XTR (алгоритм)

Алгоритм работает в конечном поле ${\displaystyle GF(p^6)}$ . Рассмотрим группу порядка ${\displaystyle p^2-<!--\; -\; -->p+1}$ , и её подгруппу порядка q, где p — простое число, такое, что другое достаточно большое простое число q является делителем ${\displaystyle p^2-<!--\; -\; -->p+1}$ . Группа порядка q называется XTR-подгруппой. Эта циклическая группа ${\displaystyle ⟨<!--\; ⟨\; -->g⟩<!--\; ⟩\; -->}$  является подгруппой ${\displaystyle GF(p^6{)}^{\ast <!--\; \ast \; -->}}$  и имеет генератор g.

Арифметические операции в ${\displaystyle GF(p^2)}$ Править

Пусть p — простое число, такое, что p ≡ 2 mod 3, а p² — p + 1 делится на достаточно большое простое q. Так как p² ≡ 1 mod 3, p порождает ${\displaystyle (\mathbb{Z}/3\mathbb{Z}{)}^{\ast <!--\; \ast \; -->}}$ . Таким образом, круговой многочлен ${\displaystyle {\mathrm{\Phi <!--\; \Phi \; -->}}_3(x)=x^2+x+1}$  является неприводимым в ${\displaystyle GF(p)}$ . Следовательно, корни ${\displaystyle \mathrm{\alpha <!--\; \alpha \; -->}}$  и ${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}^p}$  образуют оптимальный нормальный базис ${\displaystyle GF(p^2)}$  над ${\displaystyle GF(p)}$  и

${\displaystyle GF(p^2)\cong <!--\; \cong \; -->\{x_1\mathrm{\alpha <!--\; \alpha \; -->}+x_2{\mathrm{\alpha <!--\; \alpha \; -->}}^p:x_1,x_2\in <!--\; \in \; -->GF(p)\}.}$ 

С учетом p ≡ 2 mod 3:

${\displaystyle GF(p^2)\cong <!--\; \cong \; -->\{y_1\mathrm{\alpha <!--\; \alpha \; -->}+y_2{\mathrm{\alpha <!--\; \alpha \; -->}}^2:{\mathrm{\alpha <!--\; \alpha \; -->}}^2+\mathrm{\alpha <!--\; \alpha \; -->}+1=0,y_1,y_2\in <!--\; \in \; -->GF(p)\}.}$ 

Таким образом, стоимость арифметических операций следующая:

• Вычисление x^p не требует умножения
• Вычисление x² требует двух операций умножения в ${\displaystyle GF(p)}$ 
• Вычисление xy требует трех операций умножения в ${\displaystyle GF(p)}$ 
• Вычисление xz-yzp требует четырёх операций умножения в ${\displaystyle GF(p)}$ .:^[1]

Использование следов в ${\displaystyle GF(p^2)}$ Править

Элементами, сопряженными с ${\displaystyle h\in <!--\; \in \; -->GF(p^6)}$  в ${\displaystyle GF(p^2)}$  являются: сам ${\displaystyle h,h^{p^2}}$  и ${\displaystyle h^{p^4}}$ , а их сумма — след ${\displaystyle h}$ .

${\displaystyle Tr(h)=h+h^{p^2}+h^{p^4}.}$ 

Кроме того:

 

Рассмотрим генератор ${\displaystyle g}$  XTR-группы порядка ${\displaystyle q}$ , где ${\displaystyle q}$  — простое число. Так как ${\displaystyle ⟨<!--\; ⟨\; -->g⟩<!--\; ⟩\; -->}$  — подгруппа группы порядка ${\displaystyle p^2-<!--\; -\; -->p+1}$ , то ${\displaystyle q\mid <!--\; \mid \; -->p^2-<!--\; -\; -->p+1}$ . Кроме того,

${\displaystyle p^2=p-<!--\; -\; -->1}$ 

и

${\displaystyle p^4=(p-<!--\; -\; -->1{)}^2=p^2-<!--\; -\; -->2p+1=-<!--\; -\; -->p}$ .

