CC BY
38
УДК 512.54
ВЕРСИЯ ПРОТОКОЛА ДИФФИ - ХЕЛЛМАНА, ИСПОЛЬЗУЮЩАЯ ДОПОЛНИТЕЛЬНЫЕ СКРЫТЫЕ МНОЖИТЕЛИ
А. А. Обзор
Омский государственный университет им. Ф. М. Достоевского, г. Омск, Россия
Информация о статье Аннотация. Приводится версия классического криптографического протокола
Дата поступления Диффи - Хеллмана, использующая скрытые множители из подгрупп платформы
07.03.2017 шифрования. Для раскрытия секрета данного протокола недостаточно решить про-
блему дискретного логарифма, необходимо также решить проблему вычисления по-Дата принятия в печать рядка элемента мультипликативной группы кольца вычетов.
04.04.2017
Дата онлайн-размещения 15.07.2017
Ключевые слова
Криптография, протокол Диффи - Хеллмана, скрытые множители
Финансирование
Исследование выполнено при финансовой поддержке Российского научного фонда в рамках научного проекта № 16-11-10002
Автор благодарен своему научному руководителю - В. А. Романькову за постановку задачи и полезные советы, а также за возможность использовать препринт [3]
VERSION OF THE DIFFIE - HELLMAN KEY EXCHANGE PROTOCOL, BASED ON USING ADDITIONAL HIDDEN FACTORS
A. A. Obzor
Dostoevsky Omsk State University, Omsk, Russia
Article info Abstract. We propose a new version of classic Diffie - Hellman cryptographic protocol
Received that uses hidden factors from subgroups of the encryption platform. It is not sufficient to
07.03.2017 solve the discrete logarithm problem in order to find a secret key of this protocol. The
attacker has to solve simultaneously the discrete logarithm problem and the problem of Accepted computing the order of an element in the multiplicative group of the modular ring.
04.04.2017
Available online 15.07.2017
Keywords
Cryptography, Diffie - Hellman protocol, hidden factors
ISSN 1812-3996-
Acknowledgements
The reported study was funded by RSF according to the research project № 16-11-10002
The autor is gratetul to the research supervisor V. A. Roman'kov for posing the problem, useful advices, and the opportunity to use his preprint [3]
Вестник Омского университета 2017. № 2(84). С. 14-17
Введение
В серии работ [1-4] В. А. Романьков предложил использовать скрытые множители из подгрупп платформы шифрования, чтобы придать системе шифрования RSA и ряду других криптографических схем свойства семантической секретности. В данной статье представлен аналог классического протокола шифрования Диффи - Хеллмана, основанного на трудности вычисления дискретного логарифма, также использующий скрытые множители из подгрупп криптографической платформы.
Пусть G = F*- мультипликативная группа конечного поля Fq , q = pr (p - простое число), g - порождающий элемент этой группы. Любое целое х, удовлетворяющее уравнению вида
дх = f, (1)
где f - произвольный элемент группы G, называется дискретным логарифмом элемента f по основанию д. Так как g - порождающий элемент группы G, уравнение (1) разрешимо для любого элемента f е G. При ограничении 0 < x < q - 2 дискретный логарифм x = logg(f) вычисляется однозначно. Задача нахождения logg(f) по порождающему элементу g и произвольному f известна как проблема дискретного логарифма. Она считается вычислительно трудной; значит, функция ô(x) = дх может рассматриваться как односторонняя. Поэтому дискретный логарифм составляет основу целого ряда алгоритмов криптографии. В частности, на сложной разрешимости проблемы дискретного логарифма основывается криптографическая стойкость классического протокола Диффи - Хеллмана (см.: [5-7]).
Версия протокола Диффи - Хеллмана
В протоколе Диффи - Хеллмана платформой шифрования служит мультипликативная группа конечного поля. В предлагаемой версии этого протокола в качестве платформы шифрования предлагается взять мультипликативную группу Z*n кольца вычетов Zn относительно модуля вида n = pq, где ри q - достаточно большие различные простые
числа. Алгоритмы построения больших простых чисел хорошо известны и эффективны (см., например, [5-6]). Числа р и q считаются секретными, а модуль п - открытым. Также предполагается, что р и q имеют примерно одинаковую длину в битовом представлении.
Пусть С = 2*п обозначает мультипликативную группу кольца вычетов 2П. Зафиксируем какой-нибудь элемент д этой группы достаточно большого порядка |д|. Двум корреспондентам Алисе и Бобу необходимо на основе этих данных выбрать секретным образом достаточно большое случайное число (секретный ключ), с помощью которого будет производиться шифрование. Считается, что переписка по поводу выбора этого числа происходит по открытому каналу связи.
Установка
Сначала Алиса выбирает секретное простое число г, а Боб - секретное простое число 5. Затем Алиса случайным образом выбирает число х и передает Бобу произведение г1 = гх. Боб выбирает случайным образом число у и передает Алисе элемент 51 = Бу.
После этого они защищенным образом договариваются о выборе простого числа р, такого, что р = 1 + 2г1Б1г. Затем кто-то из корреспондентов, например Алиса, генерирует простое число q и передает по сети уже п = pq. Боб же, получив п и зная р, вычисляет q. Далее они используют С = 2*п как платформу шифрования.
Таким образом, корреспонденты Алиса и Боб договариваются о выборе модуля п = pq. Далее они договариваются о выборе элемента д группы С = 2*п. Данные п и д являются открытыми. Простые числа ри q остаются секретными.
