XTR

В криптографии . XTR это алгоритм шифрования с открытым ключом — XTR означает «ECSTR», что является аббревиатурой от «Эффективное и компактное представление трассировки подгруппы». Это метод представления элементов подгруппы мультипликативной группы конечного поля . этого он использует трассировку Для ${\displaystyle GF(p^{2})}$ представлять элементы подгруппы ${\displaystyle GF(p^{6})^{*}}$.

С точки зрения безопасности XTR опирается на сложность решения проблем, связанных с дискретным логарифмом , в полной мультипликативной группе конечного поля. В отличие от многих криптографических протоколов, основанных на генераторе полной мультипликативной группы конечного поля, XTR использует генератор ${\displaystyle g}$ относительно небольшой подгруппы некоторого простого порядка ${\displaystyle q}$ из подгруппы ${\displaystyle GF(p^{6})^{*}}$. При правильном выборе ${\displaystyle q}$, вычисляя дискретные логарифмы в группе, сгенерированной ${\displaystyle g}$, в общем, так же сложно, как и в ${\displaystyle GF(p^{6})^{*}}$ и, следовательно, криптографические приложения XTR используют ${\displaystyle GF(p^{2})}$ арифметика при достижении полного ${\displaystyle GF(p^{6})}$ безопасность, что приводит к существенной экономии затрат на связь и вычисления без ущерба для безопасности. Некоторые другие преимущества XTR — это быстрое создание ключей, малые размеры ключей и скорость.

Основы XTR [ править ]

XTR использует подгруппу , обычно называемую подгруппой XTR или просто группой XTR , подгруппы, называемой супергруппой XTR , мультипликативной группы конечного поля. ${\displaystyle GF(p^{6})}$ с ${\displaystyle p^{6}}$ элементы. Супергруппа XTR в порядке ${\displaystyle p^{2}-p+1}$, где p — такое простое число, что достаточно большое простое число q делит ${\displaystyle p^{2}-p+1}$. Подгруппа XTR теперь имеет порядок q и является подгруппой ${\displaystyle GF(p^{6})^{*}}$, циклическая группа ${\displaystyle \langle g\rangle }$ с генератором g . В следующих трех абзацах будет описано, как элементы супергруппы XTR могут быть представлены с помощью элемента ${\displaystyle GF(p^{2})}$ вместо элемента ${\displaystyle GF(p^{6})}$ и как происходят арифметические действия в ${\displaystyle GF(p^{2})}$ вместо того, чтобы в ${\displaystyle GF(p^{6})}$.

Арифметические операции в ${\displaystyle GF(p^{2})}$[ редактировать ]

Пусть p — простое число такое, что p ≡ 2 mod 3 и p ² - p + 1 имеет достаточно большой простой делитель q . Поскольку п ² ≡ 1 mod 3, мы видим, что p порождает ${\displaystyle (\mathbb {Z} /3\mathbb {Z} )^{*}}$ и, таким образом, третий круговой полином ${\displaystyle \Phi _{3}(x)=x^{2}+x+1}$является неприводимым над ${\displaystyle GF(p)}$. Отсюда следует, что корни ${\displaystyle \alpha }$ и ${\displaystyle \alpha ^{p}}$ образуют оптимальную нормальную основу для ${\displaystyle GF(p^{2})}$ над ${\displaystyle GF(p)}$ и

${\displaystyle GF(p^{2})\cong \{x_{1}\alpha +x_{2}\alpha ^{p}:x_{1},x_{2}\in GF(p)\}.}$

Учитывая, что p ≡ 2 по модулю 3, мы можем уменьшить показатели степени по модулю 3, чтобы получить

${\displaystyle GF(p^{2})\cong \{y_{1}\alpha +y_{2}\alpha ^{2}:\alpha ^{2}+\alpha +1=0,y_{1},y_{2}\in GF(p)\}.}$

Стоимость арифметических операций теперь указана в следующей лемме, помеченной как Лемма 2.21 в «Обзоре системы открытых ключей XTR» : ^[1]

Лемма

• Вычисление х ^п делается без использования умножения
• Вычисление х ² принимает два умножения в ${\displaystyle GF(p)}$
• Вычисление xy требует трех умножений в ${\displaystyle GF(p)}$
• Вычисление xz-yz ^п принимает четыре умножения в ${\displaystyle GF(p)}$.

