Гомоморфные подписи для сетевого кодирования

Сетевое кодирование предоставляет возможность увеличить пропускную способность и улучшить устойчивость сети без какого-либо централизованного управления. К сожалению, оно очень восприимчиво к атакам, в которых вредоносные узлы изменяют данные. Благодаря тому, как пакеты распространяются в сети, единственный неправильный пакет данных может сделать недействительными все дальнейшие данные.^[1] Злоумышленник может повредить пакет, даже если он зашифрован: для этого ему нужно подделать подпись, либо найти коллизии используемой хеш-функции.^[2] Денис Чарльз, Камал Джаин и Кристин Лаутер разработали новую схему гомоморфного шифрования, позволяющую предотвратить такие атаки.^[3] Использование гомоморфной подписи позволяет узлам подписывать любую линейную комбинацию входящих пакетов. В этой схеме узел не может подписать линейную комбинацию пакетов,не раскрывая, какая линейная комбинация использовалась. Кроме того, схема подписи защищена в соответствии с предположениями о сложности вычисления дискретного логарифма и сложности решения задачи Диффи-Хеллмана.^[4]

Сетевое кодирование[править | править код]

Пусть ${\displaystyle G=(V,E)}$ ориентированный граф, состоящий из множества ${\displaystyle V}$, элементы которого называются вершинами, и множества ${\displaystyle E}$ упорядоченных пар вершин ${\displaystyle u,v\in V}$, именуемых направленными рёбрами или дугами. Задача источника ${\displaystyle s\in V}$ – отправить файл ${\displaystyle D}$ множеству вершин ${\displaystyle T\subseteq V}$. Выбирается векторное пространство ${\displaystyle W/\mathbb {F} _{p}}$ (скажем, размерности ${\displaystyle d}$), где ${\displaystyle p}$ простое, и данные, являющиеся множеством векторов ${\displaystyle w_{1},\ldots ,w_{k}\in W}$. Источник создаёт расширенные векторы ${\displaystyle v_{1},\ldots ,v_{k}}$,определенные следующим образом ${\displaystyle v_{i}=(0,\ldots ,0,1,\ldots ,0,w_{i_{1}},\ldots ,w_{i_{d}})}$, где ${\displaystyle w_{i_{j}}}$ ${\displaystyle j}$-я координата вектора ${\displaystyle w_{i}}$. Перед первой ${\displaystyle 1}$ в векторе ${\displaystyle v_{i}}$ находится ${\displaystyle (i-1)}$ нулей. Без потери общности можно считать, что векторы ${\displaystyle v_{i}}$ линейно независимы. Обозначим линейное подпространство (из ${\displaystyle \mathbb {F} _{p}^{k+d}}$ ), натянутое на эти векторы, буквой ${\displaystyle V}$. Каждая исходящая дуга ${\displaystyle e\in E}$ вычисляет линейную комбинацию ${\displaystyle y(e)}$ векторов, входящих в начальную вершину дуги ${\displaystyle v=in(e)}$. То есть

${\displaystyle y(e)=\sum _{f:\mathrm {out} (f)=v}(m_{e}(f)y(f))}$

где ${\displaystyle m_{e}(f)\in \mathbb {F} _{p}}$. Мы считаем, что источник является конечной вершиной ${\displaystyle k}$ дуг, передающих ${\displaystyle k}$ векторов ${\displaystyle w_{i}}$. По индукции, пусть вектор ${\displaystyle y(e)}$ какой-либо дуги является линейной комбинацией ${\displaystyle y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})}$ и является вектором в ${\displaystyle V}$. Тогда k-мерный вектор ${\displaystyle g(e)=(g_{1}(e),\ldots ,g_{k}(e))}$ это просто k первых координат вектора ${\displaystyle y(e)}$. Назовем матрицу, строками которой являются векторы ${\displaystyle g(e_{1}),\ldots ,g(e_{k})}$, где ${\displaystyle e_{i}}$ рёбра, входящие в вершину ${\displaystyle t\in T}$, глобальной матрицей кодирования для ${\displaystyle t}$ и обозначим её ${\displaystyle G_{t}}$. На практике векторы кодирования выбираются случайно, поэтому матрица ${\displaystyle G_{t}}$ с высокой вероятностью обратима. Таким образом, любой приёмник, получивший ${\displaystyle y_{1},\ldots ,y_{k}}$, может найти ${\displaystyle w_{1},\ldots ,w_{k}}$, решив

