Криптосистема Окамото-Утиямы

Криптосистема Окамото-Утиямы — это криптосистема с открытым ключом, предложенная в 1998 году Тацуаки Окамото и Сигенори Утияма . Система работает в мультипликативной группе целых чисел по модулю n , ${\displaystyle (\mathbb {Z} /n\mathbb {Z} )^{*}}$, где n имеет вид p ² q и p и q — большие простые числа .

Позволять ${\displaystyle p}$ быть нечетным простым числом. Определять ${\displaystyle \Gamma =\{x\in (\mathbb {Z} /p^{2}\mathbb {Z} )^{*}|x\equiv 1{\bmod {p}}\}}$. ${\displaystyle \Gamma }$ является подгруппой ${\displaystyle (\mathbb {Z} /p^{2}\mathbb {Z} )^{*}}$ с ${\displaystyle |\Gamma |=p}$ (элементы ${\displaystyle \Gamma }$ являются ${\displaystyle 1,1+p,1+2p\dots 1+(p-1)p}$).

Определять ${\displaystyle L:\Gamma \to \mathbb {Z} /p\mathbb {Z} }$ к ${\displaystyle L(x)={\frac {x-1}{p}}}$

${\displaystyle L}$ является гомоморфизмом между ${\displaystyle \Gamma }$ и аддитивная группа ${\displaystyle \mathbb {Z} /p\mathbb {Z} }$: то есть, ${\displaystyle L(ab)=L(a)+L(b){\bmod {p}}}$. С ${\displaystyle L}$ биективен, это изоморфизм.

В качестве следствия теперь можно показать следующее:

Позволять ${\displaystyle x\in \Gamma }$ такой, что ${\displaystyle L(x)\neq 0{\bmod {p}}}$ и ${\displaystyle y=x^{m}{\bmod {p}}^{2}}$ для ${\displaystyle 0\leq m<p}$. Затем

${\displaystyle m={\frac {L(y)}{L(x)}}={\frac {y-1}{x-1}}{\bmod {p}}}$

Следствие является прямым следствием ${\displaystyle L(x^{m})=m\cdot L(x)}$.

Как и многие криптосистемы с открытым ключом , эта схема работает в группе. ${\displaystyle (\mathbb {Z} /n\mathbb {Z} )^{*}}$. Эта схема гомоморфна и, следовательно, податлива .

Пара открытый/закрытый ключ генерируется следующим образом:

1. Создайте два больших простых числа ${\displaystyle p}$ и ${\displaystyle q}$.
2. Вычислить ${\displaystyle n=p^{2}q}$.
3. Выберите случайное целое число ${\displaystyle g\in \{2\dots n-1\}}$ такой, что ${\displaystyle g^{p-1}\not \equiv 1\mod p^{2}}$.
4. Вычислить ${\displaystyle h=g^{n}{\bmod {n}}}$.

Тогда открытый ключ ${\displaystyle (n,g,h)}$ и закрытый ключ ${\displaystyle (p,q)}$.

Сообщение ${\displaystyle m<p}$ можно зашифровать открытым ключом ${\displaystyle (n,g,h)}$ следующее.

1. Выберите случайное целое число ${\displaystyle r\in \{1\dots n-1\}}$.
2. Вычислить ${\displaystyle c=g^{m}h^{r}{\bmod {n}}}$.

Значение ${\displaystyle c}$ это шифрование ${\displaystyle m}$.

Зашифрованное сообщение ${\displaystyle c}$ можно расшифровать приватным ключом ${\displaystyle (p,q)}$ следующее.

1. Вычислить ${\displaystyle a=L(c^{p-1}{\bmod {p^{2}}})}$.
2. Вычислить ${\displaystyle b=L(g^{p-1}{\bmod {p^{2}}})}$. ${\displaystyle a}$ и ${\displaystyle b}$ будут целыми числами.
3. Используя расширенный алгоритм Евклида , вычислите обратную величину ${\displaystyle b}$ модуль ${\displaystyle p}$:

   ${\displaystyle b'=b^{-1}{\bmod {p}}}$.

4. Вычислить ${\displaystyle m=ab'{\bmod {p}}}$.

Значение ${\displaystyle m}$ это расшифровка ${\displaystyle c}$.

Позволять ${\displaystyle p=3}$ и ${\displaystyle q=5}$. Затем ${\displaystyle n=3^{2}\cdot 5=45}$. Выбирать ${\displaystyle g=22}$. Затем ${\displaystyle h=22^{45}{\bmod {4}}5=37}$.

Теперь, чтобы зашифровать сообщение ${\displaystyle m=2}$, мы выбираем случайное ${\displaystyle r=13}$ и вычислить ${\displaystyle c=g^{m}h^{r}{\bmod {n}}=22^{2}37^{13}{\bmod {4}}5=43}$.

Чтобы расшифровать сообщение 43, мы вычисляем

${\displaystyle a={\frac {(43^{2}{\bmod {3}}^{2})-1}{3}}=1}$.

${\displaystyle b={\frac {(22^{2}{\bmod {3}}^{2})-1}{3}}=2}$.

${\displaystyle b'=2^{-1}{\bmod {3}}=2}$.

И наконец ${\displaystyle m=ab'=2}$.

Мы хотим доказать, что значение, вычисленное на последнем этапе расшифровки, ${\displaystyle ab'{\bmod {p}}}$, равно исходному сообщению ${\displaystyle m}$. У нас есть

${\displaystyle (g^{m}h^{r})^{p-1}\equiv (g^{m}g^{nr})^{p-1}\equiv (g^{p-1})^{m}g^{p(p-1)rpq}\equiv (g^{p-1})^{m}\mod p^{2}}$

Итак, чтобы восстановиться ${\displaystyle m}$ нам нужно взять дискретный логарифм с основанием ${\displaystyle g^{p-1}}$. Это можно сделать, применив ${\displaystyle L}$, следующее.

По малой теореме Ферма , ${\displaystyle g^{p-1}\equiv 1{\bmod {p}}}$. С ${\displaystyle g^{p-1}\not \equiv 1{\bmod {p}}^{2}}$ можно написать ${\displaystyle g^{p-1}=1+pr}$ с ${\displaystyle 0<r<p}$. Затем ${\displaystyle L(g^{p-1})\not \equiv 0{\bmod {p}}}$ и применяется следствие из предыдущего: ${\displaystyle m={\frac {L((g^{p-1})^{m})}{L(g^{p-1})}}{\bmod {p}}}$.

Можно показать, что инвертирование функции шифрования так же сложно, как факторизация n , а это означает, что если злоумышленник сможет восстановить все сообщение после шифрования сообщения, он сможет факторизовать n . Семантическая безопасность (то есть злоумышленники не могут восстановить какую-либо информацию о сообщении из шифрования) опирается на предположение о p -подгруппе, которое предполагает, что трудно определить, находится ли элемент x в ${\displaystyle (\mathbb {Z} /n\mathbb {Z} )^{*}}$ находится в подгруппе порядка p . Это очень похоже на проблему квадратичной невязки и проблему более высокой невязкости .

• Окамото, Тацуаки; Утияма, Сигенори (1998). «Новая криптосистема с открытым ключом, столь же безопасная, как факторинг». Достижения криптологии – EUROCRYPT'98 . Конспекты лекций по информатике . Том. 1403. Спрингер. стр. 308–318. дои : 10.1007/BFb0054135 . ISBN  978-3-540-64518-4 .