Криптосистема Бенало

Криптосистема Бенало — модификация криптосистемы Гольдвассер — Микали. Основное их отличие состоит в том, что криптосистема позволяет зашифровывать блок данных единовременно, в то время как в схеме Гольдвассера и Микали каждый бит данных шифруется отдельно^[1].

Разработана Джошем Бенало в 1988 году. Получила применение в системах электронного голосования^[2].

Система является частично гомоморфной. Как и во многих криптосистемах с открытым ключом, эта система работает в группе $\text{[math]}$ $\text{[math]}$ $\mathbb {(} {Z}/n\mathbb {Z} )^{*}$ $\mathbb {(} {Z}/n\mathbb {Z} )^{*}$ , где $\text{[math]}$ $\text{[math]}$ $n$ $n$ — произведение двух простых чисел.

Описание алгоритмаПравить

Генерация ключаПравить

Выбираются блок размера r и два больших различных простых числа p и q , удовлетворяющие следующим условиям:
1. $\text{[math]}$ $\text{[math]}$ $r$ и $\text{[math]}$ $\text{[math]}$ $(p-1)/r$ — взаимно простые ;
2. $\text{[math]}$ $\text{[math]}$ $r$ и $\text{[math]}$ $\text{[math]}$ $q-1$ — взаимно простые.
Вычисляется $\text{[math]}$ $\text{[math]}$ $n=p\times q$ , $\text{[math]}$ $\text{[math]}$ $\phi =(p-1)(q-1)$ ;
Выбирается $\text{[math]}$ $\text{[math]}$ $y\in \mathbb {Z} _{n}^{*}$ так, что $\text{[math]}$ $\text{[math]}$ $y^{\phi /r}\not \equiv 1\mod n$ .
Замечание: если $\text{[math]}$ $\text{[math]}$ $r$ составное, то вышеуказанные условия не являются достаточными для обеспечения правильной расшифровки^[3], то есть для того, чтобы всегда выполнялось $\text{[math]}$ $\text{[math]}$ $D(E(m))=m$ . Чтобы избежать подобного, предлагается выполнять следующую проверку: пусть $\text{[math]}$ $\text{[math]}$ $r=p_{1}p_{2}\dots p_{k}$ . Тогда $\text{[math]}$ $\text{[math]}$ $y$ выбирается таким образом, чтобы для каждого $\text{[math]}$ $\text{[math]}$ $p_{i}$ выполнялось $\text{[math]}$ $\text{[math]}$ $y^{\phi /p_{i}}\neq 1\mod n$ .
Пусть $\text{[math]}$ $\text{[math]}$ $x=y^{\phi /r}\mod n$ ;

Тогда открытым ключом является $\text{[math]}$ $\text{[math]}$ $(y,r,n)$ , а секретным ключом — $\text{[math]}$ $\text{[math]}$ $(\phi ,x)$ .

ШифрованиеПравить

Шифрование сообщения $\text{[math]}$ $\text{[math]}$ $m\in {\mathbb {Z} }_{r}$ :

Выбирается произвольное $\text{[math]}$ $\text{[math]}$ $u\in {\mathbb {Z} _{n}^{*}}$ ;
Тогда $\text{[math]}$ $\text{[math]}$ $E_{r}(m)=y^{m}u^{r}\mod n$ .

РасшифрованиеПравить

Для начала заметим, что для любых $\text{[math]}$ $\text{[math]}$ $m\in {\mathbb {Z} }_{r}$ и $\text{[math]}$ $\text{[math]}$ $u\in {\mathbb {Z} }_{n}^{*}$ выполняется: $\text{[math]}$ $\text{[math]}$ $a=(c)^{\phi /r}\equiv (y^{m}u^{r})^{\phi /r}\equiv (y^{m})^{\phi /r}(u^{r})^{\phi /r}\equiv (y^{\phi /r})^{m}(u)^{\phi }\equiv (x)^{m}(u)^{0}\equiv x^{m}\mod n$

