XTR (алгоритм)

XTR (скорочення від ECSTR — «Efficient and Compact Subgroup Trace Representation») — алгоритм шифрування з відкритим ключем, який базується на обчислювальній складності задачі дискретного логарифмування. Перевагами цього алгоритму перед іншими, що використовують цю ідею, є більша швидкість і менший розмір ключа.

Алгоритм використовує генератор ${\displaystyle g}$ відносно малої підгрупи порядку ${\displaystyle q}$ (${\displaystyle q}$ — просте) підгрупи ${\displaystyle GF(p^{6})^{*}}$. За правильного вибору ${\displaystyle q}$, дискретне логарифмування в групі, породженій ${\displaystyle g}$, має таку ж обчислювальну складність, що й у ${\displaystyle GF(p^{6})^{*}}$. XTR використовує арифметику ${\displaystyle GF(p^{2})}$ замість ${\displaystyle GF(p^{6})}$, забезпечуючи таку ж захищеність, але з меншими витратами на обчислення і передавання даних.

Алгоритм працює в скінченному полі ${\displaystyle GF(p^{6})}$. Розглянемо групу порядку ${\displaystyle p^{2}-p+1}$, і її підгрупу порядку q, де p — просте число, таке, що інше досить велике просте число q є дільником ${\displaystyle p^{2}-p+1}$. Група порядку q називається XTR-підгрупою. Ця циклічна група ${\displaystyle \langle g\rangle }$ є підгрупою ${\displaystyle GF(p^{6})^{*}}$ і має генератор g.

Нехай p — просте число, таке, що p ≡ 2 mod 3, а p ² — p + 1 ділиться на досить велике просте q. Оскільки p ² ≡ 1 mod 3, p породжує ${\displaystyle (\mathbb {Z} /3\mathbb {Z} )^{*}}$. Таким чином, коловий многочлен^{[прояснити]} ${\displaystyle \Phi _{3}(x)=x^{2}+x+1}$ є таким, що не переводиться в ${\displaystyle GF(p)}$. Отже, корені ${\displaystyle \alpha }$ і ${\displaystyle \alpha ^{p}}$ утворюють оптимальний нормальний базис ${\displaystyle GF(p^{2})}$ над ${\displaystyle GF(p)}$ і

${\displaystyle GF(p^{2})\cong \{x_{1}\alpha +x_{2}\alpha ^{p}:x_{1},x_{2}\in GF(p)\}.}$

З урахуванням p ≡ 2 mod 3:

${\displaystyle GF(p^{2})\cong \{y_{1}\alpha +y_{2}\alpha ^{2}:\alpha ^{2}+\alpha +1=0,y_{1},y_{2}\in GF(p)\}.}$

Лема. Вартість арифметичних операцій така:

• Обчислення x^p не вимагає множення
• Обчислення x² вимагає двох операцій множення в ${\displaystyle GF(p)}$
• Обчислення xy вимагає трьох операцій множення в ${\displaystyle GF(p)}$
• Обчислення xz-yz^p вимагає чотирьох операцій множення в ${\displaystyle GF(p)}$.^[1]

Елементами, сполученими з ${\displaystyle h\in GF(p^{6})}$ в ${\displaystyle GF(p^{2})}$ є: сам ${\displaystyle h,h^{p^{2}}}$ і ${\displaystyle h^{p^{4}}}$, а їх сума — слід ${\displaystyle h}$.

${\displaystyle Tr(h)=h+h^{p^{2}}+h^{p^{4}}.}$

Крім того:

${\displaystyle {\begin{aligned}Tr(h)^{p^{2}}&=h^{p^{2}}+h^{p^{4}}+h^{p^{6}}\\&=h+h^{p^{2}}+h^{p^{4}}\\&=Tr(h)\end{aligned}}}$

Розглянемо генератор ${\displaystyle g}$ XTR-групи порядку ${\displaystyle q}$, де ${\displaystyle q}$ — просте число. Оскільки ${\displaystyle \langle g\rangle }$ — підгрупа групи порядку ${\displaystyle p^{2}-p+1}$, то ${\displaystyle q\mid p^{2}-p+1}$. Крім того,

${\displaystyle p^{2}=p-1}$

і

${\displaystyle p^{4}=(p-1)^{2}=p^{2}-2p+1=-p}$.