Следы над ${\displaystyle GF(p^{2})}$[ редактировать ]

Трассировка . в XTR всегда считается завершенной ${\displaystyle GF(p^{2})}$. словами, конъюгаты Другими ${\displaystyle h\in GF(p^{6})}$ над ${\displaystyle GF(p^{2})}$ являются ${\displaystyle h,h^{p^{2}}}$ и ${\displaystyle h^{p^{4}}}$ и след ${\displaystyle h}$ их сумма:

${\displaystyle Tr(h)=h+h^{p^{2}}+h^{p^{4}}.}$

Обратите внимание, что ${\displaystyle Tr(h)\in GF(p^{2})}$ с

${\displaystyle {\begin{aligned}Tr(h)^{p^{2}}&=h^{p^{2}}+h^{p^{4}}+h^{p^{6}}\\&=h+h^{p^{2}}+h^{p^{4}}\\&=Tr(h)\end{aligned}}}$

Рассмотрим теперь генератор ${\displaystyle g}$ подгруппы XTR простого порядка ${\displaystyle q}$. Помните, что ${\displaystyle \langle g\rangle }$ является подгруппой супергруппы XTR порядка ${\displaystyle p^{2}-p+1}$, так ${\displaystyle q\mid p^{2}-p+1}$. В следующем разделе мы увидим, как выбрать ${\displaystyle p}$ и ${\displaystyle q}$, но пока достаточно предположить, что ${\displaystyle q>3}$. Чтобы вычислить след ${\displaystyle g}$ обратите внимание, что по модулю ${\displaystyle p^{2}-p+1}$ у нас есть

${\displaystyle p^{2}=p-1}$ и

${\displaystyle p^{4}=(p-1)^{2}=p^{2}-2p+1=-p}$

и таким образом

${\displaystyle {\begin{aligned}Tr(g)&=g+g^{p^{2}}+g^{p^{4}}\\&=g+g^{p-1}+g^{-p}.\end{aligned}}}$

Продукт конъюгатов ${\displaystyle g}$ равно ${\displaystyle 1}$,то есть, что ${\displaystyle g}$ имеет норму 1.

Важнейшее наблюдение в XTR заключается в том, что минимальный полином от ${\displaystyle g}$ над ${\displaystyle GF(p^{2})}$

${\displaystyle (x-g)\!\ (x-g^{p-1})(x-g^{-p})}$

упрощается до

${\displaystyle x^{3}-Tr(g)\!\ x^{2}+Tr(g)^{p}x-1}$

что полностью определяется ${\displaystyle Tr(g)}$. Следовательно, конъюгаты ${\displaystyle g}$, как корни минимального полинома ${\displaystyle g}$ над ${\displaystyle GF(p^{2})}$, полностью определяются следом ${\displaystyle g}$. То же самое верно для любой степени ${\displaystyle g}$: конъюгаты ${\displaystyle g^{n}}$ являются корнями многочлена

${\displaystyle x^{3}-Tr(g^{n})\!\ x^{2}+Tr(g^{n})^{p}x-1}$

и этот полином полностью определяется ${\displaystyle Tr(g^{n})}$.

Идея использования трассировок заключается в замене ${\displaystyle g^{n}\in GF(p^{6})}$ в криптографических протоколах, например обмене ключами Диффи-Хеллмана с помощью ${\displaystyle Tr(g^{n})\in GF(p^{2})}$ и таким образом получить уменьшение размера представления в 3 раза. Однако это полезно только в том случае, если есть быстрый способ получить ${\displaystyle Tr(g^{n})}$ данный ${\displaystyle Tr(g)}$. В следующем параграфе представлен алгоритм эффективного вычисления ${\displaystyle Tr(g^{n})}$. Кроме того, вычисление ${\displaystyle Tr(g^{n})}$ данный ${\displaystyle Tr(g)}$ оказывается быстрее, чем вычисления ${\displaystyle g^{n}}$ данный ${\displaystyle g}$. ^[1]

Алгоритм быстрого расчета ${\displaystyle Tr(g^{n})}$ данный ${\displaystyle Tr(g)}$[ редактировать ]

А. Ленстра и Э. Верхёль описывают этот алгоритм в своей статье под названием « Система открытых ключей XTR» . ^[2] Все определения и леммы, необходимые для алгоритма, а также сам алгоритм, представленные здесь, взяты из этой статьи.

