McEliece-féle titkosító rendszer

A kriptográfiában a McEliece-féle titkosító rendszer, egy aszimmetrikus titkosító algoritmus, melyet Robert McEliece, amerikai matematikus fejlesztett ki 1978-ban.^[1]

Ez volt az első olyan algoritmus, ahol a titkosítási folyamatban véletlen-számokat használtak. Az algoritmus soha nem keltett különös figyelmet a titkosítással foglalkozó közösségben, de ez a módszer “jelölt” lehet a ‘post-kvantum titkosítási’ módszerek között, mivel immunis támadásokra, a Shor-algoritmust felhasználva, és – még általánosabban – mellékosztály állapotokat használ Fourier mintavétellel.^[2]

Egy közelmúltban nyilvánosságra került tanulmány szerint a kvantumszámítógépek alkalmazásakor a titkosító kulcsok mérete megnégyszereződik.^[3] Az algoritmus az P-hard ^[4]). elméleten alapul. A magán kulcs leírására egy hibajavító kódot választottak, mely elég hatékony dekódolási algoritmusként ismert, és képes a ${\displaystyle t}$ hibákat kijavítani.

Az eredeti algoritmus a bináris Goppa kódokat használja; ezeket könnyű dekódolni a Patterson-féle algoritmus miatt.^[5] A nyilvános kulcs a magán kulcsból származtatható azzal, hogy elrejtik a kódot, mint általános lineáris kód. Ezért ${\displaystyle G}$ generátor mátrix permutálásával, két véletlenszerűen kiválasztott invertált ${\displaystyle S}$ és ${\displaystyle P}$ mátrix-szal.

Számos titkosító rendszer létezik, különféle kódokkal. A legtöbb nem biztonságos; strukturális dekódolással könnyen feltörhető.

A McEliece, a Goppa kóddal ellenáll a kriptoanalízisnek. A következőkben ismertetjük a támadást és annak kivédését.^[6]

A McEliece-féle titkosító rendszernek van néhány előnye, például az RSA-hoz képest. A titkosítás és a titkosítás feloldása gyorsabb, és a kulcs méretének növelésekor a biztonság még gyorsabban nő.

Sokáig azt gondolták, hogy a McEliece-féle titkosító rendszer nem használható digitális aláírásra. Azonban a Niederreiter sémára épülő aláírás megvalósítható, mely a McEliece duális változata.

A McEliece-féle titkosító rendszer fő hátránya az, hogy a nyilvános és a magán kulcsok is nagy mátrixok. A nyilvános kulcs 512 kilobit hosszú. Ez azért van így, mert a gyakorlatban ritkán használják. Van egy kivétel, a Freenet-féle entrópia alkalmazás.^[7]

A McEliece három algoritmust tartalmaz: egy probabilista kulcs generáló algoritmust, mely létrehozza a nyilvános-, és a magán kulcsokat, a probabilisztikus titkosító algoritmust, és a determinisztikus titkosítást feloldó algoritmust. Minden - McEliece-t alkalmazó - használónak vannak biztonsági paraméterei: ${\displaystyle n,k,t}$.

1. Vera kiválaszt egy bináris ${\displaystyle (n,k)}$ -lineáris ${\displaystyle C}$ kódot, mely képes a ${\displaystyle t}$ hibákat javítani. Ez lehet egy hatékony dekódoló algoritmus, és generál egy ${\displaystyle k\times n}$ generátor mátrixot,${\displaystyle G}$.

2. Vera kiválaszt egy véletlenszerű ${\displaystyle k\times k}$ bináris nem szinguláris ${\displaystyle S}$ mátrixot.

3. Vera kiválaszt egy véletlenszerű ${\displaystyle n\times n}$, ${\displaystyle P}$ permutációmátrixot.

4. Vera kiszámolja a ${\displaystyle k\times n}$ mátrixot: ${\displaystyle \hat{G}=SGP}$.

5. Vera nyilvános kulcsa: ${\displaystyle (\hat{G},t)}$; magán kulcsa: ${\displaystyle (S,G,P)}$.

Tegyük fel, hogy Sándor küld egy m üzenetet Verának, kinek a nyilvános kulcsa: ${\displaystyle (\hat{G},t)}$.

