Криптосистема Блюма–Гольдвассера

Криптосистема Блюма–Гольдвассера (BG) — это асимметричный алгоритм шифрования, предложенный Мануэлем Блюмом и Шафи Голдвассером в 1984 году. Блюм–Гольдвассер — это вероятностная , семантически безопасная криптосистема с расширением шифртекста постоянного размера . Алгоритм шифрования реализует потоковый шифр на основе XOR с использованием генератора псевдослучайных чисел Блюма-Блюма-Шуба (BBS) для генерации потока ключей . Расшифровка выполняется путем манипулирования конечным состоянием генератора BBS с использованием закрытого ключа для нахождения начального начального числа и восстановления потока ключей.

Криптосистема BG семантически безопасна на основе предполагаемой неразрешимости целочисленной факторизации ; в частности, факторизации составного значения , где — большие простые числа . BG имеет множество преимуществ по сравнению с более ранними вероятностными схемами шифрования, такими как криптосистема Голдвассера–Микали . Во-первых, ее семантическая безопасность сводится исключительно к целочисленной факторизации, не требуя никаких дополнительных предположений (например, сложности проблемы квадратичного остатка или проблемы RSA ). Во-вторых, BG эффективна с точки зрения хранения, вызывая расширение шифротекста постоянного размера независимо от длины сообщения. BG также относительно эффективна с точки зрения вычислений и хорошо справляется даже по сравнению с криптосистемами, такими как RSA (в зависимости от длины сообщения и выбора экспоненты). Однако BG весьма уязвима для атак с адаптивным выбором шифротекста (см. ниже). $N=pq$ $p,q$

Поскольку шифрование выполняется с использованием вероятностного алгоритма, заданный открытый текст может производить очень разные шифртексты каждый раз, когда он шифруется. Это имеет значительные преимущества, поскольку не позволяет злоумышленнику распознавать перехваченные сообщения, сравнивая их со словарем известных шифртекстов.

Операция

Криптосистема Блюма–Гольдвассера состоит из трех алгоритмов: вероятностного алгоритма генерации ключей, который создает открытый и закрытый ключ, вероятностного алгоритма шифрования и детерминированного алгоритма дешифрования.

Генерация ключей

Открытый и закрытый ключи генерируются следующим образом:

Выберите два больших различных простых числа и такие, что и . $p$ $д$ $p\equiv 3{\bmod {4}}$ $q\equiv 3{\bmod {4}}$
Вычислить . ^[1] $n=pq$

Тогда это открытый ключ, а пара — это закрытый ключ. $n$ $(п,д)$

Шифрование

Сообщение шифруется открытым ключом следующим образом: $М$ $n$

Вычислить размер блока в битах . $h=\lfloor log_{2}(log_{2}(n))\rfloor$
Преобразовать в последовательность блоков , где каждый блок имеет длину бит. $М$ $т$ $m_{1},m_{2},\точки ,m_{t}$ $ч$
Выберите случайное целое число . $r<n$
Вычислить . $x_{0}=r^{2}{\bmod {n}}$
Для от 1 до $я$ $т$
1. Вычислить . $x_{i}=x_{i-1}^{2}{\bmod {n}}$
2. Вычислите наименее значимые биты . $p_{i}=$ $ч$ $x_{i}$
3. Вычислить . $c_{i}=m_{i}\oplus p_{i}$
Наконец, вычислите . $x_{t+1}=x_{t}^{2}{\bmod {n}}$

Тогда шифрование сообщения представляет собой все значения плюс конечное значение: . $М$ $c_{i}$ $x_{t+1}$ $(c_{1},c_{2},\точки,c_{t},x_{t+1})$

Расшифровка

Зашифрованное сообщение можно расшифровать с помощью закрытого ключа следующим образом: $(c_{1},c_{2},\точки,c_{t},x)$ $(п,д)$

Вычислить . $d_{p}=((p+1)/4)^{t+1}{\bmod {(p-1)}}$
Вычислить . $d_{q}=((q+1)/4)^{t+1}{\bmod {(q-1)}}$
Вычислить . $u_{p}=x^{d_{p}}{\bmod {p}}$
Вычислить . $u_{q}=x^{d_{q}}{\bmod {q}}$
Используя расширенный алгоритм Евклида , вычислите и такие, что . $r_{p}$ $r_{q}$ $r_{p}p+r_{q}q=1$
Вычислить . Это будет то же самое значение, которое использовалось при шифровании (см. доказательство ниже). Затем можно использовать для вычисления той же последовательности значений, которая использовалась при шифровании для расшифровки сообщения, как показано ниже. $x_{0}=u_{q}r_{p}p+u_{p}r_{q}q{\bmod {n}}$ $x_{0}$ $x_{i}$
Для от 1 до $я$ $т$
1. Вычислить . $x_{i}=x_{i-1}^{2}{\bmod {n}}$
2. Вычислите наименее значимые биты . $p_{i}=$ $ч$ $x_{i}$
3. Вычислить . $m_{i}=c_{i}\oplus p_{i}$
Наконец, соберите значения в сообщение . $(м_{1},м_{2},\точки ,м_{т})$ $М$

Пример

Пусть и . Тогда и . Чтобы зашифровать шестибитное сообщение , мы разбиваем его на два 3-битных блока , так что . Мы выбираем случайное и вычисляем . Теперь мы вычисляем значения следующим образом: $p=19$ $q=7$ $n=133$ $h=\lfloor log_{2}(log_{2}(133))\rfloor =3$ $101001_{2}$ $m_{1}=101_{2},m_{2}=001_{2}$ $t=2$ $r=36$ $x_{0}=36^{2}{\bmod {1}}33=99$ $c_{i}$