Таким чином,

${\displaystyle {\begin{aligned}Tr(g)&=g+g^{p^{2}}+g^{p^{4}}\\&=g+g^{p-1}+g^{-p}.\end{aligned}}}$

Відзначимо також, що зв'язаним до елементу ${\displaystyle g}$ є ${\displaystyle 1}$, тобто, ${\displaystyle g}$ має норму рівну 1. Ключовою особливістю XTR є те, що мінімальний многочлен ${\displaystyle g}$ в ${\displaystyle GF(p^{2})}$

${\displaystyle (x-g)\!\ (x-g^{p-1})(x-g^{-p})}$

спрощується до

${\displaystyle x^{3}-Tr(g)\!\ x^{2}+Tr(g)^{p}x-1}$

Іншими словами, пов'язані з ${\displaystyle g}$ елементи, як корені мінімального многочлена в ${\displaystyle GF(p^{2})}$, повністю визначаються слідом ${\displaystyle g}$. Аналогічні міркування вірні для будь-якого степеня ${\displaystyle g}$:

${\displaystyle x^{3}-Tr(g^{n})\!\ x^{2}+Tr(g^{n})^{p}x-1}$

- цей многочлен визначається слідом ${\displaystyle Tr(g^{n})}$.

Ідея алгоритму в тому, щоб замінити ${\displaystyle g^{n}\in GF(p^{6})}$ на ${\displaystyle Tr(g^{n})\in GF(p^{2})}$, тобто обчислювати ${\displaystyle Tr(g^{n})}$ за ${\displaystyle Tr(g)}$ замість ${\displaystyle g^{n}}$ за ${\displaystyle g}$. Однак для того, щоб метод був ефективним, потрібен спосіб швидко отримувати ${\displaystyle Tr(g^{n})}$ за наявним ${\displaystyle Tr(g)}$.

Означення: Для кожного ${\displaystyle c}$ з ${\displaystyle GF(p^{2})}$ визначимо:

${\displaystyle F(c,X)=X^{3}-cX^{2}+c^{p}X-1\in GF(p^{2})[X].}$

Означення: Нехай ${\displaystyle h_{0},\!\ h_{1},h_{2}}$ — корені ${\displaystyle F(c,X)}$ в ${\displaystyle GF(p^{6})}$, а ${\displaystyle n\in \mathbb {Z} }$. Позначимо:

${\displaystyle c_{n}=h_{0}^{n}+h_{1}^{n}+h_{2}^{n}.}$

Властивості ${\displaystyle c_{n}}$ і ${\displaystyle F(c,X)}$ :

1. ${\displaystyle c=c_{1}}$
2. ${\displaystyle c_{-n}=c_{np}=c_{n}^{p}}$
3. ${\displaystyle c_{n}\in GF(p^{2})}$ для ${\displaystyle n\in \mathbb {Z} }$
4. ${\displaystyle c_{u+v}=c_{u}c_{v}-c_{v}^{p}c_{u-v}+c_{u-2v}}$ для ${\displaystyle u,v\in \mathbb {Z} }$
5. або всі ${\displaystyle h_{j}}$ мають порядок, який є дільником ${\displaystyle p^{2}-p+1}$ і ${\displaystyle >3}$, або всі ${\displaystyle h_{j}}$ — в полі ${\displaystyle GF(p^{2})}$. Зокрема, ${\displaystyle F(c,X)}$ — є таким, що не переводиться тоді і тільки тоді, коли його корені мають порядок, який є дільником ${\displaystyle p^{2}-p+1}$ і ${\displaystyle >3}$.
6. ${\displaystyle F(c,X)}$ звідне в полі ${\displaystyle GF(p^{2})}$ тоді і тільки тоді, коли ${\displaystyle c_{p+1}\in GF(p)}$

Лема: Нехай дано ${\displaystyle c,\!\ c_{n-1},c_{n},c_{n+1}}$.

1. обчислення ${\displaystyle c_{2n}=c_{n}^{2}-2c_{n}^{p}}$ вимагає двох операцій множення в полі ${\displaystyle GF(p)}$.
2. обчислення ${\displaystyle c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}}$ вимагає чотирьох операцій множення в полі ${\displaystyle GF(p)}$.
3. обчислення ${\displaystyle c_{2n-1}=c_{n-1}\cdot c_{n}-c^{p}\cdot c_{n}^{p}+c_{n+1}^{p}}$ вимагає чотирьох операцій множення в полі ${\displaystyle GF(p)}$.
4. обчислення ${\displaystyle c_{2n+1}=c_{n+1}\cdot c_{n}-c\cdot c_{n}^{p}+c_{n-1}^{p}}$ вимагає чотирьох операцій множення в полі ${\displaystyle GF(p)}$.

Визначення: Нехай ${\displaystyle S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}}$.

