УДК 512.54; 519.725
DOI 10.25513/1812-3996.2017.3.13-18
КРИПТОГРАФИЧЕСКИМ АНАЛИЗ СИСТЕМЫ ШИФРОВАНИЯ ФАЙНА - МОЛДЕНАУЭР - РОЗЕНБЕРГЕРА
Р. Ю. Горев, В. А. Романьков
Омский государственный университет им. Ф. М. Достоевского, г. Омск, Россия
Информация о статье
Дата поступления 07.05.2017
Дата принятия в печать 26.06.2017
Дата онлайн-размещения 05.10.2017
Ключевые слова
Алгебраическая криптография, криптографическая система, автоморфизм, свободная группа, криптографический анализ, сложность
Финансирование
Исследование выполнено при финансовой поддержке РФФИ в рамках научных проектов № 16-01-00577 и 15-41-04312
Аннотация. Рассматривается новая система шифрования Файна, Молденауэр и Ро-зенбергера, построенная ими на некоммутативной свободной группе. Система является некоммутативным аналогом классической криптографической системы ЭльГа-маля. Дается криптографический анализ этой системы, показывающий, что при определенных естественных условиях она является уязвимой по отношению к вводимой в работе атаке, использующей переход к абелевой фактор-группе свободной группы.
CRYPTOGRAPHIC ANALYSIS OF THE FINE - MOLDENAUER ENCRYPTION SYSTEM
ROSENBERGERS
R. Y. Gorev, V. A. Roman'kov
Dostoevsky Omsk State University, Omsk, Russia
Article info
Received 07.05.2017
Accepted 26.06.2017
Available online 05.10.2017
Keywords
Algebraic cryptography, cryptographic system, automorphism, free group, cryptographic analysis, complexity
Acknowledgements The reported study was funded by RFBR according to the research projects № 16-01-0577 and № 15-41-04312
Abstract. We investigate a new encryption system by Fine, Moldenauer and Rosenberger that has been built on the free nonabelian group. The system is a noncommutative analog of the classic ElGamal encryption system. We give a cryptanalysis of the system and show that it is vulnerable with respect to a just introduced attack based on an abelian quotient of the free group.
Введение
В работе [1] Б. Файн, А. Молденауэр и Г. Розен-бергер ввели в рассмотрение новую криптографическую систему, построенную ими на некоммутативной свободной группе. Система копирует классическую криптографическую систему ЭльГамаля [2], платформами для которой ранее служили мультипликативные группы конечного поля или группы эллиптической кривой (коммутативные теоретико-числовые системы) (см., например: [3; 4]).
Необходимость перехода от классических коммутативных теоретико-числовых платформ криптографических систем и протоколов к некоммутативным платформам: группам, кольцам, алгебрам -объясняется не только потребностями развития криптографии, она также обусловлена появлением квантовых вычислительных систем, которые при должном ожидаемом увеличении мощности могут дискредитировать классические алгоритмы шифрования с открытым ключом, основывающиеся на трудноразрешимости проблемы разложения больших составных чисел на множители, проблемы вычисления дискретного логарифма и т. п. Классические алгоритмы шифрования таких систем, как RSA или ЭльГамаля, оказываются уязвимыми относительно атак с использованием квантовых вычислительных систем, например известной атаки Шнорра.
Новые криптографические системы алгебраической криптографии, как правило, базируются на трудноразрешимых математических проблемах (см.: [5; 6]). Однако это обстоятельство позволяет во многих случаях обнаруживать атаки на эти системы, также имеющие математические основания. Вторым автором данной статьи разработаны методы линейного и нелинейного разложения (см.: [7-11]), применение которых обнаружило существенные уязвимости целого ряда известных алгоритмов алгебраической криптографии, среди которых алгоритмы Ко - Ли и др. [12], Ванга и др. [13], Кахроби -Шпильрайна и др. [14] и т. д.
В настоящей работе мы показываем, что система Файна - Молденауэр - Розенбергера при определенных условиях на выбор ее параметров оказывается уязвимой относительно нового вида атаки, использующей переход к абелевой факторгруппе выбранной в качестве платформы некоммутативной свободной группы и применению классических методов линейной алгебры.
Это означает, что для обеспечения криптографической стойкости рассматриваемой системы должны быть наложены определенные условия на
выбор ее параметров, что в оригинальной версии системы никак не учитывается.
