М. И. Анохин, Н. П. Варновский, В. М. Сидельников, В. В. Ященко "КРИПТОГРАФИЯ В БАНКОВСКОМ ДЕЛЕ"

Геовикипедия
wiki.web.ru

Поиск

Главная страница

Конференции: Календарь / Материалы

Каталог ссылок

Словарь

Форумы

В помощь студенту

Последние поступления

Геология | Курсы лекций

Обсудить в форуме

Добавить новое сообщение

Вперед: 7. Протоколы с аппаратной поддержкой Вверх: 6.3 Теоретические результаты Назад: 6.3.1 Принципы открытого распределения ключей Содержание Предметный указатель

6.3.2 Схема Диффи -- Хеллмана по составному модулю

В работе Шмуели [S] предлагается использовать в качестве модуля в схеме Диффи -- Хеллмана не простое, а составное число вида $ n=pq$ , где и -- различные простые числа. Шмуели также доказал, что произвольный алгоритм $\mathfrak{A}$ , находящий с вероятностью, которая не является пренебрежимо малой, общий секретный ключ по данным модулю вышеуказанного вида, базе , являющейся случайным элементом нечетного порядка группы $\mathbb{Z}_n*$ , и открытым ключам $y_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}$ и $y_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}$ , может быть преобразован в алгоритм $\mathfrak{B}$ факторизации (т. е. нахождения и ) с не пренебрежимо малой вероятностью. Однако этот результат (в виде, приведенном в [McC88]) не позволяет утверждать, что если $\mathfrak{A}$ полиномиален, то и $\mathfrak{B}$ полиномиален. Это можно утверждать, если и выбраны некоторым специальным образом. Но сложность задачи факторизации произведений простых чисел специального вида, вообще говоря, может быть ниже сложности общей задачи факторизации.

В той же работе [McC88] МакКарли, развивая подход Шмуели, построил протокол типа Диффи -- Хеллмана, в котором модуль есть произведение двух различных простых чисел специального (отличного от упомянутого при обсуждении результата Шмуели) вида, а база фиксирована (а именно, $g=16\bmod n$ ), и доказал его стойкость против пассивного противника в предположении сложности факторизации . Однако это предположение, вообще говоря, может быть сильнее стандартного криптографического предположения о сложности общей задачи факторизации.

Дальнейшее развитие методов работы [McC88] привело к построению М. И. Анохиным (см. также [Ан]) следующего протокола типа Диффи -- Хеллмана, который мы приведем более подробно. В этом протоколе предполагается наличие центра доверия, который для обеспечения возможности выработки участниками A и B общего секретного ключа выполняет следующие действия: 1) выбирает различные большие простые числа и (например, так, что $\{p,q\}$ -- случайный элемент множества всех двухэлементных множеств простых чисел длины, равной параметру безопасности) и вычисляет $ n=pq$ ;

2) выбирает случайный элемент нечетного порядка в группе $\mathbb{Z}_n*$ (например, выбрав $u\in_{\mbox{\tiny\rm R}}\{1,\ldots,p-1\}$ и $v\in_{\mbox{\tiny\rm R}}\{1,\ldots,q-1\}$ и вычислив (единственный) $g\in\mathbb{Z}_n*$ такой, что $g\equiv u^{2^\alpha}\mkern5mu({\rm mod}\,\,p)$ и $g\equiv v^{2^\beta}\mkern5mu({\rm mod}\,\,q)$ ; здесь $\alpha$ и $\beta$ таковы, что $p-1=2^\alpha p'$ и $q-1=2^\beta q'$ , где и нечетны);

3) передает и участникам A и B (по каналу, открытому для прослушивания, но недоступному для изменения данных) или помещает их в сертифицированный справочник, сохраняя и в секрете.

После этого для выработки общего секретного ключа A и B выполняют следующий протокол: 1. A выбирает $x_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}\in_{\mbox{\tiny\rm R}}\{0,1,\ldots,n-1\}$ , вычисляет $y_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}=g... ...athchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}}\bmod n$ и посылает его B, сохраняя $x_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}$ в секрете.

2. B выбирает $x_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}\in_{\mbox{\tiny\rm R}}\{0,1,\ldots,n-1\}$ , вычисляет $y_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}=g... ...athchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}}\bmod n$ и посылает его A, сохраняя $x_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}$ в секрете.

3. A вычисляет $k_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}=y... ...athchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}}\bmod n$ .

4. B вычисляет $k_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}=y... ...athchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}}\bmod n$ . Очевидно, что $k=k_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}=k_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}$ .

К данному протоколу применим метод аутентификации участников, описанный в п. 6.2.1.1.

В работе [Ан] доказано, что в предположении отсутствия эффективных алгоритмов факторизации этот протокол является стойким (против пассивного противника). Подчеркнем, что простые множители и в этом протоколе могут быть выбраны произвольно, поэтому в отличие от вышеупомянутых результатов Шмуели и МакКарли здесь мы имеем стойкость при стандартном криптографическом предположении о сложности общей задачи факторизации. С другой стороны, в схеме МакКарли база фиксирована, тогда как стойкость данной схемы доказана для случая, когда противник имеет возможность выбирать базу . Отметим также, что знание (случайного элемента нечетного порядка в $\mathbb{Z}_n*$ ) не облегчает факторизацию , так как, зная только , можно эффективно сгенерировать (с не пренебрежимо малой вероятностью) элемент, имеющий то же самое распределение, что и .

Михаил Анохин

Проект осуществляется при поддержке:
Геологического факультета МГУ,
РФФИ