Криптосистема Мэсси — Омуры

Криптосистема Мэсси — Омуры была предложена в 1978 году Джеймсом Мэсси и Джимом К. Омурой изначально в качестве улучшения протокола Шамира. Имеется два варианта реализации данного протокола: классический и эллиптический. Первый построен на сложности задачи дискретного логарифмирования, второй на свойствах эллиптической кривой. Обычно сгенерированное в результате сообщение $\text{[math]}$ $\text{[math]}$ $m$ $m$ используется в качестве ключа традиционной криптосистемы.

Первоначальный вариантПравить

Изначально протокол Мэсси-Омуры был описан применительно к мультипликативной группе $\text{[math]}$ $\text{[math]}$ $Z_{p}^{*}$ , где $\text{[math]}$ $\text{[math]}$ $p$ — простое число, и представлял собой аналог передачи секрета с помощью запираемых на один или два замка ящиков. Суть схемы заключается в следующем: абонент Alice запирает ящик с письмом своим ключом и пересылает ящик абоненту Bob. Абонент Bob, в свою очередь, запирает его своим ключом, и отправляет обратно к Alice. Alice снимает свой замок и направляет ящик к Bob, который снимает свой замок.

АлгоритмПравить

Выбирается в качестве системного параметра большое простое число $\text{[math]}$ $\text{[math]}$ $p$ . Абоненты Alice и Bob выбирают случайные числа $\text{[math]}$ $\text{[math]}$ $e_{A}$ и $\text{[math]}$ $\text{[math]}$ $e_{B}$ (между 0 и $\text{[math]}$ $\text{[math]}$ $p-1$ ), взаимно простые с $\text{[math]}$ $\text{[math]}$ $p-1=\varphi (p)$ , где $\text{[math]}$ $\text{[math]}$ $\varphi$ — функция Эйлера.
С помощью расширенного алгоритма Евклида вычисляются $\text{[math]}$ $\text{[math]}$ $d_{A}$ и $\text{[math]}$ $\text{[math]}$ $d_{B}$ , обратные числам $\text{[math]}$ $\text{[math]}$ $e_{A}$ и $\text{[math]}$ $\text{[math]}$ $e_{B}$ по модулю $\text{[math]}$ $\text{[math]}$ $p-1$ :

\text{[math]}

d_{A}={e_{A}}^{-1}{\bmod {(}}p-1)

\text{[math]}

d_{B}={e_{B}}^{-1}{\bmod {(}}p-1)

Иначе говоря, должны выполняться условия:

\text{[math]}

e_{A}\cdot {d_{A}\equiv 1{\bmod {(}}p-1)}

,

\text{[math]}

e_{B}\cdot {d_{B}}\equiv 1{\bmod {(}}p-1)

.

Пары чисел $\text{[math]}$ $\text{[math]}$ $(e_{A},d_{A})$ , $\text{[math]}$ $\text{[math]}$ $(e_{B},d_{B})$ являются секретными ключами абонентов.

\text{[math]}

m^{e_{A}\cdot {d_{A}}}=m{\bmod {p}}

, так как

\text{[math]}

m^{e_{A}\cdot {d_{A}}}=m^{j\cdot {\varphi (p)+1}}=m^{j\cdot {\varphi (p)}}\cdot {m}=m

(Первый сомножитель равен 1 по теореме Эйлера). Аналогично $\text{[math]}$ $\text{[math]}$ $m^{e_{B}d_{B}}=m{\bmod {p}}$ .

Абонент Alice посылает сообщение $\text{[math]}$ $\text{[math]}$ $m$ ( $\text{[math]}$ $\text{[math]}$ $0<m<{p-1}$ ) абоненту Bob.

Alice шифрует своё сообщение первым ключом: $\text{[math]}$ $\text{[math]}$ $m_{1}=m^{e_{A}}{\bmod {p}}$ ( $\text{[math]}$ $\text{[math]}$ $0<m_{1}<p$ ) и пересылает $\text{[math]}$ $\text{[math]}$ $m_{1}$ абоненту Bob.

Bob шифрует вторым ключом: $\text{[math]}$ $\text{[math]}$ $m_{2}=m_{1}^{e_{B}}{\bmod {p}}$ ( $\text{[math]}$ $\text{[math]}$ $0<m_{2}<p$ ) и пересылает обратно к Аlice.
Alice «снимает первый замок» с помощью второго секретного ключа:

\text{[math]}

m_{3}=m_{2}^{d_{A}}{\bmod {p}}=m^{e_{A}\cdot {e_{B}}\cdot {d_{A}}}{\bmod {p}}

.

Bob «снимает свой первый замок» с помощью второго секретного ключа:

\text{[math]}

m_{4}=m_{3}^{d_{B}}{\bmod {p}}=m^{d_{B}\cdot {e_{A}}\cdot {e_{B}}\cdot {d_{A}}}modp=m

Итого: абоненту Bob доставлено секретное сообщение $\text{[math]}$ $\text{[math]}$ $m$ от Аlice.

