Псевдослучайная функция Наора — Рейнгольда

Псевдослучайная функция Наора — Рейнгольда — псевдослучайная функция^[en], введённая в 1997 году Мони Наором^[en] и Омером Рейнгольдом^[en] для построения различных криптографических примитивов в симметричном шифровании и криптографии с открытым ключом^[1]. Отличительными особенностями данной псевдослучайной функции являются низкая вычислительная сложность #Вычислительная сложность ^[⇨] и высокая криптографическая стойкость #Безопасность псевдослучайной функции ^[⇨]. Данные свойства вместе с тем фактом, что распределение значений данной функции близко к равномерному #Равномерность распределения ^[⇨], позволяют использовать ее в качестве основы для многих криптографических схем #Применение псевдослучайной функции ^[⇨].

ПостановкаПравить

В криптографии под семейством псевдослучайных функций понимают набор функций (которые могут быть эффективно вычислены за полиномиальное время), обладающих следующим свойством: злоумышленник не может эффективно найти какое-либо существенное различие между поведением функции из данного семейства и истинной случайной функции^[2]. Пусть $\text{[math]}$ $\text{[math]}$ $p$ — это $\text{[math]}$ $\text{[math]}$ $n$ -битное простое число, $\text{[math]}$ $\text{[math]}$ $l$ — простое число, являющееся делителем $\text{[math]}$ $\text{[math]}$ $p-1$ , а $\text{[math]}$ $\text{[math]}$ $g\in {\mathbb {F} }_{p}^{*}$ , — некоторый элемент с мультипликативным порядком $\text{[math]}$ $\text{[math]}$ $l$ по модулю $\text{[math]}$ $\text{[math]}$ $p$ . Тогда функция Наора — Рейнгольда $\text{[math]}$ $\text{[math]}$ $f_{a}(x)$ определяется некоторым $\text{[math]}$ $\text{[math]}$ $(n+1)$ -мерным вектором $\text{[math]}$ $\text{[math]}$ $a=(a_{0},a_{1},...,a_{n})\in ({\mathbb {F} }_{l})^{n+1}$ над полем $\text{[math]}$ $\text{[math]}$ $\mathbb {F} _{l}$ и равна:

\text{[math]}

f_{a}(x)=g^{a_{0}\cdot a_{1}^{x_{1}}a_{2}^{x_{2}}...a_{n}^{x_{n}}}\in \mathbb {F} _{p}

где $\text{[math]}$ $\text{[math]}$ $x=x_{1},...,x_{n}$ — это двоичное представление целого числа $\text{[math]}$ $\text{[math]}$ $x,$ $\text{[math]}$ $\text{[math]}$ $0\leq x<2^{n}$ , с добавлением ведущих нулей, если это необходимо^[3].

ПримерПравить

Пусть $\text{[math]}$ $\text{[math]}$ $p=7$ и $\text{[math]}$ $\text{[math]}$ $l=3$ . В качестве $\text{[math]}$ $\text{[math]}$ $g\in \mathbb {F} _{7}^{*}$ с мультипликативным порядком $\text{[math]}$ $\text{[math]}$ $3$ можно выбрать $\text{[math]}$ $\text{[math]}$ $g=4$ . Тогда при $\text{[math]}$ $\text{[math]}$ $n=3$ , $\text{[math]}$ $\text{[math]}$ $a=(1,1,3,1)$ и $\text{[math]}$ $\text{[math]}$ $x=5$ функция $\text{[math]}$ $\text{[math]}$ $f_{a}(5)$ вычисляется как

\text{[math]}

f_{a}(x)=g^{a_{0}\cdot a_{1}^{x_{1}}a_{2}^{x_{2}}...a_{n}^{x_{n}}}=4^{1\cdot 1^{1}3^{0}1^{1}}=4^{1}=4\in \mathbb {F} _{7}

Так как двоичное представление числа $\text{[math]}$ $\text{[math]}$ $5$ — это $\text{[math]}$ $\text{[math]}$ $(1,0,1)$ .