Генерация случайных чисел и передача их по
сети
Алиса выбирает циклическую подгруппу К группы С порядка г. Для этого она находит порождающий элемент этой подгруппы [ Е \[\ = г,
Вестник Омского университета 2017. № 2(84). С. 14-17
-ISSN 1812-3996
который существует, так как (р — 1) ■ г по построению р. Для нахождения этого элемента она случайным образом выбирает последовательно элементы fi, i = 1, 2, ..., каждый раз вычисляя степень fit, где t = 2xs1z = (р - 1)/т, до тех пор, пока не получит неравенство fit * 1. Тогда она полагает f = fit. Ясно, что fr = fp-1 = 1. Так как г - простое число, то |f | = r. В группе Fp в точности t элементов являются корнями из 1 степени t. Вероятность выбора такого элемента при случайном равномерном распределении равна t/(p — 1) = 1/г. Следовательно, вероятность неудачи при выборе в m последовательных испытаниях равна (1/r)m. При достаточно большом r и сравнительно небольшом значении m (20-30) вероятностью неудачи можно пренебречь. Практически таким же образом выбирают некоторые параметры в стандартах цифровых подписей DSS и ГОСТ Р 34-10-94 (см.: [6]).
Выбрав f, Алиса решает систему (w = f (mod р), (w = 1 (mod q).
Согласно Китайской теореме об остатках решение w найдется. Тогда wr = 1 (mod п), w - порождающий элемент подгруппы К. После того как w найден, Алиса передает его Бобу. Аналогично абонент B выбирает циклическую подгруппу Н группы G порядка s и отправляет ее порождающий элемент Алисе.
Далее Алиса выбирает случайным образом число а и элемент h Е Н, вычисляет стандартное имя элемента и = hgar (т. е. 0 < и < п — 1) и передает результат Бобу. Тем временем Боб аналогичным образом выбирает число b и элемент к Е К и сообщает по сети v = kgbs.
Разделение секретного параметра
Алиса, зная a, v и г, вычисляет стандартное имя элемента vra = kragbsra = (kr)agabrs = = gabrs, так как kr = 1 (mod n). Боб, зная b, и и s, вычисляет usb = hsbgarsb = (hs)bgabrs = 1gabrs = = gabrs и присваивает ему стандартное имя. Таким образом, корреспонденты Алиса и Боб разделили секретное число - стандартное имя элемента gabrs.
Криптографическая стойкость
Криптографическая стойкость данного протокола основывается на трудной разрешимости двух проблем - дискретного логарифма и определения порядка мультипликативной группы кольца вычетов. При этом решения только одной из этих проблем недостаточно для раскрытия протокола. Если кому-то удалось бы вычислить параметры p и q, ему все равно пришлось бы решать проблему вычисления порядка элемента в мультипликативной группе конечного поля. Известна разрешимость этой задачи за полиномиальное время при знании разложения порядка мультипликативной группы поля на примарные множители (см.: [5]). Такого разложения потенциальный взломщик не имеет.
Замечания
1) В предложенной версии числа r и s простые. Это условие можно исключить, но тогда не будет сведений о порядках подгрупп K и H соответственно. Эти подгруппы не обязательно выбирать нециклическими. Можно, например, выбрать K = gp(/1, —,fk), где наименьшее общее кратное порядков элементов fi равно r. Точно так же можно выбирать H. Алгоритм разделения ключа от этого не меняется.
2) Есть только один момент, когда корреспонденты пользуются защищенным каналом связи -при выборе простого числа p. В этом случае можно воспользоваться передачей в зашифрованном виде.
СПИСОК ЛИТЕРА ТУРЫ
1. Романьков В. А. Новая семантически стойкая система шифрования с открытым ключом на базе RSA // Прикладная дискретная математика. 2015. № 3 (29). С. 32-40.
2. Roman'kov V. A. New probabilistic public-key encryption based on the RSA cryptosystem // Groups, Complexity, Cryptology. 2015. Vol. 7, № 2. P. 153-156.
3. Roman'kov V. A. How to make RSA and some other encryptions probabilistic // arXiv: 1603.0203v1 [cs: CR] 7 Mar 2016. P. 1-7.
4. Романьков В. А. Вариант семантически стойкого шифрования на базе RSA // Вестн. Ом. ун-та. 2016. № 3 (81). С. 7-9.
5. Menezes A., van Oorschot P. C., Vanstone S. A. Handbook of applied cryptography. Roca Raton ; L. ; N. Y. ; Washington: CRC Press, 1996. 816 p.
6. Романьков В. А. Введение в криптографию. М. : Форум, 2012. 239 с.
7. Романьков В. А. Алгебраическая криптография. Омск : Ом. гос. ун-та, 2013. 135 с.
Вестник Омского университета 2017. № 2(84). С. 14-17
ISSN 1812-3996-
ИНФОРМАЦИЯ ОБ АВТОРЕ
Обзор Анастасия Александровна - студентка ИМИТ (Института математики и информационных технологий), кафедра компьютерной математики и программирования, Омский государственный университет им. Ф. М. Достоевского, 644077, Россия, г. Омск, пр. Мира, 55а; e-mail: obzor2503@gmail. com.
INFORMATION ABOUT THE AUTHOR
Obzor Anastasia Aleksandrovna - student of IMIT (The Institute of Mathematics and Information Thechnolo-gies), the Chair of Computing Mathematics and Programming, Dostoevsky Omsk State University, 55a, pr. Mira, Omsk, 644077, Russia; e-mail: obzor2503@ gmail.com.
ДЛЯ ЦИТИРОВАНИЯ
Обзор А. А. Версия протокола Диффи - Хеллмана, использующая дополнительные скрытые множители // Вестн. Ом. ун-та. 2017. № 2 (84). С. 14-17.
FOR CITATIONS
Obzor A.A. Version of the Diffie - Hellman key exchange protocol, based on using additional hidden factors. Vestnik Omskogo universiteta = Herald of Omsk University, 2017, no. 2 (84), pp. 14-17. (in Russian).
