Ostali kriptosustavi s javnim ključem

[Prethodno poglavlje] [Sljedeće poglavlje] [Sadržaj]

3.4. Ostali kriptosustavi s javnim ključem

Rabinov kriptosustav (Michael Rabin, 1979.) zasnovan je na teškoći nalaženja kvadratnog korijena modulo fiksni složeni broj. Pokazuje se da je ovaj problem ekvivalentan problemu faktorizacije. Definicija Rabinovog kriptosustava:

Neka je n = p ^. q, gdje su p i q prosti brojevi takvi da je p ≡ q ≡ 3 (mod 4). Neka je P = C = Z_n i definiramo
K = { (n, p, q) : n = pq }.
Za K ∈ K definiramo
e_K(x) = x² mod n,
d_K(y) = √y mod n.
Vrijednost n je javna, a vrijednosti p i q su tajne.

Ovdje a = √b mod n znači da je a² ≡ b (mod n). Uvjet p ≡ q ≡ 3 (mod 4) se može izostaviti. No, uz ovaj uvjet je dešifriranje jednostavnije i efikasnije. Postoji i varijanta Rabinovog kriptosustava u kojoj se za šifriranje koristi općenitija kvadratna funkcija x(x + B), gdje je vrijednost B javna. Važno je uočiti da funkcija e_K nije injekcija. Naime, ako je w neki od 4 druga korijena iz 1 modulo n (dobiju se primjenom Kineskog teorema o ostatcima na kongruencije x ≡ ± 1 (mod p), x ≡ ± 1 (mod q), onda imamo:

e_K(wx) ≡ w² x² ≡ x² ≡ e_K(x) mod n.

To znači da se dešifriranje ne može provesti na jedinstven način (osim ako je otvoreni tekst neki smisleni tekst, a to nije slučaj kod razmjene ključeva, za što se kriptosustavi s javnim ključem prvenstveno i koriste). Jedan način za rješavanje ovog problema je da se u otvoreni tekst na umjetan način ubaci izvjesna pravilnost. To se može napraviti npr. tako da se posljednja 64 bita dupliciraju (ponove). Tada možemo očekivati da će samo jedan od 4 kvadratna korijena dati rezultat koji ima zadanu pravilnost. Hugh Williams je 1980. dao modifikaciju Rabinovog kriptosustava kojom je eliminirao ovaj nedostatak.

Primjer 3.4: U Rabinovom kriptosustavu s parametrima

(n, p, q) = (437, 19, 23)

dešifrirati šifrat y = 35. Poznato je da je otvoreni tekst prirodan broj x < n kojem su zadnja četiri bita u binarnom zapisu medusobno jednaka.

Najprije trebamo naći kvadratne korijene od 35 modulo 19 i modulo 23. Budući da je 19 ≡ 23 ≡ 3 (mod 4), možemo ih naći po formuli ± a^(p+1)/4 (mod p). Za p = 19, dobivamo 35⁵ ≡ 4 (mod 19), a za p = 23, 35⁶ ≡ 9 (mod 23). Sada koristimo Kineski teorem o ostacima da bi našli kvadratne korijene od 35 modulo 437 = 19 · 23, rješavajući 4 sustava linearnih kongruencija:

x ≡ ± 4 (mod 19), x ≡ ± 9 (mod 23).

Sustav od dvije linearne konguencije

x ≡ a₁ (mod m₁), x ≡ a₂ (mod m₂)

se efikasno rješava primjenom Euklidovog algoritma: dobivamo u, v takve da je um₁ + vm₂ = 1. Tada je x = um₁a₂ + vm₂a₁ mod m₁m₂ rješenje sustava. U našem slučaju je u = -6, v = 5, pa su rješenja sustava x ≡ 129, 175, 262, 308 (mod 437). Zapišimo ova četiri broja binarno: 129 = 10000001, 175 = 10101111, 262 = 100000110, 308 = 100110100, pa vidimo da je traženi otvoreni tekst x = 175.

ElGamalov kriptosustav (Taher ElGamal, 1985) je zasnovan na teškoći računanja diskretnog logaritma u konačnim poljima.

Problem diskretnog logaritma: Neka je (G, *) konačna grupa, α ∈ G, H = { αⁱ : i ≥ 0 } grupa generirana s α, te β ∈ H. Naći jedinstveni cijeli broj a takav da je 0 ≤ a ≤ |H| - 1 i α^a = β, gdje je α^a = α * α * ... * α (a puta). Taj cijeli broj a se zove diskretni logaritam i označava se s log_α β.

