Криптосистема Уильямса

Криптосистема Уильямса (Williams System) — система шифрования с открытым ключом, созданная Хью Коуи Уильямсом (Hugh Cowie Williams) в 1984 году.

История[править | править код]

Алгоритм был разработан в 1984 году как альтернатива более известному RSA. Целью разработки было избавиться от уязвимостей криптосистемы.

Об алгоритме[править | править код]

Для любой криптосистемы желательно, чтобы было доказано, что её взлом имеет вычислительную сложность аналогичную вычислительной сложности задачи, которую на данный момент невозможно решить за обозримое время. Как и RSA, криптосистема Уильямса опирается на предположение о сложности факторизации больших чисел, и было доказано, что для любого взлома шифротекста с помощью предварительного криптоанализа (имея лишь открытый ключ) необходимо провести факторизацию^[1], то есть решить уравнение ${\displaystyle pq=n}$ относительно ${\displaystyle p}$ и ${\displaystyle q}$. Это утверждение не было доказано для системы RSA. Вычислительная сложность задачи факторизации неизвестна, но считается, что она достаточно высока. Но, как и RSA, криптосистема Уильямса уязвима для атаки на основе подобранного шифротекста.

Описание алгоритма[править | править код]

Алгоритм системы Уильямса, не являясь вычислительно более сложным, чем RSA, намного более громоздкий в описании. Для него существует лемма^[2], которая будет описана в разделе о математическом аппарате — она играет ключевую роль в этой криптосистеме.

Математический аппарат[править | править код]

Для начала следует определить терминологию — она заимствована из теории квадратичных полей, но для криптосистемы требуются лишь самые начальные знания. Рассмотрим элемент

${\displaystyle \alpha =a+b{\sqrt {c}}=(a,b),}$

где ${\displaystyle a,b,c}$ — целые числа, а ${\displaystyle {\sqrt {c}}}$ — условный элемент, квадрат которого равен ${\displaystyle c}$. Тогда будут справедливы следующие формулы:

${\displaystyle \alpha _{1}+\alpha _{2}=(a_{1}+a_{2},b_{1}+b_{2}),}$

${\displaystyle \alpha _{1}\cdot \alpha _{2}=(a_{1}a_{2}+c\cdot b_{1}b_{2},a_{1}b_{2}+a_{2}b_{1})}$

Сопряжённым к ${\displaystyle \alpha }$ числом называется

${\displaystyle {\bar {\alpha }}=a-b{\sqrt {c}}}$

Определим также функции, которые помогут нам выразить степень этого числа. Пусть

${\displaystyle \alpha ^{i}=X_{i}(\alpha )+Y_{i}(\alpha ){\sqrt {c}},}$

тогда ${\displaystyle X_{i}}$ и ${\displaystyle Y_{i}}$ можно выразить через ${\displaystyle \alpha ^{i}}$ следующим образом:

${\displaystyle X_{i}(\alpha )=(\alpha ^{i}+{\bar {\alpha }}^{i})/2}$

${\displaystyle Y_{i}(\alpha )=b(\alpha ^{i}-{\bar {\alpha }}^{i})/(\alpha -{\bar {\alpha }})=(\alpha ^{i}-{\bar {\alpha }}^{i})(2{\sqrt {c}})}$

Последнее выражение предназначено только для упрощения понимания. Так как функции определены для пар ${\displaystyle (a,b)}$, то не содержат ${\displaystyle c}$. Если предположить теперь, что ${\displaystyle a^{2}-b^{2}c=1}$, то можно записать следующие рекуррентные соотношения:

${\displaystyle X_{2i}=2{X_{i}}^{2}-1}$

${\displaystyle Y_{2i}=2X_{i}Y_{i}}$

${\displaystyle X_{2i+1}=2X_{i}X_{i+1}-X_{1}}$

${\displaystyle Y_{2i+1}=2X_{i}Y_{i+1}-Y_{1}}$

Эти формулы предназначены для быстрого вычисления ${\displaystyle X_{i}}$ и ${\displaystyle Y_{i}}$. Так как ${\displaystyle X_{0}=1}$ и ${\displaystyle X_{1}=a}$, то ${\displaystyle X_{i}(\alpha )}$ также не зависит от ${\displaystyle b}$.

