пользователями, а затем каждый добавит соль к своей тени

bij •

Ниже приведены протокол генерации ключей (Протокол 1) и протокол подписи сообщения (Протокол 2). Верификация подписи не изменяется и аналогична верификации, представленной в работе [14] (Алгоритм 3).

Протокол 1. Генерация ключей.

Входные данные: eq,n = #С\(О), идентификаторы участников IDs .

Выходные данные: набор секретных ключей ski, открытый ключ pk .

1. Дилер получает запрос на генерацию случайных кривых.

2. Для i е {l,...,5*-l}

a. a¿ <—R Ждг;

b. Ei = [ai]Eo.

3. Дилер делит каждое значение a¿ для i е{1,...,S-1} на тени aj по схеме Шамира для Xj е IDs .

4. Дилер отправляет значения {{aj} E} пользователю с идентификатором xj.

5. Один из пользователей, выбранный случайным образом, продолжает генерацию ключа.

6. Для всех i е {1,.,.,S-1}

а saltz <—^ Жд^; b. PKt - [salt¿ ] E¡.

7. Выбранный на шаге 5 пользователь делит каждое значение salt¿ для i е {1,...,S -1} на тени salt j по схеме Шамира для Xj е IDs.

8. Выбранный на шаге 5 пользователь отправляет значения {{saltj} ,pki} ^ ^

пользователю с идентификатором X j .

9. Каждый пользователь i получает

sk¡ = {a а + salt и } и PK = {PK } .

1 \ j1 j'ij=1, ..., s-1 I Jij=1,...,S-1

Протокол 2. Подпись.

Входные данные: сообщение m, идентификаторы участников IDs . Выходные данные: подпись ст = (zt;q,...,ct) .

1. Дилер получает запрос на генерацию случайных кривых.

2. Для всех i е {1, ..., t}

a. b¿ <-д ZN;

b. Ei=[bi]Eo-

3. Дилер делит каждое значение b¡ для i е{1,...,t} на тени bj по схеме Шамира для

Xj е IDs.

4. Дилер отправляет значения |{bj} ,E¿} пользователю с идентификатором Xj .

i 1,... ,t

5. Один из пользователей продолжает вычисление подписи.

6. Для всех i е

a. salt¿ <—R ZN;

b. B¡ = [salt,-] E¡.

7. Выбранный на шаге 5 пользователь делит каждое значение salti для i е |1,...,t} на тени saltij по схеме Шамира для Xj е IDs .

8. Выбранный на шаге 5 пользователь отправляет значения {{saltj} }. ^ пользователю с идентификатором X j .

9. Каждый пользователь вычисляет (q,...,c¿) = H.(Bi Ц^Ц... || Bt \\т) .

10. Примем sk§ = 0 .

11. Каждый пользователь Xj вычисляет значение

zij = (bj + saltj - sign (ci) • skj,|ct | )• lj (0) для i e{^ • •, t} .

12. Вычисляется zi = ^ Zj для i е|1,...,t} .

je IDs

13. Собирается подпись < = (Z1,. . . ,zt;C1,. . . ,ct). Алгоритм 3. Верификация.

Входные данные: сообщение m, подпись < = (Z1,. . . , zt;q, . . . ,ct), открытый ключ PK = {Eb . ..,Es-1} .

Выходные данные: ver = {True или False}.

1. Примем E-i = E¡, для всех i е{1, . . . , S -1}.

2. Для i = 1, . . . , t

a. E(i)=[z;]E, .

i. (q^ . . , c')

= H\ E

r(l)

...IIÉ

(t)

m

4. Если

a. ver = True.

5. Иначе:

a. ver = False .

6. Безопасность

Главной уязвимостью предлагаемого алгоритма является атака сговора. Она заключается в том, что если некоторое количество участников сговорится с дилером, то существует вероятность Р того, что злоумышленники смогут узнать секретный ключ:

г

P =

r < t t ,

1,r > t

где r - количество сговорившихся участников и t - это количество участвующих в подписи сообщения пользователей.

Уязвимость появляется вследствие генерации ключа в два этапа.

На первом этапе дилер самостоятельно выбирает случайные кривые Ei = [ ai ] Eq и рассылает пользователям кортеж данных ({ aj }, Ei) .

На втором этапе случайный пользователь досчитывает секретный ключ, используя salt¡:

ski = ai + salti.