U originalnom ElGamalovom kriptosustavu je (G, *) = (Z_p*, ·_p), dok je α primitivni korijen modulo p, tj. α ima svojstvo da je { αⁱ : i = 0, 1, ... , p - 1 } = Z_p*. To znači da je u ovom slučaju H = G. Najbolji poznati algoritmi za problem diskretnog logaritma u Z_p* trebaju

exp(O((log p)^1/3 (log log p)^2/3))

operacija. Prema tome, ovaj problem je po kompleksnosti vrlo sličan problemu faktorizacije.

Definicija ElGamalovog kriptosustava:

Neka je p prost broj i α ∈ Z_p* primitivni korijen modulo p. Neka je P = Z_p*, C = Z_p* × Z_p* i
K = { (p, α, a, β) : β ≡ α^a (mod p) }.
Vrijednosti p, α, i β su javne, a vrijednost a je tajna.
Za K = (p, α, a, β) ∈ K i tajni slučajni broj k ∈ Z_{p -1} definiramo
e_K(x, k) = (y₁, y₂),
gdje je y₁ = α^k mod p i y₂ = x β^k mod p.
Za y₁, y₂ ∈ Z_p* definiramo
d_K(y₁, y₂) = y₂(y₁^a)^-1 mod p.

Mogli bi reći da se otvoreni tekst x "zamaskira" množeći s β^k. Onaj tko poznaje tajni eksponent a može iz α^k izračunati β^k i "ukloniti masku".

Da bi eksponent a stvarno bio tajan, prost broj p mora biti dovoljno velik da bi u Z_p* problem diskretnog logaritma bio praktički nerješiv. Stoga se danas preporuča korištenje prostih brojeva od oko 1024 bita. Takoder bi red grupe, tj. broj p - 1, trebao imati barem jedan veliki prosti faktor (od barem 160 bitova).

Primjer 3.5: Neka je u ElGamalovom kriptosustavu p = 23, α = 5, a = 17, β = 15. Dešifrirati šifrat (y₁, y₂) = (17, 6).

Računamo y₁^a = 17¹⁷ ≡ 11 (mod 23). Potom nademo inverz od 11 modulo 23. Dobivamo da je inverz -2 ≡ 21 (mod 23). Konačno izračunamo 6 · 21 mod 23 i dobivamo otvoreni tekst x = 11.

Pored grupa Z_p*, u ovom kontekstu od interesa su i sljedeće grupe:

multiplikativne grupe konačnih polja karakteristike 2: GF(2ⁿ)
grupe eliptičkih krivulja nad konačnim poljima: EC(F)

Neka je f(x) neki ireducibilni polinom stupnja n nad Z₂. Elementi konačnog polja GF(2ⁿ) su svi polinomi stupnja ≤ n - 1 nad Z₂ (ima ih 2ⁿ), a operacije zbrajanja i množenja u GF(2ⁿ) su zbrajanje i množenje polinoma u Z₂[X] modulo f(x). Npr. u konstrukciji polja GF(2³) možemo uzeti f(x) = x³ + x + 1. Elementi od GF(2³) su: 0, 1, x, x + 1, x², x² + 1, x² + x, x² + x + 1.

ElGamalov kriptosustav u GF(2ⁿ)^* definira se na sasvim isti način kao u Z_p*. Naime, multiplikativna grupa svakog konačnog polja je ciklička. Najbolji poznati algoritmi za problem diskretnog logaritma u GF(2ⁿ) trebaju

exp(O(n^{1/4 + ε}))

operacija. Tako se smatra da je za n > 10000 odgovarajući kriptosustav siguran ukoliko 2ⁿ - 1 ima barem jedan veliki prosti faktor.

Neka je p > 3 prost broj. Eliptička krivulja

E : y² = x³ + ax + b

nad Z_p je skup rješenja (x, y) ∈ Z_p × Z_p kongruencije y² ≡ x³ + ax + b (mod p), gdje su a, b ∈ Z_p takvi da je 4a³ + 27b² ≠ 0 u Z_p, zajedno s točkom O koju zovemo točka u beskonačnosti. Na eliptičkoj krivulji E možemo uvesti operaciju zbrajanja uz koju E postaje abelova grupa. Neka su P = (x₁, y₁), Q = (x₂, y₂) iz E. Ako je x₁ = x₂ i y₁ = -y₂, onda je po definiciji P + Q = O. Inače, je P + Q = (x₃, y₃), gdje je

x₃ = m² - x₁ - x₂, y₃ = m(x₁ - x₃) - y₁,

m = (y₂ - y₁) / (x₂ - x₁), ako je P ≠ Q;
m = (3x₁² + a) / (2y₁), ako je P = Q.

