Гомоморфные подписи для сетевого кодирования

Пусть ${\displaystyle G=(V,E)}$  ориентированный граф, состоящий из множества ${\displaystyle V}$ , элементы которого называются вершинами, и множества ${\displaystyle E}$  упорядоченных пар вершин ${\displaystyle u,v\in <!--\; \in \; -->V}$ , именуемых направленными рёбрами или дугами. Задача источника ${\displaystyle s\in <!--\; \in \; -->V}$  – отправить файл ${\displaystyle D}$  множеству вершин ${\displaystyle T\subseteq <!--\; \subseteq \; -->V}$ . Выбирается векторное пространство ${\displaystyle W/{\mathbb{F}}_p}$  (скажем, размерности ${\displaystyle d}$ ), где ${\displaystyle p}$  простое, и данные, являющиеся множеством векторов ${\displaystyle w_1,\dots <!--\; \dots \; -->,w_k\in <!--\; \in \; -->W}$ . Источник создаёт расширенные векторы ${\displaystyle v_1,\dots <!--\; \dots \; -->,v_k}$ ,определенные следующим образом ${\displaystyle v_i=(0,\dots <!--\; \dots \; -->,0,1,\dots <!--\; \dots \; -->,0,w_{i_1},\dots <!--\; \dots \; -->,w_{i_d})}$ , где ${\displaystyle w_{i_j}}$  ${\displaystyle j}$ -я координата вектора ${\displaystyle w_i}$ . Перед первой ${\displaystyle 1}$  в векторе ${\displaystyle v_i}$  находится ${\displaystyle (i-<!--\; -\; -->1)}$  нулей. Без потери общности можно считать, что векторы ${\displaystyle v_i}$  линейно независимы. Обозначим линейное подпространство (из ${\displaystyle {\mathbb{F}}_p^{k+d}}$  ), натянутое на эти векторы, буквой ${\displaystyle V}$ . Каждая исходящая дуга ${\displaystyle e\in <!--\; \in \; -->E}$  вычисляет линейную комбинацию ${\displaystyle y(e)}$  векторов, входящих в начальную вершину дуги ${\displaystyle v=in(e)}$ . То есть

${\displaystyle y(e)=\underset{f:\mathrm{o}\mathrm{u}\mathrm{t}(f)=v}{\sum <!--\; \sum \; -->}(m_e(f)y(f))}$ 

где ${\displaystyle m_e(f)\in <!--\; \in \; -->{\mathbb{F}}_p}$ . Мы считаем, что источник является конечной вершиной ${\displaystyle k}$  дуг, передающих ${\displaystyle k}$  векторов ${\displaystyle w_i}$ . По индукции, пусть вектор ${\displaystyle y(e)}$  какой-либо дуги является линейной комбинацией ${\displaystyle y(e)=\underset{1\le <!--\; \le \; -->i\le <!--\; \le \; -->k}{\sum <!--\; \sum \; -->}(g_i(e)v_i)}$  и является вектором в ${\displaystyle V}$ . Тогда k-мерный вектор ${\displaystyle g(e)=(g_1(e),\dots <!--\; \dots \; -->,g_k(e))}$  это просто k первых координат вектора ${\displaystyle y(e)}$ . Назовем матрицу, строками которой являются векторы ${\displaystyle g(e_1),\dots <!--\; \dots \; -->,g(e_k)}$ , где ${\displaystyle e_i}$  рёбра, входящие в вершину ${\displaystyle t\in <!--\; \in \; -->T}$ , глобальной матрицей кодирования для ${\displaystyle t}$  и обозначим её ${\displaystyle G_t}$ . На практике векторы кодирования выбираются случайно, поэтому матрица ${\displaystyle G_t}$  с высокой вероятностью обратима. Таким образом, любой приёмник, получивший ${\displaystyle y_1,\dots <!--\; \dots \; -->,y_k}$ , может найти ${\displaystyle w_1,\dots <!--\; \dots \; -->,w_k}$ , решив