Таким образом, если дилер, генерирующий ai, и пользователь, генерирующий salt i, сговорятся и сообщат друг другу значения своих секретных переменных, они узнают секретный ключ. Чем больше у дилера потенциальных союзников, тем выше вероятность успешной атаки сговором.

Еще одним вектором атаки для сговора участников с дилером является протокол вычисления подписи. В начале протокола дилер и случайно выбранный участник совместно генерируют случайные значения bi и salti. Данные значения, как и секретный ключ, не должны быть

скомпрометированы. Если кто-либо из участников узнает значения {b, salt i}, то, зная zi и

Ci, он сможет узнать значение секретного ключа skc = -sign (c¡) *(z¡ - b¡ - salt¿) . Вероятность

того, что один из участников, сговорившись с дилером, узнает эти значения, вычисляется аналогично вероятности P того, что злоумышленник узнает секретный ключ при генерации ключа.

Теперь рассмотрим безопасность данного протокола при Honest-but-Curious [25] модели злоумышленника. В данной модели злоумышленник - это легитимный пользователь, который не отклоняется от определенных протоколом действий, однако пытается собрать всю возможную информацию о системе.

Как было показано выше, безопасность системы основана на конфиденциальности случайно сгенерированных значений {ai, salti} - при генерации ключа и {b/, salti} - при вычислении подписи. Чтобы узнать секретный ключ злоумышленнику достаточно узнать a¡ + salti или bi + salti. Рассмотрим множество значений, которые знает каждый пользователь: {Eq,N, S, t, IDs} , множество значений, полученных пользователем j в процессе генерации

ключа: {{a1 ja(s-1)j},{salt1 j,...,salt(s-1)j},PK = {E1,...,Es_1}} и множество значений, полученных пользователем в процессе вычисления подписи:

{т,а = (z1.....zt;C1.....ct), {b1 j,.■■,btj},{salt1 j}, ф,...,Bt}} .

Из данных значений невозможно получить секретный ключ, так как {a^j, ..., a(£_1)y},{salt1j, ..., salt^^y} являются частями секретного ключа, но так как схема разделения Шамира совершенна, то знание одной доли секрета не даст злоумышленнику

никакой информации о секрете. Также Ei = [sk¿ ] Eo , однако отсюда злоумышленник также не сможет получить секретный ключ за разумное время из-за свойств группового действия. И последнее, zi = b + salti - sign (c¡ )• sk|c |, однако, не зная Ц + salti злоумышленник также не

сможет отсюда получить информацию о sk i.

Ici|

Дилер и выбранный пользователь имеют преимущество, так как один из них знает {ai}, а другой знает {salti}. Однако знание одного из этих значений не даст информации о значении {ski = ai + salti}. Таким образом, можно сказать, что при модели злоумышленника Honest-but-

Curious предложенная схема безопасна.

В общем случае безопасность рассматриваемой схемы эквивалентна безопасности ее составляющих - алгоритма Шамира [23] и схемы подписи CSi-FiSh [14]. Корректность схемы обусловлена протоколами 1, 2 и алгоритмом 3, где показана валидность подписи. Нам необходимо лишь доказать, что Bi = E(i). Для вычисления данных кривых используется схема Ша-мира, она работает корректно, потому что все вычисления происходят в коммутативных группах. Рассмотрим подробнее каждую из вычисляемых кривых. Кривая, получаемая при подписи сообщения:

Bi = [salti ] Ei = [salti ] [bi ] Eo = [salti + bi ] E0 • Кривая, получаемая при проверке:

e(íMz]Ect = bi + salti -sign(ci)skt,\c

Ц + salti - sign (ci) sk¿ic \ sign (ci) ski i

Ec =

Eo =

E =

Ь + salti _sign (c ) ski cj + sign (c, ) ski | [bi + salti ] Eo.

Откуда очевидно, что в- = E(i). Следовательно, верно следующее:

n(Bl\\...\\Bt\\m) = n(É

г(1)

...IIе

(О

m .

Очевидно, что выполняется и равенство (q,..., ct) = (q,., с{) .

По полученным результатам можно заключить, что предложенный протокол работает корректно.

7. Экспериментальные результаты

Для проверки полученных результатов и оценки времени работы схем реализованы оригинальная пороговая схема CSI-FiSh [15] и предложенный в данной работе вариант. Реализация проведена на языке Python с использованием программного обеспечения SAGEMath на персональном компьютере со следующими характеристиками: процессор Intel Core i5-6300HQ 2.30 GHz, оперативная память 8 ГБ.