Таким образом,

 

Отметим также, что сопряженным к элементу ${\displaystyle g}$  является ${\displaystyle 1}$ , то есть, ${\displaystyle g}$  имеет норму равную 1. Ключевой особенностью XTR является то, что минимальный многочлен ${\displaystyle g}$  в ${\displaystyle GF(p^2)}$ 

${\displaystyle (x-<!--\; -\; -->g)(x-<!--\; -\; -->g^{p-<!--\; -\; -->1})(x-<!--\; -\; -->g^{-<!--\; -\; -->p})}$ 

упрощается до

${\displaystyle x^3-<!--\; -\; -->Tr(g)x^2+Tr(g{)}^{p}x-<!--\; -\; -->1}$ 

Иными словами, сопряженные с ${\displaystyle g}$  элементы, как корни минимального многочлена в ${\displaystyle GF(p^2)}$ , полностью определяются следом ${\displaystyle g}$ . Аналогичные рассуждения верны для любой степени ${\displaystyle g}$ :

${\displaystyle x^3-<!--\; -\; -->Tr(g^n)x^2+Tr(g^n{)}^{p}x-<!--\; -\; -->1}$ 

— этот многочлен определяется следом ${\displaystyle Tr(g^n)}$ .

Идея алгоритма в том, чтобы заменить ${\displaystyle g^n\in <!--\; \in \; -->GF(p^6)}$  на ${\displaystyle Tr(g^n)\in <!--\; \in \; -->GF(p^2)}$ , то есть вычислять ${\displaystyle Tr(g^n)}$  по ${\displaystyle Tr(g)}$  вместо ${\displaystyle g^n}$  по ${\displaystyle g}$  Однако для того, чтобы метод был эффективен, необходим способ быстро получать ${\displaystyle Tr(g^n)}$  по имеющемуся ${\displaystyle Tr(g)}$ .

Алгоритм быстрого вычисления ${\displaystyle Tr(g^n)}$  по ${\displaystyle Tr(g)}$ ^[2]Править

Определение: Для каждого ${\displaystyle c}$  ${\displaystyle GF(p^2)}$  определим:

${\displaystyle F(c,X)=X^3-<!--\; -\; -->c{X}^2+c^{p}X-<!--\; -\; -->1\in <!--\; \in \; -->GF(p^2)[X].}$ 

Определение: Пусть ${\displaystyle h_0,h_1,h_2}$  — корни ${\displaystyle F(c,X)}$  в ${\displaystyle GF(p^6)}$ , а ${\displaystyle n\in <!--\; \in \; -->\mathbb{Z}}$ . Обозначим:

${\displaystyle c_n=h_0^n+h_1^n+h_2^n.}$ 

Свойства ${\displaystyle c_n}$  и ${\displaystyle F(c,X)}$ :

1. ${\displaystyle c=c_1}$ 
2. ${\displaystyle c_{-<!--\; -\; -->n}=c_{np}=c_n^p}$ 
3. ${\displaystyle c_n\in <!--\; \in \; -->GF(p^2)}$  для ${\displaystyle n\in <!--\; \in \; -->\mathbb{Z}}$ 
4. ${\displaystyle c_{u+v}=c_u{c}_v-<!--\; -\; -->c_v^p{c}_{u-<!--\; -\; -->v}+c_{u-<!--\; -\; -->2v}}$  для ${\displaystyle u,v\in <!--\; \in \; -->\mathbb{Z}}$ 
5. Либо все ${\displaystyle h_j}$  имеют порядок, являющийся делителем ${\displaystyle p^2-<!--\; -\; -->p+1}$  и ${\displaystyle >3}$ , либо все ${\displaystyle h_j}$  — в поле ${\displaystyle GF(p^2)}$ . В частности, ${\displaystyle F(c,X)}$  — неприводим тогда и только тогда, когда его корни имеют порядок, являющийся делителем ${\displaystyle p^2-<!--\; -\; -->p+1}$  и ${\displaystyle >3}$ .
6. ${\displaystyle F(c,X)}$  приводим в поле ${\displaystyle GF(p^2)}$  тогда и только тогда, когда ${\displaystyle c_{p+1}\in <!--\; \in \; -->GF(p)}$ 

Утверждение: Пусть даны ${\displaystyle c,c_{n-<!--\; -\; -->1},c_n,c_{n+1}}$ .