Вычислительная сложностьПравить

Построение псевдослучайной функции Наора — Рейнгольда требует $\text{[math]}$ $\text{[math]}$ $n$ умножений по модулю $\text{[math]}$ $\text{[math]}$ $l$ и одно возведение в степень по модулю $\text{[math]}$ $\text{[math]}$ $p$ , которое может быть сделано за $\text{[math]}$ $\text{[math]}$ $O\left({\frac {n}{\log n}}\right)$ умножений по этому модулю^[1]^[4].

Для схемной сложности^[en] данной функции было показано, что существует такой полином $\text{[math]}$ $\text{[math]}$ $p(x)$ , что для любого $\text{[math]}$ $\text{[math]}$ $a=(a_{0},a_{1},...,a_{n})\in ({\mathbb {F} }_{l})^{n+1}$ , $\text{[math]}$ $\text{[math]}$ $f_{a}(x)$ может быть реализована схемой из пороговых элементов глубины $\text{[math]}$ $\text{[math]}$ $d$ и размера, не превышающего $\text{[math]}$ $\text{[math]}$ $p(n)$ . Это означает, что функции Наора — Рейнгольда принадлежит классу TC⁰^[en] в терминах булевых схем^[en]^[1].

ПрименениеПравить

Псевдослучайная функция Наора — Рейнгольда может быть использована в качестве основы многих криптографических схем, включая симметричное шифрование, аутентификацию и электронные подписи^[5]^[2].

Также было показано, что данная функция может быть использована в^[6]:

динамически идеальном хешировании^[en]: даже если злоумышленник может изменить распределение ключей в зависимости от значений, которые функция хеширования присвоила предыдущим ключам, он не сможет умышленно вызвать коллизии.
построении схем аутентификации на основе имитовставки, которые надёжно защищены от атак.
выдаче статичных идентификационных номеров, которые могут быть проверены устройствами, располагающими лишь небольшим объёмом памяти.
построении систем радиолокационного опознавания.

БезопасностьПравить

Псевдослучайная функция Наора — Рейнгольда имеет высокую криптографичекую стойкость. Пусть злоумышленнику известны значения функции в нескольких точках: $\text{[math]}$ $\text{[math]}$ $f_{a}(1)=g^{a_{0}a_{1}},f_{a}(2)=g^{a_{0}a_{2}},\dots ,f_{a}(k)=g^{a_{0}a_{1}^{x_{1}}a_{2}^{x_{2}}...a_{n}^{x_{n}}}$ и ему необходимо вычислить $\text{[math]}$ $\text{[math]}$ $f_{a}(k+1)$ . Если $\text{[math]}$ $\text{[math]}$ $x_{1}=0$ , то чтобы получить $\text{[math]}$ $\text{[math]}$ $f_{a}(k+1)=g^{a_{0}a_{1}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}}$ , злоумышленнику необходимо решить задачу Диффи — Хеллмана^[en] для $\text{[math]}$ $\text{[math]}$ $f_{a}(1)=g^{a_{0}a_{1}}$ и $\text{[math]}$ $\text{[math]}$ $f_{a}(k)=g^{a_{0}a_{2}^{x_{2}}...a_{n}^{x_{n}}}$ . Но по предположению о сложности Диффи — Хеллмана^[en] не существует эффективного алгоритма, способного решить данную задачу^[1].

Поток чисел, генерируемый псевдослучайной функцией, также должен быть непредсказуемым, то есть, он должен быть неотличим от совершенно случайного набора чисел. Пусть $\text{[math]}$ $\text{[math]}$ ${\mathcal {A}}^{f}$ обозначает алгоритм, имеющий доступ к оракулу, который вычисляет $\text{[math]}$ $\text{[math]}$ $f_{a}(x)$ . Предположим, что предположение Диффи — Хеллмана^[en] выполняется для $\text{[math]}$ $\text{[math]}$ $\mathbb {F} _{p}$ . Тогда для любого вероятностного полиномиального алгоритма $\text{[math]}$ $\text{[math]}$ ${\mathcal {A}}$ и достаточно большого $\text{[math]}$ $\text{[math]}$ $n$ выполнено^[7]:

$\text{[math]}$ $\text{[math]}$ $|{\text{Pr }}[{\mathcal {A}}^{f_{a}(x)}(p,g)=1]-{\text{Pr }}[{\mathcal {A}}^{R}(p,g)=1]|<\epsilon$ , где $\text{[math]}$ $\text{[math]}$ $\epsilon (n)$ — пренебрежимо мало.