Для сравнения времени работы алгоритмов генерации ключей и подписи для оригинальной схемы и её улучшенной версии подсчитаны экспериментальные значения времени выполнения в зависимости от параметров безопасности S и t, а также от порога к. На рис. 1 показана зависимость времени подписи от порога схемы при фиксированных значениях n = 10, S = 2, t = 6.

Время подписи

Порог

Рис. 1. Время подписи для оригинальной и предложенной схем в зависимости от порога

при n = 10, S = 2, t = 6

Из графика видно, что время подписи для предложенной схемы практически не меняется при увеличении порога, в то время как для оригинального Threshold CSI-FiSh время сильно увеличивается. Это обусловлено тем, что с увеличением порога в оригинальной схеме увеличивается и количество выполняемых групповых операций; для нашей схемы это количество фиксировано и не зависит от значения порога.

На рис. 2 показана зависимость времени подписи от параметра безопасности t при фиксированных значениях n = 10, S = 2, к = 3.

Время подписи

Рис. 2. Время подписи для оригинальной и предложенной схем в зависимости от параметра безопасности t при п = 10, = 2, к = 3

Можно заметить, что предложенная схема работает быстрее оригинальной - это обусловлено тем, что в предложенной схеме время выполнения не зависит от порога, а количество выполняемых групповых операций - 2t; для оригинальной схемы количество таких операций - к • t, то есть в данном случае - 3t.

На рис. 3 показана зависимость времени генерации ключа от параметра безопасности 5 при фиксированных значениях п = 10, I = 6, к = 3.

Рис. 3. Время генерации ключей для оригинальной и предложенной схем в зависимости от параметра безопасности 5 при п = 10, t = 6, к = 3

В данном случае предложенная схема работает дольше оригинальной, это обусловлено обновлением секрета случайным пользователем для обеспечения безопасности при недобросовестности дилера; в данном случае в предложенной схеме выполняется в два раза больше групповых операций, чем в оригинальной.

В табл. 1 для наглядности показаны некоторые значения полученного времени при различных параметрах 5, t, к, п.

Таблица 1. Сравнение времени выполнения алгоритмов генерации ключей и подписи для

оригинальной и усовершенствованной схем для различных параметров безопасности и порога

5 t (к, п) Время генерации ключей, схема [15], с Время генерации ключей, предложенная схема, с Время подписи, схема [15], с Время подписи, предложенная схема, с

2 1 (1,10) 6.04 11.83 5.99 12.42

4 3 (3,10) 17.71 37.57 54.97 34.75

6 5 (5,10) 29.46 61.62 147.98 60.48

8 7 (7,10) 41.04 85.24 289.58 85.03

10 9 (9,10) 54.65 108.20 477.80 109.22

Как видно из табл. 1, с ростом значений параметров безопасности и порога схемы предложенная схема работает в несколько раз быстрее оригинальной.

8. Заключение

В работе предложен усовершенствованный вариант пороговой подписи С81-Б18Ь со свойством быстрой сборки секрета. Введено дополнительное обновление секрета на этапе генерации ключей для защиты от недобросовестного дилера, а также последовательная сборка секрета была заменена сборкой с участием дилера, что позволило сильно сократить время подписи. Были доказаны корректность и безопасность предлагаемого подхода. Предложенная схема может использоваться в реальных системах, где есть необходимость защиты от квантовых атак.

Литература

1. Goldfeder S. et al. Securing bitcoin wallets via threshold signatures. 2014.

2. Stathakopoulou C., Cachin C. Threshold signatures for blockchain systems //Swiss Federal Institute of Technology. 2017. V. 30. P. 1.

3. Johnson D., Menezes A., Vanstone S. The elliptic curve digital signature algorithm (ECDSA) // International journal of information security. 2001. V. 1, № 1. P. 36-63.

4. Zhang F., Safavi-Naini R., Susilo W. An efficient signature scheme from bilinear pairings and its applications // International workshop on public key cryptography. Springer, Berlin, Heidelberg, 2004. P.277-290.

5. Shor P. W. Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer // SIAM review. 1999. V. 41, № 2. P. 303-332.

6. Ростовцев А. Г., Маховенко Е. Б. Криптосистема на категории изогенных эллиптических кривых // Проблемы информационной безопасности. Компьютерные системы. 2002. № 3. С. 74.