1. Вычисление ${\displaystyle c_{2n}=c_n^2-<!--\; -\; -->2c_n^p}$  требует двух операций произведения в поле ${\displaystyle GF(p)}$ .
2. Вычисление ${\displaystyle c_{n+2}=c_{n+1}\cdot <!--\; \cdot \; -->c-<!--\; -\; -->c^p\cdot <!--\; \cdot \; -->c_n+c_{n-<!--\; -\; -->1}}$  требует четырёх операций произведения в поле ${\displaystyle GF(p)}$ .
3. Вычисление ${\displaystyle c_{2n-<!--\; -\; -->1}=c_{n-<!--\; -\; -->1}\cdot <!--\; \cdot \; -->c_n-<!--\; -\; -->c^p\cdot <!--\; \cdot \; -->c_n^p+c_{n+1}^p}$  требует четырёх операций произведения в поле ${\displaystyle GF(p)}$ .
4. Вычисление ${\displaystyle c_{2n+1}=c_{n+1}\cdot <!--\; \cdot \; -->c_n-<!--\; -\; -->c\cdot <!--\; \cdot \; -->c_n^p+c_{n-<!--\; -\; -->1}^p}$  требует четырёх операций произведения в поле ${\displaystyle GF(p)}$ .

Определение: Пусть ${\displaystyle S_n(c)=(c_{n-<!--\; -\; -->1},c_n,c_{n+1})\in <!--\; \in \; -->GF(p^2{)}^3}$ .

Алгоритм для вычисления ${\displaystyle S_n(c)}$  при заданных ${\displaystyle n}$  и ${\displaystyle c}$ Править

• При   алгоритм применяется для ${\displaystyle -<!--\; -\; -->n}$  и ${\displaystyle c}$ , затем используется свойство 2 для получения конечного результатаю
• При ${\displaystyle n=0}$ , ${\displaystyle S_0(c)=(c^p,3,c)}$ .
• При ${\displaystyle n=1}$ , ${\displaystyle S_1(c)=(3,c,c^2-<!--\; -\; -->2c^p)}$ .
• При ${\displaystyle n=2}$ , воспользуемся выражениями для ${\displaystyle c_{n+2}=c_{n+1}\cdot <!--\; \cdot \; -->c-<!--\; -\; -->c^p\cdot <!--\; \cdot \; -->c_n+c_{n-<!--\; -\; -->1}}$  и ${\displaystyle S_1(c)}$ , чтобы найти ${\displaystyle c_3}$  и, соответственно, ${\displaystyle S_2(c)}$ .
• При ${\displaystyle n>2}$ , чтобы вычислить ${\displaystyle S_n(c)}$ , введем

${\displaystyle {\stackrel{¯<!--\; ¯\; -->}{S}}_i(c)=S_{2i+1}(c)}$ 

и ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{m}=n}$  если не ${\displaystyle n}$  нечетно и ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{m}=n-<!--\; -\; -->1}$  если четно. Положим ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{m}=2m+1,k=1}$  и найдем ${\displaystyle {\stackrel{¯<!--\; ¯\; -->}{S}}_k(c)=S_3(c)}$ , используя Утверждение, и ${\displaystyle S_2(c)}$ . Пусть, в дальнейшем,

${\displaystyle m=\underset{j=0}{\overset{r}{\sum <!--\; \sum \; -->}}{m}_j{2}^j}$ 

где ${\displaystyle m_j\in <!--\; \in \; -->0,1}$  и ${\displaystyle m_r=1}$ . Для ${\displaystyle j=r-<!--\; -\; -->1,r-<!--\; -\; -->2,...,0}$  последовательно выполним следующее:

• При ${\displaystyle m_j=0}$ , воспользуемся ${\displaystyle {\stackrel{¯<!--\; ¯\; -->}{S}}_k(c)}$  чтобы найти ${\displaystyle {\stackrel{¯<!--\; ¯\; -->}{S}}_{2k}(c)}$ .
• При ${\displaystyle m_j=1}$ , воспользуемся ${\displaystyle {\stackrel{¯<!--\; ¯\; -->}{S}}_k(c)}$  чтобы найти ${\displaystyle {\stackrel{¯<!--\; ¯\; -->}{S}}_{2k+1}(c)}$ .
• Заменим ${\displaystyle k}$  на ${\displaystyle 2k+m_j}$ .

По завершении итераций, ${\displaystyle k=m}$ , а ${\displaystyle S_{\stackrel{¯<!--\; ¯\; -->}{m}}(c)={\stackrel{¯<!--\; ¯\; -->}{S}}_m(c)}$ . Если n — четно, воспользуемся ${\displaystyle S_{\stackrel{¯<!--\; ¯\; -->}{m}}(c)}$  чтобы найти ${\displaystyle {\stackrel{¯<!--\; ¯\; -->}{S}}_{m+1}(c)}$ .