Первая вероятность равна доле наборов $\text{[math]}$ $\text{[math]}$ $s=(p,g,a)$ , на которых алгоритм выдаёт единицу, а вторая получается из случайного выбора пары $\text{[math]}$ $\text{[math]}$ $(p,g)$ и функции $\text{[math]}$ $\text{[math]}$ $R_{a}(x)$ среди множества всех функций $\text{[math]}$ $\text{[math]}$ $\{0,1\}^{n}\to {\mathbb {F} }_{p}$ .

Линейная сложностьПравить

Одним из естественных показателей того, насколько последовательность может быть полезной для криптографических целей, является её линейная сложность. Линейная сложность $\text{[math]}$ $\text{[math]}$ $n$ -элементной последовательности $\text{[math]}$ $\text{[math]}$ $W(x),\;x=0,\dots ,n-1$ , над кольцом $\text{[math]}$ $\text{[math]}$ ${\mathcal {R}}$ — это длина $\text{[math]}$ $\text{[math]}$ $l$ кратчайшего линейного рекуррентного соотношения $\text{[math]}$ $\text{[math]}$ $W(x+l)=A_{l-1}W(x+l-1)+\dots +A_{0}W(x),\;x=0,\dots ,n-(l-1)$ , где $\text{[math]}$ $\text{[math]}$ $A_{0},\dots ,A_{l-1}\in {\mathcal {R}}$ ^[3]^[8]. Для функции Наора — Рейнгольда было показано, что существуют такие $\text{[math]}$ $\text{[math]}$ $\gamma >0$ и $\text{[math]}$ $\text{[math]}$ $n\geqslant (1+\gamma )\log l$ , что для любого $\text{[math]}$ $\text{[math]}$ $\delta >0$ и достаточно большого $\text{[math]}$ $\text{[math]}$ $l$ линейная сложность $\text{[math]}$ $\text{[math]}$ $L_{a}$ последовательности $\text{[math]}$ $\text{[math]}$ $f_{a}(x)$ , $\text{[math]}$ $\text{[math]}$ $0\leq x<2^{n}$ , удовлетворяет следующему неравенству^[3]:

\text{[math]}

L_{a}\geqslant {\begin{cases}l^{1-\ \delta \,\!}&{\text{, если }}\gamma \,\!\geqslant 2\\l^{\left({\tfrac {\ \gamma \,\!}{2-\ \delta \,\!}}\right)}&{\text{, если }}\gamma \,\!<2\end{cases}}

для всех, кроме не более чем $\text{[math]}$ $\text{[math]}$ $3(l-1)^{n-\delta }$ векторов $\text{[math]}$ $\text{[math]}$ $a\in (\mathbb {F} _{l})^{n+1}$ .

Равномерность распределенияПравить

Статистическое распределение $\text{[math]}$ $\text{[math]}$ $f_{a}(x)$ экспоненциально близко к равномерному распределению почти для всех векторов $\text{[math]}$ $\text{[math]}$ $a\in ({\mathbb {F} }_{l})^{n+1}$ :

пусть $\text{[math]}$ $\text{[math]}$ ${\mathbf {D} }_{a}$ — расхождение^[en] множества $\text{[math]}$ $\text{[math]}$ $\{f_{a}(x)|0\leq x<2^{n}\}$ или, другими словами, отклонение распределения значений псевдослучайной функции от равномерного распределения. Было показано, что если $\text{[math]}$ $\text{[math]}$ $n=\log p$ — это битовая длина $\text{[math]}$ $\text{[math]}$ $p$ , тогда для всех векторов $\text{[math]}$ $\text{[math]}$ $a$ ∈ $\text{[math]}$ $\text{[math]}$ $(\mathbb {F} _{l})^{n+1}$ справедливо неравенство $\text{[math]}$ $\text{[math]}$ ${\mathbf {D} }_{a}\leq \Delta (l,p)$ , где^[9]:

\text{[math]}

\Delta (l,p)={\begin{cases}p^{\left({\tfrac {1-\ \gamma \,\!}{2}}\right)}l^{\left({\tfrac {-1}{2}}\right)}\log ^{2}p&{\text{ если }}l\geqslant p^{\gamma \,\!}\\p^{\left({\tfrac {1}{2}}\right)}l^{-1}\log ^{2}p&{\text{ если }}p^{\gamma \,\!}>l\geqslant p^{\left({\tfrac {2}{3}}\right)}\\p^{\left({\tfrac {1}{4}}\right)}l^{\left({\tfrac {-5}{8}}\right)}\log ^{2}p&{\text{ если }}p^{\left({\tfrac {2}{3}}\right)}>l\geqslant p^{\left({\tfrac {1}{2}}\right)}\\p^{\left({\tfrac {1}{8}}\right)}l^{\left({\tfrac {-3}{8}}\right)}\log ^{2}p&{\text{ если }}p^{\left({\tfrac {1}{2}}\right)}>l\geqslant p^{\left({\tfrac {1}{3}}\right)}\\\end{cases}}

и

\text{[math]}

\gamma =2,5-\log 3\approx 0,9150\dots

.

Это свойство не имеет непосредственного криптографического значения, но если бы оно не было выполнено, это могло бы повлечь катастрофические последствия для применения функции^[9].

Последовательности на эллиптической кривойПравить

Анализ этой функции на эллиптической кривой позволяет улучшить криптографическую стойкость соответствующей системы. Пусть $\text{[math]}$ $\text{[math]}$ $p>3$ — простое число и $\text{[math]}$ $\text{[math]}$ $E$ — эллиптическая кривая над $\text{[math]}$ $\text{[math]}$ $\mathbb {F} _{p}$ . Тогда любой вектор $\text{[math]}$ $\text{[math]}$ $a=(a_{0},a_{1},\dots ,a_{n})\in ({\mathbb {F} }_{l}^{*})^{n+1}$ определяет конечную последовательность $\text{[math]}$ $\text{[math]}$ $f_{a}(x)=(a_{0}a_{1}^{x_{1}}a_{2}^{x_{2}}\dots a_{n}^{x_{n}})G\in \mathbb {F} _{p}^{2}$ в циклической группе $\text{[math]}$ $\text{[math]}$ $\langle G\rangle$ , где $\text{[math]}$ $\text{[math]}$ $x=x_{1}\dots x_{n}$ — битовое представление $\text{[math]}$ $\text{[math]}$ $x,\;0\leq x<2^{n}$ , $\text{[math]}$ $\text{[math]}$ $G\in \mathbb {F} _{p}^{2}$ , — некоторый элемент на $\text{[math]}$ $\text{[math]}$ $E$ с мультипликативным порядком $\text{[math]}$ $\text{[math]}$ $l$ , а $\text{[math]}$ $\text{[math]}$ $(a_{0}a_{1}^{x_{1}}a_{2}^{x_{2}}\dots a_{n}^{x_{n}})G$ — это операция возведения элемента $\text{[math]}$ $\text{[math]}$ $G$ в степень $\text{[math]}$ $\text{[math]}$ $a_{0}a_{1}^{x_{1}}a_{2}^{x_{2}}\dots a_{n}^{x_{n}}$ относительно групповой операции в абелевой группе $\text{[math]}$ $\text{[math]}$ $\mathbb {F} _{p}$ -рациональных точек эллиптической кривой^[10]. В таких обозначениях последовательность Наора — Рейнгольда на эллиптической кривой определяется как $\text{[math]}$ $\text{[math]}$ $u_{k}=X(f_{a}(k))\;$ , где $\text{[math]}$ $\text{[math]}$ $X(P)$ обозначает абсциссу точки $\text{[math]}$ $\text{[math]}$ $P\in E$ ^[8].