${\displaystyle \left[\begin{array}{c}{y}^{\prime }\\ y_2^{\prime }\\ ⋮<!--\; ⋮\; -->\\ y_k^{\prime }\end{array}\right]=G_t\left[\begin{array}{c}{w}_1\\ w_2\\ ⋮<!--\; ⋮\; -->\\ w_k\end{array}\right]}$ 

где ${\displaystyle y_i^{\prime }}$  векторы, образованные удалением первых ${\displaystyle k}$  координат вектора ${\displaystyle y_i}$ .^[5]

Каждый приёмник ${\displaystyle t\in <!--\; \in \; -->T}$ , получает ${\displaystyle k}$  векторов ${\displaystyle y_1,\dots <!--\; \dots \; -->,y_k}$ , являющихся случайными линейными комбинациями векторов ${\displaystyle v_i}$ . В самом деле, если

${\displaystyle y_i=({\mathrm{\alpha <!--\; \alpha \; -->}}_{i_1},\dots <!--\; \dots \; -->,{\mathrm{\alpha <!--\; \alpha \; -->}}_{i_k},a_{i_1},\dots <!--\; \dots \; -->,a_{i_d})}$ 

тогда

${\displaystyle y_i=\underset{1\le <!--\; \le \; -->j\le <!--\; \le \; -->k}{\sum <!--\; \sum \; -->}({\mathrm{\alpha <!--\; \alpha \; -->}}_{ij}{v}_j).}$ 

Таким образом, мы можем с высокой вероятностью обратить линейной преобразование и найти ${\displaystyle v_i}$ .^[5]

Крон, Фридман и Мэзиэс в 2004 году предложили теорию^[6]: если у нас есть хеш-функция ${\displaystyle H:V⟶<!--\; ⟶\; -->G}$  такая, что:

• ${\displaystyle H}$  стойка к коллизиям – сложно найти ${\displaystyle x}$  и ${\displaystyle y}$  такие, что ${\displaystyle H(x)=H(y)}$ ;
• ${\displaystyle H}$  является гомоморфизмом – ${\displaystyle H(x+y)=H(x)+H(y)}$ .

Тогда сервер может отправить ${\displaystyle H(v_i)}$  каждому приёмнику. Если

${\displaystyle y=\underset{1\le <!--\; \le \; -->i\le <!--\; \le \; -->k}{\sum <!--\; \sum \; -->}({\mathrm{\alpha <!--\; \alpha \; -->}}_i{v}_i)}$ 

мы можем проверить равенство

${\displaystyle H(y)=\underset{1\le <!--\; \le \; -->i\le <!--\; \le \; -->k}{\sum <!--\; \sum \; -->}({\mathrm{\alpha <!--\; \alpha \; -->}}_{i}H(v_i))}$ 

Проблема этого метода состоит в том, что хеш-функция ${\displaystyle H}$  должна быть передана всем узлам сети через отдельный защищенный канал.

1. Реализуют аутентификацию в дополнение к выявлению подмены пакетов.
2. Нет необходимости в передаче хеш-сумм по защищенному каналу.
3. Открытая информация не изменяется для последующей передачи файлов.^[4]

Гомоморфное свойство подписей позволяет узлам подписывать какую-либо линейную комбинацию входящих пакетов, не используя схему подписи.^[4]

Эллиптическая криптография над конечным полемПравить

Эллиптическая криптография — раздел криптографии, который изучает асимметричные криптосистемы, основанные на эллиптических кривых над конечными полями.