Лемма

Пусть ${\displaystyle n}$ является произведением двух нечётных простых чисел ${\displaystyle p}$ и ${\displaystyle q}$; ${\displaystyle a,b,c}$ - целые числа, удовлетворяющие уравнению ${\displaystyle a^{2}-cb^{2}=1{\pmod {n}}}$. Пусть символы Лежандра ${\displaystyle \delta _{p}=}$${\displaystyle \textstyle \left({\frac {c}{p}}\right)}$ и ${\displaystyle \delta _{q}=\textstyle \left({\frac {c}{q}}\right)}$ удовлетворяют сравнениям

${\displaystyle \delta _{p}=-p{\pmod {4}}}$ ${\displaystyle \delta _{q}=-q{\pmod {4}}}$.

Пусть далее ${\displaystyle gcd(cb,n)=1}$ и Символ Якоби ${\displaystyle \textstyle \left({\frac {2(a+1)}{n}}\right)}$ равен 1. Обозначим

${\displaystyle m=(p-\delta _{p})(q-\delta _{q})/4}$

и полагаем, что ${\displaystyle e}$ и ${\displaystyle d}$ удовлетворяют сравнению

${\displaystyle ed=(m+1)/2{\pmod {m}}}$.

При этих предположениях

${\displaystyle \alpha ^{2ed}=\pm \alpha {\pmod {n}}}$

Создание ключа[править | править код]

Сначала выбираются два простых числа ${\displaystyle p}$ и ${\displaystyle q}$, вычисляется их произведение ${\displaystyle n}$. С помощью перебора выбирается число ${\displaystyle c}$ так, чтобы символы Лежандра ${\displaystyle \delta _{p}}$ и ${\displaystyle \delta _{q}}$ удовлетворяли условиям, наложенным в лемме. Затем (также подбором) определяется число ${\displaystyle s}$ такое, что символ Якоби

${\displaystyle \textstyle \left({\frac {s^{2}-c}{n}}\right)=-1}$

и ${\displaystyle gcd\textstyle \left(s,n\right)=1.}$ Число ${\displaystyle m}$ выбирается так же, как и в лемме:

${\displaystyle m=(p-\delta _{p})(q-\delta _{q})/4}$

Затем выбираются числа ${\displaystyle d,e}$, удовлетворяющие условиям, наложенным в лемме. Выберем случайное, например, ${\displaystyle d:gcd\textstyle \left(d,m\right)=1}$, а ${\displaystyle e}$ вычислим по формуле

${\displaystyle e={\frac {m+1}{2}}d^{-1}{\pmod {m}}}$

Тогда ${\displaystyle {n,e,c,s}}$ — открытый ключ, а ${\displaystyle {p,q,m,d}}$ — секретный ключ.

Зашифрование[править | править код]

Все вычисления здесь ведутся по модулю ${\displaystyle n}$. Запись ${\displaystyle a+b{\sqrt {c}}{\pmod {n}}}$ здесь означает ${\displaystyle (a\mod n)+(b\mod n){\sqrt {c}}.}$ Представим открытый текст в виде числа ${\displaystyle w\in {2,3,...,n-1}}$. Определим ${\displaystyle \gamma }$ и ${\displaystyle b_{1}}$: если символ Якоби ${\displaystyle \textstyle \left({\frac {w^{2}-c}{n}}\right)}$ равен ${\displaystyle +1}$, то

${\displaystyle b_{1}=0}$ и ${\displaystyle \gamma =w+{\sqrt {c}},}$

иначе определим ${\displaystyle \gamma }$ через произведение

${\displaystyle b_{1}=1}$ и ${\displaystyle \gamma =(w+{\sqrt {c}})(s+{\sqrt {c}}).}$

Тогда легко убедиться, что символ Якоби

${\displaystyle \textstyle \left({\frac {\gamma {\bar {\gamma }}}{n}}\right)=1,}$

что проверяется прямым вычислением (во втором случае с учётом выбора ${\displaystyle s}$ и мультипликативности символа Якоби). Далее находим число