Если предположение Диффи — Хеллмана выполнено, то индекса $\text{[math]}$ $\text{[math]}$ $k$ не достаточно для вычисления $\text{[math]}$ $\text{[math]}$ $u_{k}$ за полиномиальное время. Для эллиптической кривой Наора — Рейнгольда было показано, что существуют такие $\text{[math]}$ $\text{[math]}$ $\gamma >0$ и $\text{[math]}$ $\text{[math]}$ $n\geqslant (1+\gamma )\log l$ , что для любого $\text{[math]}$ $\text{[math]}$ $\delta >0$ и достаточно большого $\text{[math]}$ $\text{[math]}$ $l$ линейная сложность $\text{[math]}$ $\text{[math]}$ $L_{a}$ последовательности $\text{[math]}$ $\text{[math]}$ $(u_{k})_{k=0}^{2^{n}-1}$ удовлетворяет следующему неравенству^[8]:

\text{[math]}

L_{a}\geqslant \min \left(l^{{\frac {1}{3}}-\delta },{\frac {l^{(\gamma -3\delta )}}{\log ^{2}l}}\right)

для всех, кроме не более чем $\text{[math]}$ $\text{[math]}$ $O((l-1)^{n-\delta })$ векторов $\text{[math]}$ $\text{[math]}$ $a\in (\mathbb {F} _{l}^{*})^{n+1}$ .

См. такжеПравить

ПримечанияПравить

↑ ¹ ² ³ ⁴ Moni Naor, Omer Reingold. Number-theoretic constructions of efficient pseudo-random functions // Journal of the ACM. — 2004-03-01. — Т. 51, вып. 2. — С. 231–262. — ISSN 0004-5411. — doi:10.1145/972639.972643.
↑ ¹ ² Thierry Mefenza Nountu. Pseudo-random generators and pseudo-random functions : cryptanalysis and complexity measures (англ.). — 2017-11-28. Архивировано 28 ноября 2019 года.
↑ ¹ ² ³ Igor E. Shparlinski. Linear complexity of the Naor–Reingold pseudo-random function // Information Processing Letters. — 2000-12. — Т. 76, вып. 3. — С. 95–99. — ISSN 0020-0190. — doi:10.1016/s0020-0190(00)00133-2.
↑ Ernest F. Brickell, Daniel M. Gordon, Kevin S. McCurley, David B. Wilson. Fast Exponentiation with Precomputation (англ.) // Advances in Cryptology — EUROCRYPT’ 92 / Rainer A. Rueppel. — Berlin, Heidelberg: Springer Berlin Heidelberg, 1993. — Vol. 658. — P. 200–207. — ISBN 978-3-540-56413-3. — doi:10.1007/3-540-47555-9_18.
↑ Aggelos Kiayias, Stavros Papadopoulos, Nikos Triandopoulos, Thomas Zacharias. Delegatable pseudorandom functions and applications // Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security - CCS '13. — New York, New York, USA: ACM Press, 2013. — ISBN 978-1-4503-2477-9. — doi:10.1145/2508859.2516668.
↑ Oded Goldreich, Shafi Goldwasser, Silvio Micali. On the Cryptographic Applications of Random Functions (Extended Abstract) (англ.) // Advances in Cryptology / George Robert Blakley, David Chaum. — Berlin, Heidelberg: Springer Berlin Heidelberg, 1985. — Vol. 196. — P. 276–288. — ISBN 978-3-540-15658-1. — doi:10.1007/3-540-39568-7_22.
↑ Algorithmic number theory : third international symposium, ANTS-III, Portland, Oregon, USA, June 21-25, 1998 : proceedings. — Berlin: Springer, 1998. — x, 640 pages с. — ISBN 3-540-64657-4, 978-3-540-64657-0.
↑ ¹ ² ³ Marcos Cruz, Domingo Gómez, Daniel Sadornil. On the linear complexity of the Naor–Reingold sequence with elliptic curves // Finite Fields and Their Applications. — 2010-09. — Т. 16, вып. 5. — С. 329–333. — ISSN 1071-5797. — doi:10.1016/j.ffa.2010.05.005.
↑ ¹ ² Igor E. Shparlinski. On the Uniformity of Distribution of the Naor–Reingold Pseudo-Random Function // Finite Fields and Their Applications. — 2001-04. — Т. 7, вып. 2. — С. 318–326. — ISSN 1071-5797. — doi:10.1006/ffta.2000.0291.
↑ Igor E. Shparlinski, Joseph H. Silverman. On the Linear Complexity of the Naor–Reingold Pseudo-random Function from Elliptic Curves (англ.) // Designs, Codes and Cryptography. — 2001-12-01. — Vol. 24, iss. 3. — P. 279–289. — ISSN 1573-7586. — doi:10.1023/A:1011223204345.

