Криптосистема Нидеррайтера: различия между версиями

Криптосистема Нидеррайтера — криптосистема с открытыми ключами, основанная на теории алгебраического кодирования, разработанная в 1986 году Харальдом Нидеррайтером. В отличие от криптосистемы McEliece в криптосистеме Нидеррайтера используется проверочная матрица кода. Криптосистема Нидеррайтера позволяет создавать цифровые подписи.

Алгоритм работы

Генерация ключа

1. Алиса выбирает ${\displaystyle ~(n,k)}$ код ${\displaystyle ~C}$ над полем Галуа ${\displaystyle GF(q)}$, исправляющий ${\displaystyle ~t}$ ошибок. Этот код должен обладать эффективным алгоритмом декодирования.
2. Алиса генерирует ${\displaystyle ~(n-k)\times n}$ проверочную матрицу ${\displaystyle ~H}$ кода ${\displaystyle ~C}$.
3. Алиса выбирает случайную ${\displaystyle (n-k)\times (n-k)}$ невырожденную матрицу ${\displaystyle ~S}$ над полем ${\displaystyle GF(q)}$ и некоторую ${\displaystyle n\times n}$ матрицу перестановки ${\displaystyle ~P}$.
4. Алиса вычисляет ${\displaystyle (n-k)\times n}$ матрицу ${\displaystyle H_{pub}=SHP}$
5. Открытым ключом Алисы является пара ${\displaystyle (H_{pub},t)}$. Закрытым ключом является набор ${\displaystyle ~(S^{-1},H,P^{-1})}$.

Шифрование сообщения

В данном случае сообщения - это все ${\displaystyle n-}$векторы с координатами из поля ${\displaystyle GF(q)}$ с весом, не превосходящим ${\displaystyle ~t}$. Таким образом, сообщениями являются все возможные ошибки, которые выбранный код в состоянии исправить.
Предположим, что Боб хочет отправить сообщение Алисе, чей открытый ключ ${\displaystyle (H_{pub},t)}$.

1. Боб представляет своё сообщение в виде двоичной последовательности ${\displaystyle ~m}$ длины ${\displaystyle ~n}$, имеющей вес ${\displaystyle ~t}$.
2. Боб вычисляет шифротекст по формуле: ${\displaystyle c=mH_{pub}^{T}}$. Таким образом, шифротекстом в криптосистеме Нидеррайтера является зашумленный синдром шифруемого вектора ошибки.

Расшифрование сообщения

После получения сообщения ${\displaystyle ~c}$, Алиса выполняет следующие действия:

1. Алиса вычисляет ${\displaystyle s=c{(S^{T})}^{-1}=mP^{T}H^{T}S^{T}(S^{T})^{-1}=(mP^{T})H^{T}={\hat {m}}H^{T}}$. Заметим, что, так как P - матрица перестановки, вес ${\displaystyle {\hat {m}}=(mP^{T})}$ совпадает с весом ${\displaystyle m}$ и не превосходит t, и потому алгоритм декодирования для ${\displaystyle ~C}$ может найти вектор ошибки, соответствующий синдрому ${\displaystyle s}$.
2. Алиса использует алгоритм быстрого декодирования для кода ${\displaystyle ~C}$, чтобы найти ${\displaystyle {\hat {m}}}$.
3. Алиса вычисляет сообщение ${\displaystyle {\hat {m}}P^{-1}=mPP^{-1}=m}$.

Оригинальная криптосистема и ее модификации

В оригинальной криптосистеме Нидеррайтер предлагал использовать коды Рида-Соломона и не использовал матрицу перестановки ${\displaystyle ~P}$. Однако такая система она оказалась нестойкой и была взломана Сидельниковым и Шестаковым в 1992 году^[1]. Авторы показали, что возможно угадать структуру закрытого ключа по открытому и подобрать такие матрицы ${\displaystyle {\hat {H}}}$ и ${\displaystyle {\hat {S}}}$, что ${\displaystyle H_{pub}={\hat {S}}{\hat {H}}}$. После этого для повышения криптостойкости системы было предложено использовать матрицу перестановки ${\displaystyle ~P}$. Кроме того, появились различные модификации системы, например:

• использующие различные метрики, отличные от классической хэмминговой, например, ранговую^[2]: примером этого является модифицированная система GPT^[3]
• использующие коды со специфическими свойствами. Так модификации, основанные на кодах Гоппы , все ещё остаются криптостойкими.

