Скрытые уравнения поля

Скрытые уравнения поля (HFE, анг. Hidden Field Equations) — разновидность криптографической системы с открытым ключом, которая является частью многомерной криптографии. Также известна как односторонняя функция с потайным входом HFE. Данная система является обобщением системы Матцумото-Имаи и впервые была представлена Жаком Патарином в 1996 году на конференции Eurocrypt.^[1]

Система скрытых уравнений поля основана на многочленах над конечными полями $\text{[math]}$ $\text{[math]}$ $K$ $K$ разного размера, чтобы замаскировать связь между закрытым ключом и открытым ключом.^[2]

HFE на самом деле является семейством, которое состоит из основных HFE и комбинаций версий HFE. Семейство криптосистем HFE основано на трудности поиска решений системы многомерных квадратных уравнений (так называемой задаче MQ^[3]), поскольку она использует частные аффинные преобразования, чтобы скрыть расширение поля и частные полиномы. Скрытые уравнения поля также использовались для построения схем цифровой подписи, таких как Quartz and Sflash.^[2]^[1]

Основная идея^[1]Править

Функция $\text{[math]}$ $\text{[math]}$ $f$ Править

Пусть $\text{[math]}$ $\text{[math]}$ $K$ — конечное поле размерности $\text{[math]}$ $\text{[math]}$ $q$ с характеристикой $\text{[math]}$ $\text{[math]}$ $p$ (обычно, но не обязательно $\text{[math]}$ $\text{[math]}$ $p=q=2$ ).
Пусть $\text{[math]}$ $\text{[math]}$ $L_{N}$ — расширение $\text{[math]}$ $\text{[math]}$ $K$ степени $\text{[math]}$ $\text{[math]}$ $N$ .
Пусть $\text{[math]}$ $\text{[math]}$ $\beta _{ij}$ , $\text{[math]}$ $\text{[math]}$ $\alpha _{i}$ и $\text{[math]}$ $\text{[math]}$ $\mu _{0}$ — элементы $\text{[math]}$ $\text{[math]}$ $L_{N}$ .
Пусть $\text{[math]}$ $\text{[math]}$ $\theta _{ij}$ , $\text{[math]}$ $\text{[math]}$ $\varphi _{ij}$ и $\text{[math]}$ $\text{[math]}$ $\xi _{i}$ — целые.
Наконец, пусть $\text{[math]}$ $\text{[math]}$ $f$ — функция такая, что: $L_{N}\mapsto L_{N}$ $f:x\mapsto \sum _{i,j}{\beta _{ij}x^{q^{\theta _{ij}}+q^{\varphi _{ij}}}}+\sum _{i}{\alpha _{i}x^{q^{\xi _{i}}}}+\mu _{0}$

Тогда $\text{[math]}$ $\text{[math]}$ $f$ является многочленом от $\text{[math]}$ $\text{[math]}$ $x$ .

Пусть теперь $\text{[math]}$ $\text{[math]}$ $B$ будет базисом $\text{[math]}$ $\text{[math]}$ $L_{N}$ . Тогда выражение $\text{[math]}$ $\text{[math]}$ $f$ в базисе $\text{[math]}$ $\text{[math]}$ $B$ :

f(x_{1},...,x_{N})=(p_{1}(x_{1},...,x_{N}),...,p_{N}(x_{1},...,x_{N}))

где

\text{[math]}

p_{1},...,p_{N}

—

\text{[math]}

N

многочленов от

\text{[math]}

N

переменных степени 2.

Это верно, так как для любого целого $\text{[math]}$ $\text{[math]}$ $\lambda$ , $\text{[math]}$ $\text{[math]}$ $x\mapsto x^{q^{\lambda }}$ является линейной функцией $\text{[math]}$ $\text{[math]}$ $L_{N}\mapsto L_{N}$ . Многочлены $\text{[math]}$ $\text{[math]}$ $p_{1},...,p_{N}$ могут быть найдены путем выбора «представления» $\text{[math]}$ $\text{[math]}$ $L_{N}$ . Такое «представление» обычно задается выбором неприводимого многочлена $\text{[math]}$ $\text{[math]}$ $i_{N}(X)$ степени $\text{[math]}$ $\text{[math]}$ $N$ над $\text{[math]}$ $\text{[math]}$ $K$ , поэтому мы можем задать $\text{[math]}$ $\text{[math]}$ $L_{N}$ с помощью $\text{[math]}$ $\text{[math]}$ $K[X]/(i_{N}(X))$ . В этом случае возможно найти многочлены $\text{[math]}$ $\text{[math]}$ $p_{1},...,p_{N}$ .

Инверсия $\text{[math]}$ $\text{[math]}$ $f$ Править

Следует заметить, что $\text{[math]}$ $\text{[math]}$ $f$ не всегда является перестановкой $\text{[math]}$ $\text{[math]}$ $L_{N}$ . Однако основой алгоритма HFE является следующая теорема.

