Tre trins protokol

En tre-pass protokol er en kryptografisk protokol, der giver dig mulighed for sikkert at overføre en besked mellem to parter uden behov for at udveksle eller distribuere hverken offentlige eller private nøgler . Denne protokol forudsætter brugen af en kommutativ chiffer [1] .

Grundlæggende information

Trevejsprotokollen kaldes så, fordi tre krypterede beskeder udveksles mellem afsender og modtager. Den første tre-trins protokol blev udviklet af Adi Shamir i 1980'erne, men er ikke blevet offentliggjort [2] [3] . Det grundlæggende koncept for protokollen er, at hver side af transmissionen har sin egen private nøgle til kryptering og privat nøgle til dekryptering. Hver side bruger sine nøgler uafhængigt, først til at kryptere beskeden og derefter for at dekryptere den.

Protokollen bruger en krypteringsfunktion og en dekrypteringsfunktion . Nogle gange kan funktionen af kryptering og dekryptering være den samme. Krypteringsfunktionen bruger krypteringsnøglen til at ændre den almindelige besked til en krypteret eller chiffertekst . For hver krypteringsnøgle er der en tilsvarende dekrypteringsnøgle , som gør det muligt at genskabe den originale tekst ved hjælp af dekrypteringsfunktionen, . $E$ $D$ $e$ $m$ $E(e,m)$ $e$ $d$ $D(d,E(e,m))=m$

For at krypterings- og dekrypteringsfunktionerne er egnede til en tre-vejs protokol, for enhver meddelelse , skal en hvilken som helst krypteringsnøgle med dens tilsvarende dekrypteringsnøgle udføres . Med andre ord skal den første kryptering med nøglen dekrypteres , selvom beskeden er krypteret med den anden nøgle . Dette er egenskaben ved kommutativ kryptering. Kommutativ kryptering er en kryptering, der ikke afhænger af rækkefølgen, det vil sige, den er gyldig for alle nøgler og for alle meddelelser . Til kommutativ kryptering, . $E$ $D$ $m$ $e$ $k$ $D(d,E(k,E(e,m)))=E(k,m)$ $e$ $k$ $E(a,E(b,m))=E(b,E(a,m))$ $-en$ $b$ $m$ $D(d,E(k,E(e,m)))=D(d,E(e,E(k,m)))=E(k,m)$

Beskrivelse af algoritmen

Antag at Alice vil sende en besked til Bob. Derefter fungerer tretrinsprotokollen som følger [1] :

Alice vælger en privat krypteringsnøgle og en tilsvarende dekrypteringsnøgle . Alice krypterer den originale besked med nøglen og sender chifferteksten til Bob. $s$ $t$ $m$ $s$ $E(s,m)$
Bob vælger en privat krypteringsnøgle og en tilsvarende dekrypteringsnøgle , og krypterer derefter den første besked igen med nøglen og sender den dobbeltkrypterede besked tilbage til Alice. $r$ $q$ $E(s,m)$ $r$ $E(r,E(s,m))$
Alice dekrypterer den anden besked med nøglen . På grund af den kommutativitet, der er beskrevet ovenfor, får vi , det vil sige en besked, der kun er krypteret med Bobs private nøgle. Alice sender denne chiffertekst til Bob. $t$ $D(t,E(r,E(s,m)))=E(r,m)$
Bob dekrypterer den tredje besked med nøglen og får den originale besked. $q$ $D(q,E(r,m))=m$

Det er værd at bemærke, at alle operationer, der bruger Alices private nøgler , udføres af Alice, og alle operationer, der bruger Bobs private nøgler , udføres af Bob, det vil sige, at den ene side af udvekslingen ikke behøver at kende nøglerne til den anden. $s$ $t$ $r$ $q$