Выбор поля и размера подгруппыПравить

Чтобы воспользоваться преимуществами представления элементов групп в виде их следов и обеспечить достаточную защищенность данных, необходимо найти простые ${\displaystyle p}$  и ${\displaystyle q}$ , где ${\displaystyle p}$  — характеристика поля ${\displaystyle GF(p^6)}$ , причем ${\displaystyle p\equiv <!--\; \equiv \; -->2\text{mod}3}$ , а ${\displaystyle q}$  — размер подгруппы и делитель ${\displaystyle p^2-<!--\; -\; -->p+1}$ . Обозначим как ${\displaystyle P}$  и ${\displaystyle Q}$  размеры ${\displaystyle p}$  и ${\displaystyle q}$  в битах. Чтобы достичь уровня безопасности, который обеспечивает, к примеру, RSA с длиной ключа в 1024 бита, требуется выбрать ${\displaystyle P}$  таким, что ${\displaystyle 6P>1024}$ , то есть ${\displaystyle P\approx <!--\; \approx \; -->170}$  а ${\displaystyle Q}$  может быть около 160. Первый алгоритм, который позволяет вычислить такие простые ${\displaystyle p}$  и ${\displaystyle q}$  — Алгоритм А.

Алгоритм А

1. Найдём ${\displaystyle r\in <!--\; \in \; -->\mathbb{Z}}$  такое, что число ${\displaystyle q=r^2-<!--\; -\; -->r+1}$  — простое число длиной в ${\displaystyle Q}$  бит.
2. Найдем ${\displaystyle k\in <!--\; \in \; -->\mathbb{Z}}$  такое, что число ${\displaystyle p=r+k\cdot <!--\; \cdot \; -->q}$  — простое длиной ${\displaystyle P}$  бит, а также ${\displaystyle p\equiv <!--\; \equiv \; -->2\text{mod}3}$ .

Корректность Алгоритма А:

Необходимо проверить лишь то, что ${\displaystyle q\mid <!--\; \mid \; -->p^2-<!--\; -\; -->p+1}$ , так как все оставшиеся свойства очевидно выполнены из-за специфики выбора ${\displaystyle p}$  и ${\displaystyle q}$ .

Нетрудно заметить, что ${\displaystyle p^2-<!--\; -\; -->p+1=r^2+2rkq+k^2{q}^2-<!--\; -\; -->r-<!--\; -\; -->kq+1=r^2-<!--\; -\; -->r+1+q(2rk+k^{2}q-<!--\; -\; -->k)=q(1+2rk+k^{2}q-<!--\; -\; -->k)}$ , значит ${\displaystyle q\mid <!--\; \mid \; -->p^2-<!--\; -\; -->p+1}$ .

Алгоритм А очень быстрый, однако может быть небезопасен, так как уязвим против атаки с использованием решета числового поля.

От этого недостатка избавлен более медленный Алгоритм Б.

Алгоритм Б

1. Выберем простое число ${\displaystyle q}$  длиной в ${\displaystyle Q}$  бит, такое, что ${\displaystyle q\equiv <!--\; \equiv \; -->7\text{mod}12}$ .
2. Найдем корни ${\displaystyle r_1}$  и ${\displaystyle r_2}$  ${\displaystyle X^2-<!--\; -\; -->X+1\text{mod}q}$ .
3. Найдем ${\displaystyle k\in <!--\; \in \; -->\mathbb{Z}}$  такое, что ${\displaystyle p=r_i+k\cdot <!--\; \cdot \; -->q}$ , ${\displaystyle p}$ - простое ${\displaystyle P}$ -битовое число и при этом ${\displaystyle p\equiv <!--\; \equiv \; -->2\text{mod}3}$  для ${\displaystyle i\in <!--\; \in \; -->\{1,2\}}$ 

Корректность Алгоритма Б:

Как только мы выбираем ${\displaystyle q\equiv <!--\; \equiv \; -->7\text{mod}12}$ , автоматически выполняется условие ${\displaystyle q\equiv <!--\; \equiv \; -->1\text{mod}3}$  (Так как ${\displaystyle 7\equiv <!--\; \equiv \; -->1\text{mod}3}$  и ${\displaystyle 3\mid <!--\; \mid \; -->12}$ ). Из этого утверждения и квадратичного закона взаимности следует, что корни ${\displaystyle r_1}$  и ${\displaystyle r_2}$  существуют.