7. Jao D. et al. SIKE: Supersingular isogeny key encapsulation // HAL. 2017.

8. Computer Security Division I. T. L. Post-Quantum Cryptography | CSRC | CSRC // CSRC | NIST [Электронный ресурс]. URL: https://csrc.nist.gov/projects/post-quantum-cryptography (accessed: 04.12.2022).

9. Castryck W., Decru T. An efficient key recovery attack on SIDH (preliminary version) // Cryp-tology ePrint Archive. 2022.

10. Is SIKE broken yet? // Is SIKE broken yet? [Электронный ресурс]. URL: https://issikebrokenyet.github.io/ (accessed: 04.12.2022).

11. De Feo L., Galbraith S. D. SeaSign: compact isogeny signatures from class group actions // Annual International Conference on the Theory and Applications of Cryptographic Techniques. Springer, Cham, 2019. P. 759-789.

12. Beullens W., Kleinjung T., Vercauteren F. CSI-FiSh: efficient isogeny based signatures through class group computations // International Conference on the Theory and Application of Cryptol-ogy and Information Security. Springer, Cham, 2019. P. 227-247.

13. De Feo L. et al. SQISign: compact post-quantum signatures from quaternions and isogenies // International Conference on the Theory and Application of Cryptology and Information Security. Springer, Cham, 2020. P. 64-93

14. Castryck W. et al. CSIDH: an efficient post-quantum commutative group action // International Conference on the Theory and Application of Cryptology and Information Security. Springer, Cham, 2018. P. 395-427.

15. De Feo L., Meyer M. Threshold schemes from isogeny assumptions // IACR International Conference on Public-Key Cryptography. Springer, Cham, 2020. P. 187-212.

16. Cozzo D., Smart N. P. Sashimi: cutting up CSI-FiSh secret keys to produce an actively secure distributed signing protocol // International Conference on Post-Quantum Cryptography. Springer, Cham, 2020. P. 169-186.

17. Vélu J. Isogénies entre courbes elliptiques // CR Acad. Sci. Paris, Séries A. 1971. V. 273. P. 305-347.

18. Silvermann J. H. The arithmetic of elliptic curves // Graduate Texts in Mathematics. 1986. V. 106.

19. Alamati N. et al. Cryptographic group actions and applications // International Conference on the Theory and Application of Cryptology and Information Security. Springer, Cham, 2020. P. 411439.

20. Sotakova J. Elliptic curves, isogenies, and endomorphism rings. P. 17.

21. Stolbunov A. Constructing public-key cryptographic schemes based on class group action on a set of isogenous elliptic curves // Advances in Mathematics of Communications. 2010. V. 4, № 2. P. 215.

22. Couveignes J. M. Hard homogeneous spaces // Cryptology ePrint Archive. 2006.

23. Shamir A. How to share a secret // Communications of the ACM. 1979. V. 22, № 11. P. 612-613.

24. Paillier P. Public-key cryptosystems based on composite degree residuosity classes // International conference on the theory and applications of cryptographic techniques. Springer, Berlin, Heidelberg, 1999. P. 223-238.

25. Paverd A., Martin A., Brown I. Modelling and automatically analysing privacy properties for honest-but-curious adversaries // Tech. Rep. 2014.

Давыдов Вадим Валерьевич

аспирант 4 года обучения факультета безопасности информационных технологий, преподаватель, Университет ИТМО (НИУ ИТМО,197101, Санкт-Петербург, Кронверкский пр., д. 49, лит. А.), e-mail: vvdavydov@itmo. ru, ORCID ID: 0000-0002-5544-2434.

Хуцаева Алтана Феликсовна

инженер, магистрант 2 курса факультета безопасности информационных технологий, Университет ИТМО (НИУ ИТМО, 197101, Санкт-Петербург, Кронверкский проспект, д. 49, лит. А.), e-mail: afkhutsaeva@itmo.ru, ORCID ID: 0000-0001-5494-7142.

Иогансон Иван Дмитриевич

инженер, аспирант факультета безопасности информационных технологий, Университет ИТМО (НИУ ИТМО, 197101, Санкт-Петербург, Кронверкский проспект, д.49, литер А.), e-mail: ivan.ioganson@itmo.ru, ORCID ID: 0000-0002-0856-2249.