Пусть ${\displaystyle {\mathbb{F}}_q}$  конечное поле такое, что ${\displaystyle q}$  не является степенью 2 или 3. Тогда эллиптическая кривая ${\displaystyle E}$  над ${\displaystyle {\mathbb{F}}_q}$  является кривой, задающейся уравнением вида

${\displaystyle y^2=x^3+ax+b,}$ 

где ${\displaystyle a,b\in <!--\; \in \; -->{\mathbb{F}}_q}$  такие, что ${\displaystyle 4a^3+27b^2\ne 0}$ 

Пусть ${\displaystyle K\supseteq <!--\; \supseteq \; -->{\mathbb{F}}_q}$ , тогда

${\displaystyle E(K)=\{(x,y)|y^2=x^3+ax+b\}\bigcup <!--\; \bigcup \; -->\{O\}}$ 

образует абелеву группу.^[7]

Вейль-спариваниеПравить

Вейль-спариванием является билинейное отображение, сопоставляющее двум точкам подгруппы ${\displaystyle m}$ -кручения точек эллиптической кривой ${\displaystyle E}$  корень степени ${\displaystyle m}$  в конечном поле.^[8] Пусть ${\displaystyle E/{\mathbb{F}}_q}$  эллиптическая кривая и пусть ${\displaystyle {\stackrel{\mathbb{¯<!--\; ¯\; -->}}{\mathbb{F}}}_q}$  алгебраическое замыкание ${\displaystyle {\mathbb{F}}_q}$ . Если ${\displaystyle m}$  целое и взаимно-простое с характеристикой поля ${\displaystyle {\mathbb{F}}_q}$ , тогда группа элементов ${\displaystyle m}$ -кручения ${\displaystyle E[m]=P\in <!--\; \in \; -->E({\stackrel{\mathbb{¯<!--\; ¯\; -->}}{\mathbb{F}}}_q):mP=O}$ .

Вейль-спаривание ${\displaystyle e_m:E[m]\ast <!--\; \ast \; -->E[m]\to <!--\; \to \; -->{\mathrm{\mu <!--\; \mu \; -->}}_m({\mathbb{F}}_q)}$  обладает свойствами^[5]:

1. (Билинейность) ${\displaystyle e_m(P+R,Q)=e_m(P,Q)e_m(R,Q)\text{ and }{e}_m(P,Q+R)=e_m(P,Q)e_m(P,R)}$ .
2. (Невырожденность) ${\displaystyle e_m(P,Q)=1}$  for all P implies that ${\displaystyle Q=O}$ .
3. (Тождественность) ${\displaystyle e_m(P,P)=1}$ .

Гомоморфные подписиПравить

Пусть ${\displaystyle p}$  простое число и ${\displaystyle q}$  степень другого простого числа:  . Пусть ${\displaystyle V/{\mathbb{F}}_p}$  векторное пространство размерности ${\displaystyle D}$  и ${\displaystyle E/{\mathbb{F}}_q}$  эллиптическая кривая такая, что ${\displaystyle P_1,\dots <!--\; \dots \; -->,P_D\in <!--\; \in \; -->E[p]}$ . Определим ${\displaystyle h:V⟶<!--\; ⟶\; -->E[p]}$  следующим образом: ${\displaystyle h(u_1,\dots <!--\; \dots \; -->,u_D)=\underset{1\le <!--\; \le \; -->i\le <!--\; \le \; -->D}{\sum <!--\; \sum \; -->}(u_i{P}_i)}$ . Эта функция ${\displaystyle h}$  гомоморфизм ${\displaystyle V}$  в ${\displaystyle E[p]}$ .

Сервер выбирает секретно ${\displaystyle s_1,\dots <!--\; \dots \; -->,s_D}$  в ${\displaystyle {\mathbb{F}}_p}$  и публикует точку ${\displaystyle Q}$ , являющуюся элементом ${\displaystyle p}$ -кручения, такую, что ${\displaystyle e_p(P_i,Q)\ne 1}$  и публикует ${\displaystyle (P_i,s_{i}Q)}$ , где ${\displaystyle 1\le <!--\; \le \; -->i\le <!--\; \le \; -->D}$ .^[5] Подписью вектора ${\displaystyle v=u_1,\dots <!--\; \dots \; -->,u_D}$  является ${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}(v)=\underset{1\le <!--\; \le \; -->i\le <!--\; \le \; -->D}{\sum <!--\; \sum \; -->}(u_i{s}_i{P}_i)}$ 

Замечание: эта подпись гомоморфна,поскольку ${\displaystyle h}$  гомоморфизм.