${\displaystyle \alpha ={\frac {\gamma }{\bar {\gamma }}}.}$

Представим ${\displaystyle \alpha }$ в виде ${\displaystyle \alpha =a+b{\sqrt {c}}.}$ ${\displaystyle \alpha }$ удовлетворяет условиям, накладываемым в лемме. Действительно, ${\displaystyle p,q,n,c,d,e}$ удовлетворяют условиям по построению, и

${\displaystyle \alpha {\bar {\alpha }}={\frac {\gamma }{\bar {\gamma }}}{\frac {\bar {\gamma }}{\gamma }}=1.}$

${\displaystyle 2(a+1)={\frac {\gamma }{\bar {\gamma }}}+{\frac {\bar {\gamma }}{\gamma }}+2={\frac {(\gamma +{\bar {\gamma }})^{2}}{{\bar {\gamma }}\gamma }}{\pmod {n}}}$

Из последней формулы следует, что

${\displaystyle \textstyle \left({\frac {2(a+1)}{n}}\right)=1.}$

Получив ${\displaystyle \alpha ,}$ следует его зашифровать возведением в степень ${\displaystyle e}$ — результат может быть представлен через ${\displaystyle X_{e}(\alpha )}$ и ${\displaystyle Y_{e}(\alpha ),}$ которые могут быть^[3] быстро (за количество операций порядка ${\displaystyle \log e}$) найдены с помощью рекуррентных формул. Введём обозначение

${\displaystyle E={\frac {X_{e}(\alpha )}{Y_{e}(\alpha )}}}$

Тогда криптотекстом будет являться тройка чисел ${\displaystyle (E,b_{1},b_{2}),}$ где ${\displaystyle b_{2}=a\mod 2.}$

Расшифрование[править | править код]

Расшифрование проводится проще. Сначала вычисляется

${\displaystyle \alpha ^{2e}={\frac {\alpha ^{2e}}{{(\alpha {\bar {\alpha }})}^{e}}}={\frac {E+{\sqrt {c}}}{E-{\sqrt {c}}}},}$

что может сделать и злоумышленник. Но для окончательного расшифрования необходимо вычислить, как показано в лемме, ${\displaystyle \alpha ^{2ed}}$ — при том, что ${\displaystyle d}$ держится в секрете.

${\displaystyle \alpha ^{2ed}=X_{d}(\alpha ^{2e})+Y_{d}(\alpha ^{2e}){\sqrt {c}}=\pm \alpha }$

Число ${\displaystyle b_{2},}$ передаваемое в сообщении, укажет, какой из знаков верен — тот, что даёт чётный результат или тот, что даёт нечётный. Число ${\displaystyle b_{1}}$ покажет, следует ли умножить результат на ${\displaystyle (s-{\sqrt {c}})/(s+{\sqrt {c}})}$. В результате мы получим число

${\displaystyle \alpha '={\frac {w+{\sqrt {c}}}{w-{\sqrt {c}}}}}$

И с лёгкостью найдём исходный текст, что и завершит процесс расшифрования.

${\displaystyle w={\frac {\alpha '+1}{\alpha '-1}}{\sqrt {c}}}$

Безопасность[править | править код]

Как и на RSA, на криптосистему может быть проведена атака на основе подобранного шифротекста. Предположим, что криптоаналитик нашёл некоторый алгоритм, позволяющий с вероятностью ${\displaystyle \delta >0}$ расшифровать криптотекст. Тогда он может поступить следующим образом:

1. Выбрать число ${\displaystyle \phi }$ такое, что символ Якоби ${\displaystyle \textstyle \left({\frac {\phi ^{2}-c}{n}}\right)=-1}$;

2. Зашифровать ${\displaystyle \phi }$, но таким образом, как будто упомянутый символ Якоби равен ${\displaystyle +1}$ и ${\displaystyle b_{1}=0}$, получив на выходе криптотекст ${\displaystyle (E,0,b_{2})}$;

3. Расшифровать полученный криптотекст, получив некоторый ${\displaystyle \psi \neq \phi }$.

Тогда с вероятностью ${\displaystyle \delta >0}$ криптоаналитик может получить

${\displaystyle \phi -\psi =p{\pmod {n}}}$

или

${\displaystyle \phi -\psi =q{\pmod {n}}}$

Что позволяет произвести факторизацию ${\displaystyle n}$ и взломать криптосистему.