Определение Для c в ${\displaystyle GF(p^{2})}$ определять

${\displaystyle F(c,X)=X^{3}-cX^{2}+c^{p}X-1\in GF(p^{2})[X].}$

Определение Пусть ${\displaystyle h_{0},\!\ h_{1},h_{2}}$ обозначают (не обязательно различные) корни ${\displaystyle F(c,X)}$ в ${\displaystyle GF(p^{6})}$ и пусть ${\displaystyle n}$ быть внутри ${\displaystyle \mathbb {Z} }$. Определять

${\displaystyle c_{n}=h_{0}^{n}+h_{1}^{n}+h_{2}^{n}.}$

Свойства ${\displaystyle c_{n}}$ и ${\displaystyle F(c,X)}$

1. ${\displaystyle c=c_{1}}$
2. ${\displaystyle c_{-n}=c_{np}=c_{n}^{p}}$
3. ${\displaystyle c_{n}\in GF(p^{2}){\text{ for }}n\in \mathbb {Z} }$
4. ${\displaystyle c_{u+v}=c_{u}c_{v}-c_{v}^{p}c_{u-v}+c_{u-2v}{\text{ for }}u,v\in \mathbb {Z} }$
5. Либо все ${\displaystyle h_{j}}$ иметь порядок деления ${\displaystyle p^{2}-p+1}$ и ${\displaystyle >3}$ или все ${\displaystyle h_{j}}$ находятся в ${\displaystyle GF(p^{2})}$. В частности, ${\displaystyle F(c,X)}$ неприводим тогда и только тогда, когда его корни имеют порядок погружения ${\displaystyle p^{2}-p+1}$ и ${\displaystyle >3}$.
6. ${\displaystyle F(c,X)}$ является приводимым к ${\displaystyle GF(p^{2})}$ тогда и только тогда, когда ${\displaystyle c_{p+1}\in GF(p)}$

Лемма Позволять ${\displaystyle c,\!\ c_{n-1},c_{n},c_{n+1}}$ быть дано.

1. Вычисление ${\displaystyle c_{2n}=c_{n}^{2}-2c_{n}^{p}}$ принимает два умножения ${\displaystyle GF(p)}$.
2. Вычисление ${\displaystyle c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}}$ занимает четыре умножения ${\displaystyle GF(p)}$.
3. Вычисление ${\displaystyle c_{2n-1}=c_{n-1}\cdot c_{n}-c^{p}\cdot c_{n}^{p}+c_{n+1}^{p}}$ занимает четыре умножения ${\displaystyle GF(p)}$.
4. Вычисление ${\displaystyle c_{2n+1}=c_{n+1}\cdot c_{n}-c\cdot c_{n}^{p}+c_{n-1}^{p}}$ занимает четыре умножения ${\displaystyle GF(p)}$.

Определение Пусть ${\displaystyle S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}}$.

Алгоритм 1 расчета ${\displaystyle S_{n}(c)}$ данный ${\displaystyle n}$ и ${\displaystyle c}$

• Если ${\displaystyle n<0}$ применить этот алгоритм к ${\displaystyle -n}$ и ${\displaystyle c}$и примените свойство 2 к полученному значению.
• Если ${\displaystyle n=0}$, затем ${\displaystyle S_{0}(c)\!\ =(c^{p},3,c)}$.
• Если ${\displaystyle n=1}$, затем ${\displaystyle S_{1}(c)\!\ =(3,c,c^{2}-2c^{p})}$.
• Если ${\displaystyle n=2}$, используйте вычисление ${\displaystyle c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}}$ и ${\displaystyle S_{1}(c)}$ найти ${\displaystyle c_{3}}$ и тем самым ${\displaystyle S_{2}(c)}$.
• Если ${\displaystyle n>2}$, чтобы вычислить ${\displaystyle S_{n}(c)}$ определять

${\displaystyle {\bar {S}}_{i}(c)=S_{2i+1}(c)}$

и ${\displaystyle {\bar {m}}=n}$ если n нечетно и ${\displaystyle {\bar {m}}=n-1}$ в противном случае. Позволять ${\displaystyle {\bar {m}}=2m+1,k=1}$ и вычислить ${\displaystyle {\bar {S}}_{k}(c)=S_{3}(c)}$ используя лемму выше и ${\displaystyle S_{2}(c)}$. Пусть дальше

${\displaystyle m=\sum _{j=0}^{r}m_{j}2^{j}}$

с ${\displaystyle m_{j}\in {0,1}}$ и ${\displaystyle m_{r}=1}$. Для ${\displaystyle j=r-1,r-2,...,0}$ последовательно выполните следующие действия:

• Если ${\displaystyle m_{j}=0}$, использовать ${\displaystyle {\bar {S}}_{k}(c)}$ вычислить ${\displaystyle {\bar {S}}_{2k}(c)}$.
• Если ${\displaystyle m_{j}=1}$, использовать ${\displaystyle {\bar {S}}_{k}(c)}$ вычислить ${\displaystyle {\bar {S}}_{2k+1}(c)}$.
• Заменять ${\displaystyle k}$ к ${\displaystyle 2k+m_{j}}$.

Когда эти итерации завершатся, ${\displaystyle k=m}$ и ${\displaystyle S_{\bar {m}}(c)={\bar {S}}_{m}(c)}$. Если n даже использовать ${\displaystyle S_{\bar {m}}(c)}$ вычислить ${\displaystyle {\bar {S}}_{m+1}(c)}$.

