Научная статья на тему 'Уязвимость криптосистемы Мак-Элиса, построенной на основе двоичных кодов Рида — Маллера'

Уязвимость криптосистемы Мак-Элиса, построенной на основе двоичных кодов Рида — Маллера Текст научной статьи по специальности «Математика»

CC BY
577
60
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
КРИПТОСИСТЕМА МАК-ЭЛИСА / КОДЫ РИДА — МАЛЛЕРА / ПОЛИНОМИАЛЬНАЯ СЛОЖНОСТЬ АТАКИ / REED — MULLER CODE / MCELIECE CRYPTOSYSTEM / POLYNOMIAL ATTACK

Аннотация научной статьи по математике, автор научной работы — Чижов Иван Владимирович, Бородин Михаил Алексеевич

Предлагается новый алгоритм восстановления секретного ключа по открытому для криптосистемы Мак-Элиса, построенной на основе двоичных кодов Рида — Маллера RM(r, m). В случае, если значение d = (r,m — 1) ограничено, алгоритм имеет полиномиальную сложность O(n d + n 4 log2 n), где n = 2 m. Практические результаты показывают, что предложенная атака позволяет осуществить взлом криптосистемы Мак-Элиса, построенной на основе двоичного кода Рида — Мал-лера длины n = 65526 битов, менее чем за 7 ч на персональном компьютере.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

The failure of Mceliece PKC based on Reed — Muller codes

This paper describes new algorithm for breaking McEliece cryptosystem, being built on Reed — Muller binary code RM(r, m).The algorithm calculates the private key from the public key using O(n d + n 4 log 2 n) bit operations, where n = 2 m, d = (r, m — 1). In case of limited d, the attack has a polynomial complexity. Practical results of implementation show that McEliece cryptosystems, based on the Reed — Muller binary code of length n = 65526 bits, can be broken in less than 7 hours on a personal computer.

Текст научной работы на тему «Уязвимость криптосистемы Мак-Элиса, построенной на основе двоичных кодов Рида — Маллера»

8. Агибалов Г. П. Элементы теории дифференциального криптоанализа итеративных блочных шифров с аддитивным раундовым ключом // Прикладная дискретная математика. 2008. №1. С. 34-42.

9. Пестунов А. И. О вероятности протяжки однобитовой разности через сложение и вычитание по модулю // Прикладная дискретная математика. 2012. №4. С. 53-60.

10. Selguk A. A. On probability of success in linear and differential cryptanalysis // J. Cryptology. 2007. No. 21. P. 131-147.

11. Словарь криптографических терминов / под ред. Б. А. Погорелова и В.Н.Сачкова. М.: МНЦМО, 2006. 94с.

12. Погорелов Б. А., Черемушкин А. В., Чечета С. И. Об определении основных криптографических понятий // Доклад на конф. «Математика и безопасность информационных технологий», МаБИТ-03, МГУ, 23-24 октября 2003. M., 2003.

13. Knudsen L. R., Robshaw M. J. B., and Wagner D. Truncated differentials and Skipjack // LNCS. 1999. V. 1666. P. 165-180.

УДК 056.55

УЯЗВИМОСТЬ КРИПТОСИСТЕМЫ МАК-ЭЛИСА, ПОСТРОЕННОЙ НА ОСНОВЕ ДВОИЧНЫХ КОДОВ РИДА — МАЛЛЕРА

И. В. Чижов, М. А. Бородин

Предлагается новый алгоритм восстановления секретного ключа по открытому для криптосистемы Мак-Элиса, построенной на основе двоичных кодов Рида — Маллера RM(r, m). В случае, если значение d = (r,m — 1) ограничено, алгоритм имеет полиномиальную сложность O(nd + n4 log2 n), где n = 2m. Практические результаты показывают, что предложенная атака позволяет осуществить взлом криптосистемы Мак-Элиса, построенной на основе двоичного кода Рида — Мал-лера длины n = 65526 битов, менее чем за 7 ч на персональном компьютере.