Таким образом, чтобы вычислить $\text{[math]}$ $\text{[math]}$ $m$ , зная $\text{[math]}$ $\text{[math]}$ $a$ , проводится операция дискретного логарифмирования из $\text{[math]}$ $\text{[math]}$ $a$ по основанию $\text{[math]}$ $\text{[math]}$ $x$ . Если число $\text{[math]}$ $\text{[math]}$ $r$ небольшое, возможно нахождение $\text{[math]}$ $\text{[math]}$ $m$ через исчерпывающий перебор, то есть проверкой выполнения равенства $\text{[math]}$ $\text{[math]}$ $x^{i}\equiv a\mod n$ для всех $\text{[math]}$ $\text{[math]}$ $0\dots (r-1)$ . При больших значениях $\text{[math]}$ $\text{[math]}$ $r$ , нахождение $\text{[math]}$ $\text{[math]}$ $m$ можно проводить с помощью алгоритма Гельфонда — Шенкса (алгоритм больших и малых шагов), получив временную сложность расшифрования $\text{[math]}$ $\text{[math]}$ $O({\sqrt {r}})$ .

Расшифрование шифртекста $\text{[math]}$ $\text{[math]}$ $c\in {\mathbb {Z} }_{n}^{*}$ :

Вычисляется $\text{[math]}$ $\text{[math]}$ $a=c^{\phi /r}\mod n$ ;
Подбирается $\text{[math]}$ $\text{[math]}$ $m=\log _{x}(a)$ , то есть такое $\text{[math]}$ $\text{[math]}$ $m$ , что $\text{[math]}$ $\text{[math]}$ $x^{m}\equiv a\mod n$

Свойства криптосистемыПравить

ГомоморфизмПравить

Криптосистема Бенало гомоморфна относительно операции сложения:

$\text{[math]}$ $\text{[math]}$ ${\mathcal {E}}(x_{1})\cdot {\mathcal {E}}(x_{2})=(g^{x_{1}}u_{1}^{r})(g^{x_{2}}u_{2}^{r})=g^{x_{1}+x_{2}}(u_{1}u_{2})^{r}={\mathcal {E}}(x_{1}+x_{2}\;{\bmod {\;}}r)$ , где $\text{[math]}$ $\text{[math]}$ ${\mathcal {E}}(x)$ является функцией шифрования от сообщения $\text{[math]}$ $\text{[math]}$ $x$

СтойкостьПравить

Стойкость криптосистемы Бенало основана на труднорешаемой задаче о вычетах высокой степени. Зная размер блока $\text{[math]}$ $\text{[math]}$ $r$ , модуль $\text{[math]}$ $\text{[math]}$ $n$ и шифртекст $\text{[math]}$ $\text{[math]}$ $E(M)$ , где разложение на множители числа $\text{[math]}$ $\text{[math]}$ $n$ неизвестно, — определить открытый текст вычислительно сложно.

ЛитератураПравить

А. И. Трубей «Гомоморфное шифрование: безопасность облачных вычислений и другие приложения (обзор)»
Benaloh, Josh (1994) "Dense Probabilistic Encryption"

ПримечанияПравить

↑ Benaloh, Josh (1994) "Dense Probabilistic Encryption"
↑ Гомоморфное шифрование: безопасность облачных вычислений и другие приложения (обзор) (А.И.Трубей)
↑ Fousse, Laurent; Lafourcade, Pascal; Alnuaimi, Mohamed (2011). "Benaloh's Dense Probabilistic Encryption Revisited"

[1] Benaloh, Josh (1994) "Dense Probabilistic Encryption"

[2] Гомоморфное шифрование: безопасность облачных вычислений и другие приложения (обзор) (А.И.Трубей)

[3] Fousse, Laurent; Lafourcade, Pascal; Alnuaimi, Mohamed (2011). "Benaloh's Dense Probabilistic Encryption Revisited"

[1]

[2]

[3]