Выбор параметра [ править ]

Конечный выбор размера поля и подгруппы [ править ]

Чтобы воспользоваться описанными выше представлениями элементов с их следами и, кроме того, обеспечить достаточную безопасность, о которой пойдет речь ниже , нам необходимо найти простые числа ${\displaystyle p}$ и ${\displaystyle q}$, где ${\displaystyle p}$ обозначает характеристику поля ${\displaystyle GF(p^{6})}$ с ${\displaystyle p\equiv 2\ {\text{mod}}\ 3}$ и ${\displaystyle q}$ - размер подгруппы, такой, что ${\displaystyle q}$ делит ${\displaystyle p^{2}-p+1}$.

Обозначим через ${\displaystyle P}$ и ${\displaystyle Q}$ размеры ${\displaystyle p}$ и ${\displaystyle q}$ в битах. Чтобы добиться безопасности, сравнимой с 1024-битным RSA , нам следует выбрать ${\displaystyle 6P}$ около 1024, т.е. ${\displaystyle P\approx 170}$ и ${\displaystyle Q}$ может быть около 160.

Первый простой алгоритм для вычисления таких простых чисел ${\displaystyle p}$ и ${\displaystyle q}$ следующий алгоритм А:

Алгоритм А

1. Находить ${\displaystyle r\in \mathbb {Z} }$ такой, что ${\displaystyle q=r^{2}-r+1}$ это ${\displaystyle Q}$-битное простое число.
2. Находить ${\displaystyle k\in \mathbb {Z} }$ такой, что ${\displaystyle p=r+k\cdot q}$ это ${\displaystyle P}$-битное простое число с ${\displaystyle p\equiv 2\ {\text{mod}}\ 3}$.

Корректность алгоритма А:

Осталось это проверить ${\displaystyle q\mid p^{2}-p+1}$ поскольку все остальные необходимые свойства очевидно удовлетворяются по определению ${\displaystyle p}$ и ${\displaystyle q}$. Мы легко это видим ${\displaystyle p^{2}-p+1=r^{2}+2rkq+k^{2}q^{2}-r-kq+1=r^{2}-r+1+q(2rk+k^{2}q-k)=q(1+2rk+k^{2}q-k)}$ что подразумевает, что ${\displaystyle q\mid p^{2}-p+1}$.

Алгоритм А очень быстрый и может использоваться для поиска простых чисел. ${\displaystyle p}$ которые удовлетворяют полиному второй степени с малыми коэффициентами. Такой ${\displaystyle p}$ привести к быстрым арифметическим операциям в ${\displaystyle GF(p)}$. В частности, если поиск ${\displaystyle k}$ ограничивается ${\displaystyle k=1}$, что означает поиск ${\displaystyle r}$ такой, что оба ${\displaystyle r^{2}-r+1{\text{ and }}r^{2}+1}$ являются простыми и такими, что ${\displaystyle r^{2}+1\equiv 2{\text{ mod }}3}$, простые числа ${\displaystyle p}$ иметь эту красивую форму.Обратите внимание, что в этом случае ${\displaystyle r}$ должно быть четным и ${\displaystyle r\equiv 1{\text{ mod }}4}$.

С другой стороны, такое ${\displaystyle p}$ могут быть нежелательны с точки зрения безопасности, поскольку они могут упростить атаку с использованием с использованием дискретного логарифма варианта сита числового поля .

Следующий алгоритм B не имеет этого недостатка, но он также не имеет быстрой арифметики по модулю. ${\displaystyle p}$ В этом случае алгоритм А имеет такое значение.

Алгоритм Б

1. Выберите ${\displaystyle Q}$-битное простое число ${\displaystyle q}$ так что ${\displaystyle q\equiv 7\ {\text{mod}}\ 12}$.
2. Найдите корни ${\displaystyle r_{1}}$ и ${\displaystyle r_{2}}$ из ${\displaystyle X^{2}-X+1\ {\text{mod}}\ q}$.
3. Найдите ${\displaystyle k\in \mathbb {Z} }$ такой, что ${\displaystyle p=r_{i}+k\cdot q}$ это ${\displaystyle P}$-битное простое число с ${\displaystyle p\equiv 2\ {\text{mod}}\ 3}$ для ${\displaystyle i\in \{1,2\}}$

Корректность алгоритма Б:

Поскольку мы выбрали ${\displaystyle q\equiv 7\ {\text{mod}}\ 12}$ отсюда сразу следует, что ${\displaystyle q\equiv 1\ {\text{mod}}\ 3}$ (потому что ${\displaystyle 7\equiv 1\ {\text{mod}}\ 3}$ и ${\displaystyle 3\mid 12}$). Из этого и квадратичной взаимности мы можем сделать вывод, что ${\displaystyle r_{1}}$ и ${\displaystyle r_{2}}$ существовать.