Быстродействие[править | править код]

После генерации ключа основные вычисления происходят при возведении числа ${\displaystyle \alpha }$ в степень, а это может быть произведено за ${\displaystyle O(\log e)}$ умножений по модулю, каждое из которых происходит за ${\displaystyle O(\log e)}$ операций сложения, в свою очередь выполняющихся за ${\displaystyle O(\log e)}$ элементарных операций сложения неизменной скорости — то есть за ${\displaystyle O(\log ^{3}e)}$, с той же скоростью, что и возведение в степень целого числа по модулю, которое требуется для использования RSA.

Пример[править | править код]

Генерация ключа[править | править код]

Выберем, например, ${\displaystyle p=11}$ и ${\displaystyle q=13}$, произведением которых является ${\displaystyle n=143}$. Так как

${\displaystyle \left({\frac {5}{11}}\right)=1=-11{\pmod {4}}}$

и

${\displaystyle \left({\frac {5}{13}}\right)=-1=-13{\pmod {4}}}$

Можно выбрать ${\displaystyle c=5}$. Также, если выбрать ${\displaystyle s=2}$, получим

${\displaystyle \left({\frac {s^{2}-c}{n}}\right)=\left({\frac {-1}{11}}\right)\left({\frac {-1}{13}}\right)=-1}$

Что удовлетворяет условию теоремы. Далее получим

${\displaystyle m=\left({\frac {10\cdot 14}{4}}\right)=35}$

И, наконец, выберем экспоненты шифрования и расшифрования: так как

${\displaystyle 23\cdot 16=18{\pmod {m}}}$

Можно выбрать

${\displaystyle e=23}$

${\displaystyle d=16}$

Зашифрование[править | править код]

Пусть исходный текст будет ${\displaystyle \omega =21}$. Так как

${\displaystyle \left({\frac {21^{2}-5}{143}}\right)=\left({\frac {7}{11}}\right)\left({\frac {7}{13}}\right)=(-1)\cdot (-1)=1}$

Имеем ${\displaystyle b_{1}=0}$, ${\displaystyle \gamma =21+{\sqrt {5}}}$ и

${\displaystyle \alpha =\left({\frac {21+{\sqrt {5}}}{21-{\sqrt {5}}}}\right)=125+6{\sqrt {5}}{\pmod {143}}}$

Так как ${\displaystyle 125}$ нечётно, получаем ${\displaystyle b_{2}=1}$. После вычисления ${\displaystyle X_{23}(\alpha )=68}$ и ${\displaystyle Y_{23}(\alpha )=125}$ получаем

${\displaystyle E=68\cdot {125}^{-1}=68\cdot 135=28{\pmod {143}}}$

Таким образом, шифротекстом является тройка ${\displaystyle (28,1,1)}$.

Расшифрование[править | править код]

Теперь следует вычислить ${\displaystyle \alpha ^{2e}}$:

${\displaystyle \alpha ^{2e}=\left({\frac {28^{2}+5}{28^{2}-5}}\right)+2\cdot \left({\frac {28}{28^{2}-5}}\right){\sqrt {5}}=95+126{\sqrt {5}}{\pmod {143}}}$

Так как ${\displaystyle d=16}$, вычисляем также

${\displaystyle X_{16}(\alpha ^{2e})=18}$

${\displaystyle Y_{16}(\alpha ^{2e})=137}$

Так как ${\displaystyle b_{2}=1}$, то ${\displaystyle a}$ должно быть нечётным и

${\displaystyle \alpha '=-(18+137{\sqrt {5}})=125+6{\sqrt {5}}{\pmod {143}}}$

Учитывая, что вторая компонента шифротекста ${\displaystyle b_{1}=0}$, заключаем, что ${\displaystyle \alpha '=\alpha }$. В таком случае

${\displaystyle \omega ={\frac {126+6{\sqrt {5}}}{124+6{\sqrt {5}}}}{\sqrt {5}}=21{\pmod {143}}}$.

Таким образом, мы получили ${\displaystyle \omega =21}$, который и являлся первоначальным открытым текстом.

Примечания[править | править код]

Литература[править | править код]

• Hugh C. Williams. Some Public-Key Crypto-Functions as Intractable as Factorization. — 1985.
• Kwangio Kim (Ed.). Public Key Criptography. — 1992. — С. 1—17.