Konačno, P + O = O + P = P za sve P iz E.

Geometrijski, zbrajanje možemo interpretirati tako da povučemo pravac kroz P i Q (ako je P = Q, onda povučemo tangentu). Taj pravac siječe E u tri točke: P, Q i recimo P * Q. Tada je P + Q osnosimetrična točka točki P * Q s obzirom na os x.

P+Q

Sada točku O možemo shvatiti kao treću točku presjeka od E i pravca okomitog na os x.

Kako je polovica elemenata iz Z_p* jednaka kvadratu nekog elementa iz Z_p*, za očekivati je da E ima približno p točaka (ako je točka (x, y) u E, onda je također i točka (x, -y) u E). Preciznije, po Hasseovom teoremu, vrijedi:

p + 1 - 2√p ≤ |E| ≤ p + 1 + 2√p.

Nadalje, E ≃ Z_m × Z_k i vrijedi k | m i k | p - 1.

Navest ćemo jednu varijantu ElGamalovog kriptosustava koja koristi eliptičke krivulje. Zove se Menezes - Vanstoneov kriptosustav. U njemu se eliptičke krivulje koriste samo za "maskiranje", dok su otvoreni tekstovi i šifrati proizvoljni uređeni parovi elemenata iz polja (a ne nužno parovi koji odgovaraju točkama na eliptičkoj krivulji). Kod ovog kriptosustava, šifrirana poruka je (samo) 2 puta dulja od originalne poruke, a ne 4 puta, koliko bi bila kod direktnog prevođenja ElGamalovog kriptusustava na grupu eliptičkih krivulja.

Neka je E eliptička krivulja nad Z_p (p > 3 prost), te H ciklička podgrupa od E generirana s α. Neka je P = Z_p* × Z_p*, C = E × Z_p* × Z_p* i
K = { (E, α, a, β) : β = aα }.
Vrijednosti E, α, i β su javne, a vrijednost a je tajna.
Za K = (E, α, a, β) ∈ K i tajni slučajni broj k ∈ Z_|H|, te za x = (x₁, x₂) ∈ Z_p* × Z_p* definiramo
e_K(x, k) = (y₀, y₁, y₂),
gdje je y₀ = kα, (c₁, c₂) = kβ, y₁ = c₁x₁ mod p, y₂ = c₂x₂ mod p.
Za šifrat y = (y₀, y₁, y₂) definiramo
d_K(y) = (y₁(c₁)^-1 mod p, y₂(c₂)^-1 mod p),
gdje je ay₀ = (c₁, c₂).

Najbolji poznati algoritmi za problem eliptičkog diskretnog logaritma trebaju O(√p) operacija. To pokazuje prednost kriptosustava zasnovanih na eliptičkim krivuljama u odnosu na RSA i ElGamalov kriptosustav. Naime, za postizanje iste sigurnosti kao kod RSA kriptosustava (a za ElGamalov vrijedi isto) s duljinom ključa od 1024 ili 4096 bita (a to su uobičajene vrijednosti), kod eliptičkih krivulja dovoljno je uzeti ključ duljine 160, odnosno 320 bitova. To je osobito važno kod onih primjena (kao što su npr. čip-kartice) kod kojih je prostor za pohranu ključeva vrlo ograničen.

Slično kao kod ElGamalovog kriptosustava, za primjene u kriptografiji, uz eliptičke krivulje nad poljima Z_p, važne su i krivulje nad poljima GF(2ⁿ). Napomenimo da ovdje (i općenito kod polja karakteristike 2), treba promatrati malo drugačiju jednadžbu, naime

E : y² + xy = x³ + ax² + b.

Ideju o tome da bi eliptičke krivulje mogle biti korisne u konstrukciji kriptosustava s javnim ključem prvi su javno iznijeli Neal Koblitz i Victor Miller 1985. godine.

Merkle-Hellmanov kriptosustav (Ralph Merkle i Martin Hellman, 1978) za osnovu ima tzv. problem ruksaka. Pretpostavimo da imamo n predmeta s volumenima v₁, v₂, ... , v_n koje želimo staviti u ruksak volumena V. Dakle, želimo naći podskup J ⊆ {1, 2, ... , n} tako da je ∑_j v_j = V, gdje suma ide po svim j ∈ J. Ekvivalentna formulacija je:

Za dani skup {v₁, v₂, ... , v_n} od n prirodnih brojeva i prirodan broj V, naći niz m = (ε₁, ε₂, ... , ε_n) od n binarnih znamenaka (ε_i ∈ {0,1}) tako da je
ε₁v₁ + ε₂v₂ + ... + ε_nv_n = V,
ako takav m postoji.

