Эффективные методы алгебраического криптоанализа и защита от них | Прикладная дискретная математика. Приложение. 2019. № 12. DOI: 10.17223/2226308X/12/36

Эффективные методы алгебраического криптоанализа и защита от них

Работа состоит из двух частей. В первой части даётся представление авторских методов криптографического анализа алгоритмов алгебраической криптографии. Описываются основные элементы метода линейного разложения. Приводятся примеры его использования для эффективных атак на известные алгоритмы. Даётся представление об альтернативном подходе Б. Тсабана, также базирующемся на линейной алгебре и некоторых теоретико-вероятностных результатах. Кроме этого, приводится описание основных элементов метода нелинейного разложения с соответствующими примерами его применения. Вторая часть посвящена построению эффективных методов защиты от атак, использующих средства линейной алгебры. Для этого вводится новое понятие маргинального множества элементов группы относительно данного слова от порождающих элементов. Показывается, как использование маргинальных множеств позволяет уходить от проблемы нахождения сопрягающего элемента, лежащей в основе многих алгоритмов алгебраической криптографии, к значительно более сложной проблеме вхождения-сопряжённости.

Efficient methods of algebraic cryptanalysis and protection against them.pdf 1. Методы криптоанализа алгебраической криптографии 1.1. Метод линейного разложения Метод введён в рассмотрение автором в [1, 2], получил дальнейшее развитие в [3-5] и ряде других публикаций, подробно освещён в монографии [6]. Метод детерминированный и доказуемый, применим как к конечным, так и к бесконечным объектам. Его отличительной особенностью является то, что построенный по этому методу алгоритм криптографического анализа находит распределяемый ключ или передаваемое сообщение, не вычисляя секретных параметров, использованных при зашифровании. Алгоритм не решает алгоритмической проблемы, лежащей в основе криптографических построений, обходя тем самым построенную авторами защиту и не преодолевая трудностей, заложенных при построении криптографической схемы. Метод использован для криптографического анализа криптографических алгоритмов Маркова - Михалева и др., Грибова - Золотых и др., Росошека, Харли, Мегрели-швили, Шпильрайна - Ушакова, Кахроби - Шпильрайна и др., Ко - Ли и др., Ванга и др., Курта, Хехта и ряда других авторов. Метод работает в тех случаях, когда платформа шифрования G является частью линейного пространства V, например группой матриц над некоторым конструктивным полем F (конечным или бесконечным), рассматриваемой как подмножество линейного пространства M(n, F) матриц размера п х п. Типичными элементами метода являются: построение базиса линейного подпространства, порождённого подмножеством из G опредёленного вида в пространстве V; использование свойств этого подпространства для определения секрета. В криптографии с открытым ключом хорошо известна проблема Диффи - Хелл-мана: для группы G и её элемента g G G определить по двум значениям gk и g1, где k,l - натуральные числа, значение gk1. В алгебраической криптографии рассматриваются следующие её некоммутативные аналоги: - Аналог с сопряжениями: для группы G и её элемента g G G определить по двум сопряжённым к g элементам ga = aga-1 и gb = bgb-1, где a, b G G, ab = ba, элемент gab = abga-1b-1 = bagb-1a-1. - Аналог с двусторонними домножениями: для группы G и её элемента g G G определить по двум элементам вида aga' и bgb', где a, b G G, ab = ba, a'b' = b'a', элемент abga'b' = bagb'a'. - Аналог с автоморфизмами: для группы G и её элемента g G G определить по двум элементам вида a(g) и в(g), где а, в G Aut(G), ав = ва, элемент a(e(g)) = e(a(g)). Метод линейного разложения при некоторых естественных условиях на группу G (прежде всего это существование эффективного вложения в конечномерное линейное пространство) эффективно решает каждую из этих проблем. 1.2. Span-метод Б. Тсабана В [7] (см. также [8]) Б. Тсабан и др. ввели в рассмотрение полиномиальный по времени вероятностный метод алгебраического криптоанализа, названный ими линейным span-методом. Метод позволяет разрабатывать способы эффективного решения вычислительных проблем в группах матриц над конечными полями, значит, и в группах, допускающих эффективные представления матрицами над конечными полями. Метод улучшает более ранние методы, описанные в [9, 10]. Как и в методе линейного разложения, span-метод предполагает построение базисов некоторых линейных подпространств, определяемых матричной группой G над конечным полем Fq порядка q. Приведём типичный пример использования метода. Допустим, нужно решить проблему поиска сопрягающего элемента X для данных матриц A и B = XAX-1 из группы GL(n, Fq). Данное уравнение заменяется на систему линейных однородных уравнений, соответствующую матричному уравнению XA = BX. Строится базис s E = {e1,... ,es} пространства решений и записывается общее решение X = а^. i=1 Теперь нужно, варьируя коэффициенты а^, i = 1,... , s, найти среди решений невырожденную матрицу X. Нам известно, что невырожденное решение существует. Тогда можно воспользоваться следующей леммой. Лемма 1 (лемма обратимости [7, Lemma9]). Пусть элементы e1,...,es кольца s матриц M(n, Fq) таковы, что некоторая их линейная комбинация У] а^ с коэффиi=1 циентами из Fq является обратимой матрицей. Если коэффициенты выбираются в соответствии с равномерным распределением на Fq, то вероятность получения невырожденного решения будет не меньше чем p =1 - n/q. Метод эффективен, если n существенно мало по отношению к q. 1.3. Метод нелинейного разложения Данный метод введён автором в [11] как дополнение к методу линейного разложения. Он работает в тех случаях, когда группа не допускает представления матрицами или это представление имеет слишком большой размер для возможного использования. Конечно, здесь также предполагается выполнение ряда условий, связанных с разрешимостью проблемы вхождения в конечно порождённые подгруппы группы, выбранной в качестве платформы для криптографической схемы. Эти условия, как правило, выполняются в конечно порождённых нильпотентных и полициклических группах, часто предлагаемых для такого применения в последние годы. Относительно соответствующей теории см. [6], приложения можно найти в [4, 5, 12]. Метод нелинейного разложения при некоторых естественных предположениях о группе G (прежде всего, они касаются эффективной разрешимости проблемы представления элемента конечно порождённой подгруппы в виде слова от её порождающих элементов) эффективно решает перечисленные выше три проблемы, аналогичные проблеме Диффи - Хеллмана. 1.4. Примеры использования методов линейного и нелинейного разложения Рассмотрим общую схему, под которую подпадает большое число алгоритмов, использующих двусторонние домножения. Далее приведены два примера конкретных протоколов, показывающие широкую применимость методов линейного и нелинейного разложения для построения алгоритмов криптографического анализа. Общая схема алгоритмов, использующих двусторонние домножения Данный раздел основан на работе автора [13]. Большинство известных схем алгебраической криптографии, использующих двусторонние домножения, являются частными случаями одной общей схемы (см. описание ниже). Часто такие схемы строятся на группах, являющихся подгруппами линейных пространств, например на матричных группах. Метод линейного разложения позволяет эффективно вычислять в данном случае распределяемый ключ или передаваемое сообщение без вычисления секретных параметров [1-4, 14-17]. Далее описаны некоторые основные элементы такого вычисления и приведены примеры его использования. Некоторые такие схемы предложены М. Андрекутом [18], Л. Гу и др. [19, 20], Б. и Т. Харли [21, 22], В. Шпильрайном и А. Ушаковым [23], Е. Стикелем [24], Х. Вангом и др. [25]. Ряд схем описан в [26, 27]. Схемы, использующие сопряжения, например известная схема Ко - Ли и др. [28], рассматриваемая как некоммутативный аналог классической схемы Диффи - Хеллмана [29], также могут анализироваться указанным способом. Пусть G - группа, выбранная в качестве платформы для схемы распределения ключа. Предположим, что G - подмножество конечномерного линейного пространства V. Два корреспондента, Алиса и Боб, соглашаются относительно элемента h Е G и двух конечно порождённых подгрупп A и B группы G, заданных конечными множествами порождающих элементов. Предположим, что любой элемент a Е A перестановочен с любым элементом b Е B. Все эти данные открыты. Корреспонденты, начиная с h, попеременно публикуют элементы вида

