Paillier kripto sistemi - Paillier cryptosystem

Paillier kripto sistemi, 1999 yılında Pascal Paillier tarafından icat edilen ve adını alan, olasılıkçıdır asimetrik algoritma için açık anahtarlı kriptografi. Bilgi işlem sorunu nkalıntı sınıflarının hesaplama açısından zor olduğuna inanılmaktadır. karara dayalı bileşik kalıntı varsayımı ... inatçılık bu şifreleme sisteminin dayandığı hipotez.

Şema bir katkı maddesidir homomorfik şifreleme sistemi; bu, yalnızca açık anahtar ve şifrelenmesi verildiğinde ${ displaystyle m_ {1}}$ ve ${ displaystyle m_ {2}}$, şifreleme hesaplanabilir ${ displaystyle m_ {1} + m_ {2}}$.

Algoritma

Şema şu şekilde çalışır:

Anahtar oluşturma

1. İki büyük asal sayı seçin p ve q rastgele ve birbirinden bağımsız olarak öyle ki ${ displaystyle gcd (pq, (p-1) (q-1)) = 1}$. Bu özellik, her iki asal eşit uzunlukta ise garanti edilir.^[1]
2. Hesaplama ${ displaystyle n = pq}$ ve ${ displaystyle lambda = operatöradı {lcm} (p-1, q-1)}$. lcm, En Az Ortak Çoklu anlamına gelir.
3. Rastgele tamsayı seçin ${ displaystyle g}$ nerede ${ displaystyle g in mathbb {Z} _ {n ^ {2}} ^ {*}}$
4. Sağlamak ${ displaystyle n}$ sırasını böler ${ displaystyle g}$ aşağıdakilerin varlığını kontrol ederek modüler çarpımsal ters: ${ displaystyle mu = (L (g ^ { lambda} { bmod {n}} ^ {2})) ^ {- 1} { bmod {n}}}$,

nerede fonksiyon ${ displaystyle L}$ olarak tanımlanır ${ displaystyle L (x) = { frac {x-1} {n}}}$ .

Notasyonun ${ displaystyle { frac {a} {b}}}$ modüler çarpımını göstermez ${ displaystyle a}$ kere modüler çarpımsal ters nın-nin ${ displaystyle b}$ daha ziyade bölüm nın-nin ${ displaystyle a}$ bölü ${ displaystyle b}$yani en büyük tam sayı değeri ${ displaystyle v geq 0}$ ilişkiyi tatmin etmek ${ displaystyle a geq vb}$.

• Genel (şifreleme) anahtarı ${ displaystyle (n, g)}$.
• Özel (şifre çözme) anahtarı ${ displaystyle ( lambda, mu).}$

Eşdeğer uzunlukta p, q kullanılıyorsa, yukarıdaki anahtar oluşturma adımlarının daha basit bir varyantı, ${ displaystyle g = n + 1, lambda = varphi (n),}$ ve ${ displaystyle mu = varphi (n) ^ {- 1} { bmod {n}}}$, nerede ${ displaystyle varphi (n) = (p-1) (q-1)}$ .^[1]

Şifreleme

1. İzin Vermek ${ displaystyle m}$ nerede şifrelenecek bir mesaj ol ${ displaystyle 0 leq m$
2. Rastgele seç ${ displaystyle r}$ nerede ${ displaystyle 0$ ve ${ displaystyle r in mathbb {Z} _ {n} ^ {*}}$ (yani, emin olun ${ displaystyle gcd (r, n) = 1}$)
3. Şifreli metni şu şekilde hesaplayın: ${ displaystyle c = g ^ {m} cdot r ^ {n} { bmod {n}} ^ {2}}$

Şifre çözme

1. İzin Vermek ${ displaystyle c}$ şifresini çözmek için şifreli metin olun, nerede ${ displaystyle c in mathbb {Z} _ {n ^ {2}} ^ {*}}$
2. Düz metin mesajını şu şekilde hesaplayın: ${ displaystyle m = L (c ^ { lambda} { bmod {n}} ^ {2}) cdot mu { bmod {n}}}$

Orijinal olarak kağıt işaret ediyor, şifre çözme "esasen bir üs alma modulosu ${ displaystyle n ^ {2}}$."

Homomorfik özellikler

Paillier şifreleme sisteminin dikkate değer bir özelliği, homomorfik özellikleri ve deterministik olmayan şifreleme (Kullanım için Uygulamalar'da Elektronik oylama bölümüne bakın). Şifreleme işlevi ilave olarak homomorfik olduğundan, aşağıdaki kimlikler tanımlanabilir:

• Düz metinlerin homomorfik eklenmesi

İki şifreli metnin ürünü, karşılık gelen düz metinlerin toplamının şifresini çözecektir,

${ displaystyle D (E (m_ {1}, r_ {1}) cdot E (m_ {2}, r_ {2}) { bmod {n}} ^ {2}) = m_ {1} + m_ {2} { bmod {n}}. ,}$

Bir şifreli metnin ürünü, düz metin yükselterek ${ displaystyle g}$ karşılık gelen düz metinlerin toplamının şifresini çözecek,

${ displaystyle D (E (m_ {1}, r_ {1}) cdot g ^ {m_ {2}} { bmod {n}} ^ {2}) = m_ {1} + m_ {2} { bmod {n}}. ,}$

• Sade metinlerin homomorfik çarpımı

Başka bir düz metnin gücüne yükseltilmiş şifreli bir düz metin, iki düz metnin ürününün şifresini çözer,

${ displaystyle D (E (m_ {1}, r_ {1}) ^ {m_ {2}} { bmod {n}} ^ {2}) = m_ {1} m_ {2} { bmod {n }}, ,}$

${ displaystyle D (E (m_ {2}, r_ {2}) ^ {m_ {1}} { bmod {n}} ^ {2}) = m_ {1} m_ {2} { bmod {n }}. ,}$

Daha genel olarak, bir sabite yükseltilmiş şifreli bir düz metin k düz metnin ve sabitin ürününün şifresini çözecek,

${ displaystyle D (E (m_ {1}, r_ {1}) ^ {k} { bmod {n}} ^ {2}) = km_ {1} { bmod {n}}. ,}$

Bununla birlikte, iki mesajın Paillier şifrelemeleri göz önüne alındığında, bu mesajların ürününün özel anahtarı bilmeden şifrelenmesini hesaplamanın bilinen bir yolu yoktur.

