UOV

UOV (англ. Unbalanced Oil and Vinegar) — криптографическая схема. В криптографии схема Unbalanced Oil and Vinegar «Несбалансированная схема масла и уксуса» («UOV») представляет собой модифицированную версию стандартной схемы Oil and Vinegar «Масла и уксуса», разработанной Дж. Патарином. Свое название схема получила ввиду использования двух типов переменных: «уксусных» и «масляных», формирующих открытый ключ. В самих уравнениях эти величины не перемножаются, то есть не смешиваются подобно маслу и уксусу, используемых в кулинарии. Отсюда и пошло такое название.^[1] Обе эти схемы являются схемами цифровой подписи. Они относятся к группе многомерной криптографии. Безопасность подписи данной схемы основана на решении NP-полной задачи. Для создания и проверки подписей необходимо решить систему минимальных квадратичных уравнений. Решение ${\displaystyle m}$ уравнений с ${\displaystyle n}$ переменными является NP-трудной задачей^[2], что означает, что проблему почти наверняка трудно эффективно решить в худшем случае, даже при использовании квантового компьютера. В то время как задача становится простой, если значение ${\displaystyle m}$ намного больше ${\displaystyle n}$ или намного меньше ${\displaystyle n}$^[2], в среднем случае — когда ${\displaystyle m}$ и ${\displaystyle n}$ почти равны — проблема считается сложной, даже при использовании квантового компьютера. В результате был разработан ряд схем цифровых подписей на основе многомерных уравнений с целью достижения квантово-устойчивых сигнатур.

Ключ подписи и ключ проверки[править | править код]

Математической задачей является решение ${\displaystyle m}$ уравнений от ${\displaystyle n}$ переменных: вся система уравнений сама по себе и является открытым ключом. Чтобы использовать такую задачу для применения в криптографии, её необходимо было изменить. Для вычисления ${\displaystyle n}$ переменных требуется много ресурсов. Стандартный компьютер не может вычислить это за приемлемое время. Поэтому в систему уравнений вставляется так называемая односторонняя функция с потайным входом или Trapdoor, которая будет являться ключом подписи, состоящим из трех частей: двух аффинных преобразований ${\displaystyle T}$ и ${\displaystyle S}$ и вектора полиномов ${\displaystyle P}$. Оба преобразования используются для разбиения элементов исходного сообщения на определённые группы. Аффинное преобразование ${\displaystyle T}$ преобразует исходное сообщение ${\displaystyle y}$ в ${\displaystyle y_{1},y_{2},...,y_{n}}$. Второе преобразование ${\displaystyle S}$ преобразует вектор из переменных в действительную подпись. Третий секретный элемент ${\displaystyle P}$ предоставляет определённые инструменты для создания системы уравнений. Благодаря этому уравнения будут построены с определёнными правилами, известными только владельцу ключа цифровой подписи.^[1]

Процедура создания подписи[править | править код]

Чтобы создать действительную подпись, необходимо решить следующую систему уравнений:

${\displaystyle {\begin{aligned}y_{1}&=f_{1}(x_{1},\ldots ,x_{n})\\y_{2}&=f_{2}(x_{1},\ldots ,x_{n})\\&~\vdots \\y_{m}&=f_{m}(x_{1},\ldots ,x_{n})\\\end{aligned}}}$

Где ${\displaystyle y=(y_{1},y_{2},\ldots ,y_{m})}$это сообщение, которое необходимо подписать. Действительной подписью здесь будет вектор ${\displaystyle x=(x_{1},x_{2},\ldots ,x_{n})}$, полученный при решении данной системы уравнений.

Чтобы подписать исходное сообщение ${\displaystyle y}$ его нужно преобразовать таким образом, чтобы оно удовлетворяло системе уравнений. Для этого как раз и используется преобразование ${\displaystyle T}$ необходимое для «разбиения» сообщения на фрагменты, которые обозначены как ${\displaystyle y_{1},y_{2},\ldots ,y_{m}}$. После этого строится система уравнений, где каждое уравнение системы должно быть записано в виде:^[3]

${\displaystyle y_{i}=\sum {\gamma _{ijk}a_{j}{\acute {a}}_{k}}+\sum {\lambda _{ijk}{\acute {a}}_{j}{\acute {a}}_{k}}+\sum {\xi _{ij}a_{j}}+\sum {{\acute {\xi }}_{ij}{\acute {a}}_{j}}+\delta _{i}}$

Для подписи исходного сообщения ${\displaystyle y}$ получения действительной подписи ${\displaystyle x}$необходимо выполнить следующие шаги:

1. Коэффициенты ${\displaystyle \gamma _{ijk},\lambda _{ijk},\xi _{ij},{\acute {\xi }}_{ij},\delta _{i}}$должны быть выбраны секретными
2. «Уксусные» переменные (${\displaystyle {\acute {a}}_{u}}$) выбираются случайным образом
3. Конечная система уравнений решается относительно неизвестных «масляных» переменных (${\displaystyle a_{i}}$)

С помощью найденных переменных масла и уксуса (${\displaystyle a_{i}}$) и (${\displaystyle {\acute {a}}_{u}}$) строится предварительная подпись ${\displaystyle A=(a_{1},\ldots ,a_{n},{\acute {a}}_{1},\ldots ,{\acute {a}}_{u})}$. Наконец, ${\displaystyle A}$ при помощи секретного биективного аффинного преобразования ${\displaystyle S}$преобразуется действительную подпись ${\displaystyle x=S^{-1}(A)}$.

Таким образом, каждое значение ${\displaystyle y_{i}}$может быть записано как квадратичный полином ${\displaystyle P_{i}}$от неизвестных ${\displaystyle x_{j}}$, где ${\displaystyle 1\leqslant j\leqslant n+u}$.

Поэтому система ${\displaystyle n}$ квадратичных уравнений ${\displaystyle P}$ будет являться открытым ключом. где:

${\displaystyle \forall i}$ ${\displaystyle 1\leqslant i\leqslant n}$ ${\displaystyle y_{i}={P_{i}}(x_{1},x_{2},\ldots ,x_{n+u})}$

Система уравнений становится линейной, если уксусные переменные фиксированы — никакая масляная переменная не умножается на другую масляную переменную в уравнении. Поэтому масляные переменные можно легко вычислить, используя, например, метод Гаусса для решения системы линейных уравнений. Создание подписи становится быстрой и вычислительно — легкой задачей.^[4]

Проверка подписи[править | править код]

Подпись передается вместе с отправляемым сообщением. Проверка подписи выполняется при помощи открытого ключа, который будет являться системой уравнений.

${\displaystyle {\begin{aligned}y_{1}&={P_{1}}^{*}(x_{1},x_{2},\ldots ,x_{n})\\y_{2}&={P_{2}}^{*}(x_{1},x_{2},\ldots ,x_{n})\\&~\vdots \\y_{m}&={P_{m}}^{*}(x_{1},x_{2},\ldots ,x_{n})\\\end{aligned}}}$

Эта система уравнений представляет собой слегка модифицированную версию системы, необходимую для создания подписи. Она модифицируется таким образом, чтобы злоумышленник не смог получить информацию о секретных коэффициентах и ​​специальном форматировании переменных масла и уксуса. Для проверки подписи необходимо вычислить каждое уравнение системы. Если каждый вычисленный результат равен соответствующей части исходного сообщения, то проверка выполнена успешно. В результате не требуется никаких других секретных ключей для проверки действительности подписи, так как это асимметричная схема.^[1]

Результаты по анализу на криптографическую стойкость[править | править код]

В данной таблице находятся основные результаты^[5], полученные при попытках взлома схемы UOV при различных значениях ${\displaystyle n}$ и ${\displaystyle u}$

Пусть ${\displaystyle K}$= ${\displaystyle F_{q}}$конечное поле ${\displaystyle q=p^{m}}$ . Элементы ${\displaystyle a_{1},\ldots ,a_{n}}$ и ${\displaystyle {\acute {a}}_{1},\ldots ,{\acute {a}}_{u}}$- его элементы и ${\displaystyle n+u=p}$

«Сложностью сравнимой со случайным решением» означает что сложность взлома сопоставима с решением систем уравнений относительно перемененных ${\displaystyle u}$когда коэффициенты выбираются случайным образом

Степень	Вломано	Не взломано	Не взломано и сложность сравнима со случайным решением	Взломано, несмотря на то, что сложность сравнима со случайным решением
2 (для всех ${\displaystyle p}$)	${\displaystyle u\leqslant n}$или ${\displaystyle u\simeq n}$	${\displaystyle 2n\leqslant u\leqslant {\frac {n^{2}}{2}}}$	${\displaystyle {\frac {n^{2}}{2}}\leqslant u\leqslant n^{2}}$	${\displaystyle u\geqslant n^{2}}$
3 (для ${\displaystyle p=2}$)	${\displaystyle u\leqslant (1+{\sqrt {3}})n}$	${\displaystyle (1+{\sqrt {3}})n\leqslant u\leqslant {\frac {n^{3}}{6}}}$	${\displaystyle {\frac {n^{3}}{6}}\leqslant u\leqslant {\frac {n^{3}}{2}}}$	${\displaystyle u\geqslant {\frac {n^{3}}{6}}}$
3 (для ${\displaystyle p\neq 2}$)	${\displaystyle u\leqslant n}$или ${\displaystyle u\simeq n}$	${\displaystyle 2n\leqslant u\leqslant {\frac {n^{2}}{2}}}$	${\displaystyle {\frac {n^{3}}{6}}\leqslant u\leqslant n^{4}}$	${\displaystyle u\geqslant n^{4}}$

