Научная статья на тему 'Схемы построения двушагово односторонних функций'

Схемы построения двушагово односторонних функций Текст научной статьи по специальности «Математика»

CC BY
115
32
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
ОДНОСТОРОННЯЯ ФУНКЦИЯ / ДИСКРЕТНЫЙ ЛОГАРИФМ / ДИОФАНТОВА ПРОБЛЕМА / ONE-WAY FUNCTION / DISCRETE LOGARITHM / DIOPHANTINE PROBLEM

Аннотация научной статьи по математике, автор научной работы — Ерофеев С. Ю.

Предлагаются схемы построения двушагово односторонних функций на основе неразрешимости Диофантовой проблемы и сложности нахождения дискретного логарифма. Рассматриваются предпосылки криптостойкости предложенных схем.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Schemata for constructing two-step one-way functions

The paper proposes the schemata for constructing two-step one-way functions based on the undecidability of the Diophantine problem and complexity of finding the discrete logarithm. Possible prerequisites for reliability of the proposed schemata are analyzed.

Текст научной работы на тему «Схемы построения двушагово односторонних функций»

МАТЕМАТИКА

Вестн. Ом. ун-та. 2011. № 4. С. 15-18.

УДК 512.62 С.Ю. Ерофеев

СХЕМЫ ПОСТРОЕНИЯ ДВУШАГОВО ОДНОСТОРОННИХ ФУНКЦИЙ

Предлагаются схемы построения двушагово односторонних функций на основе неразрешимости Диофантовой проблемы и сложности нахождения дискретного логарифма. Рассматриваются предпосылки криптостойкости предложенных схем.

Ключевые слова: односторонняя функция, дискретный логарифм, Диофантова проблема.

Введение

Односторонние функции являются неотъемлемой частью криптографических схем и протоколов. Теоретически их существование до сих пор не доказано. В то же время односторонние функции являются основным инструментом во многих разделах и приложениях криптографии, в частности, в протоколах аутентификации, электронных подписях, алгоритмах генерации псевдослучайных последовательностей и т. п.

Определение. Односторонней называется функция, эффективно вычисляемая за полиномиальное время на детерминированной машине Тьюринга, для которой не существует вероятностной машины Тьюринга, вычисляющей за полиномиальное время обратную к этой функции, с более чем экспоненциально малой вероятностью.

Претендентами в односторонние функции являются: показательная функция g : a ^ ax в мультипликативных группах простых конечных полей, основанная на трудности вычисления дискретного логарифма; степенная функция по модулю, равному произведению двух больших (секретных) простых чисел, f: x ^ xe modn,n = pq . В работе Л. А. Левина [1] приводится явное комбинаторное построение функции, которая является односторонней, если существует хотя бы одна односторонняя функция.

Определение. Диофантовым называется многочлен P(xl,...,xn) с целыми коэффициентами от коммутирующих переменных Xj,...,xn.

Определение. Диофантовым называется уравнение вида р(xl,...,xn) = о .

Ю.В. Матиясевич доказал неразрешимость 10-й проблемы Гильберта. Он доказал, что не существует алгоритма, определяющего по произвольному диофантову уравнению P( xj,..., xn) = 0, обладает ли оно решением в целых числах (см. [2 - 4]). Более того, он заметил, что существует фиксированный диофантов многочлен F (xj,..., xn) такой, что не существует алгоритма нахождения решения уже в классе уравнений видаF(xj,...,xn) = с, где с e Z.

Таким образом, можно определить функцию на основе неразрешимости Диофантовой проблемы, которая может рассматриваться в качестве претендента на одностороннюю функцию.

О С.Ю. Ерофеев, 2011

Цель данной статьи - предложить несколько схем построения двушагово односторонних функций на основе неразрешимости Диофантовой проблемы и трудности нахождения дискретного логарифма, а также рассмотреть предпосылки криптостойкости предложенных схем.

Заметим, что предложенные схемы могут быть основанием протоколов аутентификации, цифровой подписи и т. п.

1. Построение двушагово односторонних функций на основе неразрешимости Диофантовой проблемы

Пусть Е є 2 [х1,..., хп ] - диофантов многочлен. По любому диофантову многочлену Е определяется функция Е: 2п ^ 2,

Е :(аі,---ап) ^ Е(ах,---,ап). (!)