Скачать электронную версию публикации

Загружен, раз: 143

Ключевые слова

алгебраическая криптография, алгебраический криптоанализ, algebraic cryptography, algebraic cryptanalysis

Авторы

ФИО	Организация	Дополнительно	E-mail
Романьков Виталий Анатольевич	Омский государственный университет им. Ф.М. Достоевского	доктор физико-математических наук, профессор, заведующий кафедрой	romankov48@mail.ru

Всего: 1

Ссылки

Романьков В. А. Криптографический анализ некоторых схем шифрования, использующих автоморфизмы // Прикладная дискретная математика. 2013. №3(21). С. 35-51.

Романьков В. А. Алгебраическая криптография. Омск: ОмГУ, 2013.

Myasnikov A. and Roman'kov V. A linear decomposition attack // Groups, Complexity, Cryptology. 2015. V.7. P. 81-94.

Романьков В. А., Обзор А. А. Общая алгебраическая схема распределения криптографических ключей и её криптоанализ // Прикладная дискретная математика. 2017. №37. С.52-61.

Романьков В. А., Обзор А А. Метод нелинейного разложения для анализа криптографических схем, использующих автоморфизмы групп // Прикладная дискретная математика. 2018. №41. С. 38-45.

Roman'kov V. A. Essays in Algebra and Cryptology. Algebraic Cryptanalysis. Omsk: OmSU, 2018.