Чтобы проверить это ${\displaystyle q\mid p^{2}-p+1}$ мы рассмотрим еще раз ${\displaystyle p^{2}-p+1}$ для ${\displaystyle r_{i}\in \{1,2\}}$ и получи это ${\displaystyle p^{2}-p+1=r_{i}^{2}+2r_{i}kq+k^{2}q^{2}-r_{i}-kq+1=r_{i}^{2}-r_{i}+1+q(2rk+k^{2}q-k)=q(2rk+k^{2}q-k)}$, с ${\displaystyle r_{1}}$ и ${\displaystyle r_{2}}$ являются корнями ${\displaystyle X^{2}-X+1}$ и, следовательно, ${\displaystyle q\mid p^{2}-p+1}$.

Выбор подгруппы [ править ]

В последнем пункте мы выбрали размеры ${\displaystyle p}$ и ${\displaystyle q}$ конечного поля ${\displaystyle GF(p^{6})}$ и мультипликативная подгруппа ${\displaystyle GF(p^{6})^{*}}$, теперь нам нужно найти подгруппу ${\displaystyle \langle g\rangle }$ из ${\displaystyle GF\!\ (p^{6})^{*}}$ для некоторых ${\displaystyle g\in GF(p^{6})}$ такой, что ${\displaystyle \mid \!\!\langle g\rangle \!\!\mid =q}$.

Однако нам не нужно искать явного ${\displaystyle g\in GF(p^{6})}$, достаточно найти элемент ${\displaystyle c\in GF(p^{2})}$ такой, что ${\displaystyle c=Tr(g)}$ для элемента ${\displaystyle g\in GF(p^{6})}$ порядка ${\displaystyle q}$. Но, учитывая ${\displaystyle Tr(g)}$, генератор ${\displaystyle g}$ (под)группы XTR можно найти, определив любой корень из ${\displaystyle F(Tr(g),\ X)}$ что было определено выше . Чтобы найти такого ${\displaystyle c}$ мы можем взглянуть на свойство 5 из ${\displaystyle F(c,\ X)}$ здесь говорится, что корни ${\displaystyle F(c,\ X)}$ иметь порядок деления ${\displaystyle p^{2}-p+1}$ тогда и только тогда, когда ${\displaystyle F(c,\ X)}$ является нередуцируемым . После нахождения такого ${\displaystyle c}$ нам нужно проверить, действительно ли это в порядке ${\displaystyle q}$, но сначала сосредоточимся на том, как выбрать ${\displaystyle c\in GF(p^{2})}$ такой, что ${\displaystyle F(c,\ X)}$ является нередуцируемым.

Первоначальный подход заключается в выборе ${\displaystyle c\in GF(p^{2})\backslash GF(p)}$ случайным образом, что подтверждается следующей леммой.

Лемма: Для случайно выбранного ${\displaystyle c\in GF(p^{2})}$ вероятность того, что ${\displaystyle F(c,\ X)=X^{3}-cX^{2}+c^{p}X-1\in GF(p^{2})[X]}$ неуменьшаема, составляет около трети.

Теперь основной алгоритм поиска подходящего ${\displaystyle Tr(g)}$ заключается в следующем:

Краткое описание алгоритма

1. Выберите случайный ${\displaystyle c\in GF(p^{2})\backslash GF(p)}$.
2. Если ${\displaystyle F(c,\ X)}$ приводима, то возвращаемся к шагу 1.
3. Используйте алгоритм 1 для вычисления ${\displaystyle d=c_{(p^{2}-p+1)/q}}$.
4. Если ${\displaystyle d}$ не в порядке ${\displaystyle q}$, вернитесь к шагу 1.
5. Позволять ${\displaystyle Tr(g)=d}$.

Оказывается, этот алгоритм действительно вычисляет элемент ${\displaystyle GF(p^{2})}$ это равно ${\displaystyle Tr(g)}$ для некоторых ${\displaystyle g\in GF(p^{6})}$ порядка ${\displaystyle q}$.

Более подробную информацию об алгоритме, его корректности, времени выполнения и доказательстве леммы можно найти в «Обзоре системы открытых ключей XTR» . ^[1]

Криптографические схемы [ править ]

В этом разделе объясняется, как описанные выше концепции использования следов элементов могут быть применены к криптографии. В общем, XTR можно использовать в любой криптосистеме, основанной на задаче (подгруппы) дискретного логарифма. Двумя важными приложениями XTR являются соглашение о ключах Диффи-Хеллмана и шифрование Эль-Гамаля . Сначала мы начнем с Диффи-Хеллмана.