1.1. Схема 1

По любому набору диофантовых многочленов Е є 2 [х1,., хт ], Р є 2 [х1,., хп ] (і = 1,..., т) определяется суперпозиция Н1 :(2п )т ^ 2, входным набором для которой является матрица размера т х п : X = {ху }”=\пу=1 є 2пт. Значение функции определяется следующим образом:

Нх( X) = Е (Р( хп,... хщ),

Р2( х21, * * * х2п Х'* Рт ( хт1,~--хтп )). (2)

1.1.1. Предпосылки криптостойкости схемы 1

Ввиду неразрешимости диофантовой проблемы, при правильном выборе многочленов р (і = 1,... т), Е, функция Н1 может рассматриваться в качестве односторонней.

Тем не менее стоит отметить, что неудачный выбор диофантова многочлена Е совместно со слабостью некоторых Р дает возможность злоумышленнику восстановить часть входного набора функции Н1.

1.2. Схема 2

Схема 2 является модификацией схемы 1, в которой устранена возможность восстановления части входного набора односторонней функции вследствие частичной слабости многочлена Е.

Аналогично схеме 1, по любому набору диофантовых многочленов Е є 2[х1,..., хт ], Р є 2[х1,.,хп] (і = 1,.,т) определяется

функция Н2 :(2п )т ^ 2. Значение функции определяется следующим алгоритмом.

На первом шаге вычисляются значения диофантовых многочленов Р в точках хл,...,х п и находится их двоичное представление.

р( Хп,..., Х1п ) — ^

Р2( Х21,-”, Х2п ) — С2

, (3)

Рт (Хт1 , * . , Хтп ) Ст

где с, — Ъ, 1 + Щ2 + * + 2-1 Ь1к, Ь е {0,1}

/' — 1,...,т; у — 1,...,к .

Для каждого значения с1 соответствующие бинарные векторы могут иметь разную длину, поэтому выполняется стандартная процедура выравнивания. Длина к равна максимальной длине бинарного вектора из найденных векторов на данном шаге. Если для некоторого с е {с1,..., ст } длина бинарного вектора

меньше к , то вектор дополняется нулями справа, такое представление однозначно.

Следующим шагом алгоритма является вычисление входного набора функции Р. Для этого формируется строка чисел, полученных в (3): Ъп,*21,*,Ъ^,*12,.,Ъ,^,..., Ь1к,...Ътк, которая разбивается на т подстрок по к элементов. Разбиение на подстроки происходит без каких-либо перестановок элементов строго по порядку следования элементов в начальной строке.

Пусть Ь — Ъ. ,*Ь - * -ая подстрока из

предложенного разбиения. Для каждой такой подстроки вычисляется

И — Ь + 2Ъ2 +•••+ 2к-1 Ък (. — Ъ-. т) . (4)

Односторонняя функция Н2 определяется как

н2(X) — Р$,...,И’т), (5)

где последовательность И^...,Ит является упорядоченной по возрастанию последовательностью И,,..., И .

15 5 т

1.2.1. Предпосылки криптостойкости схемы 2

Пусть для функции Р, используемой

в (5), известны значения некоторых И1 для определенного с , такого что Н2(Х) — Р(Л1,...,Ит) — с. В отличие от схемы 1, где данной информации достаточно для попытки нахождения части входного набора X посредством атаки на соответ-

Схемы построения двушагово односторонних функций

17

ствующие многочлены P , в данной схеме

такое невозможно.

Для того чтобы перейти к атаке на многочлены P , необходимо преобразовать ht в соответствующие ct системы уравнений (З). По построению (4) очевидно, что для нахождения хотя бы одного ci, для некоторого i , необходимо найти полное решение уравнения (5).

Стоит заметить, что даже полное решение уравнения (5) недостаточно для нахождения ct, так как последовательность \,...,hm является упорядоченной по возрастанию последовательностью

h1,., hm. Первоначальный порядок следования h неизвестен, из чего следует необходимость анализа m! возможных векторов (c1,.,cm) и соответственно поиск решений m! систем вида (З) в худшем случае, что, очевидно, является вычислительно трудной задачей.

1.3. Схема 3

Схема З отличается от схемы 2 системой диофантовых уравнений, использующейся на первом шаге алгоритма вычисления односторонней функции H 2. Система уравнений (З) заменяется на следующую систему:

P( xl1,---, xln ) = C1

P2 (x21 + C1,• • •, x2n + C1) = C2

............................ (б)

P ( x,l + C2, xi 2 + Cз,., x,n + C( n mod i-1)+1) =

= ct Vi = 3...m

Все последующие шаги схемы 2 остаются без изменений, замена системы уравнений не влияет на дальнейшее вычисление функции. Для удобства обозначим полученную функцию как H3:(Zn)m ^ Z .