Проверка подлинности подписиПравить

Даны ${\displaystyle v=u_1,\dots <!--\; \dots \; -->,u_D}$  и подпись ${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}}$ . Для проверки подлинности требуется проверить равенство^[2]

 

Верификация использует билинейность Вейль-спаривания.^[4]

Сервер вычисляет^[2] ${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}(v_i)}$  для каждого ${\displaystyle 1\le <!--\; \le \; -->i\le <!--\; \le \; -->k}$ . Передаёт ${\displaystyle v_i,\mathrm{\sigma <!--\; \sigma \; -->}(v_i)}$ . На каждом ребре ${\displaystyle e}$  при вычислении ${\displaystyle y(e)=\underset{f\in <!--\; \in \; -->E:\mathrm{o}\mathrm{u}\mathrm{t}(f)=\mathrm{i}\mathrm{n}(e)}{\sum <!--\; \sum \; -->}(m_e(f)y(f))}$  также вычисляется ${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}(y(e))=\underset{f\in <!--\; \in \; -->E:\mathrm{o}\mathrm{u}\mathrm{t}(f)=\mathrm{i}\mathrm{n}(e)}{\sum <!--\; \sum \; -->}(m_e(f)\mathrm{\sigma <!--\; \sigma \; -->}(y(f)))}$  на эллиптической кривой ${\displaystyle E}$ .

Подписью является точка на эллиптической кривой с координатами в ${\displaystyle {\mathbb{F}}_q}$ . Таким образом, размер подписи^[2] ${\displaystyle 2\log <!--\; \; -->q}$  бит, и это дополнительные расходы на передачу.

Злоумышленник может найти коллизии хеш-функции.

Если даны ${\displaystyle (P_1,\dots <!--\; \dots \; -->,P_r)}$  точки в ${\displaystyle E[p]}$ , найдём ${\displaystyle a=(a_1,\dots <!--\; \dots \; -->,a_r)\in <!--\; \in \; -->{\mathbb{F}}_p^r}$  и ${\displaystyle b=(b_1,\dots <!--\; \dots \; -->,b_r)\in <!--\; \in \; -->{\mathbb{F}}_p^r}$ 

такие, что ${\displaystyle a\ne b}$  и

${\displaystyle \underset{1\le <!--\; \le \; -->i\le <!--\; \le \; -->r}{\sum <!--\; \sum \; -->}(a_i{P}_i)=\underset{1\le <!--\; \le \; -->j\le <!--\; \le \; -->r}{\sum <!--\; \sum \; -->}(b_j{P}_j).}$ 

Если ${\displaystyle r=2}$ , тогда мы получаем ${\displaystyle xP+yQ=uP+vQ}$ . То есть ${\displaystyle (x-<!--\; -\; -->u)P+(y-<!--\; -\; -->v)Q=0}$ . ${\displaystyle x\ne u}$  и ${\displaystyle y\ne v}$ . Допустим, что ${\displaystyle x=u}$ , тогда ${\displaystyle (y-<!--\; -\; -->v)Q=0}$ , но ${\displaystyle Q}$  точка порядка ${\displaystyle p}$  (простое число), таким образом ${\displaystyle y-<!--\; -\; -->v\equiv <!--\; \equiv \; -->0modp}$ . Другими словами ${\displaystyle y=v}$  в ${\displaystyle {\mathbb{F}}_p}$ . Это противоречит предположению о том, что ${\displaystyle (x,y)}$  и ${\displaystyle (u,v)}$  различные пары в ${\displaystyle {\mathbb{F}}_2}$ . Таким образом ${\displaystyle Q=-<!--\; -\; -->(x-<!--\; -\; -->u)(y-<!--\; -\; -->v{)}^{-<!--\; -\; -->1}P}$ , где обратный элемент берётся по модулю ${\displaystyle p}$ .