Ключевое соглашение XTR-DH [ править ]

Мы предполагаем, что и Алиса, и Боб имеют доступ к открытого ключа XTR. данным ${\displaystyle \left(p,q,Tr(g)\right)}$ и намерены договориться об общем секретном ключе ${\displaystyle K}$. Они могут сделать это, используя следующую версию XTR обмена ключами Диффи-Хеллмана:

1. Алиса выбирает ${\displaystyle a\in \mathbb {Z} }$ случайно с ${\displaystyle 1<a<q-2}$, вычисляется по алгоритму 1 ${\displaystyle S_{a}(Tr(g))=\left(Tr(g^{a-1}),Tr(g^{a}),Tr(g^{a+1})\right)\in GF(p^{2})^{3}}$ и отправляет ${\displaystyle Tr(g^{a})\in GF(p^{2})}$ Бобу.
2. Боб получает ${\displaystyle Tr(g^{a})}$ от Алисы, выбирает случайным образом ${\displaystyle b\in \mathbb {Z} }$ с ${\displaystyle 1<b<q-2}$, применяет алгоритм 1 для вычисления ${\displaystyle S_{b}(Tr(g))=\left(Tr(g^{b-1}),Tr(g^{b}),Tr(g^{b+1})\right)\in GF(p^{2})^{3}}$ и отправляет ${\displaystyle Tr(g^{b})\in GF(p^{2})}$ к Алисе.
3. Алиса получает ${\displaystyle Tr(g^{b})}$ от Боба, вычисляет по алгоритму 1 ${\displaystyle S_{a}(Tr(g^{b}))=\left(Tr(g^{(a-1)b}),Tr(g^{ab}),Tr(g^{(a+1)b})\right)\in GF(p^{2})^{3}}$ и определяет ${\displaystyle K}$ на основе ${\displaystyle Tr(g^{ab})\in GF(p^{2})}$.
4. Боб аналогичным образом применяет алгоритм 1 для вычисления ${\displaystyle S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}}$ а также определяет ${\displaystyle K}$ на основе ${\displaystyle Tr(g^{ab})\in GF(p^{2})}$.

Шифрование XTR Эль-Гамаля [ править ]

Что касается шифрования Эль-Гамаля, мы предполагаем, что Алиса является владельцем данных открытого ключа XTR. ${\displaystyle (p,q,Tr(g))}$ и что она выбрала секретное целое число ${\displaystyle k}$, вычислено ${\displaystyle Tr(g^{k})}$ и опубликовал результат.Учитывая данные открытого ключа XTR Алисы ${\displaystyle \left(p,q,Tr(g),Tr(g^{k})\right)}$, Боб может зашифровать сообщение ${\displaystyle M}$, предназначенный для Алисы, использующий следующую версию XTR шифрования Эль-Гамаля:

1. Боб случайным образом выбирает ${\displaystyle b\in \mathbb {Z} }$ с ${\displaystyle 1<b<q-2}$ и вычисляет с помощью алгоритма 1 ${\displaystyle S_{b}(Tr(g))=\left(Tr(g^{b-1}),Tr(g^{b}),Tr(g^{b+1})\right)\in GF(p^{2})^{3}}$.
2. Затем Боб применяет алгоритм 1 для вычисления ${\displaystyle S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}}$.
3. Боб определяет симметричный ключ шифрования ${\displaystyle K}$ на основе ${\displaystyle Tr(g^{bk})\in GF(p^{2})}$.
4. Боб использует согласованный метод симметричного шифрования с ключом ${\displaystyle K}$ зашифровать его сообщение ${\displaystyle M}$, что приводит к шифрованию ${\displaystyle E}$.
5. Боб отправляет ${\displaystyle (Tr(g^{b}),\ E)}$ к Алисе.

При получении ${\displaystyle (Tr(g^{b}),\ E)}$, Алиса расшифровывает сообщение следующим образом:

1. Алиса вычисляет ${\displaystyle S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}}$.
2. Алиса определяет симметричный ключ ${\displaystyle K}$ на основе ${\displaystyle Tr(g^{bk})\in GF(p^{2})}$.
3. Алиса использует согласованный метод симметричного шифрования с ключом ${\displaystyle K}$ расшифровать ${\displaystyle E}$, что приводит к исходному сообщению ${\displaystyle M}$.

Описанная здесь схема шифрования основана на распространенной гибридной версии шифрования Эль-Гамаля, где секретный ключ ${\displaystyle K}$ получается с помощью асимметричной системы открытого ключа , а затем сообщение шифруется с помощью метода шифрования с симметричным ключом, о котором договорились Алиса и Боб.