{\begin{aligned}x_{1}&=99^{2}{\bmod {1}}33=92=1011100_{2};\quad p_{1}=100_{2};\quad c_{1}=101_{2}\oplus 100_{2}=001_{2}\\x_{2}&=92^{2}{\bmod {1}}33=85=1010101_{2};\quad p_{2}=101_{2};\quad c_{2}=001_{2}\oplus 101_{2}=100_{2}\\x_{3}&=85^{2}{\bmod {1}}33=43\end{aligned}}

Итак, шифрование такое . $(c_{1}=001_{2},c_{2}=100_{2},x_{3}=43)$

Для расшифровки мы вычисляем

{\begin{aligned}d_{p}&=5^{3}{\bmod {1}}8=17\\d_{q}&=2^{3}{\bmod {6}}=2\\u_{p}&=43^{17}{\bmod {1}}9=4\\u_{q}&=43^{2}{\bmod {7}}=1\\(r_{p},r_{q})&=(3,-8){\text{ since }}3\cdot 19+(-8)\cdot 7=1\\x_{0}&=1\cdot 3\cdot 19+4\cdot (-8)\cdot 7{\bmod {1}}33=99\\\end{aligned}}

Видно, что имеет то же значение, что и в алгоритме шифрования. Расшифровка, следовательно, выполняется так же, как и шифрование: $x_{0}$

{\begin{aligned}x_{1}&=99^{2}{\bmod {1}}33=92=1011100_{2};\quad p_{1}=100_{2};\quad m_{1}=001_{2}\oplus 100_{2}=101_{2}\\x_{2}&=92^{2}{\bmod {1}}33=85=1010101_{2};\quad p_{2}=101_{2};\quad m_{2}=100_{2}\oplus 101_{2}=001_{2}\end{aligned}}

Доказательство правильности

Мы должны показать, что значение, вычисленное на шаге 6 алгоритма дешифрования, равно значению, вычисленному на шаге 4 алгоритма шифрования. $x_{0}$

В алгоритме шифрования по построению есть квадратичный вычет по модулю . Следовательно, он также является квадратичным вычетом по модулю , как и все остальные значения, полученные из него возведением в квадрат. Следовательно, по критерию Эйлера , . Тогда $x_{0}$ $n$ $p$ $x_{i}$ $x_{i}^{(p-1)/2}\equiv 1\mod {p}$

x_{t+1}^{(p+1)/4}\equiv (x_{t}^{2})^{(p+1)/4)}\equiv x_{t}^{(p+1)/2}\equiv x_{t}(x_{t}^{(p-1)/2})\equiv x_{t}\mod {p}

Сходным образом,

x_{t}^{(p+1)/4}\equiv x_{t-1}\mod {p}

Возводя первое уравнение в степень, получаем $(p+1)/4$

x_{t+1}^{((p+1)/4)^{2}}\equiv x_{t}^{(p+1)/4}\equiv x_{t-1}\mod {p}

Повторяя это раз, мы имеем $t$

x_{t+1}^{(p+1)/4)^{t+1}}\equiv x_{0}\mod {p}

x_{t+1}^{d_{p}}\equiv u_{p}\equiv x_{0}\mod {p}

И с помощью аналогичного рассуждения мы можем показать, что . $x_{t+1}^{d_{q}}\equiv u_{q}\equiv x_{0}\mod {q}$

Наконец, поскольку , мы можем умножить на и получить $r_{p}p+r_{q}q=1$ $x_{0}$

x_{0}r_{p}p+x_{0}r_{q}q=x_{0}

откуда , по модулю и , и , следовательно . $u_{q}r_{p}p+u_{p}r_{q}q\equiv x_{0}$ $p$ $q$ $u_{q}r_{p}p+u_{p}r_{q}q\equiv x_{0}\mod {n}$

Безопасность и эффективность

Схема Блюма–Гольдвассера является семантически безопасной на основе сложности предсказания битов потока ключей, учитывая только конечное состояние BBS и открытый ключ . Однако шифртексты формы уязвимы для атаки с адаптивным выбранным шифртекстом , в которой противник запрашивает расшифровку выбранного шифртекста . Расшифровка исходного шифртекста может быть вычислена как . $y$ $N$ ${\vec {c}},y$ $m^{\prime }$ ${\vec {a}},y$ $m$ ${\vec {a}}\oplus m^{\prime }\oplus {\vec {c}}$

В зависимости от размера открытого текста BG может быть более или менее затратным в вычислительном отношении, чем RSA. Поскольку большинство развертываний RSA используют фиксированную экспоненту шифрования, оптимизированную для минимизации времени шифрования, шифрование RSA обычно превосходит BG для всех сообщений, кроме самых коротких. Однако, поскольку экспонента дешифрования RSA распределена случайным образом, модульное возведение в степень может потребовать сопоставимого количества возведений в квадрат/умножений для дешифрования BG для шифртекста той же длины. Преимущество BG заключается в более эффективном масштабировании для более длинных шифртекстов, где RSA требует нескольких отдельных шифрований. В этих случаях BG может быть значительно более эффективным.

Ссылки

^ RFC 4086, раздел «6.2.2. Генератор последовательности Blum Blum Shub»

М. Блюм, С. Голдвассер, «Эффективная вероятностная схема шифрования с открытым ключом, которая скрывает всю частичную информацию», Труды конференции « Достижения в криптологии – CRYPTO '84 » , стр. 289–299, Springer Verlag, 1985.
Менезес, Альфред; ван Ооршот, Пол К.; и Ванстоун, Скотт А. Справочник по прикладной криптографии . CRC Press, октябрь 1996 г. ISBN 0-8493-8523-7

Внешние ссылки

Менезес, Ооршот, Ванстоун, Скотт: Справочник по прикладной криптографии (бесплатные загрузки в формате PDF), см. Главу 8