${\displaystyle {\begin{bmatrix}y'\\y_{2}'\\\vdots \\y_{k}'\end{bmatrix}}=G_{t}{\begin{bmatrix}w_{1}\\w_{2}\\\vdots \\w_{k}\end{bmatrix}}}$

где ${\displaystyle y_{i}'}$ векторы, образованные удалением первых ${\displaystyle k}$ координат вектора ${\displaystyle y_{i}}$.^[5]

Декодирование[править | править код]

Каждый приёмник ${\displaystyle t\in T}$, получает ${\displaystyle k}$ векторов ${\displaystyle y_{1},\ldots ,y_{k}}$, являющихся случайными линейными комбинациями векторов ${\displaystyle v_{i}}$. В самом деле, если

${\displaystyle y_{i}=(\alpha _{i_{1}},\ldots ,\alpha _{i_{k}},a_{i_{1}},\ldots ,a_{i_{d}})}$

тогда

${\displaystyle y_{i}=\sum _{1\leq j\leq k}(\alpha _{ij}v_{j}).}$

Таким образом, мы можем с высокой вероятностью обратить линейной преобразование и найти ${\displaystyle v_{i}}$.^[5]

История[править | править код]

Крон, Фридман и Мэзиэс в 2004 году предложили теорию^[6]: если у нас есть хеш-функция ${\displaystyle H:V\longrightarrow G}$ такая, что:

• ${\displaystyle H}$ стойка к коллизиям – сложно найти ${\displaystyle x}$ и ${\displaystyle y}$ такие, что ${\displaystyle H(x)=H(y)}$;
• ${\displaystyle H}$ является гомоморфизмом – ${\displaystyle H(x+y)=H(x)+H(y)}$.

Тогда сервер может отправить ${\displaystyle H(v_{i})}$ каждому приёмнику. Если

${\displaystyle y=\sum _{1\leq i\leq k}(\alpha _{i}v_{i})}$

мы можем проверить равенство

${\displaystyle H(y)=\sum _{1\leq i\leq k}(\alpha _{i}H(v_{i}))}$

Проблема этого метода состоит в том, что хеш-функция ${\displaystyle H}$ должна быть передана всем узлам сети через отдельный защищенный канал.

Преимущества гомоморфных подписей[править | править код]

1. Реализуют аутентификацию в дополнение к выявлению подмены пакетов.
2. Нет необходимости в передаче хеш-сумм по защищенному каналу.
3. Открытая информация не изменяется для последующей передачи файлов.^[4]

Схема подписи[править | править код]

Гомоморфное свойство подписей позволяет узлам подписывать какую-либо линейную комбинацию входящих пакетов, не используя схему подписи.^[4]

Эллиптическая криптография над конечным полем[править | править код]

Эллиптическая криптография — раздел криптографии, который изучает асимметричные криптосистемы, основанные на эллиптических кривых над конечными полями.

Пусть ${\displaystyle \mathbb {F} _{q}}$ конечное поле такое, что ${\displaystyle q}$ не является степенью 2 или 3. Тогда эллиптическая кривая ${\displaystyle E}$ над ${\displaystyle \mathbb {F} _{q}}$ является кривой, задающейся уравнением вида

${\displaystyle y^{2}=x^{3}+ax+b,\,}$

где ${\displaystyle a,b\in \mathbb {F} _{q}}$ такие, что ${\displaystyle 4a^{3}+27b^{2}\not =0}$

Пусть ${\displaystyle K\supseteq \mathbb {F} _{q}}$, тогда

${\displaystyle E(K)=\{(x,y)|y^{2}=x^{3}+ax+b\}\bigcup \{O\}}$

образует абелеву группу.^[7]

Вейль-спаривание[править | править код]

Вейль-спариванием является билинейное отображение, сопоставляющее двум точкам подгруппы ${\displaystyle m}$-кручения точек эллиптической кривой ${\displaystyle E}$ корень степени ${\displaystyle m}$ в конечном поле.^[8] Пусть ${\displaystyle E/\mathbb {F} _{q}}$ эллиптическая кривая и пусть ${\displaystyle \mathbb {\bar {F}} _{q}}$ алгебраическое замыкание ${\displaystyle \mathbb {F} _{q}}$. Если ${\displaystyle m}$ целое и взаимно-простое с характеристикой поля ${\displaystyle \mathbb {F} _{q}}$, тогда группа элементов ${\displaystyle m}$-кручения ${\displaystyle E[m]={P\in E(\mathbb {\bar {F}} _{q}):mP=O}}$.