1.3.1. Предпосылки криптостойкости схемы З

Некоторой слабостью схемы 2 является возможность выполнения атаки на конкретный многочлен Pi, для нахождения части входного набора. Для этого необходимо рассмотреть m уравнений Pi с всевозможными правыми частями c. (i = 1,.,m) (см. І.2.І).

Схема З лишена данного недостатка, теоретически, при выше упомянутых слабостях, можно найти вектор (xi1 + c2,...,xin + +C(nmod;-1)+1), но для восстановления вектора (xn,...,xn) необходимо решение предыдущих уравнений Pj (j = 1,..., i -1) системы (б).

2. Построение двушагово односторонних функций на основе неразрешимости Диофантовой проблемы и трудности нахождения дискретного логарфима

Пусть F - поле, которое строится

как фактор-кольцо кольца многочленов Z2[x] от одной переменной x с коэффициентом из простого поля Z2 относительно неразложимого многочлена f (x), где f (x), например, может быть взят равным x8 + x4 + x3 + x +1 для r = 8 .

2.1. Схема 4

По любому набору диофантовых многочленов P є Z[x1,.,xn] (i = 1,.,m) определяется функция H4 :(Zn)m ^ Z с помощью следующего алгоритма.

На первом шаге алгоритма используется система диофантовых уравнений (З) схемы 2 для вычисления вектора

(C1,., Cm ) .

z c

Затем вычисляется g'1 = b( x) = = b0 + b1 • x + b2 • x2 +... + br-1 • xr-1,, где g -порождающий элемент поля F2r, b(x) -элемент поля F2r , которому ставится в соответствие бинарный вектор

(b0,bl,.,br-l).

Значение функции H4 от входного набора X є Zmn определяется так:

H4(X) = b0 + b1 • 2 + b2 • 22 + . + br-1 • 2r-1. (7)

2.1.1. Предпосылки криптостойкости схемы 4

Криптостойкость данной схемы основана на трудности нахождения дискретного логарифма и проблеме неразрешимости диофантовых уравнений.

Для нахождения входного набора X необходимо найти решение уравнения

Е с

gi'1 = Ь( х), то есть найти дискретный логарифм элемента Ь(х) по основанию g, что является вычислительно трудной задачей.

В случае, если известно число

т

5 = Ес, восстановить вектор (с1,.,ст)

і=1

возможно через полный перебор вариантов, что означает в худшем случае пере-(5 + т -1)!

бор С5+т-1 =—--------— векторов и реше-

5!-(т -1)!

ние соответствующих систем вида (3).

2.2. Схема 5

Схема 5 отличается от схемы 4 системой диофантовых уравнений, использующихся для вычисления вектора (с1,.,ст), и способом вычисления вектора (Ь0,Ь1,...,ЬгЛ).

Вектор (Ь0, Ь1,..., Ьг1) определяется следующим выражением: gCm = Ь( х) =

= Ь0 + Ь1 • х + Ь2 • х2 + . + Ьг-1 • хг-1 , где ст получена из системні уравнений (6).

Значение функции (H5) схемы 5 вычисляется по формуле (7).

2.2.2. Предпосылки криптостойкости схемы 5

В данной схеме, в отличие от схемы 4, при знании дискретного логарифма ст невозможно проводить атаку на конкретный многочлен P с целью нахождения части входного наборы функции H5. Так как для решения уравнения

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Pm(xmj + С2,xm2 + С3,-• •xmn + C(nmodm-J)+J) “ Ст Н:^6-

ходимо полное решение системы (6). ЛИТЕРАТУРА

[1] Левин Л. А. Односторонние функции // Проблемы передачи информации, 2003. Т. 39. № 1.

[2] Матиясевич Ю. В. Диофантовость перечислимых множеств // Докл. АН СССР. 1970. Т. 191. № 2. С. 279-282.

[3] Матиясевич Ю. В. Диофантово представление перечислимых предикатов // Известия АН СССР. Серия матем. 1971. Т. 35. С. 3-30.

[4] Davis M. Hilbert's Tenth Problem is Unsolvable // Amer. Math. Monthly. 1973. V. 80. № 3. С. 233270.

i Надоели баннеры? Вы всегда можете отключить рекламу.