Poznato je da je ovaj opći problem ruksaka vrlo težak. On spada u tzv. NP-potpune probleme. To, pored ostalog, znači da nije poznat polinomijalni algoritam za njegovo rješavanje. Međutim, specijalni slučaj, tzv. superrastući problem ruksaka, je puno lakši. To je slučaj kad je niz v₁, v₂, ... , v_n rastući i vrijedi v_j > v₁ + ... + v_{j -1} za j = 2, 3, ... , n. Primjer superrastućeg niza je niz v_i = 2^{i -1}. Tada su ε_i-ovi upravo binarne znamenke broja V. Jasno je da u slučaju superrastućeg niza, u svakom koraku u ruksak moramo staviti najveći predmet koji u njega stane. Ova činjenica je osnova za Merkle-Hellmanov kriptosustav. Ideja Merkle-Hellmanovog kriptosustava je "zamaskirati" superrastući niz tako da izgleda kao sasvim slučajan niz. Onaj kome je poruka namjenjena zna kako ukloniti masku, pa može pročitati poruku rješavajući supperrastući problem ruksaka. Svi drugi moraju rješavati, puno teži, opći problem ruksaka, pa ne mogu pročitati poruku. "Maskiranje" se provodi modularnim množenjem.

Neka je v = (v₁, v₂, ... , v_n) superrastući niz prirodnih brojeva, te neka je p > v₁ + ... + v_n prost broj i 1 ≤ a ≤ p - 1. Za 1 ≤ i ≤ n definiramo t_i = a v_i mod p i označimo t = (t₁, ... , t_n). Neka je P = {0,1}ⁿ, C = {0, 1, ... , n(p-1)} i K = {(v, p, a, t)}, gdje su v, p, a i t konstruirani na gore opisani način.
Za K = (v, p, a, t) definiramo
e_K(x₁, ... , x_n) = x₁t₁ + x₂t₂ + ... + x_nt_n.
Za 0 ≤ y ≤ n(p-1) definiramo z = a^-1y mod p, riješimo (superrastući) problem ruksaka za skup {v₁, ... , v_n, z} i tako dobivamo d_K(y) = (x₁, ... , x_n).
Vrijednost t je javna, dok su vrijednosti p, a i v tajne.

Primjer 3.6: Zadan je Merkle-Hellmanov kriptosustav s parametrima

v = (2, 5, 11, 23, 45, 91), p = 181, a = 111, t = (41, 12, 135, 19, 108, 146).

Dešifrirati šifrat y = 296.

Najprije izračunamo inverz od a modulo p (Euklidovim algoritmom). Dobivamo da je inverz 106. Zatim računamo z = 106 · 296 mod 181 = 63. Sada riješimo superrastući problem ruksaka za v i z. Dobivamo da je 63 = 45 + 11 + 5 + 2, pa je otvoreni tekst

(x₁, x₂, x₃, x₄, x₅, x₆) = (1, 1, 1, 0, 1, 0).

Provjera: e_K(x₁, x₂, x₃, x₄, x₅, x₆) = t₁ + t₂ + t₃ + t₅ = 296.

Merkle-Hellmanov kriptosustav je imao jednu vrlo veliku prednost u odnosu na ostale kriptosustave s javnim ključem. Naime, šifranje njime je znatno brže, te je on po brzini bio usporediv s najboljim simetričnim kriptosustavima. No, godine 1982. je uslijedilo razočaranje, kad je Adi Shamir pronašao polinomijalni algoritam za razbijanje Merkle-Hellmanovog kriptosustava. Pokazalo se da se ovako jednostavnim maskiranjem vrlo specijanog niza ipak ne dobiva sasvim slučajan niz. U razbijanju se koriste algoritmi za diofantske aproksimacije (verižni razlomci i LLL-algoritam). Prema tome, ovaj sustav se ne može više smatrati sigurnim kriptosustavom. Ipak, ideja na kojoj je zasnovan je vrlo zanimljiva. Ta ideja je korištenje u dešifriranju nekog jednostavnog specijalnog slučaja nekog teškog (NP-potpunog) problema, s time da se taj specijalni slučaj prikrije tako da izgleda kao opći.

[Prethodno poglavlje] [Sljedeće poglavlje] [Sadržaj]

Web stranica kolegija Kriptografija

Andrej Dujella - osobna stranica