Проблемы в использованииПравить

Данный вариант системы может быть реализован и без использования процедуры возведения в степень в конечных полях, но задача дискретного логарифмирования достаточно сложна для Bob, чтобы тот по $\text{[math]}$ $\text{[math]}$ $m_{1}=m^{e_{A}}$ не смог определить ключ $\text{[math]}$ $\text{[math]}$ $m^{e_{A}}$ и впредь читать сообщения, ему не предназначавшиеся. Обязательным условием надежности является хорошая система подписи сообщений. Без использования подписей любое постороннее лицо Eva может представиться абонентом Bob и вернуть Alice сообщение вида $\text{[math]}$ $\text{[math]}$ $m_{\tilde {2}}=m_{1}^{e_{E}}{\bmod {p}}$ . Alice продолжит процедуру и, «сняв свой замок», откроет самозванцу Eva путь к расшифрованию сообщения. В связи с этим, $\text{[math]}$ $\text{[math]}$ $m_{2}=m_{1}^{e_{B}}{\bmod {p}}$ должно сопровождаться аутентификацией.

Эллиптический вариантПравить

Эллиптический вариант данного протокола предоставляет возможность передавать сообщение от Alice к Bob по открытому каналу без предварительной передачи какой-либо ключевой информации. Системные параметры здесь: уравнение эллиптической кривой $\text{[math]}$ $\text{[math]}$ $\varepsilon$ и поле $\text{[math]}$ $\text{[math]}$ $F$ , задающееся неприводимым многочленом. Пусть порядок эллиптической кривой $\text{[math]}$ $\text{[math]}$ $\varepsilon$ равен $\text{[math]}$ $\text{[math]}$ $N$ , $\text{[math]}$ $\text{[math]}$ $e$ — целое число, взаимно простое с $\text{[math]}$ $\text{[math]}$ $N$ ( $\text{[math]}$ $\text{[math]}$ $1<e<N$ ). По алгоритму Евклида можно найти

\text{[math]}

d\equiv {e^{-1}}{\pmod {N}}

.

По определению сравнимости по модулю:

\text{[math]}

e*d=jN+1

Значит для любой точки $\text{[math]}$ $\text{[math]}$ $P$ эллиптической кривой $\text{[math]}$ $\text{[math]}$ $\varepsilon$ порядка $\text{[math]}$ $\text{[math]}$ $N$ выполняется:

\text{[math]}

e\cdot {(d\cdot P)}=(e\cdot {d})P=(j\cdot {N}+1)P=(j\cdot {N})P+P=j\cdot {0}+P=0+P=P

, то есть

\text{[math]}

e\cdot (d\cdot P)=P

.

Теперь, используя $\text{[math]}$ $\text{[math]}$ $e$ и $\text{[math]}$ $\text{[math]}$ $d$ и любую точку $\text{[math]}$ $\text{[math]}$ $P$ эллиптической кривой, можно вычислить

\text{[math]}

Q=d\cdot {P}

\text{[math]}

R=e\cdot {Q}

Где $\text{[math]}$ $\text{[math]}$ $P=R$ . Вычисление точки $\text{[math]}$ $\text{[math]}$ $P$ по $\text{[math]}$ $\text{[math]}$ $e P$ эквивалентно решению задачи дискретного логарифма для эллиптической кривой.

АлгоритмПравить

Абонент Alice помещает своё сообщение $\text{[math]}$ $\text{[math]}$ $m$ в некоторую точку $\text{[math]}$ $\text{[math]}$ $M(m)$ эллиптической кривой и умножает её на своё секретное значение $\text{[math]}$ $\text{[math]}$ $e_{A}$ , получает точку $\text{[math]}$ $\text{[math]}$ $P_{1}=e_{A}\cdot {M(m)}$ . Эта точка отправляется абоненту Bob.
Bob вычисляет $\text{[math]}$ $\text{[math]}$ $P_{2}=e_{B}\cdot {P_{1}}$ и отправляет результат Alice.
Alice «снимает замок», вычисляя $\text{[math]}$ $\text{[math]}$ $P_{3}=d_{A}\cdot {P_{2}}$ . Возвращает полученный результат абоненту Bob.
Bob расшифровывает сообщение, используя свой секретный ключ шифрования $\text{[math]}$ $\text{[math]}$ $d_{B}$ :

\text{[math]}

M(m)=d_{B}\cdot {P_{3}}

ЛитератураПравить

Н. Коблиц «Курс теории чисел и криптографии». Москва, 2001
А. А. Болотов, С. Б. Гашков, А. Б. Фролов, А. А. Часовских "Алгоритмические основы эллиптической криптографии. Москва, 2004
Б. Н. Воронков, А. С. Щеголеватых «Элементы теории чисел и криптозащита». Воронеж, 2008