Алгебраический ластик

Алгебраический ластик ( AE ) ^{[примечание 1]} анонимном соглашения об — это протокол ключе , который позволяет двум сторонам, каждая из которых имеет пару открытого и закрытого ключей AE, установить общий секрет по незащищенному каналу . ^[1] Этот общий секрет может использоваться непосредственно в качестве ключа или для получения другого ключа , который затем можно использовать для шифрования последующих сообщений с использованием шифра с симметричным ключом . Алгебраический ластик был разработан Ирис Аншель, Майклом Аншелем, Дорианом Голдфельдом и Стефаном Лемье. SecureRF владеет патентами на этот протокол. ^[2] и безуспешно пытались (по состоянию на июль 2019 г.) стандартизировать протокол как часть ISO/IEC 29167-20, ^[3] стандарт безопасности устройств радиочастотной идентификации и беспроводных сенсорных сетей .

Параметры набора ключей [ править ]

Прежде чем две стороны смогут установить ключ, они должны сначала согласовать набор параметров, называемый параметрами набора ключей. Эти параметры включают в себя:

• ${\displaystyle N}$, количество прядей в косе,
• ${\displaystyle q}$, размер конечного поля ${\displaystyle \mathbb {F} _{q}}$,
• ${\displaystyle M_{*}}$, исходная начальная матрица NxN в ${\displaystyle \mathbb {F} _{q}}$,
• ${\displaystyle \mathrm {T} }$, набор ${\displaystyle N}$ элементы в конечном поле ${\displaystyle \mathbb {F} _{q}}$ (также называемые Т-значениями) и
• ${\displaystyle A,B}$ набор сопряженных элементов в группе кос, предназначенных для коммутации друг с другом.

Электронное умножение [ править ]

Основная операция Алгебраического ластика — это односторонняя функция, называемая E-умножением. Дана матрица, перестановка, генератор Артина. ${\displaystyle \beta }$ в группе кос и T-значениях применяется E-умножение путем преобразования генератора в цветную матрицу Бурау и перестановку кос, ${\displaystyle (CB(\beta ),\sigma _{\beta })}$, применяя перестановку и T-значения, а затем умножая матрицы и перестановки. Результатом E-умножения является пара матрица и перестановка: ${\displaystyle (M',\sigma ')=(M,\sigma _{0})*(CB(\beta ),\sigma _{\beta })}$.

Протокол установления ключа [ править ]

Следующий пример иллюстрирует, как создать ключевое учреждение. Предположим, Алиса хочет установить общий ключ с Бобом , но единственный доступный канал может быть подслушан третьей стороной. Первоначально Алиса и Боб должны согласовать параметры набора ключей, которые они будут использовать.

Каждая сторона должна иметь пару ключей, полученную из набора ключей, состоящую из закрытого ключа (например, в случае Алисы). ${\displaystyle (m_{A},\mathrm {B} _{a})}$ где ${\displaystyle m_{A}}$ представляет собой случайно выбранный полином исходной матрицы ${\displaystyle m_{A}=\sum _{i=0}^{N-1}{a_{i}M_{*}^{i}}}$ и коса, которая представляет собой случайно выбранный набор сопряженных и обратных чисел, выбранных из параметров набора ключей (A для Алисы и B для Боба, где (для Алисы) ${\displaystyle \mathrm {B} _{a}=\prod _{i=1}^{k}A_{i}^{\pm 1}}$).

На основе материала своего закрытого ключа Алиса и Боб вычисляют свой открытый ключ. ${\displaystyle (Pub_{A},\sigma _{a})}$ и ${\displaystyle (Pub_{B},\sigma _{b})}$ где, например, ${\displaystyle (Pub_{A},\sigma _{a})=(m_{A},id)*b_{a}}$, то есть результат E-умножения частной матрицы и перестановки идентичности с частной косой.

Каждая сторона должна знать открытый ключ другой стороны до выполнения протокола.

