Криптосистема Боне — Го — Ниссима
Криптосистема Боне — Го — Ниссима — частично гомоморфная криптосистема, являющаяся модификацией криптосистемы Пэйе[1] и криптосистемы Окамото — Утиямы[2]. Разработана Дэном Боне[3] совместно с Ю Чжин Го и Коби Ниссимом[4] в 2005 году[5]. Основывается на конечных группах составного порядка и билинейных спариваний на эллиптических кривых; система позволяет оценить многовариантные квадратичные полиномы на шифротекстах (например, дизъюнктивная нормальная форма второго порядка (2-ДНФ)).
Система обладает аддитивным гомоморфизмом (поддерживает произвольные добавления и одно умножение (за которым следуют произвольные добавления) для зашифрованных данных).
Используемый в криптосистеме БГН алгоритм основан на задаче Бернсайда.[6].
Алгоритм работы
Как и все системы гомоморфного шифрования, КБГН включает следующие процессы: Генерация ключа, шифрование и расшифрование.
Конструкция использует некоторые конечные группы составного порядка, которые поддерживают билинейное отображение. Используются следующие обозначения:
- и - две циклические группы конечного порядка .
- — генератор .
- — билинейное отображение . Другими словами, для всех и мы имеем . Мы также требуем выполнение условия : является генератором
Мы говорим, что — билинейная группа, если существует группа и билинейное отображение, определённое выше.[7]
Генерация ключа
Генерация_Ключа():
- Подавая на вход параметр безопасности , вычисляем алгоритм , чтобы получить кортеж . Алгоритм работает следующим образом:
- Сгенерируем два случайных — битовых числа и и положим .
- Создадим билинейную группу порядка , где > 3 — заданное число, которое не делится на 3:
- Найдём наименьшее натуральное число , такое что — простое число и .
- Рассмотрим группу точек на эллиптической кривой опреленную над . Поскольку кривая имеет точек в . Поэтому группа точек на кривой имеет подруппу порядка , которую обозначим через .
- Пусть подгруппа в порядка . Модифицированный алгоритм спаривания Вейля (Спаривание Вейля является билинейным, кососимметричным, невырожденным отображением[8][4][9][10]) на кривой выдаёт билинейное отображение , удовлетворяющее заданным условиям
- На выходе получим .
- Пусть . Выберем два случайных генератора и определим , как . Тогда это случайный генератор подгруппы порядка . Открытый ключ : . Закрытый ключ : .[11][7]
Шифрование
Шифр():
Мы предполагаем, что пространство сообщений состоит из целых чисел в наборе . Чтобы зашифровать сообщение с помощью открытого ключа выбираем случайный параметр и вычисляем
.
Расшифрование
Расшифр():
Чтобы расшифровать шифротекст используя закрытый ключ , рассмотрим следующее выражение
.
Пусть . Чтобы восстановить достаточно вычислить дискретный логарифм по основанию .
Следует отметить, что дешифрование в этой системе занимает полиномиальное время в размере пространства сообщений.[11][7]
Примеры
Пример работы алгоритма
Сначала мы выбираем два различных простых числа
.
Вычислим произведение
.
Далее мы строим группу эллиптических кривых с порядком , которая имеет билинейное отображение. Уравнение для эллиптической кривой
которое определяется над полем для некоторого простого числа . В этом примере мы устанавливаем
.
Следовательно, кривая суперсингулярна с # рациональными точками, которая содержит подгруппу с порядком . В группе мы выбираем два случайных генератора
,
где эти два генератора имеют порядок и вычислим
где порядка . Мы вычисляем зашифрованный текст сообщения
.
Возьмём и вычислим
.
Для расшифровки мы сначала вычислим
и
.
Теперь найдём дискретный логарифм, перебирая все степени следующим образом
.
Обратите внимание, что . Следовательно, расшифровка зашифрованного текста равна , что соответствует исходному сообщению.[12]
Оценка 2-ДНФ
Частично гомоморфная система позволяет оценить 2-ДНФ.
На входе: У Алисы есть 2-ДНФ формула , а у Боба есть набор переменных . Обе стороны на входе содержат параметр безопасности .
- Боб выполняет следующие действия:
- Он исполняет алгоритм Генерация_Ключа(), чтобы вычислить и отправляет Алисе.
- Он вычисляет и отправляет Шифр() для .
- Алиса выполняет следующие действия:
- Она выполняет арифметизацию заменяя «» на «», «» на «» и «» на «».Отметим, что это полином степени 2.
- Алиса вычисляет шифрование для случайно выбранного используя гомоморфные свойства системы шифрования. Результат отправляется Бобу.
- Если Боб получает шифрование «», он выводит «»; в противном случае, он выводит «».[13]
Гомоморфные свойства
Система является аддитивно гомоморфной. Пусть — открытый ключ. Пусть — шифротексты сообщений соответственно. Любой может создать равномерно распределённое шифрование вычисляя произведение для случайного чила в диапазоне .
Более важно то, что любой может умножить два зашифрованных сообщения один раз, используя билинейное отображение. Определим и . Тогда порядка , а порядка . Кроме того, для некоторого (неизвестного) параметра , напишем . Предположим, что нам известны два шифротекста , . Чтобы построить шифрование произведения , выберем случайное число и положим . Получаем , где — распределено равномерно в , как и необходимо.