Ключевые слова: криптосистема Мак-Элиса, коды Рида — Маллера, полиномиальная сложность атаки.

Рассматривается криптосистема Мак-Элиса, оригинальная версия которой использует коды Гоппы [1]. В 1994 г. В. М. Сидельников в работе [2] предложил использовать для построения криптосистемы Мак-Элиса коды Рида — Маллера, которые позволяют увеличить скорость расшифрования и передачи криптограммы.

На сегодняшний день самым успешным из опубликованных алгоритмов восстановления секретного ключа по открытому для криптосистемы Мак-Элиса, основанной на двоичных кодах Рида — Маллера RM(r, m), является алгоритм Л. Миндера и А. Шокроллахи, предложенный ими в 2007 г. в [3]. Этот алгоритм имеет субэкспонен-циальную сложность, его идея заключается в сведении задачи взлома криптосистемы с параметрами кода RM(r,m) к такой же задаче, но для кода RM(1,m). В данной работе предложен другой алгоритм сведения, который имеет полиномиальную сложность для некоторого подмножества кодов Рида — Маллера.

Полученные теоретические результаты можно кратко представить в виде теорем.

Теорема 1. Пусть (r, m — 1) = 1. Тогда существует алгоритм со сложностью O(n4 log2 n) битовых операций, который по порождающей матрице кода RMа(r,m) находит перестановку а', такую, что RMа'а (r,m) = RM(r,m).

И обобщение теоремы 1:

Теорема 2. Пусть (т,т — 1) = 1. Тогда существует алгоритм со сложностью

0(п^+п41с^2 п) битовых операций, который по порождающей матрице кода ЯМа(т, т) находит перестановку а', такую, что ЯМа'а (т,т) = ЯМ(т,т).

Это означает, что для параметров кода ЯМ(т, т), у которых (т,т — 1) ограничен, предложенная атака имеет полиномиальную сложность.

Теоретические результаты подтверждаются практическими исследованиями (табл. 1 и 2): алгоритм реализован программно и запускался на ноутбуке с процессором 2,1 ГГц. Для тех параметров криптосистемы, когда применение алгоритма не даёт асимптотического ускорения, используется символ «М». Если алгоритм сводит исходную задачу (т, т) к задаче с меньшей трудоёмкостью (¿, т), то это отмечено в табл. 2 символами (¿,т).

Таблица 1 Результат Л. Миндера и А. Шокроллахи (процессор 2,4 ГГц)

r m

8 9 10 11

2 0,04 с 0,24 c 12,14с 1,77 c

3 0,18 с 1,26 с 16,5 c 5 м 20 с

4 2 м 57 с 22 ч 50 м 10 д 11 ч 55 м

Таблица 2

Наш результат (2,1 ГГц)

r m

8 9 10 11 12 13 14 15 16

2 0,007 с M 0,48 c M 6 c M 3 м 13 с M 2 ч 30 м

3 0,01 с 0,2 с M 1,35 c 19 c M 5 м 29 с 30 м 31 с M

4 0,043 с M 0,43 c (2,11) 15 c M 7 м 10 с (2,15) 3 ч 28 м

5 0,042 с 0,4 с 0,8 с M 16,5 c 2 м 1 c 14 м 12 с 53 м M

6 (2,9) (3,10) (2,11) 23 c M 9 м 28 с 14 м 16 с (3,16)

7 0,86 c 3,2 c 25 c 3 м 16 с 10 м 54 с M 6 ч 43 м

ЛИТЕРАТУРА

1. Мак-Вильямс Ф. Дж., СлоэнН.Дж. Теория кодов, исправляющих ошибки. М.: Связь, 1979.

2. Сидельников В. М. Открытое шифрование на основе двоичных кодов Рида — Маллера // Дискретная математика. 1994. Т. 6. №2. С. 3-20.

3. Minder L. and Shokrollahi A. Cryptanalysis of the Sidelnikov cryptosystem // LNCS. 2007. V. 4515. P. 347-360.

i Надоели баннеры? Вы всегда можете отключить рекламу.