CC BY
19
Рис. 1. Орграф Г(1,14)
К 0-му ярусу относится вершина 1, к 1-му — ксс Ц и [/2, ко 2-му — ксс и3 и [/4, к 3-му — вершина 14. Множества предшественников: Р(Ц^ = {1}, Р(Ц2) = {1, 2, 3, 12,13}, Р(^з) = Р(ЦО и {4, 5,6, 7}, Р(^4) = {1, 2, 3}.
С помощью этой модели опишем перемешивающий орграф генератора с перемежающимся шагом [3, гл. 18], построенный на базе двоичных регистров правого сдвига: управляющего длины т и двух генерирующих длин п и г, т, п, г > 1. В зависимости от управляющего знака сдвигается либо первый, либо второй генерирующий регистр.
Перемешивающий орграф Г(к) преобразования к множества Ут+П+Г состояний генератора является г х (т + п)- и г х (т + п + г)-примитивным [4] для любого г Е {1,..., т}; Г(к) содержит г, (т + п)-ксс Ц и Ц2 (с множествами вершин {1,..., т} и {т + 1,... , т + п} соответственно) и г, (т + п + г)-ксс и3 с множеством вершин {т + п + 1,..., т + п + г}. Для любого г € {1,..., т} в орграфе Г(г, т + п) имеется два яруса: к 0-му ярусу относится ксс Ц1, к 1-му — ксс Ц2; в орграфе Г(г,т + п + г) также имеется два яруса: к 0-му ярусу относится ксс Ц1, к 1-му — ксс Ц3.
ЛИТЕРАТУРА
1. Кяжин С. Н. О применении условий локальной примитивности и оценок локальных экспонентов орграфов // Прикладная дискретная математика. 2016. №4(34). С. 81-98.
2. Кяжин С. Н., Фомичев В. М. Локальная примитивность графов и неотрицательных матриц // Прикладная дискретная математика. 2014. №3(25). С. 68-80.
3. Фомичев В. М. Методы дискретной математики в криптологии. М.: Диалог-МИФИ, 2010. 424 с.
4. Кяжин С. Н., Фомичев В. М. Перемешивающие свойства двухкаскадных генераторов // Прикладная дискретная математика. Приложение. 2016. №9. С. 60-62.
УДК 004.056.55 Б01 10.17223/2226308X710/36
ВЕРСИЯ ПРОТОКОЛА ДИФФИ — ХЕЛЛМАНА, ИСПОЛЬЗУЮЩАЯ ДОПОЛНИТЕЛЬНЫЕ СКРЫТЫЕ МНОЖИТЕЛИ1
А. А. Обзор
Приводится версия протокола Диффи — Хеллмана, использующая скрытые множители из подгрупп мультипликативной группы конечного поля. Для раскрытия секрета данного протокола недостаточно решить проблему дискретного логарифма, необходимо также вычислить порядки некоторых элементов группы.
1 Исследование выполнено за счёт гранта Российского научного фонда (проект №16-11-10002).
90
Прикладная дискретная математика. Приложение
Ключевые слова: криптография, протокол Диффи — Хеллмана, скрытые множители.
В серии работ [1-4] В. А. Романьков предложил использовать скрытые множители из подгрупп мультипликативных групп соответствующих колец вычетов и конечных полей, чтобы придать системе шифрования ИЙА и ряду других криптографических схем свойства семантической секретности. В данной работе представлен аналог классического протокола Диффи — Хеллмана, основанного на трудности вычисления дискретного логарифма в мультипликативной группе конечного поля, также использующий скрытые множители из подгрупп этого поля.
Пусть О = Е* — мультипликативная группа конечного поля , д = р (р — простое число), д — порождающий элемент этой группы. Целое х, 0 ^ х ^ д — 2, удовлетворяющее уравнению вида
дх = /,
где / — произвольный элемент группы О, называется дискретным логарифмом элемента / по основанию д. Задача нахождения (/) по порождающему элементу д и произвольному / известна как проблема дискретного логарифма. Она считается вычислительно трудной, значит, функция $(х) = дх может рассматриваться как односторонняя. Задача вычисления дискретного логарифма составляет основу целого ряда алгоритмов криптографии, в частности, на её сложности основывается криптографическая стойкость классического протокола Диффи — Хеллмана [5 - 7].
Версия протокола Диффи — Хеллмана
Протокол Диффи — Хеллмана строится на мультипликативной группе конечного поля. В предлагаемой версии этого протокола в качестве основы берётся мультипликативная группа Е* простого конечного поля характеристики р, которая выбирается корреспондентами Алисой и Бобом на основе некоторых других данных (см. подробности далее). Алгоритмы построения больших простых чисел, в данном случае числа р, хорошо известны и эффективны [5, 6].