Таким образом, является равномерно распределённым шифрованием , но только в группе , а не в (поэтому допускается только одно умножение).[11]
Стойкость системы
Стойкость данной схемы основана на задаче Бернсайда: зная элемент группы составного порядка , невозможно определить его приналежность к подгруппе порядка .
Пусть , а — кортеж, созданный , где . Рассмотрим следующую задачу. Для заданного и элемента , выведем «», если порядок равен , в противном случае, выведем «». Другими словами, без знания факторизации группы порядка , необходимо узнать, находится ли элемент в подгруппе группы . Данная задача называется задачей Бёрнсайда[7].
Понятно, что если мы можем учесть групповой порядок в криптосистеме, то мы знаем закрытый ключ , и в результате система взломана. Кроме того, если мы можем вычислить дискретные логарифмы в группе , то мы можем вычислить и . Таким образом, необходимые условия для безопасности: сложность факторинга и сложность вычисления дискретных логарифмов в .[14]
Примечания
- Pascal Paillier. Public-Key Cryptosystems Based on Composite Degree Residuosity Classes (англ.) // Advances in Cryptology — EUROCRYPT ’99 / Jacques Stern. — Springer Berlin Heidelberg, 1999. — P. 223–238. — ISBN 9783540489108. — doi:10.1007/3-540-48910-x_16.
- Tatsuaki Okamoto, Shigenori Uchiyama. A new public-key cryptosystem as secure as factoring (англ.) // Advances in Cryptology — EUROCRYPT'98 / Kaisa Nyberg. — Springer Berlin Heidelberg, 1998. — P. 308–318. — ISBN 9783540697954. — doi:10.1007/bfb0054135.
- Mihir Bellare, Juan A. Garay, Tal Rabin. Fast batch verification for modular exponentiation and digital signatures (англ.) // Advances in Cryptology — EUROCRYPT'98 / Kaisa Nyberg. — Springer Berlin Heidelberg, 1998. — P. 236–250. — ISBN 9783540697954. — doi:10.1007/bfb0054130.
- Dan Boneh, Matt Franklin. Identity-Based Encryption from the Weil Pairing (англ.) // Advances in Cryptology — CRYPTO 2001 / Joe Kilian. — Springer Berlin Heidelberg, 2001. — P. 213–229. — ISBN 9783540446477. — doi:10.1007/3-540-44647-8_13.
- Evaluating 2-DNF Formulas on Ciphertexts .
- Secure Computation II // Theory of cryptography : Second Theory of Cryptography Conference, TCC 2005, Cambridge, MA, USA, February 10-12, 2005 : proceedings. — Berlin: Springer, 2005. — С. 326. — 1 online resource (xii, 619 pages) с. — ISBN 9783540305767, 3540305769, 3540245731, 9783540245735.
- Takuho Mitsunaga, Yoshifumi Manabe, Tatsuaki Okamoto. Efficient Secure Auction Protocols Based on the Boneh-Goh-Nissim Encryption. — 2010-11-22. — Т. E96A. — С. 149–163. — doi:10.1007/978-3-642-16825-3_11.
- О.Н. Василенко. О вычислении спариваний Вейля и Тейта // Тр. по дискр. матем.. — М.: ФИЗМАТЛИТ, 2007. — Т. 10. — С. 18—46.
- Antoine Joux. A One Round Protocol for Tripartite Diffie–Hellman. — 2006-12-30. — Т. 17. — С. 385–393. — doi:10.1007/10722028_23.
- Victor Miller. The Weil Pairing, and Its Efficient Calculation // J. Cryptology. — 2004-09-01. — Т. 17. — С. 235–261. — doi:10.1007/s00145-004-0315-8.
- Secure Computation II // Theory of cryptography : Second Theory of Cryptography Conference, TCC 2005, Cambridge, MA, USA, February 10-12, 2005 : proceedings. — Berlin: Springer, 2005. — С. 329. — 1 online resource (xii, 619 pages) с. — ISBN 9783540305767, 3540305769, 3540245731, 9783540245735.
- Yi, Xun (College teacher),. Homomorphic encryption and applications. — Cham. — 1 online resource (xii, 126 pages) с. — ISBN 978-3-319-12229-8, 3-319-12229-0.
- Theory of cryptography : Second Theory of Cryptography Conference, TCC 2005, Cambridge, MA, USA, February 10-12, 2005 : proceedings. — Berlin: Springer, 2005. — С. 332. — 1 online resource (xii, 619 pages) с. — ISBN 9783540305767, 3540305769, 3540245731, 9783540245735.
- EUROCRYPT 2010 (2010 : Riveria, France). Advances in cryptology--EUROCRYPT 2010 : 29th Annual International Conference on the Theory and Applications of Cryptographic Techniques, French Riviera, May 30-June 3, 2010 : proceedings. — Springer, 2010. — ISBN 9783642131905, 3642131905.
Литература
- С. М. Владимиров, Э. М. Габидулин, А. И. Колыбельников, А. С. Кшевецкий. Криптографические методы защиты информации. — 2-е изд. — МФТИ, 2016. — С. 225—257. — 266 с. — ISBN 978-5-7417-0615-2.
Ссылки
- С. И. Адян. Проблема Бернсайда и связанные с ней вопросы // УМН. — 2010. — Сентябрь (т. 65, вып. 5).