1. Описание системы Файна - Молденауэр -Розенбергера
Как уже отмечалось выше, авторы работы [1] ввели в рассмотрение систему шифрования с открытым ключом, являющуюся алгебраическим аналогом классической системы шифрования ЭльГамаля, основанной на трудноразрешимости проблемы вычисления дискретного логарифма.
Классическая криптографическая система ЭльГамаля работает следующим образом.
Корреспонденты Алиса и Боб договариваются о конечной циклической группе G порядка n и ее порождающем элементе д. Эти данные открыты.
Алиса выбирает случайным равномерным образом закрытое натуральное число а в интервале [1,n] и публикует открытый элемент c = да группы G.
Предполагается, что единицы передаваемого текста имеют эквиваленты в группе G. Боб, желающий передать Алисе сообщение M е G, выбирает случайным равномерным образом натуральное число b из интервала [1,n] и передает Алисе пару элементов (Mcb, gb) группы G. Заметим, что cb = даЬ.
Алиса, знающая а, вначале вычисляет элемент f = ((д)Ь)а, а затем и сообщение M = (Mcb)f-1.
Классическая версия криптографической системы ЭльГамаля использует мультипликативную группу F* большого конечного поля F и элемент g е F* (предпочтительно, но не обязательно порождающий). Здесь G - циклическая группа gp(^), порожденная элементом д.
Криптографическая система Файна - Молденауэр - Розенбергера, подобная классической системе ЭльГамаля, устроена следующим образом.
Пусть n > 2 - натуральное число и Fn- свободная группа ранга n с множеством свободных порождающих Хп = {х1, ..., хп}. Элементами группы Fn являются редуцированные слова в алфавите Хп U Х-1. Предположим, что используются единицы текста, имеющие эквиваленты в группе Fn.
Открытые данные: некоммутативная свободная группа Fn, ее базис Хп, элемент д е Fn и автоморфизм бесконечного порядка ф: Fn^ Fn.
Алгоритм шифрования работает следующим образом.
1) Алиса выбирает случайное закрытое натуральное число k и открывает элемент
c = ц>к(д) е Рп. (1)
2) Боб хочет послать Алисе сообщение M е Fn. Для этого он выбирает случайное закрытое натуральное число l и открывает пару элементов
q = M9k+l(g), с2 = q>1 (д) е Рп, (2)
передавая их по открытой сети Алисе.
3) Алиса производит следующие вычисления:
cipk(c2)-1 = M, раскрывая таким образом сообщение M.
2. Криптографический анализ системы Файна - Молденауэр - Розенбергера
Пусть F.п обозначает коммутант группы Fn. Фактор-группа Ап = Fn/F^l - свободная абелева группа ранга n. Пусть а: Fn ^ Ап обозначает натуральный гомоморфизм. Полагаем at = а(х{) для i = 1, ..., n. Множество {а1, ..., ап} образует базис группы Ап, для которой используется аддитивная запись операции. Другими словами, каждый элемент группы Ап однозначно записывается в виде упорядоченного набора длины n целочисленных координат относительно выбранного базиса. Группа Ап естественно вложена в линейное пространство Vn размерности n над полем комплексных чисел C. Тогда {а1, ..., ап} образует базис линейного пространства Vn.
Каждый автоморфизм ф группы автоморфизмов Aut(i^) индуцирует автоморфизм группы Ап, естественно продолжающийся до автоморфизма (невырожденного линейного преобразования) линейного пространства Vn.
Обозначим через B матрицу линейного преобразования в данном базисе линейного пространства Vn, соответствующего автоморфизму ф из описания алгоритма зашифрования в рассматриваемой криптографической системе.
Покажем, что при определенных естественных условиях на параметры рассматриваемой криптографической системы потенциальный взломщик может эффективно вычислить параметр k из описания алгоритма зашифрования и на основе этого раскрыть передаваемое сообщение M. Будем предполагать, что орбита относительно автоморфизма ф, содержащая элемент д, бесконечна. В работе [1] предполагается, что автоморфизм ф имеет бесконечный порядок. Так как рассматриваются только образы элемента д относительно степеней автоморфизма ф, есть основания полагать, что авторы данного алгоритма зашифрования имели в виду как раз бесконечность данной орбиты. В этом случае параметр k определяется однозначно.
