Схема Бонеха – Франклина

Схема Бонеха-Франклина — это система шифрования на основе личности, предложенная Дэном Бонехом и Мэтью К. Франклином в 2001 году. ^[1] В этой статье речь идет о версии протокола BasicIdent . Это применение спариваний ( спаривания Вейля ) над эллиптическими кривыми и конечными полями .

Группы и параметры

Поскольку схема основана на спаривании , все вычисления выполняются в двух группах: $\textstyle G_{1}$ и $\textstyle G_{2}$ :

Для $\textstyle G_{1}$ , позволять $\textstyle p$ быть главным, $\textstyle p\equiv 2\mod 3$ и рассмотрим эллиптическую кривую $\textstyle E:y^{2}=x^{3}+1$ над $\textstyle \mathbb {Z} /p\mathbb {Z}$ . Обратите внимание, что эта кривая не является особой, поскольку $\textstyle 4a^{3}+27b^{2}=27=3^{3}$ только равно $\textstyle 0$ для дела $\textstyle p=3$ что исключается дополнительным ограничением.

Позволять $\textstyle q>3$ быть главным фактором $\textstyle p+1$ (это порядок $\textstyle E$ ) и найдите точку $\textstyle P\in E$ порядка $\textstyle q$ . $\textstyle G_{1}$ представляет собой набор точек, созданных $\textstyle P$ : $\textstyle \left\{nP\|n\in \left\{0,\ldots ,q-1\right\}\right\}$

$\textstyle G_{2}$ это подгруппа порядка $\textstyle q$ из $\textstyle GF\left(p^{2}\right)^{*}$ . Нам не нужно явно конструировать эту группу (это делается путем спаривания) и, следовательно, не нужно искать генератор.

$\textstyle G_{1}$ считается аддитивной группой , являясь подгруппой аддитивной группы точек $\textstyle E$ , пока $\textstyle G_{2}$ считается мультипликативной группой , являющейся подгруппой мультипликативной группы конечного поля $\textstyle GF(p^{2})^{*}$ .

Описание протокола

Настраивать

Генератор открытых ключей (PKG) выбирает:

общественные группы $\textstyle G_{1}$ (с генератором $\textstyle P$ ) и $\textstyle G_{2}$ как указано выше, размером $\textstyle q$ в зависимости от параметра безопасности $\textstyle k$ ,
соответствующая пара $\textstyle e$ ,
случайный личный мастер-ключ $\textstyle K_{m}=s\in \mathbb {Z} _{q}^{*}$ ,
открытый ключ $\textstyle K_{pub}=sP$ ,
общедоступная хэш-функция $\textstyle H_{1}:\left\{0,1\right\}^{*}\rightarrow G_{1}^{*}$ ,
общедоступная хэш-функция $\textstyle H_{2}:G_{2}\rightarrow \left\{0,1\right\}^{n}$ для некоторых фиксированных $\textstyle n$ и
пространство сообщений и пространство шифрования $\textstyle {\mathcal {M}}=\left\{0,1\right\}^{n},{\mathcal {C}}=G_{1}^{*}\times \left\{0,1\right\}^{n}$

Добыча

Чтобы создать открытый ключ для $\textstyle ID\in \left\{0,1\right\}^{*}$ , PKG вычисляет

$\textstyle Q_{ID}=H_{1}\left(ID\right)$ и
закрытый ключ $\textstyle d_{ID}=sQ_{ID}$ который предоставляется пользователю.

Шифрование

Данный $\textstyle m\in {\mathcal {M}}$ , зашифрованный текст $\textstyle c$ получается следующим образом:

$\textstyle Q_{ID}=H_{1}\left(ID\right)\in G_{1}^{*}$ ,
выбрать случайный $\textstyle r\in \mathbb {Z} _{q}^{*}$ ,
вычислить $\textstyle g_{ID}=e\left(Q_{ID},K_{pub}\right)\in G_{2}$ и
набор $\textstyle c=\left(rP,m\oplus H_{2}\left(g_{ID}^{r}\right)\right)$ .

Обратите внимание, что $\textstyle K_{pub}$ является открытым ключом PKG и, следовательно, не зависит от идентификатора получателя.

Расшифровка

Данный $\textstyle c=\left(u,v\right)\in {\mathcal {C}}$ , открытый текст можно получить с помощью закрытого ключа:

$\textstyle m=v\oplus H_{2}\left(e\left(d_{ID},u\right)\right)$

Корректность

Первым шагом как в шифровании, так и в дешифровании является использование спаривания и $\textstyle H_{2}$ для создания маски (например, симметричного ключа), которая соединяется с открытым текстом. Таким образом, чтобы проверить правильность протокола, необходимо убедиться, что честный отправитель и получатель получают здесь одинаковые значения.

Шифрующий объект использует $\textstyle H_{2}\left(g_{ID}^{r}\right)$ , а для расшифровки $\textstyle H_{2}\left(e\left(d_{ID},u\right)\right)$ применяется. Из свойств спариваний следует, что:

${\begin{aligned}H_{2}\left(e\left(d_{ID},u\right)\right)&=H_{2}\left(e\left(sQ_{ID},rP\right)\right)\\&=H_{2}\left(e\left(Q_{ID},P\right)^{rs}\right)\\&=H_{2}\left(e\left(Q_{ID},sP\right)^{r}\right)\\&=H_{2}\left(e\left(Q_{ID},K_{pub}\right)^{r}\right)\\&=H_{2}\left(g_{ID}^{r}\right)\\\end{aligned}}$

Безопасность

Надежность схемы зависит от сложности билинейной задачи Диффи-Хеллмана (БДХ) для используемых групп. Было доказано, что в модели случайного оракула протокол семантически безопасен в соответствии с предположением BDH.

Улучшения

BasicIdent не выбран безопасным зашифрованным текстом . Однако существует универсальный метод трансформации, предложенный Фудзисаки и Окамото. ^[2] это позволяет преобразовать в схему, имеющую это свойство под названием FullIdent .

Ссылки

^ Дэн Боне, Мэтью К. Франклин, «Шифрование на основе личности из пары Вейла», Достижения в криптологии - Труды CRYPTO 2001 (2001)
^ Эйитиро Фудзисаки, Тацуаки Окамото, «Безопасная интеграция асимметричных и симметричных схем шифрования», Достижения в криптологии - Труды CRYPTO 99 (1999). Полная версия появилась в журнале J. Cryptol. (2013) 26: 80–101

Внешние ссылки

[1] Дэн Боне, Мэтью К. Франклин, «Шифрование на основе личности из пары Вейла», Достижения в криптологии - Труды CRYPTO 2001 (2001)

[2] Эйитиро Фудзисаки, Тацуаки Окамото, «Безопасная интеграция асимметричных и симметричных схем шифрования», Достижения в криптологии - Труды CRYPTO 99 (1999). Полная версия появилась в журнале J. Cryptol. (2013) 26: 80–101

[1]

[2]