Shamirs tretrinsprotokol

Den første tre-trins protokol var Shamirs tre-trins protokol [2] , udviklet i 1980'erne. Denne protokol kaldes også Shamir No - Key Protocol , fordi denne protokol ikke udveksler nøgler, men udvekslingsparterne skal have 2 private nøgler til kryptering og dekryptering. Shamirs algoritme bruger eksponentieringsmodulo et stort primtal som funktion af både kryptering og dekryptering, det vil sige, og hvor er et stort primtal [4] . For enhver kryptering er eksponenten i segmentet og er sand for det . Den tilsvarende indikator for dekryptering er valgt således, at . Det følger af Fermats lille sætning , at . $E(e,m)=m^{e}{\bmod {p))$ $D(d,m)=m^{d}{\bmod {p))$ $s$ $e$ $1..p-1$ ${\text{gcd}}(e,p-1)=1$ $d$ ${de}{\bmod {p}}-1=1$ $D(d,E(e,m))=m^{de}{\bmod {p}}=m$

Shamir-protokollen er kommutativ fordi . $E(a,E(b,m))=m^{ab}{\bmod {p}}=m^{ba}{\bmod {p}}=E(b,E(a,m ))$

Massey-Omura kryptosystem

Massey-Omura-kryptosystemet blev foreslået af James Massey og Jim K. Omura i 1982 som en forbedring af Shamir-protokollen [5] [6] . Massey-Omura-metoden bruger eksponentiering i Galois-feltet som en funktion af både kryptering og dekryptering, det vil sige, og hvor beregningerne er i Galois-feltet. For enhver kryptering er eksponenten i segmentet og er sand for det . Den tilsvarende indikator for dekryptering er valgt således, at . Da den multiplikative gruppe af Galois-feltet har orden , følger det af Lagranges sætning , at for alle i . $GF(2^n)$ ${\displaystyle E(e,m)=m^{e))$ ${\displaystyle D(d,m)=m^{d))$ $e$ $1..{{2^{n}}-1}$ ${\text{gcd}}(e,2^{n}-1)=1$ $d$ $de{\bmod {2}}^{n}-1=1$ $GF(2^n)$ $2^{n}-1$ $D(d,E(e,m))=m^{de}=m$ $m$ $GF(2^{n})^{*}$

Hvert element i Galois-feltet er repræsenteret som en binær normal basisvektor , hvor hver basisvektor er kvadratet af den foregående. Det vil sige, at basisvektorerne hvor er elementet i feltet med den maksimale rækkefølge . Ved at bruge denne repræsentation kan eksponentiering til en potens af 2 udføres ved hjælp af et cyklisk skift . Det betyder, at forhøjelse til en vilkårlig magt ikke kan gøres med mere end skift og multiplikationer. Desuden kan flere multiplikationer udføres parallelt. Dette giver mulighed for hurtigere hardwareimplementeringer ved at bruge flere multiplikatorer [7] . $GF(2^n)$ $v^{1},v^{2},v^{4},v^{8},\dots$ $v$ $m$ $n$ $n$

Sikkerhed

En nødvendig betingelse for sikkerheden af trevejsprotokollen er, at angriberen ikke kan fastslå noget om den oprindelige besked fra de tre videresendte beskeder [8] . Denne betingelse pålægger en begrænsning af valget af krypterings- og dekrypteringsfunktioner. For eksempel kan den kommutative funktion xor ikke bruges i en tre-vejs protokol, fordi . Det vil sige, at du ved at kende de tre videresendte beskeder kan gendanne den oprindelige besked [9] . $m$ $E(s,m),E(r,E(s,m)),E(r,m)$ $E(s,m)=m\oplus s$ $(m\oplus s)\oplus (m\oplus s\oplus r)\oplus (m\oplus r)=m$

Kryptografisk styrke

For de krypteringsfunktioner, der bruges i Shamir-algoritmen og Massey-Omura-algoritmen, afhænger sikkerheden af kompleksiteten i at beregne diskrete logaritmer i et begrænset felt. Hvis en angriber kan beregne diskrete logaritmer til Shamir-metoden eller Massey-Omura-metoden, kan protokollen være brudt. Nøglen kan beregnes ud fra beskeder og . Når det er kendt, er det let at beregne graden, der skal dechifreres . Angriberen kan derefter beregne ved at hæve den opsnappede besked til magten . I 1998 blev det vist, at brud på Massey-Omura-kryptosystemet under visse antagelser svarer til at bryde Diffie-Hellman-kryptosystemet [10] . $GF(p)$ $GF(2^n)$ $s$ $m^{r}$ $m^{rs}$ $s$ $t$ $m$ ${\displaystyle m^{s))$ $t$