Рассмотрим уравнение (1). Возьмем образы элементов группы Рп из его левой и правой частей относительно натурального гомоморфизма а:
а = (С1, ..., сп), а (д) = (дъ ..., дп). Автоморфизм ф индуцирует автоморфизм группы Ап, значит определяет следующее невырожденное линейное преобразование линейного пространства Уп с матрицей В. Уравнению (1) (относительно ^ соответствует индуцированное уравнение
(С1, ..., сп) = (01, ..., дп)Вк. (3)
Пусть ктЫ обозначает минимальное значение k, для которого выполнено (3). В общем случае только что введенное значение может не совпадать с k. Покажем, как можно эффективно вычислить ъ
тт■
Для начала продемонстрируем, как данная проблема может быть сведена к случаю, когда матрица B имеет жорданову форму J = T~1BT, где T-квадратная матрица над полем C размера п х п. Полагаем
№, ..., йп ) = (си ..., сп) Т, (/, ..., /п) = (дъ ..., дп) Т.
Тогда уравнение (3) записывается в эквивалентном виде
№.....йп) = (/...../„) ]к. (4)
Так как матрицы B и J невырожденные, их характеристические числа (множества этих чисел с учетом кратности для этих матриц совпадают, так как матрицы сопряжены между собой) ненулевые. Пусть
] = й\ащ ..,ур) -
клеточно диагональная матрица, где]^ - жорданова клетка размера т^ х т^, соответствующая характеристическому числу А^. Тогда п = Е?=1 т^.
Пусть ((11, ..., ап) = (01, ..., Яр), (/1, ..., /„) = = ..., Рр) - представление вектроров в виде конкатенации векторов, где каждый из векторов Д и ^ имеет размер т^. Теперь уравнение (4) равносильно следующей системе уравнений:
А = Ъ }к, I = 1.....р. (5)
Ясно, что минимальное значение k, для которого выполнено (5), совпадает с кт1П. Попытаемся найти это минимальное значение, решая отдельные уравнения системы (5). Рассмотрим произвольное такое уравнение, полагая Д = (и11, ..., ит1), ^ = = (Ч, ..., Ут1), где m = т1.
Заметим, что вхождения любой диагонали,
V тк V т
начиная с главной, степени жордановой клетки ] 1 совпадают между собой. В частности, элементы
главной диагонали равны Ак, элементы следующей диагонали (если размер клетки > 2) равны k А1?'1. Рассмотрим разные случаи.
1) Если F - нулевой вектор, то также D - нулевой вектор и ктП = 0. Предположим, что р1 - нулевой вектор, тогда также нулевой вектор, и поэтому уравнение даеттолько тривиальную оценку кт1П > 0. Удалим все такие уравнения из (5). В дальнейшем считаем, то система (5) не имеет уравнений только что рассмотренного вида.
2) Предположим, что т^ > 2 и рг1 * 0 для некоторого г < т i, причем если г > 1, то Vу I = 0 для любого У < г. Тогда, расписав матричное уравнение = = р1 ¡¡к в виде системы уравнений для элементов векторов и матрицы над С, получим среди других два следующих уравнения:
Vri А = иг1 > А-1 + Vr+1,i А = иг+1,1 • (6)
Прямым вычислением находим
Ai (ur+1,i vr+1,i uri vri
L). (7)
Заметим, что в этом случае к = кт1П - единственное решение не только системы уравнений (5), но и уравнений (4) и (3). Более того, k является закрытым параметром самой системы шифрования Файна - Молденауэр - Розенбергера.
Присутствие такого случая полностью дискредитирует систему.
В оставшихся нерассмотренными случаях предполагаем, что уравнений из 2) в системе уравнений (5) нет.
3) Пусть m = т1 > 2. При сделанных выше предположениях это означает, что то Vji = 0 для любого У < m, vтi * 0. Тогда матричное уравнение равносильно одному обычному уравнению vтi Ак = ит. Заменим все матричные уравнения такого вида на обычные уравнения, как это было только что объяснено. Это равносильно тому, что система (5) соответствует диагональной жордановой матрице.
4) Разберем оставшийся случай, когда можно считать, что жорданова форма ] диагональная и все компоненты векторов F и D ненулевые. Допустим, что для некоторого / выполнено условие ^ | * 1.