1. Sándor kódolja az m üzenetetet, mint egy ${\displaystyle k}$ hosszúságú bináris stringet,

2. Sándor kiszámolja a ${\displaystyle c^{\prime }=m\hat{G}}$ vektort,

3. Sándor generál egy véletlenszerű ${\displaystyle n}$-bites vektort, ${\displaystyle z}$, mely tartalmazza a ${\displaystyle t}$-t,

4. Sándor kiszámolja a titkos szöveget, mint ${\displaystyle c=c^{\prime }+z}$.

${\displaystyle c}$ megérkezésekor, Vera a következő lépéseket teszi:

1. Vera kiszámolja a ${\displaystyle P}$ inverzét (azaz: ${\displaystyle P^{-1}}$),

2. Vera kiszámolja a ${\displaystyle \hat{c}=c{P}^{-1}}$,

3. Vera dekódoló algoritmust használ a ${\displaystyle C}$ kódra,hogy dekódolja a ${\displaystyle \hat{c}}$ - ${\displaystyle \hat{m}}$,

4. Vera kiszámolja: ${\displaystyle m=\hat{m}{S}^{-1}}$.

Megjegyezzük, hogy ${\displaystyle \hat{c}=c{P}^{-1}=m\hat{G}{P}^{-1}+z{P}^{-1}=mSG+z{P}^{-1}}$, és ${\displaystyle P}$ egy permutációs mátrix, így ${\displaystyle z{P}^{-1}}$ súlyozása többnyire ${\displaystyle t}$.

A Goppa kód, ${\displaystyle G}$ ki tudja javítani a ${\displaystyle t}$ hibákat, és az ${\displaystyle mSG}$ szó ${\displaystyle c{P}^{-1}}$-től ${\displaystyle t}$-re van, azért a korrekt kód szó: ${\displaystyle \hat{m}=mS}$ megkapható. Az ${\displaystyle S}$ inverzével szorozva, adódik ${\displaystyle m=\hat{m}{S}^{-1}=mS{S}^{-1}}$, mely a megfejtett üzenet.

McEliece eredetileg a következő biztonsági paramétereket javasolta: ${\displaystyle n=1024,k=524,t=50}$, mely 524*(1024-524) = 262,000 bites nyilvános kulcsot eredményez.^[1]

Egy későbbi analízis azt ajánlja, hogy ${\displaystyle n=2048,k=1751,t=27}$ legyen a paraméterek nagysága, 80 bitre, ha standard algebrai dekódolást használunk, vagy ${\displaystyle n=1632,k=1269,t=34}$, ha lista dekódolást alkalmazunk a Goppa kódra, mely megnöveli a nyilvános kulcsot 520,047 és 460,647 bitre, megfelelően.^[6]

Egy sikeres ellenséges támadás, ismerve a ${\displaystyle (\hat{G},t)}$ nyilvános kulcsot, de a magán kulcsot nem, eredményezheti a szöveg kikövetkeztetését a titkos írásból ${\displaystyle y\in {𝔽}_2^n}$. Az ilyen kísérletek nem működnek.

Ez a fejezet tárgyalja az irodalomból ismert támadási stratégiákat a McEliece rendszer ellen.

A támadó esetleg kitalálhatja, mi a ${\displaystyle G}$, és képes alkalmazni a Patterson algoritmust.^[5]

Ez nem valószínű n és t nagy értékeire, mivel túl sok lehetőség van a ${\displaystyle G}$, ${\displaystyle S}$ és ${\displaystyle P}$-kre.

Egy olyan támadási stratégia, mely nem igényli a ${\displaystyle G}$-t, az “információ készlet dekódolása” koncepcióra épülhet.

McEliece megemlít egy egyszerű támadási formát: ki kell választani k-t az n koordinátából véletlenszerűen abban a reményben, hogy egy k sem hibás (azaz, a kiválasztott ${\displaystyle z}$ vektor koordinátái közül egy sem 1 bites), és kalkulálja az m-t.

Azonban, ha a k, n, és t paramétereket gondosan választották, akkor annak a valószínűsége, hogy nem lesz hiba ebben a k elemű halmazban: ${\displaystyle {\displaystyle (\genfrac{}{}{0ex}{}{n-t}{k})}/{\displaystyle (\genfrac{}{}{0ex}{}{n}{k})}}$, és így ez elhanyagolható.

Az ‘információ készlet dekódolás’ algoritmus a leghatékonyabb támadási módszer a McEliece-, és a Niederreiter-féle titkosítási rendszerek ellen.

Számos forma ismert.

Egy hatékony eljárás az, amely a minimális, és maximális súlyozású kódszóra épül.^[8] 2008-ban Bernstein, Lange és Peters^[6] leírtak egy praktikus támadási módot a McEliece-féle titkosító rendszer ellen.^[9] Mivel a támadás zavarbaejtően párhuzamos (nincs szükség a csomópontok közötti kommunikációra), végrehajtható egy számítógép klaszteren néhány nap alatt.

• Sablon:CitLib
• Sablon:CitLib
• http://www.sciencedaily.com/releases/2008/10/081028132303.htm
• http://www.technologyreview.com/blog/arxiv/25629/ Sablon:Wayback

• A kriptográfia története
• Szimmetrikus kulcsú rejtjelezés
• Nyilvános kulcsú rejtjelezés
• Véletlenszám generálás
• Szteganográfia

Sablon:Fordítás

Sablon:Jegyzetek Sablon:Portál