Godkendelse

Tretrinsprotokollen giver ikke autentificering af udvekslingsparterne [11] . Uden implementering af tredjepartsgodkendelse er protokollen derfor sårbar over for et man-in -the-middle-angreb . Dette betyder, at hvis en angriber har evnen til at oprette falske beskeder eller opsnappe og erstatte rigtige sendte beskeder, så er udvekslingen kompromitteret .

Noter

↑ 1 2 B. Schneier, 1996 .
↑ 12 A.G. _ Konheim, 1981 , s. 345.
↑ A. Menezes, P. van Oorschot, S. Vanstone, 1996 , s. 535.
↑ A. Menezes, P. van Oorschot, S. Vanstone, 1996 , s. 500.
↑ Patent, US4567600.
↑ A. Menezes, P. van Oorschot, S. Vanstone, 1996 , s. 642.
↑ Lidl, Niederreiter 1998 , s. 601.
↑ A.G. Reinhold, 1991 , s. 3-5.
↑ Yoshito Kanamori, Seong-Moo Yoo, 2009 , s. 65-66.
↑ Sakurai, K.; Shizuya, H., 1998 , s. 29-43.
↑ A.G. Konheim, 1981 , s. 346-7.

Litteratur

B. Schneier. Anvendt kryptografi: "Protokoller, algoritmer og kildekoder i C". - 2. udgave. — New York: John Wiley & Sons, 1996.
Lidl R., Niederreiter G. Finite felter. I 2 bind. - Moskva: Mir, 1998. - 430 s. — ISBN 5-03-000065-8 .
Sakurai, K.; Shizuya, H. En strukturel sammenligning af den beregningsmæssige vanskelighed ved at bryde diskrete logkryptosystemer // Journal of Cryptology: Artikel. - 1998. - Nej. 11 . - S. 29-43 . — ISSN 09332790 .
A. G. Reinhold. Stærk kryptografi - The Global Tide of Change // Cato Institute: Artikel. - 1991. - Nej. 51 . - S. 3-5 .
US patent 4.567.600, amerikansk patent på Massey-Omura kryptosystem
AG Konheim. kryptografi . - New York: John Wiley & Sons, 1981. - S. 345-7 .
Yoshito Kanamori, Seong-Moo Yoo. Kvante tre-pas protokol: Nøglefordeling ved hjælp af kvantesuperpositionstilstande // International Journal of Network Security & Its Applications ( IJNSA): Artikel. - 2009. - Nej. 2 . - S. 65-66 .
A. Menezes, P. van Oorschot, S. Vanstone. Håndbog i anvendt kryptografi. — 5. oplag. - CRC Press, 1996. - S. 500, 535, 642. - 816 s. - ISBN 0-8493-8523-7 .

Offentlig nøgle kryptosystemer

Algoritmer

Faktorisering af heltal	Benalo kryptosystem Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern betalingsmodtager Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskret logaritme	BLS Cramer - Shoup Diffie-Hellman protokol DSA ECDH Kurve25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Krypteret nøgleudveksling Ordning af ElGamal underskriftsordning MQV Schnorr ordning SPEKE SRP STS
Kryptografi på gitter	NTRUEncrypt NTRUSign Læringsbaseret nøgleudveksling med fejl Signaturbaseret træning med fejl i ringen LYKKELIGHED Nyt håb
Andet	AE CEILIDH EPOC Skjulte feltligninger IES Lamports underskrift McEliece Merkle-Hellman rygsæk kryptosystem Naccache-Stern rygsæk kryptosystem Tre trins protokol XTR

Teori

Standarder

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Post kvantekryptering

Emner

Elektronisk signatur
OAEP
Fingeraftryk
PKI
web af tillid
Nøglestørrelse
Identitetsbaseret kryptografi
Postkvantekryptografi
OpenPGP-kort