XTR (алгоритм)

XTR (скорочення від ECSTR — «Efficient and Compact Subgroup Trace Representation») — алгоритм шифрування з відкритим ключем, який базується на обчислювальній складності задачі дискретного логарифмування. Перевагами цього алгоритму перед іншими, що використовують цю ідею, є більша швидкість і менший розмір ключа.

Алгоритм використовує генератор ${\displaystyle g}$ відносно малої підгрупи порядку ${\displaystyle q}$ (${\displaystyle q}$ — просте) підгрупи ${\displaystyle GF(p^6{)}^{*}}$. За правильного вибору ${\displaystyle q}$, дискретне логарифмування в групі, породженій ${\displaystyle g}$, має таку ж обчислювальну складність, що й у ${\displaystyle GF(p^6{)}^{*}}$. XTR використовує арифметику ${\displaystyle GF(p^2)}$ замість ${\displaystyle GF(p^6)}$, забезпечуючи таку ж захищеність, але з меншими витратами на обчислення і передавання даних.

Алгоритм працює в скінченному полі ${\displaystyle GF(p^6)}$. Розглянемо групу порядку ${\displaystyle p^2-p+1}$, і її підгрупу порядку q, де p — просте число, таке, що інше досить велике просте число q є дільником ${\displaystyle p^2-p+1}$. Група порядку q називається XTR-підгрупою. Ця циклічна група ${\displaystyle ⟨g⟩}$ є підгрупою ${\displaystyle GF(p^6{)}^{*}}$ і має генератор g.

Нехай p — просте число, таке, що p ≡ 2 mod 3, а p ² — p + 1 ділиться на досить велике просте q. Оскільки p ² ≡ 1 mod 3, p породжує ${\displaystyle (\mathbb{Z}/3\mathbb{Z}{)}^{*}}$. Таким чином, коловий многочленШаблон:Прояснити ${\displaystyle {\mathrm{\Phi }}_3(x)=x^2+x+1}$ є таким, що не переводиться в ${\displaystyle GF(p)}$. Отже, корені ${\displaystyle \alpha }$ і ${\displaystyle {\alpha }^p}$ утворюють оптимальний нормальний базис ${\displaystyle GF(p^2)}$ над ${\displaystyle GF(p)}$ і

${\displaystyle GF(p^2)\cong \{x_1\alpha +x_2{\alpha }^p:x_1,x_2\in GF(p)\}.}$

З урахуванням p ≡ 2 mod 3:

${\displaystyle GF(p^2)\cong \{y_1\alpha +y_2{\alpha }^2:{\alpha }^2+\alpha +1=0,y_1,y_2\in GF(p)\}.}$

Лема. Вартість арифметичних операцій така:

• Обчислення x^p не вимагає множення
• Обчислення x² вимагає двох операцій множення в ${\displaystyle GF(p)}$
• Обчислення xy вимагає трьох операцій множення в ${\displaystyle GF(p)}$
• Обчислення xz-yz^p вимагає чотирьох операцій множення в ${\displaystyle GF(p)}$.^[1]

Елементами, сполученими з ${\displaystyle h\in GF(p^6)}$ в ${\displaystyle GF(p^2)}$ є: сам ${\displaystyle h,h^{p^2}}$ і ${\displaystyle h^{p^4}}$, а їх сума — слід ${\displaystyle h}$.

${\displaystyle Tr(h)=h+h^{p^2}+h^{p^4}.}$

Крім того:

${\displaystyle \begin{array}{cc}Tr(h{)}^{p^2}& =h^{p^2}+h^{p^4}+h^{p^6}\\ & =h+h^{p^2}+h^{p^4}\\ & =Tr(h)\end{array}}$

Розглянемо генератор ${\displaystyle g}$ XTR-групи порядку ${\displaystyle q}$, де ${\displaystyle q}$ — просте число. Оскільки ${\displaystyle ⟨g⟩}$ — підгрупа групи порядку ${\displaystyle p^2-p+1}$, то ${\displaystyle q\mid p^2-p+1}$. Крім того,

${\displaystyle p^2=p-1}$

і

${\displaystyle p^4=(p-1{)}^2=p^2-2p+1=-p}$.