Вейль-спаривание ${\displaystyle e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})}$ обладает свойствами^[5]:

1. (Билинейность) ${\displaystyle e_{m}(P+R,Q)=e_{m}(P,Q)e_{m}(R,Q){\text{ and }}e_{m}(P,Q+R)=e_{m}(P,Q)e_{m}(P,R)}$.
2. (Невырожденность) ${\displaystyle e_{m}(P,Q)=1}$ for all P implies that ${\displaystyle Q=O}$.
3. (Тождественность) ${\displaystyle e_{m}(P,P)=1}$.

Гомоморфные подписи[править | править код]

Пусть ${\displaystyle p}$ простое число и ${\displaystyle q}$ степень другого простого числа: ${\displaystyle p<<q}$. Пусть ${\displaystyle V/\mathbb {F} _{p}}$ векторное пространство размерности ${\displaystyle D}$ и ${\displaystyle E/\mathbb {F} _{q}}$ эллиптическая кривая такая, что ${\displaystyle P_{1},\ldots ,P_{D}\in E[p]}$. Определим ${\displaystyle h:V\longrightarrow E[p]}$ следующим образом: ${\displaystyle h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})}$. Эта функция ${\displaystyle h}$ гомоморфизм ${\displaystyle V}$ в ${\displaystyle E[p]}$.

Сервер выбирает секретно ${\displaystyle s_{1},\ldots ,s_{D}}$ в ${\displaystyle \mathbb {F} _{p}}$ и публикует точку ${\displaystyle Q}$, являющуюся элементом ${\displaystyle p}$-кручения, такую, что ${\displaystyle e_{p}(P_{i},Q)\not =1}$ и публикует ${\displaystyle (P_{i},s_{i}Q)}$, где ${\displaystyle 1\leq i\leq D}$.^[5] Подписью вектора ${\displaystyle v=u_{1},\ldots ,u_{D}}$ является ${\displaystyle \sigma (v)=\sum _{1\leq i\leq D}(u_{i}s_{i}P_{i})}$

Замечание: эта подпись гомоморфна,поскольку ${\displaystyle h}$ гомоморфизм.

Проверка подлинности подписи[править | править код]

Даны ${\displaystyle v=u_{1},\ldots ,u_{D}}$ и подпись ${\displaystyle \sigma }$. Для проверки подлинности требуется проверить равенство^[2]

${\displaystyle {\begin{aligned}e_{p}(\sigma ,Q)&=e_{p}\left(\sum _{1\leq i\leq D}(u_{i}s_{i}P_{i}),Q\right)\\&=\prod _{i}e_{p}(u_{i}s_{i}P_{i},Q)\\&=\prod _{i}e_{p}(u_{i}P_{i},s_{i}Q)\end{aligned}}}$

Верификация использует билинейность Вейль-спаривания.^[4]

Настройка системы[править | править код]

Сервер вычисляет^[2] ${\displaystyle \sigma (v_{i})}$ для каждого ${\displaystyle 1\leq i\leq k}$. Передаёт ${\displaystyle v_{i},\sigma (v_{i})}$. На каждом ребре ${\displaystyle e}$ при вычислении ${\displaystyle y(e)=\sum _{f\in E:\mathrm {out} (f)=\mathrm {in} (e)}(m_{e}(f)y(f))}$ также вычисляется ${\displaystyle \sigma (y(e))=\sum _{f\in E:\mathrm {out} (f)=\mathrm {in} (e)}(m_{e}(f)\sigma (y(f)))}$ на эллиптической кривой ${\displaystyle E}$.

Подписью является точка на эллиптической кривой с координатами в ${\displaystyle \mathbb {F} _{q}}$. Таким образом, размер подписи^[2] ${\displaystyle 2\log q}$ бит, и это дополнительные расходы на передачу.

Доказательство безопасности[править | править код]

Злоумышленник может найти коллизии хеш-функции.

