Kryptosystem Goldwasser - Micali

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 13. december 2019; checks kræver 3 redigeringer .

Goldwasser-Micali Cryptosystem ( GM ) er et kryptografisk system med offentlig nøgle udviklet af Shafi Goldwasser og Silvio Micali i 1982 . GM er det første probabilistiske krypteringsskema med offentlig nøgle, der beviseligt er sikkert under standard kryptografiske antagelser. GM-kryptosystemet er imidlertid ineffektivt, fordi chifferteksten kan være hundredvis af gange længere end den krypterede meddelelse. For at bevise et kryptosystems sikkerhedsegenskaber introducerede Goldwasser og Micali det meget brugte begreb semantisk sikkerhed .

Goldwasser og Micali blev tildelt Turing-prisen i 2012 for skabelsen af et probabilistisk kryptosystem som et banebrydende arbejde, der har haft en betydelig indflydelse på moderne kryptografi .

Grundlæggende

Konceptet om modstand mod et IND-CPA- angreb blev først foreslået af Goldwasser og Micali. De kaldte dette begreb semantisk vedholdenhed. Det ligger i det faktum, at chifferteksten ikke tillader nogen nyttig information om klarteksten (bortset fra længden af selve klarteksten) at lække til enhver angriber med polynomielt begrænsede computerressourcer. Goldwasser og Micali fandt ud af, at meddelelser i mange applikationer kan indeholde a priori - oplysninger, der er nyttige til at organisere angreb. For eksempel kan chifferteksten kun indeholde én simpel instruktion (f.eks. "køb" eller "sælg", eller navnet på en af flere kandidater ved afstemning). Goldwasser og Micali har påpeget, at offentlige nøglekryptosystemer baseret på direkte anvendelse af envejsfunktioner med en hemmelighed som regel meget svagt skjuler indholdet af sådanne meddelelser.

Ejendom (semantisk persistens). Alle almindelige tekstelementer, der kan beregnes effektivt ud fra en given chiffertekst, kan beregnes effektivt uden den.

Goldwasser og Micali har foreslået et probabilistisk krypteringsskema , der har denne egenskab. Den krypterer hele beskeden bit for bit, og al den kompleksitet, der er forbundet med at finde en enkelt krypteret bit i teksten c , er at kontrollere, om nummeret c tilhører sættet eller sættet $QR_{N}$ $J(N)=\venstre\{x\in \mathbb {Z} _{N}^{\ast },\left({\frac {x}{N))\right)=1\right \}$

Beskrivelse af algoritmen

Nøglegenerering

For at indstille nøgleparametrene skal Alice udføre følgende handlinger:

Vælg to tilfældige tal og , der opfylder bitbetingelsen $s$ $q$ $|p|=|q|$
Beregn værdi $N = pq$
Udtræk et tilfældigt heltal , der opfylder betingelsen ( Jacobi-symboler ) (Således , men .) $y$ $\left({\frac {y}{p}}\right)=\left({\frac {y}{q}}\right)=-1$
$y\in J(N)$ $y\notin QR_{N}$
Beskriv parret som en offentlig nøgle, og hold parret hemmeligt som en privat nøgle. $(N,y)$ $(p,q)$

Kryptering

For at sende en streng til Alice gør Bob følgende: $m=b_{1}b_{2}\dots b_{l}$
$for(i=1,2\prikker ,l)$

{ }
$\quad x\leftarrow _{U}\mathbb {Z} _{N}^{\ast };$
$\quad if\,(b_{i}==0)\,\,c_{i}\venstrepil x^{2}(mod\,N);$
$\quad else\ c_{i}\leftarrow yx^{2}(mod\,N);$

Bob sender en besked til Alice $E_{N}(m)\venstrepil (c_{1},c_{2}\dots ,c_{l}).$

Dekryptering

Efter at have modtaget tuple , udfører Alice følgende operationer: $(c_{1},c_{2},\dots,c_{l})$
$for(i=1,2\prikker ,l)$

{

$\quad if\,(c_{i}\in QR_{N})\,\,b_{i}\venstrepil 0;$
$\quad b_{i}\venstrepil 1;$

}

$sæt\ m\venstrepil (b_{1},b_{2},\dots ,b_{l}).$

Tidskompleksitet af algoritmen

For at kryptere en meddelelse, der består af bits, skal du udføre bitvise handlinger. Dette udtryk er et skøn over algoritmens tidskompleksitet. Graden af udvidelse af denne algoritme er lig med : en bit af den almindelige tekst svarer til en bit af chifferteksten. Da beregningen af Legendre-symbolet modulo og modulo forudsatte, at bitvise operationer skal udføres , er bitvise operationer påkrævet for at dechifrere tuplen . Dette udtryk er et skøn over tidskompleksiteten af dekryptering. $l$ $O(l(\log _{2}N)^{2})$ $\log _{2}N$ $\log _{2}N$
$s$ $q$ $|p|=|q|=k$ $O_{B}(k^{2})$ $(c_{1},c_{2},\dots c_{k})$ $O_{B}((\log _{2}N)^{2})$

Styrken af GM-kryptosystemet

Krypteringsalgoritmen i GM-krypteringssystemet kan betragtes som en fejlfri randomiseret algoritme: tilfældige operationer i krypteringsalgoritmen kan ikke forvrænge chifferteksten og har samtidig følgende vigtige egenskaber.

Nul bits i kildeteksten er jævnt fordelt over sættet og enere over sættet . Begge fordelinger er ensartede, fordi for den nulbit, der er indeholdt i den originale tekst, betyder kvadrering en afbildning af gruppen på sættet , og for en enhedsbit er multiplikation af et element i mængden med et tal en afbildning fra mængden til sæt . $QR_{N}$ $J_{N}\backslash QR_{N}$
$\mathbb {Z} _{N}^{\ast }$ $QR_{N}$ $QR_{N}$ $y$ $QR_{N}$ $J_{N}\backslash QR_{N}$

Referencer

Mao V. Moderne kryptografi : Teori og praksis / oversættelse. D. A. Klyushina - M. : Williams , 2005. - 768 s. — ISBN 978-5-8459-0847-6

Offentlig nøgle kryptosystemer

Algoritmer

Faktorisering af heltal	Benalo kryptosystem Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern betalingsmodtager Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskret logaritme	BLS Cramer - Shoup Diffie-Hellman protokol DSA ECDH Kurve25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Krypteret nøgleudveksling Ordning af ElGamal underskriftsordning MQV Schnorr ordning SPEKE SRP STS
Kryptografi på gitter	NTRUEncrypt NTRUSign Læringsbaseret nøgleudveksling med fejl Signaturbaseret træning med fejl i ringen LYKKELIGHED Nyt håb
Andet	AE CEILIDH EPOC Skjulte feltligninger IES Lamports underskrift McEliece Merkle-Hellman rygsæk kryptosystem Naccache-Stern rygsæk kryptosystem Tre trins protokol XTR

Teori

Standarder

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Post kvantekryptering

Emner

Elektronisk signatur
OAEP
Fingeraftryk
PKI
web af tillid
Nøglestørrelse
Identitetsbaseret kryptografi
Postkvantekryptografi
OpenPGP-kort