Таким чином,

${\displaystyle \begin{array}{cc}Tr(g)& =g+g^{p^2}+g^{p^4}\\ & =g+g^{p-1}+g^{-p}.\end{array}}$

Відзначимо також, що зв'язаним до елементу ${\displaystyle g}$ є ${\displaystyle 1}$, тобто, ${\displaystyle g}$ має норму рівну 1. Ключовою особливістю XTR є те, що мінімальний многочлен ${\displaystyle g}$ в ${\displaystyle GF(p^2)}$

${\displaystyle (x-g)(x-g^{p-1})(x-g^{-p})}$

спрощується до

${\displaystyle x^3-Tr(g)x^2+Tr(g{)}^{p}x-1}$

Іншими словами, пов'язані з ${\displaystyle g}$ елементи, як корені мінімального многочлена в ${\displaystyle GF(p^2)}$, повністю визначаються слідом ${\displaystyle g}$. Аналогічні міркування вірні для будь-якого степеня ${\displaystyle g}$:

${\displaystyle x^3-Tr(g^n)x^2+Tr(g^n{)}^{p}x-1}$

- цей многочлен визначається слідом ${\displaystyle Tr(g^n)}$.

Ідея алгоритму в тому, щоб замінити ${\displaystyle g^n\in GF(p^6)}$ на ${\displaystyle Tr(g^n)\in GF(p^2)}$, тобто обчислювати ${\displaystyle Tr(g^n)}$ за ${\displaystyle Tr(g)}$ замість ${\displaystyle g^n}$ за ${\displaystyle g}$. Однак для того, щоб метод був ефективним, потрібен спосіб швидко отримувати ${\displaystyle Tr(g^n)}$ за наявним ${\displaystyle Tr(g)}$.

Означення: Для кожного ${\displaystyle c}$ з ${\displaystyle GF(p^2)}$ визначимо:

${\displaystyle F(c,X)=X^3-c{X}^2+c^{p}X-1\in GF(p^2)[X].}$

Означення: Нехай ${\displaystyle h_0,h_1,h_2}$ — корені ${\displaystyle F(c,X)}$ в ${\displaystyle GF(p^6)}$, а ${\displaystyle n\in \mathbb{Z}}$. Позначимо:

${\displaystyle c_n=h_0^n+h_1^n+h_2^n.}$

Властивості ${\displaystyle c_n}$ і ${\displaystyle F(c,X)}$ :

1. ${\displaystyle c=c_1}$
2. ${\displaystyle c_{-n}=c_{np}=c_n^p}$
3. ${\displaystyle c_n\in GF(p^2)}$ для ${\displaystyle n\in \mathbb{Z}}$
4. ${\displaystyle c_{u+v}=c_u{c}_v-c_v^p{c}_{u-v}+c_{u-2v}}$ для ${\displaystyle u,v\in \mathbb{Z}}$
5. або всі ${\displaystyle h_j}$ мають порядок, який є дільником ${\displaystyle p^2-p+1}$ і ${\displaystyle >3}$, або всі ${\displaystyle h_j}$ — в полі ${\displaystyle GF(p^2)}$. Зокрема, ${\displaystyle F(c,X)}$ — є таким, що не переводиться тоді і тільки тоді, коли його корені мають порядок, який є дільником ${\displaystyle p^2-p+1}$ і ${\displaystyle >3}$.
6. ${\displaystyle F(c,X)}$ звідне в полі ${\displaystyle GF(p^2)}$ тоді і тільки тоді, коли ${\displaystyle c_{p+1}\in GF(p)}$

Лема: Нехай дано ${\displaystyle c,c_{n-1},c_n,c_{n+1}}$.

1. обчислення ${\displaystyle c_{2n}=c_n^2-2c_n^p}$ вимагає двох операцій множення в полі ${\displaystyle GF(p)}$.
2. обчислення ${\displaystyle c_{n+2}=c_{n+1}\cdot c-c^p\cdot c_n+c_{n-1}}$ вимагає чотирьох операцій множення в полі ${\displaystyle GF(p)}$.
3. обчислення ${\displaystyle c_{2n-1}=c_{n-1}\cdot c_n-c^p\cdot c_n^p+c_{n+1}^p}$ вимагає чотирьох операцій множення в полі ${\displaystyle GF(p)}$.
4. обчислення ${\displaystyle c_{2n+1}=c_{n+1}\cdot c_n-c\cdot c_n^p+c_{n-1}^p}$ вимагає чотирьох операцій множення в полі ${\displaystyle GF(p)}$.

Визначення: Нехай ${\displaystyle S_n(c)=(c_{n-1},c_n,c_{n+1})\in GF(p^2{)}^3}$.