В более традиционном шифровании Эль-Гамаля сообщение ограничено пространством ключей, которое здесь будет ${\displaystyle GF(p^{2})}$, потому что ${\displaystyle Tr(g)\in GF(p^{2})\ \forall p\in GF(p^{6})^{*}}$. Шифрование в данном случае представляет собой перемножение сообщения на ключ, что является обратимой операцией в пространстве ключей. ${\displaystyle GF(p^{2})}$.

Конкретно это означает, что если Боб хочет зашифровать сообщение ${\displaystyle M\!\ '}$, сначала он должен преобразовать его в элемент ${\displaystyle M}$ из ${\displaystyle GF(p^{2})}$ а затем вычислить зашифрованное сообщение ${\displaystyle E}$ как ${\displaystyle E=K\cdot M\in GF(p^{2})}$.При получении зашифрованного сообщения ${\displaystyle E}$ Алиса может восстановить исходное сообщение ${\displaystyle M}$ путем вычисления ${\displaystyle M=E\cdot K^{-1}}$, где ${\displaystyle K^{-1}}$ является обратным ${\displaystyle K}$ в ${\displaystyle GF(p^{2})}$.

Безопасность [ править ]

Чтобы сказать что-то о свойствах безопасности описанной выше схемы шифрования XTR, сначала важно проверить безопасность группы XTR, а это означает, насколько сложно решить там задачу дискретного логарифма . В следующей части будет установлена ​​эквивалентность задачи дискретного логарифма в группе XTR и версии XTR задачи дискретного логарифма с использованием только следов элементов.

Дискретные логарифмы в общем ${\displaystyle GF\left(p^{t}\right)}$[ редактировать ]

Пусть сейчас ${\displaystyle \langle \gamma \rangle }$ быть мультипликативной группой порядка ${\displaystyle \omega }$. Безопасность протокола Диффи-Хеллмана в ${\displaystyle \langle \gamma \rangle }$ опирается на задачу Диффи-Хеллмана (DH) о вычислении ${\displaystyle \gamma ^{xy}{\text{ given }}\gamma ,\gamma ^{x}{\text{ and }}\gamma ^{y}}$. Мы пишем ${\displaystyle DH(\gamma ^{x},\ \gamma ^{y})=\gamma ^{xy}}$.Есть еще две проблемы, связанные с проблемой ЦТ. Первая из них — это задача решения Диффи–Хеллмана (DHD), позволяющая определить, ${\displaystyle c=DH(a,b)}$ для данного ${\displaystyle a,b,c\in \langle \gamma \rangle }$ а вторая — задача дискретного логарифма (DL), позволяющая найти ${\displaystyle x=DL(a)}$ для данного ${\displaystyle a=\gamma ^{x}\in \langle \gamma \rangle {\text{ with }}0\leq x<\omega }$.

Проблема DL, по крайней мере, так же сложна, как и проблема DH, и обычно предполагается, что если проблема DL в ${\displaystyle \langle \gamma \rangle }$ неразрешима, то же самое можно сказать и о двух других.

Учитывая простую факторизацию ${\displaystyle \omega }$ проблема DL в ${\displaystyle \langle \gamma \rangle }$ может быть сведена к задаче DL во всех подгруппах ${\displaystyle \langle \gamma \rangle }$ с простым порядком благодаря алгоритму Полига – Хеллмана . Следовательно ${\displaystyle \omega }$ можно смело считать простым.

Для подгруппы ${\displaystyle \langle \gamma \rangle }$ высшего порядка ${\displaystyle \omega }$ мультипликативной группы ${\displaystyle GF\left(p^{t}\right)^{*}}$ поля расширения ${\displaystyle GF(p^{t})}$ из ${\displaystyle GF(p)}$ для некоторых ${\displaystyle t}$, теперь есть два возможных способа атаковать систему. Можно сосредоточиться либо на всей мультипликативной группе, либо на подгруппе. Для атаки на мультипликативную группу наиболее известным методом является вариант дискретного логарифма решета числового поля или, альтернативно, в подгруппе можно использовать один из нескольких методов, которые принимают ${\displaystyle {\mathcal {O}}({\sqrt {\omega }})}$ операции в ${\displaystyle \langle \gamma \rangle }$, например, метод Ро Полларда .

Для обоих подходов сложность проблемы DL в ${\displaystyle \langle \gamma \rangle }$ зависит от размера минимального окружающего подполя ${\displaystyle \langle \gamma \rangle }$ и от размера его простого порядка ${\displaystyle \omega }$. Если ${\displaystyle GF\left(p^{t}\right)}$ само по себе является минимальным окружающим подполем ${\displaystyle \langle \gamma \rangle }$ и ${\displaystyle \omega }$ достаточно велика, то задача DL в ${\displaystyle \langle \gamma \rangle }$ так же сложна, как и общая проблема DL в ${\displaystyle GF\left(p^{t}\right)}$.

