Криптосистема М2 Уильямса (Williams) 1980
•Криптосистема Рабина имеет недостаток, заключающийся в неоднозначности дешифрования криптограммы. Этот недостаток преодолевается в М2 Уильямса.
Генерирование ключей: |
|
|
|
• |
1) необходимо генерировать два простых числа р и q примерно |
||
• |
одинаковой разрядности p 3(mod 8 ), q 7(mod 8 ) ; |
||
2) вычислить N pq |
|
|
|
• |
3) выбрать в качестве открытого ключа |
( N ,2 ) |
, а в качестве |
|
закрытого d. |
|
|
|
d ( p 1)( q 1) 1 |
|
|
|
4 |
|
|
Шифрование
Шифрование выполняется в два шага:
1. |
|
|
|
2M 1 |
|
|
|
|
|
|
|
||||
|
2( 2M |
1), если cимвол Якоби |
N |
1 |
|||
|
|
|
|
|
|
|
|
|
M E1( M ) |
|
|
|
2M 1 |
|
|
|
|
|
|
1 |
|||
|
|
4( 2M 1), если cимвол Якоби |
N |
|
|||
|
|
|
|
|
|
|
|
2. |
|
|
|
|
|
|
|
|
|
|
2 |
|
|
|
|
|
|
|
mod N |
|
|
|
|
|
C M |
|
|
|
|
||
Дешифрование
Действия выполняются в обратном порядке:
1.M Cd mod N
2. |
|
M |
|
1 |
|
|
4 |
|
|||
|
|
|
, если M 0 mod 4 |
2
|
|
( N M ) |
1 |
||||||
|
|
|
|
|
4 |
||||
|
|
|
|
|
|
|
|
|
, если M 1 mod 4 |
|
|
|
2 |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
M D1( M ') |
|
|
M |
|
1 |
|
|
|
|
|
|
|
2 |
, если M 2 mod 4 |
|||||
|
|
|
|
|
|
||||
2 |
|
|
|||||||
|
|
|
|
|
|
||||
|
( N M ) |
1 |
|||||||
|
|
|
|
|
2 |
|
|
, если M 3 mod 4 |
|
|
2 |
|
|
|
|
||||
|
|
|
|
|
|
||||
Показано, что стойкость криптосистемы Уильямса эквивалентна разложению N на множители.
Полный цикл шифрования –дешифрования можно описать так:
M E1 M ' E2 C D2 M ' D1 M
Дополнения
Бывают криптосистемы :
•Рабина M3 с соотношением 9:1 между открытыми текстами и шифротекстами.
•Уильямса M3, которая устраняет эту проблему.
Криптосистема Голдвассера-Микали
КС РША относится к детерминированным системам. Открытый ключ фиксирован и некоторое заданное сообщение М всегда в результате шифрования преобразуется в фиксированную криптограмму.
Недостатки детерминированных криптосистем:
1.Они не безопасны для произвольных распределений вероятностей исходных сообщений. Например в РША сообщения 0 и 1 всегда преобразуются в самих себя.
2.Легко можно получить некоторую информацию о p и q:
Например, если последняя цифра n равна 3, то последнии цифры p и q либо 1и 3, либо 7 и 9.
183= 3*61, |
253 = 11·23 |
203= 7·29, |
303 = 3·101 |
213= 3·71, |
323 = 17·19. |
3. легко определить, что некоторое сообщение было отправлено дважды.
Понятие о вероятностном шифровании
Вероятностное шифрование позволяет добиться более высокого уровня безопасности.
Основные понятия:
Полиномиальная безопасность
1.Пусть М1 и М2 два открытых текста и С1 и С2 две криптограммы им соответствующие. Криптосистема называется обеспечивающей полиномиальную безопасность, если нарушитель, перехватив С1 и С2, не может за полиномиальное время отличить какая криптограмма какому сообщению соответствует с вероятностью существенно большей 1\2.
M1 C1 M1
?
M2 C2 M2
•2. Семантическая безопасность.
•Криптосистема называется обеспечивающей семантическую безопасность, если при любом распределении вероятностей на множестве открытых текстов нарушитель не может за полиномиальное время отличить криптограмму,
соответствующую открытому сообщению от «криптограммы» как случайной последовательности.
•Криптосистема обеспечивает семантическую безопасность, если криптограмма не позволяет получить никакой информации об открытом сообщении за полиномиальное время. Криптосистема обеспечивает семантическую безопасность, тогда и только тогда, когда она обеспечивает полиномиальную безопасность,
M C
X C ?
Криптосистема Голдвассера-Микали
Основана на вычислительной неразрещимости задачи о квадратичном вычете
Генерирование ключей
1) генерируем два больших различных простых числа р и q,
|
состоящих из |
бит, |
|
|
|
|
|
|
|
2) |
вычисляем |
N pq, |
|
|
|
|
|
|
|
3) |
Выбираем |
y |
такое, что |
|
|
y |
1 |
, |
|
y QN и |
|
|
|||||||
|
|||||||||
|
|
|
|
|
|
N |
|
|
|
то есть, y является псевдоквадратом по модулю N,
4) Открытый ключ (N,y) , закрытый (p,q).
Шифрование
Для того, чтобы отправить сообщение корреспонденту А корреспондент В выполняет:
1.Получает от А открытый ключ (N,y),
2.Представляет сообщение m вc виде битовой строки
|
m m1,m2, ,mk, |
длиной k, |
|
|
|
|
|
|
|
|
|||
3. Для i от 1 до k: |
|
|
|
|
|
|
|
|
|
|
|
||
- |
выбирает случайным образом |
|
|
|
|
|
a Z |
|
: НОД(a,N) 1 |
||||
|
xi ( ZN ) |
, Z |
|
N |
|||||||||
мультипликативная группа, |
|
|
|
N |
|
||||||||
|
|
|
|
|
|
|
|
|
|||||
- вычисляет |
|
2 |
|
|
0, |
|
, |
|
|
|
|
||
|
|
xi mod N , если mi |
|
|
|
|
|
|
|||||
|
|
ci |
yx2 |
mod N , если m |
|
1 |
|
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
||||
|
|
i |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
в первом случае получаем квадрат, а во втором псевдоквадрат по модулю N,
4. Посылает c c1,c2, ,ck, корр. А. Размер криптограммы
k( 2 )
Расшифрование
Корр. А выполняет следующие действия:
1.Для i от 1 до k вычисляет символ Лежандра: e ci ,
i p
2. Вычисляет |
mi |
|
|
|
|
|
' |
|
|
|
0, если ei 1 |
|||
|
|
|||
|
mi |
|
|
|
|
|
|
|
|
|
1, в противном случае |
|||
|
|
|
|
|
то есть, mi 0 |
если ci QN |
(вычет) , mi 1 в противном случае, |
||
3. Выводит расшифрованное сообщение m m1,m2, ,mk,