• Якщо ${\displaystyle n<0}$, то алгоритм застосовується для ${\displaystyle -n}$ і ${\displaystyle c}$, потім використовується властивість 2 для отримання кінцевого результату.
• Якщо ${\displaystyle n=0}$, ${\displaystyle S_0(c)=(c^p,3,c)}$.
• Якщо ${\displaystyle n=1}$, ${\displaystyle S_1(c)=(3,c,c^2-2c^p)}$.
• Якщо ${\displaystyle n=2}$, скористаємося виразами для ${\displaystyle c_{n+2}=c_{n+1}\cdot c-c^p\cdot c_n+c_{n-1}}$ і ${\displaystyle S_1(c)}$, щоб знайти ${\displaystyle c_3}$ і відповідно, ${\displaystyle S_2(c)}$.
• Якщо ${\displaystyle n>2}$, щоб обчислити ${\displaystyle S_n(c)}$, введемо

${\displaystyle {\overline{S}}_i(c)=S_{2i+1}(c)}$

і ${\displaystyle \overline{m}=n}$ якщо ${\displaystyle n}$ непарне і ${\displaystyle \overline{m}=n-1}$ якщо парне. Покладемо ${\displaystyle \overline{m}=2m+1,k=1}$ і знайдемо ${\displaystyle {\overline{S}}_k(c)=S_3(c)}$, використовуючи твердження, і ${\displaystyle S_2(c)}$. Нехай, надалі,

${\displaystyle m={\displaystyle \sum _{j=0}^r}{m}_j{2}^j}$

де ${\displaystyle m_j\in 0,1}$ і ${\displaystyle m_r=1}$. Для ${\displaystyle j=r-1,r-2,...,0}$ послідовно виконаємо таке:

• Якщо ${\displaystyle m_j=0}$, скористаємося ${\displaystyle {\overline{S}}_k(c)}$ щоб знайти ${\displaystyle {\overline{S}}_{2k}(c)}$.
• Якщо ${\displaystyle m_j=1}$, скористаємося ${\displaystyle {\overline{S}}_k(c)}$ щоб знайти ${\displaystyle {\overline{S}}_{2k+1}(c)}$.
• Замінимо ${\displaystyle k}$ на ${\displaystyle 2k+m_j}$.

По завершенні ітерацій, ${\displaystyle k=m}$, а ${\displaystyle S_{\overline{m}}(c)={\overline{S}}_m(c)}$. Якщо n — парне, скористаємося ${\displaystyle S_{\overline{m}}(c)}$ щоб знайти ${\displaystyle {\overline{S}}_{m+1}(c)}$.

Щоб скористатися перевагами подання елементів груп у вигляді їх слідів і забезпечити достатню захищеність даних, необхідно знайти прості ${\displaystyle p}$ і ${\displaystyle q}$, де ${\displaystyle p}$ — характеристика поля ${\displaystyle GF(p^6)}$, причому ${\displaystyle p\equiv 2\text{mod}3}$, а ${\displaystyle q}$ — розмір підгрупи і дільник ${\displaystyle p^2-p+1}$. Позначимо як ${\displaystyle P}$ і ${\displaystyle Q}$ розміри ${\displaystyle p}$ і ${\displaystyle q}$ в бітах. Щоб досягти рівня безпеки, який надає, наприклад, RSA з довжиною ключа 1024 біти, потрібно вибрати ${\displaystyle P}$ таким, що ${\displaystyle 6P>1024}$, тобто ${\displaystyle P\approx 170}$ а ${\displaystyle Q}$ може бути близько 160. Перший алгоритм, який дозволяє обчислити такі прості ${\displaystyle p}$ і ${\displaystyle q}$ — Алгоритм А.

Алгоритм А

1. Знайдемо ${\displaystyle r\in \mathbb{Z}}$ таке, що число ${\displaystyle q=r^2-r+1}$ — просте число довжиною в ${\displaystyle Q}$ біт.
2. Знайдемо ${\displaystyle k\in \mathbb{Z}}$ таке, що число ${\displaystyle p=r+k\cdot q}$ — просте довжиною ${\displaystyle P}$ біт, а також ${\displaystyle p\equiv 2\text{mod}3}$.

Коректність Алгоритму А:

Необхідно перевірити лише те, що ${\displaystyle q\mid p^2-p+1}$, оскільки всі решта властивостей очевидно виконані через специфіку вибору ${\displaystyle p}$ і ${\displaystyle q}$.

Неважко помітити, що ${\displaystyle p^2-p+1=r^2+2rkq+k^2{q}^2-r-kq+1=r^2-r+1+q(2rk+k^{2}q-k)=q(1+2rk+k^{2}q-k)}$, отже ${\displaystyle q\mid p^2-p+1}$.