Если даны ${\displaystyle (P_{1},\ldots ,P_{r})}$ точки в ${\displaystyle E[p]}$, найдём ${\displaystyle a=(a_{1},\ldots ,a_{r})\in \mathbb {F} _{p}^{r}}$ и ${\displaystyle b=(b_{1},\ldots ,b_{r})\in \mathbb {F} _{p}^{r}}$

такие, что ${\displaystyle a\not =b}$ и

${\displaystyle \sum _{1\leq i\leq r}(a_{i}P_{i})=\sum _{1\leq j\leq r}(b_{j}P_{j}).}$

Если ${\displaystyle r=2}$, тогда мы получаем ${\displaystyle xP+yQ=uP+vQ}$. То есть ${\displaystyle (x-u)P+(y-v)Q=0}$. ${\displaystyle x\not =u}$ и ${\displaystyle y\not =v}$. Допустим, что ${\displaystyle x=u}$, тогда ${\displaystyle (y-v)Q=0}$, но ${\displaystyle Q}$ точка порядка ${\displaystyle p}$ (простое число), таким образом ${\displaystyle y-v\equiv 0{\bmod {p}}}$. Другими словами ${\displaystyle y=v}$ в ${\displaystyle \mathbb {F} _{p}}$. Это противоречит предположению о том, что ${\displaystyle (x,y)}$ и ${\displaystyle (u,v)}$ различные пары в ${\displaystyle \mathbb {F} _{2}}$. Таким образом ${\displaystyle Q=-(x-u)(y-v)^{-1}P}$, где обратный элемент берётся по модулю ${\displaystyle p}$.

Если ${\displaystyle r>2}$, мы можем взять ${\displaystyle P_{1}=P}$ и ${\displaystyle P_{2}=Q}$ как раньше и установить ${\displaystyle P_{i}=O}$ для ${\displaystyle i>2}$ (в этом случае доказательство аналогично ${\displaystyle r=2}$), или мы можем взять ${\displaystyle P_{1}=r_{1}P}$ и ${\displaystyle P_{i}=r_{i}Q}$, где ${\displaystyle r_{i}}$ выбираются случайным образом из ${\displaystyle \mathbb {F} _{p}}$. Получаем одно уравнение с одним неизвестным (дискретный логарифм ${\displaystyle Q}$). Вполне возможно, что полученное уравнение не будет содержать неизвестную величину. Тем не менее, это происходит с очень маленькой вероятностью. Предположим, что алгоритм поиска коллизий дал нам

${\displaystyle ar_{1}P+\sum _{2\leq i\leq r}(b_{i}r_{i}Q)=0.}$

До тех пор, пока ${\displaystyle \sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}}$, нужно решать дискретный логарифм ${\displaystyle Q}$. Рассмотрим ${\displaystyle b_{i}}$, где ${\displaystyle 2\leq i\leq r}$, не равные нулю одновременно. Какова вероятность, что выбранные ${\displaystyle r_{i}}$ удовлетворяют условию ${\displaystyle \sum _{2\leq i\leq r}(b_{i}r_{i})=0}$? Она равна ${\displaystyle 1 \over p}$ . Таким образом, с большой долей вероятности придется решать дискретный логарифм ${\displaystyle Q}$.^[9]

Мы показали, что сложно найти коллизии хеш-функции в данной схеме. Другой способ нарушить работу системы – подделать подпись. Эта схема подписи является версией схемы BLS (Boneh – Lynn - Shacham). Подделать подпись, по крайней мере так же сложно, как решить вычислительную проблему Диффи-Хелмана.^[10] Единственный известный способ решить эту проблему на эллиптических кривых – вычислить дискретный логарифм. Таким образом, подделать подпись так же сложно, как вычислить дискретный логарифм.^[11]

См. также[править | править код]

• Сетевое кодирование
• Гомоморфное шифрование
• Эллиптическая криптография
• Протокол Диффи — Хеллмана на эллиптических кривых
• ECDSA
• DSA

Примечания[править | править код]

Литература[править | править код]

• Joseph H. Silverman. The Arithmetic of Elliptic Curves. — N. Y.: Springer, 2009. — P. 51-52,92-94. — 408 p. — ISBN 978-0-387-09493-9.
• R. Gennaro, J. Katz, H. Krawczyk,T. Rabin. Secure Network Coding Over the Integers. — 2011. — P. 19.
• D. Charles, K. Jain,K. Lauter. SIGNATURES FOR NETWORK CODING. — 2006. — P. 7.
• M. Krohn, M. Freedman,D. Mazieres. On-the-Fly Verification of Rateless Erasure Codes for Efficient Content Distribution. — 2004. — P. 15.
• D. Boneh, B. Lynn,H. Shacham. Short Signatures from the Weil Pairing. — 2001. — P. 24.

Ссылки[править | править код]

• Comprehensive View of a Live Network Coding P2P System
• Signatures for Network Coding(presentation) CISS 2006, Princeton
• University at Buffalo Lecture Notes on Coding Theory – Dr. Atri Rudra