Чтобы вычислить общий секрет, Алиса вычисляет ${\displaystyle (S_{ab},\sigma _{ab})=(m_{A}Pub_{B},\sigma _{b})*\mathrm {B} _{a}}$ и Боб вычисляет ${\displaystyle (S_{ba},\sigma _{ba})=(m_{B}Pub_{A},\sigma _{a})*\mathrm {B} _{b}}$. Общий секрет — это пара матрица/перестановка. ${\displaystyle (S_{ab},\sigma _{ab})}$, что равно ${\displaystyle (S_{ba},\sigma _{ba})}$. Общие секреты равны, поскольку сопряженные множества ${\displaystyle A}$ и ${\displaystyle B}$ выбираются для поездок на работу, и Алиса и Боб используют одну и ту же начальную матрицу ${\displaystyle M_{*}}$ и Т-значения ${\displaystyle \mathrm {T} }$.

Единственная информация о ее личном ключе, которую изначально раскрывает Алиса, — это ее открытый ключ. Таким образом, ни одна сторона, кроме Алисы, не может определить закрытый ключ Алисы, если только эта сторона не может решить проблему одновременного поиска разделения сопряженности в группе кос. Закрытый ключ Боба также безопасен. Ни одна сторона, кроме Алисы или Боба, не может вычислить общий секрет, если только эта сторона не может решить проблему Диффи-Хеллмана .

Открытые ключи являются либо статическими (и доверенными, скажем, посредством сертификата), либо эфемерными. Эфемерные ключи являются временными и не обязательно проходят проверку подлинности, поэтому, если требуется аутентификация, гарантии подлинности должны быть получены другими способами. Аутентификация необходима, чтобы избежать атак «человек посередине» . Если один из открытых ключей Алисы или Боба является статическим, то атаки «человек посередине» предотвращаются. Статические открытые ключи не обеспечивают ни прямой секретности , ни устойчивости к компрометации ключей, а также других расширенных свойств безопасности. Владельцы статических закрытых ключей должны проверить другой открытый ключ и применить функцию получения безопасного ключа к необработанному общему секрету Диффи-Хеллмана, чтобы избежать утечки информации о статическом закрытом ключе.

Безопасность [ править ]

Безопасность AE основана на обобщенной задаче одновременного поиска сопряжений (GSCSP). ^[4] внутри группы кос . Это отдельная и сложная задача, отличная от задачи поиска сопряженности (CSP), которая была центральной сложной проблемой в так называемой криптографии группы кос . ^[5] Даже если CSP будет повсеместно нарушен (чего до сих пор не было сделано), неизвестно, как это облегчит взлом GSCSP.

Известные атаки [ править ]

Первая атака Калки, Тейхера и Цабана демонстрирует класс слабых мест, когда ${\displaystyle M_{*}}$ или ${\displaystyle m_{A}}$ выбираются случайным образом. ^[6] Авторы Algebraic Eraser выпустили препринт о том, как выбирать параметры, не подверженные атакам. ^[7] Бен-Цви, Блэкберн и Цабан улучшили первую атаку до такой, которая, как утверждают авторы, может нарушить опубликованные параметры безопасности (заявлено, что она обеспечивает 128-битную безопасность), используя менее 8 часов процессора и менее 64 МБ памяти. ^[8] Аншель, Аткинс и Голдфельд отреагировали на эту атаку в январе 2016 года. ^[9]

Вторая атака Мясникова и Ушакова, опубликованная в виде препринта, показывает, что конъюгаты, выбранные с помощью слишком короткой конъюгаторной косы, могут быть разделены, нарушая систему. ^[10] Эта атака была опровергнута Ганнеллсом, показав, что конъюгаторные косы правильного размера не могут быть разделены. ^[4]

В 2016 году Саймон Р. Блэкберн и Мэтью Дж. Б. Робшоу опубликовали ряд практических атак на проект беспроводного протокола ISO / IEC 29167-20 от января 2016 года, включая олицетворение целевого тега с незначительным количеством времени и памяти. и полное восстановление закрытого ключа, требующее 2 ⁴⁹ время и 2 ⁴⁸ память. ^[11] Аткинс и Голдфельд ответили, что добавление хэша или кода аутентификации сообщения в проект протокола позволяет отразить эти атаки. ^[12]

См. также [ править ]

• Обмен ключами Аншель-Аншель-Гольдфельд
• Групповая криптография
• Некоммутативная криптография

Примечания [ править ]

Ссылки [ править ]

Внешние ссылки [ править ]

• Домашняя страница SecureRF