Преимущества и недостатки схемы[править | править код]

Основным преимуществом является то, что вычислительная задача, используемая в алгоритме, является квантовостойкой.^[4] То есть, если когда-нибудь будет построен квантовый компьютер, который может обрабатывать достаточное количество состояний, чтобы нарушить коммерческие схемы подписи, такие как RSA или ElGamal, схема подписи UOV остается безопасной, поскольку в настоящее время не существует алгоритма, который дает квантовому компьютеру большое преимущество в решении таких многомерных систем уравнений.

Второе преимущество заключается в том, что операции, используемые в уравнениях, относительно просты. Подписи создаются и проверяются только при помощи операций сложения и умножения «малых» значений, что делает эту подпись жизнеспособной для низкоресурсного оборудования, например, в смарт-картах.^[6]

Недостатком является то, что в схеме UOV используется очень длинный ключ, причем открытым ключом является вся система уравнений ${\displaystyle m}$ для которой может потребоваться несколько килобайт памяти. UOV также является молодой схемой цифровой подписи. Хотя некоторые методы атаки уже известны, могут появиться ещё не изученные, если UOV станет широко использоваться. Этот алгоритм ещё не готов к коммерческому использованию, поскольку его безопасность требует дополнительных исследований.^[6]

На эту статью не ссылаются другие статьи Википедии. Пожалуйста, установите ссылки в соответствии с принятыми рекомендациями.

Ссылки[править | править код]

• Buchmann, Johannes; Coronado, Carlos; Doring, Martin; Engelbert, Daniela; Ludwig, Christoph; Overbeck, Raphael; Schmidt, Arthur; Vollmer, Ulrich; Weinmann, Ralf-Philipp: Post-Quantum Signatures, -, October 29. 2004
• Wolf, Christopher: Multivariate Quadratic Polynomials in Public Key Cryptography, DIAMANT/EIDMA symposium 2005
• Coron, Jean-Sebastien; de Weger, Benne: Hardness of the Main Computational Problems Used in Cryptography, ECRYPT D.AZTEC.6, March 14. 2007
• Faugère, Jean-Charles and Perret, Ludovic. On the security of UOV. Cryptology eprint archive. Report 2009/483. 2009
• Unbalanced Oil and Vinegar Signature Schemes — Louis Goubin

1. ↑ ^{1 2 3} Unbalanced Oil and Vinegar Signature Schemes - Louis Goubin  (неопр.). www.goubin.fr. Дата обращения: 9 декабря 2018. Архивировано 20 января 2021 года.
2. ↑ ^{1 2} Courtois, Nicolas et al. Solving Underdefined Systems of Multivariate Equations  (неопр.). Дата обращения: 16 октября 2016. Архивировано 10 июня 2017 года.
3. ↑ [https://www.win.tue.nl/diamant/symposium05/abstracts/wolf.pdf Multivariate Quadratic Polynomials in Public Key Cryptography Christopher Wolf]  (неопр.). www.win.tue.nl. Дата обращения: 9 декабря 2018. Архивировано 9 апреля 2016 года.
4. ↑ ^{1 2} Unbalanced Oil and Vinegar Signature Schemes - Louis Goubin  (неопр.). www.goubin.fr. Дата обращения: 22 декабря 2018. Архивировано 20 января 2021 года.
5. ↑ Aviad Kipnis, Jacques Patarin, Louis Goubin. Unbalanced Oil and Vinegar Signature Schemes // Advances in Cryptology — EUROCRYPT ’99. — Berlin, Heidelberg: Springer Berlin Heidelberg, 1999. — С. 206–222. — ISBN 9783540658894, 9783540489108.
6. ↑ ^{1 2} Johannes Buchmann, Carlos Coronado, Martin D�ring, Daniela Engelbert, Christoph Ludwig. Post-Quantum Signatures. — 2004. — № 297. Архивировано 10 декабря 2018 года.