Arka fon

Paillier şifreleme sistemi, belirli ayrık logaritmalar kolayca hesaplanabilir.

Örneğin, Binom teoremi,

${ displaystyle (1 + n) ^ {x} = toplam _ {k = 0} ^ {x} {x k seçin} n ^ {k} = 1 + nx + {x 2} n ^ {2 seçin } + { text {daha yüksek güçler}} n}$

Bu şunu gösterir:

${ displaystyle (1 + n) ^ {x} eşdeğeri 1 + nx { pmod {n ^ {2}}}}$

Bu nedenle, eğer:

${ displaystyle y = (1 + n) ^ {x} { bmod {n}} ^ {2}}$

sonra

${ displaystyle x eşdeğeri { frac {y-1} {n}} { pmod {n ^ {2}}}}$.

Böylece:

${ displaystyle L ((1 + n) ^ {x} { bmod {n}} ^ {2}) eşdeğeri x { pmod {n}}}$,

nerede fonksiyon ${ displaystyle L}$ olarak tanımlanır ${ displaystyle L (u) = { frac {u-1} {n}}}$ (tamsayı bölme bölümü) ve ${ displaystyle x in mathbb {Z} _ {n}}$.

Anlamsal güvenlik

Yukarıda gösterildiği gibi orijinal şifreleme sistemi, anlamsal güvenlik seçilmiş düz metin saldırılarına karşı (IND-CPA ). Zorluk şifreli metnini başarılı bir şekilde ayırt etme yeteneği, esas olarak bileşik kalıntıya karar verme becerisi anlamına gelir. Sözde karara dayalı bileşik kalıntı varsayımı (DCRA) 'nın inatçı olduğuna inanılıyor.

Yukarıda belirtilen homomorfik özelliklerden dolayı sistem, biçimlendirilebilir ve bu nedenle uyarlanabilir seçilmiş şifreli metin saldırılarına karşı koruyan en yüksek anlamsal güvenlik kademesine sahip değildir (IND-CCA2 ). Genellikle kriptografide şekillendirilebilirlik kavramı bir "avantaj" olarak görülmez, ancak güvenli elektronik oylama ve eşik şifreleme sistemleri bu özellik gerçekten gerekli olabilir.

Bununla birlikte Paillier ve Pointcheval, mesajın birleşik karmasını içeren gelişmiş bir şifreleme sistemi önermeye devam etti m rastgele r. Niyet açısından benzer Cramer – Shoup şifreleme sistemi, hashing yalnızca verilen bir saldırganı engeller c, değiştirebilmekten m anlamlı bir şekilde. Bu uyarlama sayesinde, iyileştirilmiş şema, IND-CCA2 güvende rastgele oracle modeli.

Başvurular

Elektronik oylama

Anlamsal güvenlik tek husus değildir. Şekillendirilebilirliğin arzu edilebileceği durumlar vardır. Yukarıdaki homomorfik özellikler, güvenli elektronik oylama sistemleri tarafından kullanılabilir. Basit bir ikili ("lehine" veya "aleyhine") oy düşünün. İzin Vermek m seçmenler herhangi bir 1 (için) veya 0 (karşısında). Her seçmen, oylarını kullanmadan önce seçimlerini şifreler. Seçim görevlisi, m şifrelenmiş oylar ve ardından sonucun şifresini çözer ve değeri alır n, tüm oyların toplamıdır. Seçim görevlisi o zaman bunu bilir n insanlar oy verdi için ve a-n insanlar oy verdi karşısında. Rastgele rolü r İki eşdeğer oylamanın yalnızca ihmal edilebilir bir olasılıkla aynı değere şifrelenmesini ve dolayısıyla seçmen gizliliğini garanti eder.

Elektronik nakit

Yazıda adı geçen bir başka özellik, benlik kavramıdır.kör edici. Bu, bir şifreli metni, şifre çözme içeriğini değiştirmeden diğerine dönüştürme yeteneğidir. Bunun geliştirilmesi için uygulama var ecash başlangıçta öncülük ettiği bir çaba David Chaum. Satıcının kredi kartı numaranızı ve dolayısıyla kimliğinizi bilmesine gerek kalmadan bir ürün için çevrimiçi ödeme yaptığınızı hayal edin. Hem elektronik nakit hem de elektronik oylamadaki amaç, e-madalyonun (aynı şekilde e-oy) geçerli olmasını sağlarken aynı zamanda halihazırda ilişkili olduğu kişinin kimliğini ifşa etmemek.

Ayrıca bakınız

• Naccache – Stern şifreleme sistemi ve Okamoto – Uchiyama şifreleme sistemi Paillier'ın tarihsel öncülleridir.
• Damgård – Jurik şifreleme sistemi Paillier'ın bir genellemesidir.

Referanslar