Параметры XTR теперь выбраны таким образом, что ${\displaystyle p}$ не маленький, ${\displaystyle q}$ достаточно велик и ${\displaystyle \langle g\rangle }$ не может быть встроено в истинное подполе ${\displaystyle GF(p^{6})}$, с ${\displaystyle q\mid p^{2}-p+1}$ и ${\displaystyle p^{2}-p+1}$ является делителем ${\displaystyle \mid \!GF(p^{6})^{*}\!\mid =p^{6}-1}$, но оно не делит ${\displaystyle p^{s}-1{\text{ for }}s\in \{1,2,3\}}$ и таким образом ${\displaystyle \langle g\rangle }$ не может быть подгруппой ${\displaystyle GF\!\ (p^{s})^{*}}$ для ${\displaystyle s\in \{1,2,3\}}$.Отсюда следует, что проблему DL в группе XTR можно считать столь же сложной, как и проблему DL в группе XTR. ${\displaystyle GF(p^{6})}$.

Безопасность XTR [ править ]

Криптографические протоколы, основанные на дискретных логарифмах, могут использовать множество различных типов подгрупп, таких как группы точек эллиптических кривых или подгруппы мультипликативной группы конечного поля, такие как группа XTR.Как мы видели выше, версии XTR протокола шифрования Диффи-Хеллмана и Эль-Гамаля заменяют использование элементов группы XTR использованием их трассировок. Это означает, что безопасность версий XTR этих схем шифрования больше не основана на исходных проблемах DH, DHD или DL. Следовательно, XTR-версии этих проблем необходимо определить, и мы увидим, что они эквивалентны (в смысле следующего определения) исходным проблемам.

Определения:

• Мы определяем проблему XTR-DH как задачу вычисления ${\displaystyle Tr(g^{xy})}$ данный ${\displaystyle Tr(g^{x})}$ и ${\displaystyle Tr(g^{y})}$ и мы пишем ${\displaystyle XDH(g^{x},\ g^{y})=g^{xy}}$.
• Проблема XTR-DHD — это проблема определения того, ${\displaystyle XDH(a,b)=c}$ для ${\displaystyle a,b,c\in Tr(\langle g\rangle )}$.
• Данный ${\displaystyle a\in Tr(\langle g\rangle )}$, задача XTR-DL состоит в том, чтобы найти ${\displaystyle x=XDL(a)}$, то есть ${\displaystyle 0\leq x<q}$ такой, что ${\displaystyle a=Tr(g^{x})}$.
• Мы говорим, что проблема ${\displaystyle {\mathcal {A}}}$ (a,b)-эквивалентна задаче ${\displaystyle {\mathcal {B}}}$, если возникнет проблема ${\displaystyle {\mathcal {A}}}$ (или ${\displaystyle {\mathcal {B}}}$) может быть решено не более чем a (или b) вызовом алгоритма решения задачи ${\displaystyle {\mathcal {B}}}$ (или ${\displaystyle {\mathcal {A}}}$).

После введения XTR-версий этих проблем следующая теорема представляет собой важный результат, говорящий нам о связи между XTR-проблемами и задачами, не относящимися к XTR, которые на самом деле эквивалентны. Это означает, что XTR-представление элементов с их трассировками, как видно выше, в 3 раза быстрее обычного представления без ущерба для безопасности.

Теорема. Имеют место следующие эквивалентности:

я. Задача XTR-DL (1,1)-эквивалентна задаче DL в ${\displaystyle \langle g\rangle }$.

ii. Проблема XTR-DH (1,2)-эквивалентна проблеме DH в ${\displaystyle \langle g\rangle }$.

iii. Задача XTR-DHD (3,2)-эквивалентна задаче DHD в ${\displaystyle \langle g\rangle }$.

Это означает, что алгоритм, решающий XTR-DL, XTR-DH или XTR-DHD с немалой вероятностью, может быть преобразован в алгоритм, решающий соответствующую задачу, не относящуюся к XTR, DL, DH или DHD с немалой вероятностью, и наоборот.В частности, часть II. подразумевает, что определение небольшого ключа XTR-DH (являющегося элементом ${\displaystyle GF(p^{2})}$) так же сложно, как определить весь ключ DH (являющийся элементом ${\displaystyle GF(p^{6})}$ ) в группе представлений ${\displaystyle \langle g\rangle }$.

Ссылки [ править ]