UOV: различия между версиями

В криптографии схема Unbalanced Oil and Vinegar  “Несбалансированная схема масла и уксуса” (Далее для удобства будем называть схемой UOV) представляет собой модифицированную версию стандартной схемы Oil and Vinegar  «Масла и уксуса», разработанной Дж. Патарином. Свое название схема получила ввиду использования двух типов переменных: "уксусных" и "масляных",формирующих открытый ключ. В самих уравнениях эти величины не перемножаются, т.е. не смешиваются подобно маслу и уксусу, используемых в кулинарии. Отсюда и пошло такое название.^[1] Обе эти схемы  являются схемами цифровой подписи. Они относятся к группе многомерной криптографии. Безопасность подписи данной схемы основана на решении  NP-полной задачи. Для создания и проверки подписей необходимо решить систему минимальных квадратичных уравнений. Решение ${\displaystyle m}$ уравнений с ${\displaystyle n}$ переменными является NP-трудной задачей^[2], что означает, что проблему почти наверняка трудно эффективно решить в худшем случае, даже при использовании квантового компьютера. В то время как задача становится простой, если значение ${\displaystyle m}$ намного больше ${\displaystyle n}$ или намного меньше ${\displaystyle n}$^[3],в среднем случае когда ${\displaystyle m}$ и  почти равны  проблема считается сложной, даже при использовании квантового компьютера. В результате был разработан ряд схем цифровых подписей на основе многомерных уравнений с целью достижения квантово-устойчивых сигнатур.

Ключ подписи и ключ проверки

Математической задачей является решение   ${\displaystyle m}$ уравнений c ${\displaystyle n}$ Вся система уравнений сама по себе и является открытым ключом. Чтобы использовать такую задачу для применения в криптографии, ее необходимо было изменить. Для вычисления ${\displaystyle n}$ переменных требуется много ресурсов. Стандартный компьютер не может вычислить это за приемлемое время. Поэтому в систему уравнений вставляется так называемая односторонняя функция с потайным входом или Trapdoor, которая будет являться ключом подписи, состоящим  из трех частей: двух аффинных преобразований ${\displaystyle T}$ и ${\displaystyle S}$ и вектора полиномов ${\displaystyle P}$. Оба преобразования используются для разбиения элементов исходного сообщения на определенные группы. Афинное преобразование ${\displaystyle T}$ преобразует исходное сообщение ${\displaystyle y}$ в ${\displaystyle y_{1},y_{2},...,y_{n}}$. Второе преобразование ${\displaystyle S}$ преобразует вектор из переменных в действительную подпись. Третий секретный элемент ${\displaystyle P}$ предоставляет определенные инструменты для создания системы уравнений.  Благодаря этому уравнения будут построены с определенными правилами, известными только владельцу ключа цифровой подписи.^[4]

Процедура создания подписи

Чтобы создать действительную подпись, необходимо решить следующую систему уравнений:

${\displaystyle {\begin{aligned}y_{1}&=f_{1}(x_{1},\ldots ,x_{n})\\y_{2}&=f_{2}(x_{1},\ldots ,x_{n})\\&~\vdots \\y_{m}&=f_{m}(x_{1},\ldots ,x_{n})\\\end{aligned}}}$

Где ${\displaystyle y=(y_{1},y_{2},\ldots ,y_{m})}$это сообщение, которое необходимо подписать. Действительной подписью здесь будет вектор ${\displaystyle x=(x_{1},x_{2},\ldots ,x_{n})}$, полученный при решении данной системы уравнений.

Чтобы подписать исходное сообщение ${\displaystyle y}$ его нужно преобразовать  таким образом, чтобы оно удовлетворяло системе уравнений. Для этого как раз и используется преобразование ${\displaystyle T}$ необходимое для "разбиения" сообщения  на фрагменты, которые обозначены как ${\displaystyle y_{1},y_{2},\ldots ,y_{m}}$. После этого строится система уравнений, где каждое уравнение системы должно быть записано в виде:^[5]

${\displaystyle y_{i}=\sum {\gamma _{ijk}a_{j}{\acute {a}}_{k}}+\sum {\lambda _{ijk}{\acute {a}}_{j}{\acute {a}}_{k}}+\sum {\xi _{ij}a_{j}}+\sum {{\acute {\xi }}_{ij}{\acute {a}}_{j}}+\delta _{i}}$

Для подписи исходного сообщения ${\displaystyle y}$ получения действительной подписи ${\displaystyle x}$необходимо выполнить следующие шаги:

1. Коэффициенты ${\displaystyle \gamma _{ijk},\lambda _{ijk},\xi _{ij},{\acute {\xi }}_{ij},\delta _{i}}$должны быть выбраны секретными
2. “Уксусные” переменные (${\displaystyle {\acute {a}}_{u}}$) выбираются случайным образом
3. Конечная система уравнений решается относительно неизвестных “масляных” переменных (${\displaystyle a_{i}}$)

С помощью найденных переменных масла и уксуса (${\displaystyle a_{i}}$) и (${\displaystyle {\acute {a}}_{u}}$) строится предварительная подпись ${\displaystyle A=(a_{1},\ldots ,a_{n},{\acute {a}}_{1},\ldots ,{\acute {a}}_{u})}$. Наконец, ${\displaystyle A}$ при помощи секретного биективного афинного преобразования ${\displaystyle S}$преобразуется действительную подпись ${\displaystyle x=S^{-1}(A)}$.

Таким образом, каждое значение ${\displaystyle y_{i}}$может быть записано как квадратичный полином ${\displaystyle P_{i}}$от неизвестных ${\displaystyle x_{j}}$, где ${\displaystyle 1\leqslant j\leqslant n+u}$.

Поэтому система ${\displaystyle n}$ квадратичных уравнений ${\displaystyle P}$ будет являться открытым ключом. где:

${\displaystyle \forall i}$ ${\displaystyle 1\leqslant i\leqslant n}$ ${\displaystyle y_{i}={P_{i}}(x_{1},x_{2},\ldots ,x_{n+u})}$

Система уравнений становится линейной, если уксусные переменные фиксированы - никакая масляная переменная не умножается на другую масляную переменную в уравнении. Поэтому масляные переменные можно легко вычислить, используя, например, метод Гаусса для решения системы линейных уравнений. Создание подписи становится быстрой и вычислительно - легкой задачей.

Проверка подписи

Подпись передается вместе с отправляемым сообщением. Проверка подписи выполняется при помощи открытого ключа, который будет являться системой уравнений.

${\displaystyle {\begin{aligned}y_{1}&={P_{1}}^{*}(x_{1},x_{2},\ldots ,x_{n})\\y_{2}&={P_{2}}^{*}(x_{1},x_{2},\ldots ,x_{n})\\&~\vdots \\y_{m}&={P_{m}}^{*}(x_{1},x_{2},\ldots ,x_{n})\\\end{aligned}}}$

Эта система уравнений представляет собой слегка модифицированную версию системы, необходимую для создания подписи. Она модифицируется таким образом, чтобы злоумышленник не смог получить информацию о секретных коэффициентах и ​​специальном форматировании переменных масла и уксуса. Для проверки подписи необходимо вычислить каждое уравнение системы. Если каждый вычисленный результат равен соответствующей части исходного сообщения, то проверка выполнена успешно. В результате не требуется никаких других секретных ключей для проверки действительности подписи, т.к. это ассиметричная схема.^[6]

Результаты по анализу на криптографическую стойкость

В данной таблице находятся основные результаты^[7], полученные при попытках взлома схемы UOV при различных значениях ${\displaystyle n}$ и ${\displaystyle u}$

Пусть ${\displaystyle K}$= ${\displaystyle F_{q}}$конечное поле ${\displaystyle q=p^{m}}$ . Элементы ${\displaystyle a_{1},\ldots ,a_{n}}$ и ${\displaystyle {\acute {a}}_{1},\ldots ,{\acute {a}}_{u}}$- его элементы и ${\displaystyle n+u=p}$

"Сложностью сравнимой со случайным решением" означает что сложность взлома сопоставима с решением систем уравнений относительно перемененных ${\displaystyle u}$когда коэффиценты выбираются случайным образом

Степень	Вломано	Не взломано	Не взломано и сложность сравнима со случайным решением	Взломано, не смотря на то что сложность сравнима со случайным решением
2 ( для всех ${\displaystyle p}$)	${\displaystyle u\leqslant n}$или ${\displaystyle u\simeq n}$	${\displaystyle 2n\leqslant u\leqslant {\frac {n^{2}}{2}}}$	${\displaystyle {\frac {n^{2}}{2}}\leqslant u\leqslant n^{2}}$	${\displaystyle u\geqslant n^{2}}$
3 ( для ${\displaystyle p=2}$)	${\displaystyle u\leqslant (1+{\sqrt {3}})n}$	${\displaystyle (1+{\sqrt {3}})n\leqslant u\leqslant {\frac {n^{3}}{6}}}$	${\displaystyle {\frac {n^{3}}{6}}\leqslant u\leqslant {\frac {n^{3}}{2}}}$	${\displaystyle u\geqslant {\frac {n^{3}}{6}}}$
3 ( для ${\displaystyle p\neq 2}$)	${\displaystyle u\leqslant n}$или ${\displaystyle u\simeq n}$	${\displaystyle 2n\leqslant u\leqslant {\frac {n^{2}}{2}}}$	${\displaystyle {\frac {n^{3}}{6}}\leqslant u\leqslant n^{4}}$	${\displaystyle u\geqslant n^{4}}$