Теорема: Пусть $\text{[math]}$ $\text{[math]}$ $L_{N}$ — конечное поле, причем $\text{[math]}$ $\text{[math]}$ $\mid {L_{N}}\mid =q^{n}$ с $\text{[math]}$ $\text{[math]}$ $q$ и $\text{[math]}$ $\text{[math]}$ $n$ «не слишком большими» (например, $\text{[math]}$ $\text{[math]}$ $q\leq {64}$ и $\text{[math]}$ $\text{[math]}$ $n\leq {1024}$ ). Пусть $\text{[math]}$ $\text{[math]}$ $f(x)$ — заданный многочлен от $\text{[math]}$ $\text{[math]}$ $x$ над полем $\text{[math]}$ $\text{[math]}$ $L_{N}$ со степенью $\text{[math]}$ $\text{[math]}$ $d$ «не слишком большой» (например, $\text{[math]}$ $\text{[math]}$ $d\leq {1024}$ ). Пусть $\text{[math]}$ $\text{[math]}$ $a$ — элемент поля $\text{[math]}$ $\text{[math]}$ $L_{N}$ . Тогда всегда (на компьютере) можно найти все корни уравнения $\text{[math]}$ $\text{[math]}$ $f(x)=a$ .

Шифрование^[1]Править

Представление сообщения $\text{[math]}$ $\text{[math]}$ $M$ Править

В поле $\text{[math]}$ $\text{[math]}$ $K$ количество публичных элементов $\text{[math]}$ $\text{[math]}$ $q=p^{m}$ .

Каждое сообщение $\text{[math]}$ $\text{[math]}$ $M$ представлено значением $\text{[math]}$ $\text{[math]}$ $x$ , где $\text{[math]}$ $\text{[math]}$ $x$ — строка из $\text{[math]}$ $\text{[math]}$ $n$ элементов поля $\text{[math]}$ $\text{[math]}$ $K$ . Таким образом, если $\text{[math]}$ $\text{[math]}$ $p=2$ , то каждое сообщение представлено $\text{[math]}$ $\text{[math]}$ $n m$ битами. Более того, иногда предполагается, что в представление $\text{[math]}$ $\text{[math]}$ $x$ сообщений была помещена некоторая избыточность $\text{[math]}$ $\text{[math]}$ $r$ .

Шифрование $\text{[math]}$ $\text{[math]}$ $x$ Править

Cекретная частьПравить

Расширение $\text{[math]}$ $\text{[math]}$ $L_{n}$ поля $\text{[math]}$ $\text{[math]}$ $K$ степени $\text{[math]}$ $\text{[math]}$ $n$ .
Функция $\text{[math]}$ $\text{[math]}$ $f$ : $\text{[math]}$ $\text{[math]}$ ${L_{n}}\mapsto {L_{n}}$ , которая была описана выше, с «не слишком большой» степенью $\text{[math]}$ $\text{[math]}$ $d$ .
Два аффинных преобразования $\text{[math]}$ $\text{[math]}$ $S$ и $\text{[math]}$ $\text{[math]}$ $T$ : $\text{[math]}$ $\text{[math]}$ ${K^{n}}\mapsto {K^{n}}$

Публичная частьПравить

Поле $\text{[math]}$ $\text{[math]}$ $K$ c $\text{[math]}$ $\text{[math]}$ $q=p^{m}$ элементами и длина $\text{[math]}$ $\text{[math]}$ $n$ .
$\text{[math]}$ $\text{[math]}$ $n$ многочленов $\text{[math]}$ $\text{[math]}$ $(p_{1},...,p_{n})$ размерности $\text{[math]}$ $\text{[math]}$ $n$ над полем $\text{[math]}$ $\text{[math]}$ $K$ .
Способ добавления избыточности $\text{[math]}$ $\text{[math]}$ $r$ в сообщениях (то есть способ получения $\text{[math]}$ $\text{[math]}$ $x$ из $\text{[math]}$ $\text{[math]}$ $M$ ).

Основная идея построения семейства систем скрытых уравнений поля в качестве многомерной криптосистемы заключается в построении секретного ключа, начиная с полинома $\text{[math]}$ $\text{[math]}$ $P$ с одним неизвестным $\text{[math]}$ $\text{[math]}$ $x$ над некоторым конечным полем $\text{[math]}$ $\text{[math]}$ $L_{N}$ .^[2] Этот полином может быть инвертирован над $\text{[math]}$ $\text{[math]}$ $L_{N}$ , то есть может быть найдено любое решение уравнения $\text{[math]}$ $\text{[math]}$ $P(x)=y$ , если оно существует. Преобразование секрета, также как и расшифровка или/и подпись, основано на этой инверсии.