• Якщо ${\displaystyle n<0}$, то алгоритм застосовується для ${\displaystyle -n}$ і ${\displaystyle c}$, потім використовується властивість 2 для отримання кінцевого результату.
• Якщо ${\displaystyle n=0}$, ${\displaystyle S_{0}(c)\!\ =(c^{p},3,c)}$.
• Якщо ${\displaystyle n=1}$, ${\displaystyle S_{1}(c)\!\ =(3,c,c^{2}-2c^{p})}$.
• Якщо ${\displaystyle n=2}$, скористаємося виразами для ${\displaystyle c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}}$ і ${\displaystyle S_{1}(c)}$, щоб знайти ${\displaystyle c_{3}}$ і відповідно, ${\displaystyle S_{2}(c)}$.
• Якщо ${\displaystyle n>2}$, щоб обчислити ${\displaystyle S_{n}(c)}$, введемо

${\displaystyle {\bar {S}}_{i}(c)=S_{2i+1}(c)}$

і ${\displaystyle {\bar {m}}=n}$ якщо ${\displaystyle n}$ непарне і ${\displaystyle {\bar {m}}=n-1}$ якщо парне. Покладемо ${\displaystyle {\bar {m}}=2m+1,k=1}$ і знайдемо ${\displaystyle {\bar {S}}_{k}(c)=S_{3}(c)}$, використовуючи твердження, і ${\displaystyle S_{2}(c)}$. Нехай, надалі,

${\displaystyle m=\sum _{j=0}^{r}m_{j}2^{j}}$

де ${\displaystyle m_{j}\in {0,1}}$ і ${\displaystyle m_{r}=1}$. Для ${\displaystyle j=r-1,r-2,...,0}$ послідовно виконаємо таке:

• Якщо ${\displaystyle m_{j}=0}$, скористаємося ${\displaystyle {\bar {S}}_{k}(c)}$ щоб знайти ${\displaystyle {\bar {S}}_{2k}(c)}$.
• Якщо ${\displaystyle m_{j}=1}$, скористаємося ${\displaystyle {\bar {S}}_{k}(c)}$ щоб знайти ${\displaystyle {\bar {S}}_{2k+1}(c)}$.
• Замінимо ${\displaystyle k}$ на ${\displaystyle 2k+m_{j}}$.

По завершенні ітерацій, ${\displaystyle k=m}$, а ${\displaystyle S_{\bar {m}}(c)={\bar {S}}_{m}(c)}$. Якщо n — парне, скористаємося ${\displaystyle S_{\bar {m}}(c)}$ щоб знайти ${\displaystyle {\bar {S}}_{m+1}(c)}$.

Щоб скористатися перевагами подання елементів груп у вигляді їх слідів і забезпечити достатню захищеність даних, необхідно знайти прості ${\displaystyle p}$ і ${\displaystyle q}$, де ${\displaystyle p}$ — характеристика поля ${\displaystyle GF(p^{6})}$, причому ${\displaystyle p\equiv 2\ {\text{mod}}\ 3}$, а ${\displaystyle q}$ — розмір підгрупи і дільник ${\displaystyle p^{2}-p+1}$. Позначимо як ${\displaystyle P}$ і ${\displaystyle Q}$ розміри ${\displaystyle p}$ і ${\displaystyle q}$ в бітах. Щоб досягти рівня безпеки, який надає, наприклад, RSA з довжиною ключа 1024 біти, потрібно вибрати ${\displaystyle P}$ таким, що ${\displaystyle 6P>1024}$, тобто ${\displaystyle P\approx 170}$ а ${\displaystyle Q}$ може бути близько 160. Перший алгоритм, який дозволяє обчислити такі прості ${\displaystyle p}$ і ${\displaystyle q}$ — Алгоритм А.

Алгоритм А

1. Знайдемо ${\displaystyle r\in \mathbb {Z} }$ таке, що число ${\displaystyle q=r^{2}-r+1}$ — просте число довжиною в ${\displaystyle Q}$ біт.
2. Знайдемо ${\displaystyle k\in \mathbb {Z} }$ таке, що число ${\displaystyle p=r+k\cdot q}$ — просте довжиною ${\displaystyle P}$ біт, а також ${\displaystyle p\equiv 2\ {\text{mod}}\ 3}$.

Коректність Алгоритму А:

Необхідно перевірити лише те, що ${\displaystyle q\mid p^{2}-p+1}$, оскільки всі решта властивостей очевидно виконані через специфіку вибору ${\displaystyle p}$ і ${\displaystyle q}$.

Неважко помітити, що ${\displaystyle p^{2}-p+1=r^{2}+2rkq+k^{2}q^{2}-r-kq+1=r^{2}-r+1+q(2rk+k^{2}q-k)=q(1+2rk+k^{2}q-k)}$, отже ${\displaystyle q\mid p^{2}-p+1}$.