Если ${\displaystyle r>2}$ , мы можем взять ${\displaystyle P_1=P}$  и ${\displaystyle P_2=Q}$  как раньше и установить ${\displaystyle P_i=O}$  для ${\displaystyle i>2}$  (в этом случае доказательство аналогично ${\displaystyle r=2}$ ), или мы можем взять ${\displaystyle P_1=r_{1}P}$  и ${\displaystyle P_i=r_{i}Q}$ , где ${\displaystyle r_i}$  выбираются случайным образом из ${\displaystyle {\mathbb{F}}_p}$ . Получаем одно уравнение с одним неизвестным (дискретный логарифм ${\displaystyle Q}$ ). Вполне возможно, что полученное уравнение не будет содержать неизвестную величину. Тем не менее, это происходит с очень маленькой вероятностью. Предположим, что алгоритм поиска коллизий дал нам

${\displaystyle a{r}_{1}P+\underset{2\le <!--\; \le \; -->i\le <!--\; \le \; -->r}{\sum <!--\; \sum \; -->}(b_i{r}_{i}Q)=0.}$ 

До тех пор, пока ${\displaystyle \underset{2\le <!--\; \le \; -->i\le <!--\; \le \; -->r}{\sum <!--\; \sum \; -->}{b}_i{r}_i\not\equiv 0modp}$ , нужно решать дискретный логарифм ${\displaystyle Q}$ . Рассмотрим ${\displaystyle b_i}$ , где ${\displaystyle 2\le <!--\; \le \; -->i\le <!--\; \le \; -->r}$ , не равные нулю одновременно. Какова вероятность, что выбранные ${\displaystyle r_i}$  удовлетворяют условию ${\displaystyle \underset{2\le <!--\; \le \; -->i\le <!--\; \le \; -->r}{\sum <!--\; \sum \; -->}(b_i{r}_i)=0}$ ? Она равна $\frac{{\displaystyle 1}}{p}$  . Таким образом, с большой долей вероятности придется решать дискретный логарифм ${\displaystyle Q}$ .^[9]

Мы показали, что сложно найти коллизии хеш-функции в данной схеме. Другой способ нарушить работу системы – подделать подпись. Эта схема подписи является версией схемы BLS (Boneh – Lynn - Shacham). Подделать подпись, по крайней мере так же сложно, как решить вычислительную проблему Диффи-Хелмана.^[10] Единственный известный способ решить эту проблему на эллиптических кривых – вычислить дискретный логарифм. Таким образом, подделать подпись так же сложно, как вычислить дискретный логарифм.^[11]

• Сетевое кодирование
• Гомоморфное шифрование
• Эллиптическая криптография
• Протокол Диффи — Хеллмана на эллиптических кривых
• ECDSA
• DSA

• Joseph H. Silverman. The Arithmetic of Elliptic Curves. — N. Y.: Springer, 2009. — P. 51-52,92-94. — 408 p. — ISBN 978-0-387-09493-9.
• R. Gennaro, J. Katz, H. Krawczyk,T. Rabin. Secure Network Coding Over the Integers. — 2011. — P. 19.
• D. Charles, K. Jain,K. Lauter. SIGNATURES FOR NETWORK CODING. — 2006. — P. 7.
• M. Krohn, M. Freedman,D. Mazieres. On-the-Fly Verification of Rateless Erasure Codes for Efficient Content Distribution. — 2004. — P. 15.
• D. Boneh, B. Lynn,H. Shacham. Short Signatures from the Weil Pairing. — 2001. — P. 24.

• Comprehensive View of a Live Network Coding P2P System
• Signatures for Network Coding(presentation) CISS 2006, Princeton
• University at Buffalo Lecture Notes on Coding Theory – Dr. Atri Rudra