Как было сказано выше, $\text{[math]}$ $\text{[math]}$ $P$ можно идентифицировать системой $\text{[math]}$ $\text{[math]}$ $n$ уравнений $\text{[math]}$ $\text{[math]}$ $(p_{1},...,p_{n})$ , используя фиксированный базис. Для того чтобы построить криптосистему, полином $\text{[math]}$ $\text{[math]}$ $(p_{1},...,p_{n})$ должен быть преобразован таким образом, чтобы публичная информация скрывала первоначальную структуру и предотвращала инверсию. Это достигается рассмотрением конечных полей $\text{[math]}$ $\text{[math]}$ $\mathbb {L} _{n}$ в качестве векторного пространства над $\text{[math]}$ $\text{[math]}$ $\mathbb {K}$ и выбором двух линейных аффинных преобразований $\text{[math]}$ $\text{[math]}$ $S$ и $\text{[math]}$ $\text{[math]}$ $T$ . Триплет $\text{[math]}$ $\text{[math]}$ $(S,P,T)$ формирует приватный ключ. Приватный полином $\text{[math]}$ $\text{[math]}$ $P$ определён на $\text{[math]}$ $\text{[math]}$ $\mathbb {L} _{n}$ . Публичным ключом является полином $\text{[math]}$ $\text{[math]}$ $(p_{1},...,p_{n})$ .^[2]

M{\overset {+r}{\to }}x{\overset {{\text{секрет}}:S}{\to }}x'{\overset {{\text{секрет}}:P}{\to }}y'{\overset {{\text{секрет}}:T}{\to }}y

Расширения HFEПравить

Скрытые уравнения поля имеют четыре основных модификации: +, -, v и f, и их можно комбинировать по-разному. Основной принцип заключается в следующем^[2]:

Модификация «+» состоит из линейного комбинирования публичных уравнений с некоторыми случайными уравнениями.
Модификация «-» появился благодаря Ади-Шамиру и удаляет избыточность « $\text{[math]}$ $\text{[math]}$ $r$ » из публичных уравнений.
Модификация «f» состоит из фиксации некоторых входных переменных $\text{[math]}$ $\text{[math]}$ $f$ открытого ключа.
Модификация «v» определяется как сложная конструкция, такая что обратная функция может быть найдена только в том случае, если некоторые v переменных фиксированы. Эта идея принадлежит Жаку Патарину.

Атаки на криптосистемы HFEПравить

Две самые известные атаки на систему скрытых уравнений поля^[4]:

Получение закрытого ключа (Шамир-Кипнис): ключевым моментом этой атаки является восстановление закрытого ключа как разреженных одномерных многочленов над полем расширений $\text{[math]}$ $\text{[math]}$ $L_{n}$ . Атака работает только для базовой системы скрытых уравнений поля и не работает для всех её вариаций.
Атака, основанная на алгоритме Грёбнера (разработана Жаном-Чарльзом Фужером): идея атаки заключается в использовании быстрого алгоритма для вычисления базиса Грёбнера системы полиномиальных уравнений. Фужер взломал HFE в рамках the HFE Challenge 1 за 96 часов в 2002 году. В 2003 году Фужер вместе с Жу работали над безопасностью HFE.

ПримечанияПравить

↑ ¹ ² ³ ⁴ Jacques Patarin Hidden Field Equations (HFE) and Isomorphic Polynomial (IP): two new families of asymmetric algorithm (неопр.). Дата обращения: 15 декабря 2017. Архивировано 2 февраля 2017 года.
↑ ¹ ² ³ ⁴ ⁵ Christopher Wolf and Bart Preneel, Asymmetric Cryptography: Hidden Field Equations (неопр.). Дата обращения: 8 декабря 2017. Архивировано 10 августа 2017 года.
↑ Enrico Thomae and Christopher Wolf, Solving Systems of Multivariate Quadratic Equations over Finite Fields or: From Relinearization to MutantXL (неопр.). Дата обращения: 8 декабря 2017. Архивировано 10 августа 2017 года.
↑ Nicolas T. Courtois, "The Security of Hidden Field Equations" (неопр.).

СсылкиПравить

[autogenerated1-1] ¹ ² ³ ⁴ Jacques Patarin Hidden Field Equations (HFE) and Isomorphic Polynomial (IP): two new families of asymmetric algorithm (неопр.). Дата обращения: 15 декабря 2017. Архивировано 2 февраля 2017 года.

[autogenerated3-2] ¹ ² ³ ⁴ ⁵ Christopher Wolf and Bart Preneel, Asymmetric Cryptography: Hidden Field Equations (неопр.). Дата обращения: 8 декабря 2017. Архивировано 10 августа 2017 года.

[autogenerated2-3] Enrico Thomae and Christopher Wolf, Solving Systems of Multivariate Quadratic Equations over Finite Fields or: From Relinearization to MutantXL (неопр.). Дата обращения: 8 декабря 2017. Архивировано 10 августа 2017 года.

[4] Nicolas T. Courtois, "The Security of Hidden Field Equations" (неопр.).

[1]

[2]

[3]

[4]