Тогда VliАkí = ицик = кт1п (единственное решение уравнений (3), (4) и системы уравнений (5)) легко вычисляется обычными приближенными вычислениями, как
к = 1одл.(\иц |/\vu\l (8)
Остается нерассмотренным случай, когда модуль ^ | любого из характеристических чисел равен 1. Характеристические числа могут при этом
быть или не быть корнями из 1. Вычисления, проведенные выше, в данном случае являются затруднительными. Но в этом случае легко вычисляется a(M). Действительно, в этом случае легко вычисляются все диагональные элементы матрицы Jk: Ак = u^/v-ц, i = 1, ..., n. Аналогично вычисляются все диагональные элементы матрицы J1. Значит, можно вычислить все диагональные элементы матрицы Jk+1, а затем подсчитать a(M), подобно тому, как это делается при расшифровании в рассматриваемой системе. В ряде случаев получение образа а(М) сообщения M может рассматриваться как получение частичной информации об M, т. е. считаться дискредитацией системы.
В работе [1] представлены некоторые примеры рассматриваемого протокола с конкретными данными. Покажем на одном из этих примеров (в публикации [1] он имеет номер 30), как приведенный выше криптографический анализ позволяет вычислить параметр k.
Пример. Открытыми параметрами являются: свободная группа F3 с базисом X = {x, y, z}, элемент д = x2yz-2y и автоморфизм ф, заданный отображением
ф (x) = xy2, ф (y) = z 1, ф (z) = у 1z~
(9)
Закрытый ключ Алисы: к = 7. Боб выбирает закрытый сессионный ключ I = 5. Его сообщение для Алисы есть М = г-2у2г2у-1х-1.
В наших обозначениях а = (2, 2, -2), фк (а = (2, 30, 32).
Уравнение (3) имеет вид
(2, 30, 32) = (2, 2, -2) Вк,
(10)
где
а 2
0
В=(0 0 -1 1 -V
\0
Тогда жорданова матрица ] и матрица перехода Т такие, что ] = Т~1БТ, выглядят следующим образом:
/1 0 ] = [0 А2 0), \0 0 А3)
где А2 = -(1 + ^5)/2, Аз = (^5- 1)/2.
¡1 4-2^5 4 + 2^ Т = ( 0 (-1 + V5)/2 0
0 0 3
Уравнение (4) имеет вид (2, 11^5 + 25, -11^5 + 25) = (2, 5 - 3^5, 5 + 3V5) ]к.
Из этого уравнения получаем
к = 1од^_1((-И^5 + 25)/(5 + 3^5)) = 7.
Сложность криптоанализа. При данном подходе используется жорданова форма J данной матрицы B над полем комплексных чисел С Вычислительная проблема нахождения жордановой формы данной матрицы интенсивно исследовалась в течение нескольких последних десятилетий. Есть боль-
шое количество публикаций по этой проблеме. В работе [15] представлен полиномиальный алгоритм вычисления жордановой формы. Укажем также публикацию [16], где приведен алгоритм, определяющий жорданову структуру данной матрицы за 0(п3) операций, где п - размер матрицы. Быстрый параллельный алгоритм вычисления жордановой формы данной матрицы и соответствующей матрицы перехода представлен в статье [17].
СПИСОК ЛИТЕРА ТУРЫ
1. Fine B., Moldenhauer A.I.S., Rosenberger G. Cryptographic protocols based on Nielsen transformations // Journal of Computer and Communications. 2016. Vol. 4, No. 12. P. 63-1073.
2. ElGamal T. A public key cryptosystem and a signature scheme based on discrete logarithms // Advances in cryptology : proc. of CRYPTO 84. Lecture notes in computer science, 196. Santa Barbara : Springer-Verlag, 1985. P. 10-18.
3. Романьков В. А. Введение в криптографию. М. : Форум, 2012. 239 с.
4. Koblitz N. A Course in number theory and cryptography. N. Y. ; Berlin ; Heidelberg : Springer-Verlag, 1994. 235 p.
5. Myasnikov A. G., Shpilrain V., Ushakov A. Group-based cryptography. (Advanced courses in math., CRM, Barselona). Basel ; Boston ; Berlin : Birkhauser Verlag, 2008. 183 p.