[NaorReingold-1] ¹ ² ³ ⁴ Moni Naor, Omer Reingold. Number-theoretic constructions of efficient pseudo-random functions // Journal of the ACM. — 2004-03-01. — Т. 51, вып. 2. — С. 231–262. — ISSN 0004-5411. — doi:10.1145/972639.972643.

[:0-2] ¹ ² Thierry Mefenza Nountu. Pseudo-random generators and pseudo-random functions : cryptanalysis and complexity measures (англ.). — 2017-11-28. Архивировано 28 ноября 2019 года.

[:1-3] ¹ ² ³ Igor E. Shparlinski. Linear complexity of the Naor–Reingold pseudo-random function // Information Processing Letters. — 2000-12. — Т. 76, вып. 3. — С. 95–99. — ISSN 0020-0190. — doi:10.1016/s0020-0190(00)00133-2.

[4] Ernest F. Brickell, Daniel M. Gordon, Kevin S. McCurley, David B. Wilson. Fast Exponentiation with Precomputation (англ.) // Advances in Cryptology — EUROCRYPT’ 92 / Rainer A. Rueppel. — Berlin, Heidelberg: Springer Berlin Heidelberg, 1993. — Vol. 658. — P. 200–207. — ISBN 978-3-540-56413-3. — doi:10.1007/3-540-47555-9_18.

[5] Aggelos Kiayias, Stavros Papadopoulos, Nikos Triandopoulos, Thomas Zacharias. Delegatable pseudorandom functions and applications // Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security - CCS '13. — New York, New York, USA: ACM Press, 2013. — ISBN 978-1-4503-2477-9. — doi:10.1145/2508859.2516668.

[6] Oded Goldreich, Shafi Goldwasser, Silvio Micali. On the Cryptographic Applications of Random Functions (Extended Abstract) (англ.) // Advances in Cryptology / George Robert Blakley, David Chaum. — Berlin, Heidelberg: Springer Berlin Heidelberg, 1985. — Vol. 196. — P. 276–288. — ISBN 978-3-540-15658-1. — doi:10.1007/3-540-39568-7_22.

[7] Algorithmic number theory : third international symposium, ANTS-III, Portland, Oregon, USA, June 21-25, 1998 : proceedings. — Berlin: Springer, 1998. — x, 640 pages с. — ISBN 3-540-64657-4, 978-3-540-64657-0.

[:2-8] ¹ ² ³ Marcos Cruz, Domingo Gómez, Daniel Sadornil. On the linear complexity of the Naor–Reingold sequence with elliptic curves // Finite Fields and Their Applications. — 2010-09. — Т. 16, вып. 5. — С. 329–333. — ISSN 1071-5797. — doi:10.1016/j.ffa.2010.05.005.

[:3-9] ¹ ² Igor E. Shparlinski. On the Uniformity of Distribution of the Naor–Reingold Pseudo-Random Function // Finite Fields and Their Applications. — 2001-04. — Т. 7, вып. 2. — С. 318–326. — ISSN 1071-5797. — doi:10.1006/ffta.2000.0291.

[10] Igor E. Shparlinski, Joseph H. Silverman. On the Linear Complexity of the Naor–Reingold Pseudo-random Function from Elliptic Curves (англ.) // Designs, Codes and Cryptography. — 2001-12-01. — Vol. 24, iss. 3. — P. 279–289. — ISSN 1573-7586. — doi:10.1023/A:1011223204345.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]