Алгоритм А дуже швидкий, однак може бути небезпечним, оскільки вразливий щодо атаки з використанням решета числового поля.

Цього недоліку позбавлений повільніший Алгоритм Б.

Алгоритм Б

1. Виберемо просте число ${\displaystyle q}$ довжиною в ${\displaystyle Q}$ біт, таке, що ${\displaystyle q\equiv 7\text{mod}12}$.
2. Знайдемо корені ${\displaystyle r_1}$ і ${\displaystyle r_2}$${\displaystyle X^2-X+1\text{mod}q}$.
3. Знайдемо ${\displaystyle k\in \mathbb{Z}}$ таке, що ${\displaystyle p=r_i+k\cdot q}$, ${\displaystyle p}$ — просте ${\displaystyle P}$ -бітове число і при цьому ${\displaystyle p\equiv 2\text{mod}3}$ для ${\displaystyle i\in \{1,2\}}$

Коректність Алгоритму Б:

Як тільки ми вибираємо ${\displaystyle q\equiv 7\text{mod}12}$, автоматично виконується умова ${\displaystyle q\equiv 1\text{mod}3}$ (оскільки ${\displaystyle 7\equiv 1\text{mod}3}$ і ${\displaystyle 3\mid 12}$). З цього твердження і квадратичного закону взаємності випливає, що корені ${\displaystyle r_1}$ і ${\displaystyle r_2}$ існують.

Щоб перевірити, що ${\displaystyle q\mid p^2-p+1}$ знову розглянемо ${\displaystyle p^2-p+1}$ для ${\displaystyle r_i\in \{1,2\}}$ і зауважимо, що ${\displaystyle p^2-p+1=r_i^2+2r_{i}kq+k^2{q}^2-r_i-kq+1=r_i^2-r_i+1+q(2rk+k^{2}q-k)=q(2rk+k^{2}q-k)}$. Тобто ${\displaystyle r_1}$ і ${\displaystyle r_2}$ — корені ${\displaystyle X^2-X+1}$ і, отже, ${\displaystyle q\mid p^2-p+1}$.

У попередньому розділі ми знайшли розміри ${\displaystyle p}$ і ${\displaystyle q}$ скінченного поля ${\displaystyle GF(p^6)}$ і мультиплікативної підгрупи в ${\displaystyle GF(p^6{)}^{*}}$. Тепер слід знайти підгрупу ${\displaystyle ⟨g⟩}$ в ${\displaystyle GF(p^6{)}^{*}}$ для деяких ${\displaystyle g\in GF(p^6)}$ таких, що ${\displaystyle \mid ⟨g⟩\mid =q}$. Однак, необов'язково шукати явний елемент ${\displaystyle g\in GF(p^6)}$, досить знайти елемент ${\displaystyle c\in GF(p^2)}$ такий, що ${\displaystyle c=Tr(g)}$ для елемента ${\displaystyle g\in GF(p^6)}$ порядку ${\displaystyle q}$. Але при цьому ${\displaystyle Tr(g)}$, генератор ${\displaystyle g}$ XTR-групи може бути знайдений шляхом знаходження кореня ${\displaystyle F(Tr(g),X)}$. Щоб знайти це ${\displaystyle c}$, розглянемо властивість 5 ${\displaystyle F(c,X)}$. Знайшовши таке ${\displaystyle c}$ слід перевірити, чи дійсно воно має порядок ${\displaystyle q}$, проте спочатку потрібно вибрати ${\displaystyle c\in GF(p^2)}$, таке, що ${\displaystyle F(c,X)}$ — незвідне. Найпростіший підхід в тому, щоб вибирати ${\displaystyle c\in GF(p^2)\mathrm{\setminus }GF(p)}$ випадковим чином.

Лема: Для випадково вибраного ${\displaystyle c\in GF(p^2)}$ ймовірність, що ${\displaystyle F(c,X)=X^3-c{X}^2+c^{p}X-1\in GF(p^2)[X]}$ — є незвідним, більша 1/3.

Базовий алгоритм для пошуку ${\displaystyle Tr(g)}$:

1. Виберемо випадкове ${\displaystyle c\in GF(p^2)\mathrm{\setminus }GF(p)}$.
2. Якщо ${\displaystyle F(c,X)}$ — звідне, повернемося на перший крок.
3. Скористаємося алгоритмом для пошуку ${\displaystyle S_n(c)}$. Знайдемо ${\displaystyle d=c_{(p^2-p+1)/q}}$.
4. Якщо ${\displaystyle d}$ має порядок не рівний ${\displaystyle q}$, повернемося на перший крок.
5. Нехай ${\displaystyle Tr(g)=d}$.