Преимущества и недостатки системы

Преимущества

• В отличие от McEliece, в криптосистеме Нидеррайтера не используются случайные параметры. Таким образом, результат шифрования одного и того же текста будет одинаковым. Этот факт позволяет использовать именно систему Нидеррайтера, а не McEliece, для создания электронно-цифровой подписи.
• Размер открытого ключа в криптосистеме Нидеррайтера в ${\displaystyle {\frac {n-k}{n}}}$ раз меньше, чем в McEliece^[4].
• По сравнению с RSA, скорость шифрования выше приблизительно в 50 раз, а дешифрования - в 100 раз^[4].

Недостатки

• Для шифрования произвольного сообщения необходим алгоритм перевода в ${\displaystyle ~q}$-арный вектор длиной ${\displaystyle ~n}$ веса не более ${\displaystyle ~t}$.
• Размер ключей больше, чем в классических криптосистемах с открытым ключом (RSA, Схема Эль-Гамаля, ГОСТ_Р_34.10-2012).
• Размер шифротекста намного больше, чем размер шифруемого сообщения (если сообщение размера ${\displaystyle ~t}$ переводится в вектор длиной ${\displaystyle ~n}$ и шифруется, то получается шифротекст размером ${\displaystyle n-k}$, что не менее, чем в 2 раза превосходит ${\displaystyle ~t}$).

Ниже в таблице приведены различные параметры для криптосистем McEliece, Нидеррайтера и RSA, наглядно показывающие их преимущества и недостатки^[4].

Эквивалентность криптостойкости системы Нидеррайтера и системы McEliece

Как показано в оригинальной статье о системе Сидельникова^[5], атака на систему Нидеррайтера может быть полиномиально сведена к атаке на систему McEliece и обратно.

Пусть известен синдром ${\displaystyle c=eD}$. Тогда можно вычислить вектор ${\displaystyle b=aE+e}$ с некоторым ${\displaystyle ~a}$ таким, что ${\displaystyle c=bD}$. Вектор ${\displaystyle ~b}$ будет рассматриваться как шифротекст в системе McEliece. Если найдена криптографическая атака со сложностью ${\displaystyle ~T}$ для системы McEliece, то есть известен алгоритм вычисления вектора ${\displaystyle ~a}$, который является секретной информацией в этой системе, то вектор ${\displaystyle ~e}$, являющийся секретом для системы Нидеррайтера, можно представить в виде ${\displaystyle e=aE+b}$. Таким образом, сложность определения ${\displaystyle ~e}$ совпадает со сложностью определения ${\displaystyle ~a}$.

Если же известна криптоатака со сложностью ${\displaystyle ~T}$ для системы Нидеррайтера, то возможно, используя в качестве шифротекста вектор ${\displaystyle (aE+e)D^{T}=eD^{T}}$, вычислить векторы ${\displaystyle ~e}$ и ${\displaystyle ~a}$.

Построение цифровой подписи

В 2001 году Николя Куртуа, Мэттью Финиаз и Николя Сандриер показали, что криптосистема Нидеррайтера может быть использована для создания электронной подписи.

Подпись сообщения

Пусть ${\displaystyle H_{pub}}$ - открытый ключ криптосистемы Нидеррайтера, использующей ${\displaystyle (n,k,d)}$-линейный код. Для подписи документа ${\displaystyle ~D}$ необходимо:

1. Выбрать хеш-функцию ${\displaystyle h()}$, дающей ${\displaystyle n-k}$ символов на выходе. Таким образом, результат данной хеш-функции можно представить в виде синдрома и попытаться декодировать;
2. Вычислить хеш ${\displaystyle s=h(D)}$;
3. Для каждого ${\displaystyle i=0,1,2,...}$ вычислить ${\displaystyle s_{i}=h(H|i)}$;
4. Найти наименьший номер ${\displaystyle i_{min}}$ такой, что синдром ${\displaystyle s_{i_{min}}}$ будет возможно декодировать. Пусть ${\displaystyle z}$ - результат декодирования синдрома ${\displaystyle s_{i_{min}}}$;
5. Подписью документа ${\displaystyle ~D}$ является пара ${\displaystyle (z,i_{min})}$

Проверка подписи

1. Вычислить ${\displaystyle s_{1}=zH_{pub}^{T}}$;
2. Вычислить ${\displaystyle s_{2}=h(h(D)|i_{min})}$;
3. Сравнить ${\displaystyle s_{1}}$ и ${\displaystyle s_{2}}$: если они совпадают - подпись верна.

