Схема Сакаи — Касахары

Схема Сакаи — Касахары (SAKKE) — личностная криптографическая система, предложенная Раучи Сакаи и Масао Касахара в 2003 году.^[1] Вместе со схемой Боне — Франклина^[en], данный алгоритм является одной из немногих личностных схем, применяемых в индустрии. Является криптографическим приложением спаривания^[en] на эллиптических кривых и конечных полях. Доказательство безопасности схемы было изложено в 2005 году Ченом и Ченгом.^[2] Схема описана в Инженерном совете Интернета (RFC) RFC 6508.

В связи с тем, что данная схема является специфичным случаем личностной криптографии, основным вариантом её использования является возможность кому угодно зашифровать сообщение, зная только публичный идентификатор (например, e-mail) получателя. В данном ключе, алгоритм позволяет избавиться от необходимости пользователям обмениваться публичными сертификатами для шифрования.

Описание схемы[править | править код]

Схема Сакаи — Касахара позволяет зашифровать сообщение $\mathbb {M}$ для получателя с конкретным идентификатором $\textstyle I_{U}$ . Таким образом, только пользователь с закрытым ключом $\textstyle K_{U}$ , соответствующим $\textstyle I_{U}$ , сможет расшифровать переданное сообщение.

Для реализации схемы необходимо, чтобы отправитель и получатель доверяли одному и тому же генератору закрытых ключей (ГЗК), который так же может называться системой управления ключами (KMS^[en]). Целью ГЗК является генерация приватного ключа $\textstyle K_{U}$ , соответствующего публичному идентификатору $\textstyle I_{U}$ . ГЗК должен сохранно и безопасно доставить закрытый ключ получателю, а также свой (зависящий от ГЗК) открытый параметр $\textstyle Z$ всем участникам схемы. Данные действия не рассматриваются в определении самой схемы.

Предварительные замечания[править | править код]

Схема использует две мультипликативные группы $\textstyle E$ и $\textstyle G$ . Предполагается, что:

Задача Диффи — Хелмана^[en], также известная как задача дискретного логарифмирования, тяжело решаема в $\textstyle E$ . Это означает, что при данных элементах группы $\textstyle P$ и $\textstyle Q$ , вычислительно тяжело найти такой $\textstyle x$ , что $\textstyle Q=xP$ .
Задача дискретного логарифмирования, тяжело решаема в $\textstyle G$ . Это означает, что для двух элементов группы $g$ и $t$ , вычислительно сложно найти такой $\textstyle x$ , что $\textstyle g^{x}=t$ .
Существует билинейное отображение — спаривание Тейта — Лихтенбаума $\textstyle e(,)$ из $\textstyle E$ в $\textstyle G$ . Это означает, что для члена $\textstyle P$ группы $\textstyle E$ и для $\textstyle g=e(P,P)$ из группы $\textstyle G$ выполняется:

\textstyle e(P,xP)=e(xP,P)=e(P,P)^{x}=g^{x}

Зачастую $\textstyle E$ является суперсингулярной эллиптической кривой, как, например, $\textstyle E:y^{2}=x^{3}-3x$ (над конечным полем простого порядка $\textstyle p$ ). Генератор $\textstyle P$ простого порядка $\textstyle q$ выбирается из $\textstyle E$ . Группа $\textstyle G$ является образом группы, сгенерированной $\textstyle P$ , с помощью спаривания (над расширением второй степени конечного поля с простым порядком $\textstyle p$ ).

Также необходимо наличие двух хэш-функций: $\textstyle H_{1}$ и $\textstyle H_{2}$ , таких, что:

$\textstyle H_{1}$ возвращает положительное целое число $\textstyle x$ , удовлетворяющее $\textstyle 1<x<q$ .
$\textstyle H_{2}$ возвращает $\textstyle n$ битов, где $\textstyle n$ является длиной сообщения $\mathbb {M}$ .

Генерация ключей[править | править код]

На вход ГЗК подаётся главный ключ $\textstyle z$ , удовлетворяющий $\textstyle 1<z<q$ , а также открытый ключ $\textstyle Z=zP$ , являющимся элементом группы $\textstyle E$ . Алгоритм вычисляет закрытый ключ $\textstyle K_{U}$ , соответствующий $\textstyle ID_{U}$ следующим образом:

\textstyle K_{U}=({\frac {1}{z+H_{1}(ID_{U})}})P

Шифрование[править | править код]

Чтобы зашифровать неповторяющееся сообщение $\mathbb {M}$ , отправителю необходимо знать идентификатор получателя $\textstyle ID_{U}$ и открытый ключ генератора закрытых ключей $\textstyle Z$ . Далее отправителю необходимо произвести следующие операции:

Вычилить $\textstyle id=H_{1}(ID_{U})$
Сгенерировать $\textstyle r$ : $\textstyle r=H_{1}(\mathbb {M} ||id)$ , где операция $\textstyle ||$ является побитовым «или».
Сгенерировать точку $\textstyle R$ в группе $\textstyle E$ :
$\textstyle R=r((id)P+Z)$
Создать зашифрованное сообщение с помощью битовой маски:
$\textstyle S=\mathbb {M} \oplus H_{2}(g^{r})$
Зашифрованным сообщением является пара: $\textstyle (R,S)$

Обратите внимание на то, что сообщение не должно повторяться, так как при неизменном идентификаторе получателя алгоритм выдаст тот же шифротекст. Существует расширение протокола для случая, если сообщения потенциально могут повторяться.