Даний алгоритм обчислює елемент поля ${\displaystyle GF(p^2)}$ еквівалентний ${\displaystyle Tr(g)}$ для деяких ${\displaystyle g\in GF(p^6)}$ порядку ${\displaystyle q}$.^[1]

Припустимо, Аліси і Боб мають відкритий XTR-ключ ${\displaystyle (p,q,Tr(g))}$ і вони хочуть згенерувати спільний закритий ключ ${\displaystyle K}$.

1. Аліса вибирає випадкове число ${\displaystyle a\in \mathbb{Z}}$ таке, що ${\displaystyle 1<a<q-2}$, обчислює ${\displaystyle S_a(Tr(g))=(Tr(g^{a-1}),Tr(g^a),Tr(g^{a+1}))\in GF(p^2{)}^3}$ і посилає ${\displaystyle Tr(g^a)\in GF(p^2)}$ Бобу.
2. Боб отримує ${\displaystyle Tr(g^a)}$ від Аліси, вибирає випадкове ${\displaystyle b\in \mathbb{Z}}$ таке, що ${\displaystyle 1<b<q-2}$, обчислює ${\displaystyle S_b(Tr(g))=(Tr(g^{b-1}),Tr(g^b),Tr(g^{b+1}))\in GF(p^2{)}^3}$ і посилає ${\displaystyle Tr(g^b)\in GF(p^2)}$ Алісі.
3. Аліса отримує ${\displaystyle Tr(g^b)}$ від Боба, обчислює ${\displaystyle S_a(Tr(g^b))=(Tr(g^{(a-1)b}),Tr(g^{ab}),Tr(g^{(a+1)b}))\in GF(p^2{)}^3}$ і отримує ${\displaystyle Tr(g^{ab})\in GF(p^2)}$ — закритий ключ ${\displaystyle K}$.
4. Так само, Боб обчислює ${\displaystyle S_b(Tr(g^a))=(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)}))\in GF(p^2{)}^3}$ і отримує ${\displaystyle Tr(g^{ab})\in GF(p^2)}$ — закритий ключ ${\displaystyle K}$.

Припустимо, Аліса має частину публічного ключа XTR: ${\displaystyle (p,q,Tr(g))}$. Аліса вибирає секретне ціле число ${\displaystyle k}$ і обчислює і публікує ${\displaystyle Tr(g^k)}$. Отримавши публічний ключ Аліси ${\displaystyle (p,q,Tr(g),Tr(g^k))}$, Боб може зашифрувати повідомлення ${\displaystyle M}$, Призначене Алісі, використовуючи такий алгоритм:

1. Боб вибирає випадкове ${\displaystyle b\in \mathbb{Z}}$ таке, що ${\displaystyle 1<b<q-2}$ і обчислює ${\displaystyle S_b(Tr(g))=(Tr(g^{b-1}),Tr(g^b),Tr(g^{b+1}))\in GF(p^2{)}^3}$.
2. Потім Боб обчислює ${\displaystyle S_b(Tr(g^k))=(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k}))\in GF(p^2{)}^3}$.
3. Боб визначає симетричний ключ ${\displaystyle K}$ на основі ${\displaystyle Tr(g^{bk})\in GF(p^2)}$.
4. Боб шифрує повідомлення ${\displaystyle M}$ ключем ${\displaystyle K}$, отримуючи зашифроване повідомлення ${\displaystyle E}$.
5. Пару ${\displaystyle (Tr(g^b),E)}$ Боб посилає Алісі.

Отримавши пару ${\displaystyle (Tr(g^b),E)}$, Аліса розшифровує її таким чином:

1. Аліса обчислює ${\displaystyle S_k(Tr(g^b))=(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)}))\in GF(p^2{)}^3}$.
2. Аліса визначає симетричний ключ ${\displaystyle K}$ на основі ${\displaystyle Tr(g^{bk})\in GF(p^2)}$.
3. Знаючи, що алгоритм шифрування повідомлення — симетричний, Аліса ключем ${\displaystyle K}$ розшифровує ${\displaystyle E}$, отримуючи початкове повідомлення ${\displaystyle M}$.

Таким чином, повідомлення надіслано.

Шаблон:Reflist

Шаблон:Асиметричні криптосистеми