Чтобы проверить, что ${\displaystyle q\mid <!--\; \mid \; -->p^2-<!--\; -\; -->p+1}$  снова рассмотрим ${\displaystyle p^2-<!--\; -\; -->p+1}$  для ${\displaystyle r_i\in <!--\; \in \; -->\{1,2\}}$  и заметим, что ${\displaystyle p^2-<!--\; -\; -->p+1=r_i^2+2r_{i}kq+k^2{q}^2-<!--\; -\; -->r_i-<!--\; -\; -->kq+1=r_i^2-<!--\; -\; -->r_i+1+q(2rk+k^{2}q-<!--\; -\; -->k)=q(2rk+k^{2}q-<!--\; -\; -->k)}$ .Значит ${\displaystyle r_1}$  и ${\displaystyle r_2}$  -корни ${\displaystyle X^2-<!--\; -\; -->X+1}$  и, следовательно, ${\displaystyle q\mid <!--\; \mid \; -->p^2-<!--\; -\; -->p+1}$ .

Выбор подгруппыПравить

В предыдущем разделе мы нашли размеры ${\displaystyle p}$  и ${\displaystyle q}$  конечного поля ${\displaystyle GF(p^6)}$  и мультипликативной подгруппы в ${\displaystyle GF(p^6{)}^{\ast <!--\; \ast \; -->}}$ . Теперь следует найти подгруппу ${\displaystyle ⟨<!--\; ⟨\; -->g⟩<!--\; ⟩\; -->}$  в ${\displaystyle GF(p^6{)}^{\ast <!--\; \ast \; -->}}$  для некоторых ${\displaystyle g\in <!--\; \in \; -->GF(p^6)}$  таких, что ${\displaystyle \mid <!--\; \mid \; -->⟨<!--\; ⟨\; -->g⟩<!--\; ⟩\; -->\mid <!--\; \mid \; -->=q}$ . Однако, необязательно искать явный элемент ${\displaystyle g\in <!--\; \in \; -->GF(p^6)}$ , достаточно найти элемент ${\displaystyle c\in <!--\; \in \; -->GF(p^2)}$  такой, что ${\displaystyle c=Tr(g)}$  для элемента ${\displaystyle g\in <!--\; \in \; -->GF(p^6)}$  порядка ${\displaystyle q}$ . Но при данном ${\displaystyle Tr(g)}$ , генератор ${\displaystyle g}$  XTR-группы может быть найден путём нахождения корня ${\displaystyle F(Tr(g),X)}$ . Чтобы найти это ${\displaystyle c}$ , рассмотрим свойство 5 ${\displaystyle F(c,X)}$ . Найдя такое ${\displaystyle c}$  следует проверить, действительно ли оно порядка ${\displaystyle q}$ , однако сначала нужно выбрать c\in GF(p²), такое, что F(c,\ X) — неприводимо. Простейший подход в том, чтобы выбирать ${\displaystyle c\in <!--\; \in \; -->GF(p^2)\mathrm{\setminus <!--\; \setminus \; -->}GF(p)}$  случайным образом.

Утверждение: Для случайно выбранного ${\displaystyle c\in <!--\; \in \; -->GF(p^2)}$  вероятность, что ${\displaystyle F(c,X)=X^3-<!--\; -\; -->c{X}^2+c^{p}X-<!--\; -\; -->1\in <!--\; \in \; -->GF(p^2)[X]}$  — неприводимо, больше 1/3.

Базовый алгоритм для поиска ${\displaystyle Tr(g)}$ :

1. Выберем случайное ${\displaystyle c\in <!--\; \in \; -->GF(p^2)\mathrm{\setminus <!--\; \setminus \; -->}GF(p)}$ .
2. Если ${\displaystyle F(c,X)}$  — приводим, вернемся на первый шаг.
3. Воспользуемся алгоритмом для поиска ${\displaystyle S_n(c)}$ . Найдем ${\displaystyle d=c_{(p^2-<!--\; -\; -->p+1)/q}}$ .
4. Если ${\displaystyle d}$  имеет порядок не равный ${\displaystyle q}$ , вернемся на первый шаг.
5. Пусть ${\displaystyle Tr(g)=d}$ .

Данный алгоритм вычисляет элемент поля ${\displaystyle GF(p^2)}$  эквивалентный ${\displaystyle Tr(g)}$  для некоторых ${\displaystyle g\in <!--\; \in \; -->GF(p^6)}$  порядка ${\displaystyle q}$ .^[1]

Протокол Диффи-ХеллманаПравить

Предположим, у Алисы и Боба есть открытый XTR-ключ ${\displaystyle \left(p,q,Tr(g)\right)}$  и они хотят сгенерировать общий закрытый ключ ${\displaystyle K}$ .