Дешифрование[править | править код]

Для того чтобы расшифровать сообщение, адресованное $\textstyle ID_{U}$ , получателю необходимо знать закрытый ключ $\textstyle K_{U}$ , сгенерированный ГЗК и открытое значение $\textstyle Z$ . Процедура расшифровки сообщения состоит из следующих действий:

Вычислить $\textstyle id=H_{1}(ID_{U})$
Получить зашифрованное сообщение: $\textstyle (R,S)$ .
Вычислить:
$\textstyle w=e(R,K_{U})$
Выделить сообщение:
$\textstyle \mathbb {M} =S\oplus H_{2}(w)$
Чтобы проверить полученное сообщение, нужно вычислить $\textstyle r=H_{1}(\mathbb {M} ||id)$ . Сообщение достоверно тогда и только тогда, когда:
$\textstyle r((id)P+Z)\equiv R$

Демонстрация корректности алгоритма[править | править код]

Данные равенства показывают корректность приведённого алгоритма:

\textstyle w=e(R,K_{U})=e(r((id)P+Z),K_{U})=e(r((id)P+zP),K_{U})=e((r(id+z))P,K_{U})

Благодаря билинейности отображения:

\textstyle w=e((r(id+z))P,K_{U})=e((r(id+z))P,({\frac {1}{(id+z)}})P)=e(P,P)^{\frac {r(id+z)}{(id+z)}}=g^{r}

В результате получаем:

\textstyle S\oplus H_{2}(w)=(\mathbb {M} \oplus H_{2}(g^{r}))\oplus H_{2}(w)=\mathbb {M}

Стандартизация[править | править код]

С данным протоколом связаны два стандарта:

Первоначальная стандартизация была произведена IEEE в 2006.^[3]
Схема была стандартизована IETF в 2012 году по RFC 6508. Алгоритм используется как часть протокола MIKEY_SAKKE, описанного в RFC 6509.

Примечания[править | править код]

↑ Sakai, Ryuichi; Kasahara, Masao. ID Based cryptosystems with pairing on elliptic curve (англ.) // Cryptography ePrint Archive : journal. — 2003. — Vol. 2003/054. Архивировано 19 января 2022 года.
↑ Chen, L.; Cheng, Z. Security proof of Sakai-Kasahara's identity-based encryption scheme (англ.) // Cryptography ePrint Archive : journal. — Vol. 2005/226. Архивировано 20 января 2022 года.
↑ Barbosa, M. SK-KEM: An Identity-Based KEM (неопр.). — 2006. — June (т. IEEE). Архивировано 3 марта 2016 года.

[1] Sakai, Ryuichi; Kasahara, Masao. ID Based cryptosystems with pairing on elliptic curve (англ.) // Cryptography ePrint Archive : journal. — 2003. — Vol. 2003/054. Архивировано 19 января 2022 года.

[2] Chen, L.; Cheng, Z. Security proof of Sakai-Kasahara's identity-based encryption scheme (англ.) // Cryptography ePrint Archive : journal. — Vol. 2005/226. Архивировано 20 января 2022 года.

[3] Barbosa, M. SK-KEM: An Identity-Based KEM (неопр.). — 2006. — June (т. IEEE). Архивировано 3 марта 2016 года.

[1]

[2]

[3]

Симметричные криптосистемы
Потоковые шифры	A3 A5 A8 Decim F-FCSR Grain HC-256 KCipher-2 MICKEY MUGI PIKE Phelix RC4 Rabbit SEAL SNOW SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Сеть Фейстеля	ГОСТ 28147-89 (Магма) Blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Cobra DEAL DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NewDES NDS RC5 RC6 SEED Simon Sinople Skipjack SM4 Speck TEA XTEA XXTEA Raiden RTEA Triple DES Twofish
SP-сеть	Кузнечик 3-WAY ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing BassOmatic BelT CRYPTON Diamond2 Grand Cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer Present Rainbow SAFER SHARK SQUARE Serpent Threefish
Другие	FROG NUSH REDOC SC2000 SHACAL CS-Cipher

Хеш-функции
Общего назначения	Adler-32 CRC Контрольная сумма Флетчера FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH-Дерево хешей Jenkins hash Хеш-сумма
Криптографические	ГОСТ Р 34.11-94 Стрибог BelT BLAKE Blue Midnight Wish CubeHash ECHO Edonkey2k FSB Fugue Grøstl HAVAL Hamsi JH Kupyna LM-хеш Luffa MASH-1 MD2 MD4 MD5 MD6 N-Hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 SHA-3 (Keccak) SHABAL SHAvite-3 SIMD SWIFFT Skein Snefru Tiger Whirlpool
Функции формирования ключа	bcrypt PBKDF2 scrypt Argon2 Lyra2
Контрольное число (сравнение)	Контрольная сумма Алгоритм Верхуффа Алгоритм Дамма Алгоритм Луна Штрих-код Банковских счетов Банковских карт ISIN СНИЛС ОКПО ИНН ОКАТО ISBN ОГРН и ОГРНИП VIN
Применение хешей	Сравнение контрольных чисел Коллизия хеш-функции Протоколы аутентификации Сравнение штрихкодов Криптография Magnet-ссылка Подпись Меркла ed2k URN

Схема Сакаи — Касахары

Содержание

Описание схемы[править | править код]