Дакуо Жан-Мишель Никодэмович

инженер, аспирант факультета безопасности информационных технологий, Университет ИТМО (НИУ ИТМО, 197101, Санкт-Петербург, Кронверкский проспект, д.49, литер А.), e-mail: jeandakuo@mail.ru, ORCID ID: 0000-0002-4084-8829.

Беззатеев Сергей Валентинович

заведующий кафедрой информационной безопасности, Санкт-Петербургский государственный университет аэрокосмического приборостроения (190000, Санкт-Петербург, ул. Большая Морская, д. 67, лит. А);

директор лаборатории криптографических методов защиты информации, Университет ИТМО (НИУ ИТМО, 197101, Санкт-Петербург, Кронверкский проспект, д.49, литер А.), e-mail: bsv@aanet.ru, ORCID ID: 0000-0002-0924-6221.

Авторы прочитали и одобрили окончательный вариант рукописи. Авторы заявляют об отсутствии конфликта интересов.

Вклад соавторов: Каждый автор внес равную долю участия как во все этапы проводимого теоретического исследования, так и при написании разделов данной статьи.

90

B. B. ,3,aBbigoB, A. Хуцаева, H. HoraHCOH, ®.-M. H. AaKyo, C. B. Ee33aTeeB

Improved Threshold Signature Scheme CSI-FiSh with Fast Secret Recovery

Vadim V. Davydov1, Altana F. Khutsaeva1, Ivan D. Ioganson1, Zhan-Mishel N. Dakuo1,

Sergey V. Bezzateev1,2

1 ITMO University (ITMO) 2 Saint Petersburg State University of Aerospace Instrumentation (SUAI)

Abstract: The paper presents an improved version of the CSI-FiSh threshold signature offered by L. De Feo and M. Meyer in 2020. In the proposed scheme, public and private keys are additionally updated avoiding the case of compromising a dealer. It is also proposed to eliminate the sequential information transfer between participants when signing and replace it with an assembly with the participation of the dealer. Experimental results showing the effectiveness of the proposed approach and the assessment of the resulting scheme safety are presented.

Keywords: isogeny-based cryptography, post-quantum cryptography, digital signature, threshold signature, secret sharing schemes.

For citation: Davydov V. V., Khutsaeva A. F., Ioganson I. D., Dakuo Z.-M. N., Bezzateev S. V. Improved threshold signature scheme CSI-FiSh with fast secret recovery (in Russian). Vestnik SibGUTI, 2023, vol. 17, no. 1. pp. 76-91. https://doi.org/10.55648/1998-6920-2023-17-1-76-91.

Content is available under the license © Davydov V. V., Khutsaeva A. F.,

Creative Commons Attribution 4.0 Ioganson I. D., Dakuo Z.-M. N.,

License Bezzateev S. V., 2023

The article was submitted: 05.12.2022;

revised version: 25.01.2023; accepted for publication 04.02.2023. References

1. Goldfeder S. et al. Securing bitcoin wallets via threshold signatures. 2014.

2. Stathakopoulou C., Cachin C. Threshold signatures for blockchain systems. Swiss Federal Institute of Technology, 2017, vol. 30, pp. 1.

3. Johnson D., Menezes A., Vanstone S. The elliptic curve digital signature algorithm (ECDSA). International journal of information security, 2001, vol. 1, no. 1, pp. 36-63.

4. Zhang F., Safavi-Naini R., Susilo W. An efficient signature scheme from bilinear pairings and its applications. International workshop on public key cryptography, Springer, Berlin, Heidelberg, 2004, pp. 277290.

5. Shor P. W. Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer. SIAM review, 1999, vol. 41, no. 2, pp. 303-332.

6. Rostovcev A. G., Mahovenko E. B. Kriptosistema na kategorii izogennyh ellipticheskih krivyh [Cryptosystem on the category of isogenic elliptic curves] Problemy informacionnoj bezopasnosti. Komp'yuternye sistemy, Saint-Petersburg, 2002, no. 3, p. 74.

7. Jao D. et al. SIKE: Supersingular isogeny key encapsulation. HAL, 2017, vol. 2017.

8. Computer Security Division I. T. L. Post-Quantum Cryptography | CSRC | CSRC. CSRC | NIST, [Research and analysis of computer network monitoring tools and methods], available at: https://csrc.nist.gov/projects/post-quantum-cryptography (accessed: 04.12.2022).

9. Castryck W., Decru T. An efficient key recovery attack on SIDH (preliminary version). Cryptology ePrint Archive, 2022.

