Криптосистема Гольдвассер — Микали: различия между версиями

Криптосистема Гольдвассер — Микали (GM) — криптографическая система с открытым ключом, разработанная Шафи Гольдвассер и Сильвио Микали в 1982 году. GM является первой схемой вероятностного шифрования с открытым ключом, доказуемо стойкая при стандартных криптографических предположениях. Однако, криптосистема GM является неэффективной, так как шифртекст может быть в сотни раз длиннее, чем шифруемое сообщение. Для доказательства свойств стойкости криптосистемы Голдвассер и Микали ввели широко используемое понятие семантической стойкости.

Гольдовассер и Микали стали лауреатами Премии Тьюринга за 2012 год, создание криптосистемы с вероятностным шифрованием отмечено в номинации как новаторская работа, оказавшая существенное влияние на современную криптографию.

Понятие стойкости по отношению к атаке IND-CPA впервые было предложено Голдвассер и Микали. Они назвали это понятие семантической стойкостью. Оно заключается в том, что зашифрованный текст не допускает никакой утечки полезной информации об исходном тексте (если не считать полезной информацией длину самого исходного текста) ни одному взломщику, обладающему полиномиально ограниченными вычислительными ресурсами. Голдвассер и Микали обнаружили, что во многих приложениях сообщения могут содержать априорную информацию, полезную для организации атак. Например, зашифрованный текст может содержать только одну простую инструкцию (например, «покупать» или «продавать», либо имя одного из нескольких кандидатов при голосовании). Голдвассер и Микали указали на то, что криптосистемы с открытым ключом, основанные на непосредственном применении односторонних функций с секретом, как правило, очень слабо скрывают содержание таких сообщений.

Свойство (семантическая стойкость). Все элементы открытого текста, которые можно эффективно вычислить по заданному зашифрованному тексту, можно эффективно вычислить и без него.

Гольдвассер и Микали предложили схему вероятностного шифрования, обладающую этим свойством. Она шифрует всё сообщение бит за битом, причём вся сложность, связанная с поиском отдельного зашифрованного бита в тексте c, заключается в проверке, принадлежит число c множеству ${\displaystyle ~QR_{N}}$ или множеству ${\displaystyle ~J=\{x\in \mathbb {Z} _{N}^{\ast },\left({\frac {x}{N}}\right)\}}$

Чтобы установить параметры ключа, Алиса^{[уточнить]} должна выполнить следующие операции :

1. Выбрать два случайных числа ${\displaystyle ~p}$ и ${\displaystyle ~q}$, удовлетворяющих условию ${\displaystyle ~|p|=|q|}$ бит
2. Вычислить значение ${\displaystyle ~N=pq}$
3. Извлечь случайное целое число y удовлетворяющее условию (символы Якоби) ${\displaystyle \left({\frac {y}{p}}\right)=\left({\frac {y}{q}}\right)=-1}$
   (*Таким образом, ${\displaystyle y\in J(N){\mathcal {n}}QR_{N}}$.*)
4. Описать пару ${\displaystyle ~(N,y)}$ в качестве открытого ключа, а пару ${\displaystyle ~(p,q)}$ сохранить в тайне как закрытый ключ.

Чтобы послать Алисе строку ${\displaystyle m=b_{1}b_{2}\dots b_{l}}$, Боб выполняет следующие операции:
${\displaystyle for(i=1,2\dots ,l)}$

{

${\displaystyle x\leftarrow _{U}\mathbb {Z} _{N}^{\ast };}$
${\displaystyle if(b_{i}==0)c_{i}\leftarrow x^{2}(modN);}$
${\displaystyle else\ c_{i}\leftarrow yx^{2}(modN);}$

}

Боб посылает Алисе сообщение Невозможно разобрать выражение (SVG (MathML можно включить с помощью плагина для браузера): Недопустимый ответ («Math extension cannot connect to Restbase.») от сервера «http://localhost:6011/ru.wikipedia.org/v1/»:): {\displaystyle E_N(m) \leftarrow (c_1,c_2 \dots ,c_l).}

Получив кортеж ${\displaystyle (c_{1},c_{2},\dots ,c_{l})}$, Алиса выполняет следующие операции:
${\displaystyle for(i=1,2\dots ,l)}$

{

${\displaystyle if(c_{i}\in QR_{N})b_{i}\leftarrow 0;}$
${\displaystyle b_{i}\leftarrow 1;}$

}

${\displaystyle set\ m\leftarrow (b_{1},b_{2},\dots ,b_{l}).}$

Для шифрования сообщения, состоящего из ${\displaystyle l}$ бит, необходимо выполнить ${\displaystyle O(l(\log _{2}N)^{2})}$ побитовых операций. Это выражение представляет собой оценку временной сложности алгоритма. Степень расширения этого алгоритма равна ${\displaystyle \log _{2}N}$:одному биту исходного текста соответствуют ${\displaystyle \log _{2}N}$ бит зашифрованного текста.
Поскольку для вычисления символа Лежандра по модулю ${\displaystyle p}$ и по модулю ${\displaystyle q}$ при условии, что ${\displaystyle |p|=|q|=k}$ необходимо выполнить ${\displaystyle O_{B}(k^{2})}$ побитовых операций, для расшифровки кортежа ${\displaystyle (c_{1},c_{2},\dots c_{k})}$ требуются ${\displaystyle O_{B}((\log _{2}N)^{2})}$ побитовых операций. Это выражение представляет собой оценку временной сложности расшифровки.

Алгоритм шифрования в криптосистемы GM можно рассматривать как безошибочный рандомизированный алгоритм: случайные операции в алгоритме шифрования не могут исказить зашифрованный текст и обладают при этом следующими важными свойством.

Нулевые биты в исходном тексте равномерно распределяются по множеству ${\displaystyle QR_{N}}$, а единичные — по множеству ${\displaystyle J_{N}(1)\backslash QR_{N}}$.
Оба распределения являются равномерными, поскольку для нулевого бита, содержащегося в исходном тексте, возведение в квадрат означает отображение группы ${\displaystyle \mathbb {Z} _{N}^{\ast }}$ на множестве ${\displaystyle QR_{N}}$, а для единичного бита умножение элемента множества ${\displaystyle QR_{N}}$ на число ${\displaystyle y}$ является отоброжением из множества ${\displaystyle QR_{N}}$ на множество ${\displaystyle J_{N}(1)\backslash QR_{N}}$.

• Вэнбо Мао. Современная Криптография. Теория и Практика. — СПб.: Вильямс, 2005.

Для улучшения этой статьи желательно: Исправить статью согласно стилистическим правилам Википедии. Проверить достоверность указанной в статье информации. На странице обсуждения должны быть пояснения. После исправления проблемы исключите её из списка. Удалите шаблон, если устранены все недостатки.