Пример работы системы

Пусть для кодирования был выбран (7,3)-код Рида-Соломона над полем Галуа ${\displaystyle GF(2^{3})}$, построенного по модулю неприводимого многочлена ${\displaystyle x^{3}+x+1}$, с порождающим многочленом ${\displaystyle g(x)=(x-1)(x-{\alpha })(x-{\alpha }^{2})(x-{\alpha }^{3})=(x-1)(x-2)(x-4)(x-3)=x^{4}+4x^{3}+7x^{2}+7x+5.}$

Порождающая матрица кода: ${\displaystyle ~G={\begin{pmatrix}1&4&7&7&5&0&0\\0&1&4&7&7&5&0\\0&0&1&4&7&7&5\end{pmatrix}}}$

Проверочная матрица кода: ${\displaystyle ~H={\begin{pmatrix}1&1&1&1&1&1&1\\1&2&4&3&6&7&5\\1&4&6&5&2&3&7\\1&3&5&4&7&2&6\end{pmatrix}}}$

Заметим, что расстояние данного кода ${\displaystyle d=n-k+1=5}$, т.е. число исправляемых ошибок ${\displaystyle t=(d-1)/2=2}$.

Генерация ключей

Пусть выбрана матрица ${\displaystyle ~S={\begin{pmatrix}4&1&3&5\\7&1&5&2\\2&6&5&4\\1&7&2&1\end{pmatrix}}}$ . Тогда обратная к ней матрица ${\displaystyle ~S^{-1}={\begin{pmatrix}1&5&2&7\\7&5&0&7\\4&4&1&5\\1&0&0&4\end{pmatrix}}}$

Пусть выбрана матрица перестановки ${\displaystyle ~P={\begin{pmatrix}0&1&0&0&0&0&0\\0&0&0&1&0&0&0\\0&0&0&0&1&0&0\\1&0&0&0&0&0&0\\0&0&0&0&0&0&1\\0&0&1&0&0&0&0\\0&0&0&0&0&1&0\\\end{pmatrix}}}$

В этом случае открытым ключом системы будет матрица: ${\displaystyle ~H_{pub}=SHP={\begin{pmatrix}1&3&7&5&6&0&2\\0&1&0&1&1&3&5\\2&5&1&0&6&2&0\\6&5&6&4&2&4&6\end{pmatrix}}}$

Шифрование

Пусть выбранное сообщение было представлено в виде вектора ${\displaystyle ~m={\begin{pmatrix}0&2&0&0&0&5&0\end{pmatrix}}}$ веса 2.

Зашифрованное сообщение: ${\displaystyle ~M=mH_{pub}^{T}={\begin{pmatrix}7&2&7&7\end{pmatrix}}}$

Расшифровывание

Принятый вектор ${\displaystyle ~M={\begin{pmatrix}7&2&7&7\end{pmatrix}}}$

Для него вычислим декодируемый синдром ${\displaystyle ~s=M(S^{-1})^{T}={\begin{pmatrix}0&1&3&6\end{pmatrix}}}$

Используя алгоритм декодирования кода Рида-Соломона, декодируем ${\displaystyle ~s}$.

Получится вектор ${\displaystyle ~{\hat {m}}={\begin{pmatrix}2&0&0&0&0&0&5\end{pmatrix}}}$

После чего вычислим исходный вектор ${\displaystyle ~m=~{\hat {m}}P^{-1}={\begin{pmatrix}0&2&0&0&0&5&0\end{pmatrix}}}$

Примечания

Литература

Самохина М. А. Модификации криптосистемы Нидеррайтера, их стойкость и практические применения // Труды МФТИ : журнал. — М., 2009. — Т. 1, № 2. — С. 121—127. — ISSN 2072-6759.

Wieschebrink C. Cryptanalysis of the Niederreiter Public Key Scheme Based on GRS Subcodes (англ.) // Sendrier N. Post-Quantum Cryptography: Third International Workshop, PQCrypto 2010 : сборник. — Berlin: Springer, 2010. — May. — P. 61—72. — ISBN 978-3-642-12928-5. — ISSN 0302-9743.

Соловьёва Ф. И., Лось А. В., Могильных И. Ю. II Криптология // Сборник задач по теории кодирования, криптологии и сжатию данных. — Новосибирск, 2013. — С. 41—49. — 100 с. — 200 экз. — ISBN 978-5-4437-0184-4.