Tsaban B. Polynomial-time solutions of computational problems in noncommutative-algebraic cryptography // J. Cryptology. 2015. V.28. P. 601-622.

Ben-Zvi A., KalkaA., and Tsaban B. Cryptanalysis via algebraic spans // CRYPTO 2018. LNCS. 2018. V. 10991. P. 1-20.

Cheon J. H. and Jun B. A polynomial time algorithm for the braid Diffie - Hellman Conjugacy Problem // CRYPT0-2003. LNCS. 2003. V. 2729. P. 212-225.

Tsaban B. The Conjugacy Problem: Cryptoanalytic Approaches to a Problem of Dehn. Minicourse, Dusseldorf University, Germany, July-August 2012. http://reh.math. uni-duesseldorf.de/gagta/slides/Tsabanminicourses.pdf.

Roman'kov V. A non-linear decomposition attack // Groups, Complexity, Cryptology. 2015. V. 8. P. 197-207.

Романьков В. А. Криптографический анализ модифицированной матричной модулярной криптосистемы // Вестник Омского ун-та. 2018. Т. 23. С. 44-50.

Roman'kov V. Two general schemes of algebraic cryptography // Groups, Complexity, Cryptology. 2018. V. 10. P. 83-98.

Roman'kov V. A. A Polynomial Time Algorithm for the Braid Double Shielded Public Key Cryptosystems. Bulletin of the Karaganda University. Mathematics Ser. 2016. No. 4(84). P. 110-115. arXiv math.:1412.5277v1 [math.GR], 17 Dec. 2014. 7p.

Горнова М. Н., Кукина Е. Г., Романьков В. А. Криптографический анализ протокола аутентификации Ушакова - Шпильрайна, основанного на проблеме бинарно скрученной сопряжённости // Прикладная дискретная математика. 2015. №2(28). С. 46-53.

Романьков В. А. Метод линейного разложения анализа протоколов скрытой информации на алгебраических платформах // Алгебра и логика. 2015. Т. 54. №1. С. 119-128.

Roman'kov V. A. and Menshov A. V. Cryptanalysis of Andrecut's Public Key Cryptosystem. arXiv math.: 1507.01496v1 [math.GR], 6 Jul 2015, 5p.

Andrecut M. A Matrix Public Key Cryptosystem. arXiv math.:1506.00277v1 [cs.CR], 31 May 2015. 11 p.

Gu L., Wang L., Ota K., et al. New public key cryptosystems based on non-abelian factorization problems // Security and Communication Networks. 2013. V. 6. P. 912-922.

Gu L. and Zheng S. Conjugacy systems based on nonabelian factorization problems and their applications in cryptography // J. Appl. Math. 2014. Article ID 630607. 10 p.

Hurley B. and Hurley T. Group Ring Cryptography. arXiv math.: 1104.17.24v1 [math.GR] 9 Apr 2011. 20 p.

Hurley T. Cryptographic schemes, key exchange, public key. arXiv math.: 1305.4063v1 [cs.CR] May 2013. 19 p.

Shpilrain V. and Ushakov A. A new key exchange protocol based on the decomposition problem // Algebraic Methods in Cryptography. Contemp. Math. 2006. V. 418. P. 161-167.

Stickel E. A new method for exchanging secret keys // Proc. Third Intern. Conf. ICITA 05. Contemp. Math. 2005. V. 2. P. 426-430.

Wang X., Xu C., Li G., et al. Double shielded public key cryptosystems. Cryptology ePrint Archive. Report 2014/558. Version 20140718:185200, 2014. P. 1-14. https://eprint.iacr. org/2014/558.

Myasnikov A., Shpilrain V., and Ushakov A. Group-Based Cryptography. Barselona, Basel: CRM, 2008 (Advances Courses in Math.).

Myasnikov A., Shpilrain V., and Ushakov A. Non-Commutative Cryptography and Complexity of Group-Theoretic Problems. Math. Surveys and Monographs. V. 177. Providence RI: AMS, 2011.

Ko K. H., Lee S. J., Cheon J. H., et al. New public-key cryptosystem using braid groups // CRYPTO 2000. LNCS. 2000. V. 1880. P. 166-183.

Романьков В. А. Введение в криптографию. М.: Форум, 2012.

Bigelow S. Braid groups are linear // J. Amer. Math. Soc. 2001. V. 14. P. 471-486.

Krammer D. Braid groups are linear // Ann. Math. 2002. V. 155. P. 131-156.

Mahalanobis A. The Diffie - Hellman key exchange protocol and non-abelian nilpotent groups // Israel J. Math. 2008. V. 165. P. 161-187.

Roman'kov V. A. An improved version of the AAG cryptographic protocol // Groups, Complexity, Cryptology. 2019. V. 11.

AnshelI., AnshelM., and Goldfeld D. An algebraic method for public-key cryptography // Math. Res. Lett. 1999. V. 6. P. 287-291.