6. Myasnikov A. G., Shpilrain V., Ushakov A. Non-commutative Cryptography and Complexity of Group Theoretic Problems / appendix by Natalia Mosina. Providence, Rhode Island : AMS, 2010. 385 p. (Mathematical Surveys and Monographs, vol. 177).
7. Романьков В. А. Алгебраическая криптография. Омск : Изд-во Ом. гос. ун-та, 2013. 135 с.
8. Романьков В. А. Криптографический анализ некоторых схем шифрования, использующих автоморфизмы // Прикладная дискретная математика. 2013. № 3 (21). С. 35-51.
9. Myasnikov A. G., Roman'kov V. A. A linear decomposition attack // Groups, Complexity, Cryptology. 2015. Vol. 7. P. 81-94.
10. Roman'kov V. A. A nonlinear decomposition attack // Groups, Complexity, Cryptology. 2016. Vol. 8, No. 2. P. 197-207.
11. Романьков В. А. Метод линейного разложения анализа протоколов скрытой информации на алгебраических платформах // Алгебра и логика. 2015. Т. 54, № 1. С. 119-128.
12. Ko K. H., Lee S. J., Cheon J. H., Han J. W., Kang J., Park C. New public-key cryptosystem using braid groups // Advances in cryptology - CRYPTO 2000. Berlin : Springer-Verlag, 2000. 166-183. (Lecture Notes Comp. Sc., vol. 1880).
13. Wang X., Xu C., Li G., Lin H., Wang W. Double shielded public key cryptosystems // Cryptology ePrint Archive: Report 2014/588. [S. l. : s. n.], 2014. 14 p.
14. Habeeb M., Kahrobaei D., Koupparis Ch., Shpilrain V. A public key exchange using semidireck products of groups // arXiv: 1304.6572.
15. Golub G. H., Wilkinson J. H. Ill-conditioned eigensystems and the computation of the Jordan canonical form // SIAM Review. 1976. Vol. 18. P. 578-619.
16. Beelen T., Dooren P. Van. An improved algorithm for the computation of Kronecker's canonical form of a singular pencil // Linear Algebra & Applications. 1988. Vol. 105. P. 9-65.
17. Roch J.-L., Villard L. Fast parallel computation of the Jordan normal form of matrices // Parallel Processing Letters. 1996. Vol. 6, No. 2. P. 203-212.
ИНФОРМАЦИЯ ОБ АВТОРАХ
Горев Роман Юрьевич - магистрант ИМИТ (Института математики и информационных технологий), кафедра компьютерной математики и программирования, Омский государственный университет им. Ф. М. Достоевского, 644077, Россия, г. Омск, пр. Мира, 55а; e-mail: [email protected].
Романьков Виталий Анатольевич - доктор физико-математических наук, профессор, заведующий кафедрой компьютерной математики и программирования, Омский государственный университет им. Ф. М. Достоевского, 644077, Россия, г. Омск, пр. Мира, 55а; e-mail: [email protected].
ДЛЯ ЦИТИРОВАНИЯ
Горев Р. Ю., Романьков В. А. Криптографический анализ системы шифрования Файна - Молденауэр -Розенбергера // Вестн. Ом. ун-та. 2017. № 3 (85). С. 13-18. DOI : 10.25513/1812-3996.2017.3.13-18.
INFORMATION ABOUT THE AUTHORS
Gorev Roman Yurjevich - student of IMIT (the Institute of Mathematics and Information Thechnologies), the Department of Computing Mathematics and Programming, Dostoevsky Omsk State University, 55a pr. Mira, Omsk, 644077, Russia; e-mail: [email protected].
Roman'kov Vitalii Anatolievich - Doctor of Physical and Mathematical Sciences, Professor, Head of the Department of Computing Mathematics and Programming, Dostoevsky Omsk State University, 55a pr. Mira, Omsk, 644077, Russia; e-mail: [email protected].
FOR CITATIONS
Gorev R.Y., Roman'kov V.A. Cryptographic analysis of the Fine - Moldenauer - Rosenberger's encryption system. Vestnik Omskogo universiteta = Herald of Omsk University, 2017, no. 3 (85), pp. 13-18. DOI: 10.25513/1812-3996.2017.3.13-18. (In Russ.).