Итак, двум корреспондентам Алисе и Бобу необходимо выбрать секретным образом достаточно большое случайное число (секретный ключ), с помощью которого будет производиться дальнейшее шифрование, или для каких-то других целей. Считается, что переписка по поводу выбора этого числа происходит по открытому каналу связи.
Установка. Сначала Алиса выбирает секретное простое число г, а Боб — секретное простое число з. Затем Алиса случайным образом выбирает число х и передаёт Бобу произведение Г1 = гх. Боб выбирает случайным образом число у и передаёт Алисе произведение 51 = зу. После этого они открытым образом договариваются о выборе простого числа р, такого, что р = 1 + 2г1з1г. Далее Алиса и Боб используют группу О = Е* для реализации алгоритма. Они договариваются о выборе элемента д группы О достаточно большого порядка |д|. Как и в классическом случае, в качестве д можно выбрать порождающий элемент. Данные р и д являются открытыми.
Выбор циклических подгрупп. Алиса выбирает циклическую подгруппу ^ группы О порядка г. Для этого она находит порождающий элемент этой подгруппы / Е Е**, |/1 = г, который существует, так как г|(р — 1) по построению р. Для нахождения этого элемента она случайным образом выбирает последовательно элементы /, I = 1, 2,... , каждый раз вычисляя степень /, где £ = 2хз1 г = (р — 1)/г, до тех пор, пока не получит неравенство / = 1. Тогда она полагает / = /. Ясно, что /г = /Р-1 = 1. Так как г — простое число, то |/1 = г. В группе ЕР в точности
t элементов являются корнями из 1 степени t. Вероятность выбора такого элемента при случайном равномерном распределении равна t/(p — l) = l/r. Следовательно, вероятность неудачи при выборе в m последовательных испытаниях равна (l/r)m. При достаточно большом r и сравнительно небольшом значении m (20-30) вероятностью неудачи можно пренебречь.
После того как f найден, Алиса передаёт его Бобу. Аналогично Боб выбирает циклическую подгруппу H группы G порядка s и отправляет её порождающий элемент h Алисе.
Далее Алиса выбирает случайным образом натуральное число a и элемент z G H (случайную степень элемента h), вычисляет u = zgar и передаёт результат Бобу. Тем временем Боб аналогичным образом выбирает натуральное число b и элемент y G F (случайную степень элемента f ) и сообщает по сети элемент v = ygbs Алисе.
Формирование секретного ключа. Алиса, зная a, v и r, вычисляет vra = = yragbsra = gabrs, так как yr = l (mod n). Боб, зная b, u и s, вычисляет usb = zsbgarsb = = gabrs. Таким образом, корреспонденты Алиса и Боб сформировали секретное число gabrs.
Криптографическая стойкость. Криптографическая стойкость данного протокола основывается на трудной разрешимости двух проблем — дискретного логарифма и определения порядка элемента мультипликативной группы конечно поля. Известна разрешимость второй задачи за полиномиальное время при знании разложения порядка мультипликативной группы поля на примарные множители [5]. Тогда можно со сравнимой трудоёмкостью находить дискретные логарифмы, например алгоритмом Полига — Сильвера — Хеллмана. Такого разложения потенциальный взломщик не имеет. Более того, указанный алгоритм допускает практическое применение далеко не всегда. При наличии больших простых делителей в разложении необходимая база данных становится очень большой, что существенно замедляет работу алгоритма [5, б].
Замечание 1. В предложенной версии числа r и s простые. Это условие можно исключить. Подгруппы F и H можно выбирать не обязательно циклическими. Можно, например, выбрать F = gp(f1,...,fk), где наименьшее общее кратное порядков элементов fi равно r. Точно так же можно выбирать H, где аналогичное наименьшее общее кратное равно s.
ЛИТЕРАТУРА
1. Романьков В. А. Новая семантически стойкая система шифрования с открытым ключом на базе RSA // Прикладная дискретная математика. 2015. №3 (29). С. 32-40.
2. Roman'kov V.A. New probabilistic public-key encryption based on the RSA cryptosystem // Groups, Complexity, Cryptology. 2015. V. 7. No. 2. P. 153-156.
3. Roman'kov V. A. How to make RSA and some other encryptions probabilistic. arXiv: 1603.0203v1 [cs: CR] 7 Mar 2016. P. 1-7.
4. Романьков В. А. Вариант семантически стойкого шифрования на базе RSA // Вестник Омского ун-та. 2016. №3(81). С. 7-9.
5. Menezes A., van Oorschot P. C., and Vanstone S. A. Handbook of Applied Cryptography. Boca Raton, London, New York, Washington: CRC Press, 1996. 816 p.
6. Романьков В. А. Введение в криптографию. М.: Форум, 2012. 239с.
7. Романьков В. А. Алгебраическая криптография. Омск: ОмГУ, 2013. 135 с.