Преимущества и недостатки схемы масла и уксуса

Основным преимуществом является то, что вычислительная задача, используемая в алгоритме, является квантовостойкой. То есть, если когда-нибудь будет построен квантовый компьютер, который может обрабатывать достаточное количество состояний, чтобы нарушить коммерческие схемы подписи, такие как RSA или ElGamal, схема подписи UOV остается безопасной, поскольку в настоящее время не существует алгоритма, который дает квантовому компьютеру большое преимущество в решении таких многомерных систем уравнений.

Второе преимущество заключается в том, что операции, используемые в уравнениях, относительно просты. Подписи создаются и проверяются только при помощи операций сложения и умножения «малых» значений, что делает эту подпись жизнеспособной для низкоресурсного оборудования, например, в смарт-картах.^[8]

Недостатком является то, что  в схеме UOV используется очень длинный ключ, причем открытым ключом является вся система уравнений ${\displaystyle m}$ для которой может потребоваться несколько килобайт памяти. UOV также является молодой схемой цифровой подписи. Хотя некоторые методы атаки уже известны, могут появиться еще не изученные, если UOV станет широко использоваться. Этот алгоритм еще не готов к коммерческому использованию, поскольку его безопасность требует дополнительных исследований.^[9]

На эту статью не ссылаются другие статьи Википедии. Пожалуйста, установите ссылки в соответствии с принятыми рекомендациями.

Ссылки

• Buchmann, Johannes; Coronado, Carlos; Doring, Martin; Engelbert, Daniela; Ludwig, Christoph; Overbeck, Raphael; Schmidt, Arthur; Vollmer, Ulrich; Weinmann, Ralf-Philipp: Post-Quantum Signatures, –, October 29. 2004
• Wolf, Christopher: Multivariate Quadratic Polynomials in Public Key Cryptography, DIAMANT/EIDMA symposium 2005
• Coron, Jean-Sebastien; de Weger, Benne: Hardness of the Main Computational Problems Used in Cryptography, ECRYPT D.AZTEC.6, March 14. 2007
• Faugère, Jean-Charles and Perret, Ludovic. On the security of UOV. Cryptology eprint archive. Report 2009/483. 2009
• Unbalanced Oil and Vinegar Signature Schemes - Louis Goubin

1. ↑ Unbalanced Oil and Vinegar Signature Schemes - Louis Goubin  (неопр.). www.goubin.fr. Дата обращения: 9 декабря 2018.
2. ↑ Courtois, Nicolas et al. Solving Underdefined Systems of Multivariate Equations  (неопр.). Дата обращения: 16 октября 2016.
3. ↑ Courtois, Nicolas et al. Solving Underdefined Systems of Multivariate Equations  (неопр.). Дата обращения: 16 октября 2016.
4. ↑ Unbalanced Oil and Vinegar Signature Schemes - Louis Goubin  (неопр.). www.goubin.fr. Дата обращения: 9 декабря 2018.
5. ↑ [https://www.win.tue.nl/diamant/symposium05/abstracts/wolf.pdf Multivariate Quadratic Polynomials in Public Key Cryptography Christopher Wolf]  (неопр.). www.win.tue.nl. Дата обращения: 9 декабря 2018.
6. ↑ Unbalanced Oil and Vinegar Signature Schemes - Louis Goubin  (неопр.). www.goubin.fr. Дата обращения: 9 декабря 2018.
7. ↑ Aviad Kipnis, Jacques Patarin, Louis Goubin. Unbalanced Oil and Vinegar Signature Schemes // Advances in Cryptology — EUROCRYPT ’99. — Berlin, Heidelberg: Springer Berlin Heidelberg, 1999. — С. 206–222. — ISBN 9783540658894, 9783540489108.
8. ↑ Johannes Buchmann, Carlos Coronado, Martin D�ring, Daniela Engelbert, Christoph Ludwig. Post-Quantum Signatures. — 2004. — № 297.
9. ↑ Johannes Buchmann, Carlos Coronado, Martin D�ring, Daniela Engelbert, Christoph Ludwig. Post-Quantum Signatures. — 2004. — № 297.