Алгоритм А дуже швидкий, однак може бути небезпечним, оскільки вразливий щодо атаки з використанням решета числового поля.

Цього недоліку позбавлений повільніший Алгоритм Б.

Алгоритм Б

1. Виберемо просте число ${\displaystyle q}$ довжиною в ${\displaystyle Q}$ біт, таке, що ${\displaystyle q\equiv 7\ {\text{mod}}\ 12}$.
2. Знайдемо корені ${\displaystyle r_{1}}$ і ${\displaystyle r_{2}}$${\displaystyle X^{2}-X+1\ {\text{mod}}\ q}$.
3. Знайдемо ${\displaystyle k\in \mathbb {Z} }$ таке, що ${\displaystyle p=r_{i}+k\cdot q}$, ${\displaystyle p}$ — просте ${\displaystyle P}$ -бітове число і при цьому ${\displaystyle p\equiv 2\ {\text{mod}}\ 3}$ для ${\displaystyle i\in \{1,2\}}$

Коректність Алгоритму Б:

Як тільки ми вибираємо ${\displaystyle q\equiv 7\ {\text{mod}}\ 12}$, автоматично виконується умова ${\displaystyle q\equiv 1\ {\text{mod}}\ 3}$ (оскільки ${\displaystyle 7\equiv 1\ {\text{mod}}\ 3}$ і ${\displaystyle 3\mid 12}$). З цього твердження і квадратичного закону взаємності випливає, що корені ${\displaystyle r_{1}}$ і ${\displaystyle r_{2}}$ існують.

Щоб перевірити, що ${\displaystyle q\mid p^{2}-p+1}$ знову розглянемо ${\displaystyle p^{2}-p+1}$ для ${\displaystyle r_{i}\in \{1,2\}}$ і зауважимо, що ${\displaystyle p^{2}-p+1=r_{i}^{2}+2r_{i}kq+k^{2}q^{2}-r_{i}-kq+1=r_{i}^{2}-r_{i}+1+q(2rk+k^{2}q-k)=q(2rk+k^{2}q-k)}$. Тобто ${\displaystyle r_{1}}$ і ${\displaystyle r_{2}}$ — корені ${\displaystyle X^{2}-X+1}$ і, отже, ${\displaystyle q\mid p^{2}-p+1}$.

У попередньому розділі ми знайшли розміри ${\displaystyle p}$ і ${\displaystyle q}$ скінченного поля ${\displaystyle GF(p^{6})}$ і мультиплікативної підгрупи в ${\displaystyle GF(p^{6})^{*}}$. Тепер слід знайти підгрупу ${\displaystyle \langle g\rangle }$ в ${\displaystyle GF\!\ (p^{6})^{*}}$ для деяких ${\displaystyle g\in GF(p^{6})}$ таких, що ${\displaystyle \mid \!\!\langle g\rangle \!\!\mid =q}$. Однак, необов'язково шукати явний елемент ${\displaystyle g\in GF(p^{6})}$, досить знайти елемент ${\displaystyle c\in GF(p^{2})}$ такий, що ${\displaystyle c=Tr(g)}$ для елемента ${\displaystyle g\in GF(p^{6})}$ порядку ${\displaystyle q}$. Але при цьому ${\displaystyle Tr(g)}$, генератор ${\displaystyle g}$ XTR-групи може бути знайдений шляхом знаходження кореня ${\displaystyle F(Tr(g),\ X)}$. Щоб знайти це ${\displaystyle c}$, розглянемо властивість 5 ${\displaystyle F(c,\ X)}$. Знайшовши таке ${\displaystyle c}$ слід перевірити, чи дійсно воно має порядок ${\displaystyle q}$, проте спочатку потрібно вибрати ${\displaystyle c\in GF(p^{2})}$, таке, що ${\displaystyle F(c,\ X)}$ — незвідне. Найпростіший підхід в тому, щоб вибирати ${\displaystyle c\in GF(p^{2})\backslash GF(p)}$ випадковим чином.

Лема: Для випадково вибраного ${\displaystyle c\in GF(p^{2})}$ ймовірність, що ${\displaystyle F(c,\ X)=X^{3}-cX^{2}+c^{p}X-1\in GF(p^{2})[X]}$ — є незвідним, більша 1/3.