10. Is SIKE broken yet? Is SIKE broken yet? [Research and analysis of computer network monitoring tools and methods], available at: https://issikebrokenyet.github.io/ (accessed: 04.12.2022).

11. De Feo L., Galbraith S. D. SeaSign: compact isogeny signatures from class group actions. Annual International Conference on the Theory and Applications of Cryptographic Techniques, Springer, Cham, 2019, pp. 759-789.

12. Beullens W., Kleinjung T., Vercauteren F. CSI-FiSh: efficient isogeny based signatures through class group computations. International Conference on the Theory and Application of Cryptology and Information Security, Springer, Cham, 2019, pp. 227-247.

13. De Feo L. et al. SQISign: compact post-quantum signatures from quaternions and isogenies. International Conference on the Theory and Application of Cryptology and Information Security, Springer, Cham, 2020, pp.64-93

14. Castryck W. et al. CSIDH: an efficient post-quantum commutative group action. International Conference on the Theory and Application of Cryptology and Information Security, Springer, Cham, 2018, pp. 395-427.

15. De Feo L., Meyer M. Threshold schemes from isogeny assumptions. IACR International Conference on Public-Key Cryptography, Springer, Cham, 2020, pp. 187-212.

16. Cozzo D., Smart N. P. Sashimi: cutting up CSI-FiSh secret keys to produce an actively secure distributed signing protocol. International Conference on Post-Quantum Cryptography, Springer, Cham, 2020, pp. 169-186.

17. Vélu J. Isogénies entre courbes elliptiques. CR Acad. Sci. Paris, Séries A, 1971, vol. 273, pp. 305-347.

18. Silvermann J. H. The arithmetic of elliptic curves. Graduate Texts in Mathematics, 1986, vol. 106.

19. Alamati N. et al. Cryptographic group actions and applications. International Conference on the Theory and Application of Cryptology and Information Security, Springer, Cham, 2020, pp. 411-439.

20. Sotakova J. Elliptic curves, isogenies, and endomorphism rings. p. 17.

21. Stolbunov A. Constructing public-key cryptographic schemes based on class group action on a set of isogenous elliptic curves. Advances in Mathematics of Communications, 2010, vol. 4, no. 2, p. 215.

22. Couveignes J. M. Hard homogeneous spaces. Cryptology ePrint Archive, 2006.

23. Shamir A. How to share a secret. Communications of the ACM, 1979, vol. 22, no. 11, pp. 612-613.

24. Paillier P. Public-key cryptosystems based on composite degree residuosity classes. International conference on the theory and applications of cryptographic techniques, Springer, Berlin, Heidelberg, 1999, pp. 223-238.

25. Paverd A., Martin A., Brown I. Modelling and automatically analysing privacy properties for honest-but-curious adversaries. Tech. Rep., 2014.

Vadim V. Davydov

4th year PhD student of the Department of Information Security, lecturer, ITMO University (ITMO, Kron-verksky Pr. 49, bldg. A, St. Petersburg, 197101, Russia), e-mail: vvdavydov@itmo.ru, ORCID ID: 00000002-5544-243.

Altana F. Khutsaeva

Engineer, 2nd year master's degree student of the Department of Information Security, ITMO University (ITMO, Kronverksky Pr. 49, bldg. A, St. Petersburg, 197101, Russia), e-mail: afkhutsaeva@itmo.ru, ORCID ID: 0000-0001-5494-7142.

Ivan D. Ioganson

Engineer, PhD student of the Department of Information Security, ITMO University (ITMO, Kronverksky Pr. 49, bldg. A, St. Petersburg, 197101, Russia), e-mail: ivan.ioganson@itmo.ru, ORCID ID: 0000-00020856-2249.

Zhan-Mishel N. Dakuo

Engineer, PhD student of the Department of Information Security, ITMO University (ITMO, Kronverksky Pr. 49, bldg. A, St. Petersburg, 197101, Russia), e-mail: jeandakuo@mail.ru, ORCID ID: 0000-0002-40848829.

Sergey V. Bezzateev

Head of Information Security Department, Saint-Petersburg State University of Aerospace Instrumentation (190000, Saint-Petersburg, Bolshaya Morskaya str. 67, lit. A); Director of Cryptographic Methods of Information Security Laboratory, ITMO University (197101, Saint-Petersburg, Kronverksky prospekt 49, lit. A), e-mail: bsv@aanet.ru, ORCID ID: 0000-0002-0924-6221.