1. Алиса выбирает случайное число ${\displaystyle a\in <!--\; \in \; -->\mathbb{Z}}$  такое, что  , вычисляет ${\displaystyle S_a(Tr(g))=\left(Tr(g^{a-<!--\; -\; -->1}),Tr(g^a),Tr(g^{a+1})\right)\in <!--\; \in \; -->GF(p^2{)}^3}$  и посылает ${\displaystyle Tr(g^a)\in <!--\; \in \; -->GF(p^2)}$  Бобу.
2. Боб получает ${\displaystyle Tr(g^a)}$  от Алисы, выбирает случайное ${\displaystyle b\in <!--\; \in \; -->\mathbb{Z}}$  такое, что  , вычисляет ${\displaystyle S_b(Tr(g))=\left(Tr(g^{b-<!--\; -\; -->1}),Tr(g^b),Tr(g^{b+1})\right)\in <!--\; \in \; -->GF(p^2{)}^3}$  и посылает ${\displaystyle Tr(g^b)\in <!--\; \in \; -->GF(p^2)}$  Алисе.
3. Алиса получает ${\displaystyle Tr(g^b)}$  от Боба, вычисляет ${\displaystyle S_a(Tr(g^b))=\left(Tr(g^{(a-<!--\; -\; -->1)b}),Tr(g^{ab}),Tr(g^{(a+1)b})\right)\in <!--\; \in \; -->GF(p^2{)}^3}$  и получает ${\displaystyle Tr(g^{ab})\in <!--\; \in \; -->GF(p^2)}$  — закрытый ключ ${\displaystyle K}$ .
4. Точно так же, Боб вычисляет ${\displaystyle S_b(Tr(g^a))=\left(Tr(g^{a(b-<!--\; -\; -->1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in <!--\; \in \; -->GF(p^2{)}^3}$  и получает ${\displaystyle Tr(g^{ab})\in <!--\; \in \; -->GF(p^2)}$  — закрытый ключ ${\displaystyle K}$ .

Схема Эль-ГамаляПравить

Предположим, у Алисы есть часть публичного ключа XTR: ${\displaystyle (p,q,Tr(g))}$ . Алиса выбирает секретное целое число ${\displaystyle k}$  и вычисляет и публикует ${\displaystyle Tr(g^k)}$ . Получив публичный ключ Алисы ${\displaystyle \left(p,q,Tr(g),Tr(g^k)\right)}$ , Боб может зашифровать сообщение ${\displaystyle M}$ , предназначенное Алисе, используя следующий алгоритм:

1. Боб выбирает случайное ${\displaystyle b\in <!--\; \in \; -->\mathbb{Z}}$  такое, что   и вычисляет ${\displaystyle S_b(Tr(g))=\left(Tr(g^{b-<!--\; -\; -->1}),Tr(g^b),Tr(g^{b+1})\right)\in <!--\; \in \; -->GF(p^2{)}^3}$ .
2. Затем Боб вычисляет${\displaystyle S_b(Tr(g^k))=\left(Tr(g^{(b-<!--\; -\; -->1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in <!--\; \in \; -->GF(p^2{)}^3}$ .
3. Боб определяет симметричный ключ ${\displaystyle K}$  основанный на ${\displaystyle Tr(g^{bk})\in <!--\; \in \; -->GF(p^2)}$ .
4. Боб шифрует сообщение ${\displaystyle M}$  ключом ${\displaystyle K}$ , получая зашифрованное сообщение ${\displaystyle E}$ .
5. Пару ${\displaystyle (Tr(g^b),E)}$  Боб посылает Алисе.

Получив пару ${\displaystyle (Tr(g^b),E)}$ , Алиса расшифровывает её следующим образом:

1. Алиса вычисляет ${\displaystyle S_k(Tr(g^b))=\left(Tr(g^{b(k-<!--\; -\; -->1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in <!--\; \in \; -->GF(p^2{)}^3}$ .
2. Алиса определяет симметричный ключ ${\displaystyle K}$  основанный на ${\displaystyle Tr(g^{bk})\in <!--\; \in \; -->GF(p^2)}$ .
3. Зная, что алгоритм шифрования сообщения — симметричный, Алиса ключом ${\displaystyle K}$  расшифровывает ${\displaystyle E}$ , получая исходное сообщение ${\displaystyle M}$ .

Таким образом, сообщение передано.