Базовий алгоритм для пошуку ${\displaystyle Tr(g)}$:

1. Виберемо випадкове ${\displaystyle c\in GF(p^{2})\backslash GF(p)}$.
2. Якщо ${\displaystyle F(c,\ X)}$ — звідне, повернемося на перший крок.
3. Скористаємося алгоритмом для пошуку ${\displaystyle S_{n}(c)}$. Знайдемо ${\displaystyle d=c_{(p^{2}-p+1)/q}}$.
4. Якщо ${\displaystyle d}$ має порядок не рівний ${\displaystyle q}$, повернемося на перший крок.
5. Нехай ${\displaystyle Tr(g)=d}$.

Даний алгоритм обчислює елемент поля ${\displaystyle GF(p^{2})}$ еквівалентний ${\displaystyle Tr(g)}$ для деяких ${\displaystyle g\in GF(p^{6})}$ порядку ${\displaystyle q}$.^[1]

Припустимо, Аліси і Боб мають відкритий XTR-ключ ${\displaystyle \left(p,q,Tr(g)\right)}$ і вони хочуть згенерувати спільний закритий ключ ${\displaystyle K}$.

1. Аліса вибирає випадкове число ${\displaystyle a\in \mathbb {Z} }$ таке, що ${\displaystyle 1<a<q-2}$, обчислює ${\displaystyle S_{a}(Tr(g))=\left(Tr(g^{a-1}),Tr(g^{a}),Tr(g^{a+1})\right)\in GF(p^{2})^{3}}$ і посилає ${\displaystyle Tr(g^{a})\in GF(p^{2})}$ Бобу.
2. Боб отримує ${\displaystyle Tr(g^{a})}$ від Аліси, вибирає випадкове ${\displaystyle b\in \mathbb {Z} }$ таке, що ${\displaystyle 1<b<q-2}$, обчислює ${\displaystyle S_{b}(Tr(g))=\left(Tr(g^{b-1}),Tr(g^{b}),Tr(g^{b+1})\right)\in GF(p^{2})^{3}}$ і посилає ${\displaystyle Tr(g^{b})\in GF(p^{2})}$ Алісі.
3. Аліса отримує ${\displaystyle Tr(g^{b})}$ від Боба, обчислює ${\displaystyle S_{a}(Tr(g^{b}))=\left(Tr(g^{(a-1)b}),Tr(g^{ab}),Tr(g^{(a+1)b})\right)\in GF(p^{2})^{3}}$ і отримує ${\displaystyle Tr(g^{ab})\in GF(p^{2})}$ — закритий ключ ${\displaystyle K}$.
4. Так само, Боб обчислює ${\displaystyle S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}}$ і отримує ${\displaystyle Tr(g^{ab})\in GF(p^{2})}$ — закритий ключ ${\displaystyle K}$.

Припустимо, Аліса має частину публічного ключа XTR: ${\displaystyle (p,q,Tr(g))}$. Аліса вибирає секретне ціле число ${\displaystyle k}$ і обчислює і публікує ${\displaystyle Tr(g^{k})}$. Отримавши публічний ключ Аліси ${\displaystyle \left(p,q,Tr(g),Tr(g^{k})\right)}$, Боб може зашифрувати повідомлення ${\displaystyle M}$, Призначене Алісі, використовуючи такий алгоритм:

1. Боб вибирає випадкове ${\displaystyle b\in \mathbb {Z} }$ таке, що ${\displaystyle 1<b<q-2}$ і обчислює ${\displaystyle S_{b}(Tr(g))=\left(Tr(g^{b-1}),Tr(g^{b}),Tr(g^{b+1})\right)\in GF(p^{2})^{3}}$.
2. Потім Боб обчислює ${\displaystyle S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}}$.
3. Боб визначає симетричний ключ ${\displaystyle K}$ на основі ${\displaystyle Tr(g^{bk})\in GF(p^{2})}$.
4. Боб шифрує повідомлення ${\displaystyle M}$ ключем ${\displaystyle K}$, отримуючи зашифроване повідомлення ${\displaystyle E}$.
5. Пару ${\displaystyle (Tr(g^{b}),\ E)}$ Боб посилає Алісі.

Отримавши пару ${\displaystyle (Tr(g^{b}),\ E)}$, Аліса розшифровує її таким чином:

1. Аліса обчислює ${\displaystyle S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}}$.
2. Аліса визначає симетричний ключ ${\displaystyle K}$ на основі ${\displaystyle Tr(g^{bk})\in GF(p^{2})}$.
3. Знаючи, що алгоритм шифрування повідомлення — симетричний, Аліса ключем ${\displaystyle K}$ розшифровує ${\displaystyle E}$, отримуючи початкове повідомлення ${\displaystyle M}$.

Таким чином, повідомлення надіслано.

На цю статтю не посилаються інші статті Вікіпедії. Будь ласка розставте посилання відповідно до прийнятих рекомендацій.