XTR - XTR - Wikipedia

İçinde kriptografi, XTR bir algoritma için açık anahtarlı şifreleme. XTR, Verimli ve Kompakt Alt Grup İzleme Temsili'nin kısaltması olan 'ECSTR' anlamına gelir. Çarpımsal bir alt grubun elemanlarını temsil eden bir yöntemdir. grup bir sonlu alan. Bunu yapmak için, iz bitmiş ${ displaystyle GF (p ^ {2})}$ bir alt grubunun öğelerini temsil etmek için ${ displaystyle GF (p ^ {6}) ^ {*}}$.

Güvenlik açısından, XTR çözmenin zorluğuna dayanır Ayrık Logaritma sonlu bir alanın tam çarpan grubundaki ilgili problemler. Sonlu bir alanın tam çarpımsal grubunun oluşturucusuna dayanan birçok kriptografik protokolün aksine, XTR, oluşturucuyu kullanır. ${ displaystyle g}$ bazı ana siparişlerin nispeten küçük bir alt grubunun ${ displaystyle q}$ alt grubunun ${ displaystyle GF (p ^ {6}) ^ {*}}$. Doğru seçim ile ${ displaystyle q}$, gruptaki Ayrık Logaritmaları hesaplamak, ${ displaystyle g}$, genel olarak olduğu kadar zor ${ displaystyle GF (p ^ {6}) ^ {*}}$ ve dolayısıyla XTR kullanımının kriptografik uygulamaları ${ displaystyle GF (p ^ {2})}$ tam elde ederken aritmetik ${ displaystyle GF (p ^ {6})}$ hem iletişimde hem de iletişimde önemli tasarruflara yol açan güvenlik hesaplama ek yükü güvenlikten ödün vermeden. XTR'nin diğer bazı avantajları, hızlı anahtar oluşturma, küçük anahtar boyutları ve hızıdır.

XTR'nin Temelleri

XTR bir alt grup, genellikle şu şekilde anılır XTR alt grubu ya da sadece XTR grubu, adlı bir alt grubun XTR süper grubu, bir çarpımsal grubunun, sonlu alan ${ displaystyle GF (p ^ {6})}$ ile ${ displaystyle p ^ {6}}$ elementler. XTR süper grubu sıralı ${ displaystyle p ^ {2} -p + 1}$, nerede p yeterince büyük bir asal q böler ${ displaystyle p ^ {2} -p + 1}$. XTR alt grubunun artık siparişi var q ve alt grubu olarak ${ displaystyle GF (p ^ {6}) ^ {*}}$, bir döngüsel grup ${ displaystyle langle g rangle}$ ile jeneratör g. Aşağıdaki üç paragraf, XTR üst grubunun elemanlarının bir eleman kullanılarak nasıl temsil edilebileceğini açıklayacaktır. ${ displaystyle GF (p ^ {2})}$ bir öğesi yerine ${ displaystyle GF (p ^ {6})}$ ve aritmetik işlemlerin nasıl gerçekleştiği ${ displaystyle GF (p ^ {2})}$ yerine ${ displaystyle GF (p ^ {6})}$.

Aritmetik işlemler ${ displaystyle GF (p ^ {2})}$

İzin Vermek p öyle bir asal olmak p ≡ 2 mod 3 ve p² - p + 1 yeterince büyük bir asal faktöre sahiptir q. Dan beri p² ≡ 1 mod 3 bunu görüyoruz p üretir ${ displaystyle ( mathbb {Z} / 3 mathbb {Z}) ^ {*}}$ ve böylece üçüncü siklotomik polinom${ displaystyle Phi _ {3} (x) = x ^ {2} + x + 1}$dır-dir indirgenemez bitmiş ${ displaystyle GF (p)}$. Bunu izler kökler ${ displaystyle alpha}$ ve ${ displaystyle alpha ^ {p}}$ optimal oluşturmak normal temel için ${ displaystyle GF (p ^ {2})}$ bitmiş ${ displaystyle GF (p)}$ ve

${ displaystyle GF (p ^ {2}) cong {x_ {1} alpha + x_ {2} alpha ^ {p}: x_ {1}, x_ {2} GF (p) } .}$

Hesaba katıldığında p ≡ 2 mod 3 üs modülünü azaltabiliriz 3 almak

${ displaystyle GF (p ^ {2}) cong {y_ {1} alpha + y_ {2} alpha ^ {2}: alpha ^ {2} + alpha + 1 = 0, y_ {1 }, y_ {2} GF (p) } içinde.}$

Aritmetik işlemlerin maliyeti, aşağıdaki Lemma etiketli Lemma 2.21'de verilmiştir. "XTR genel anahtar sistemine genel bakış":^[1]

Lemma

• Bilgi işlem x^p çarpma kullanmadan yapılır
• Bilgi işlem x² iki çarpma alır ${ displaystyle GF (p)}$
• Bilgi işlem xy üç çarpma alır ${ displaystyle GF (p)}$
• Bilgi işlem xz-yz^p dört çarpma alır ${ displaystyle GF (p)}$.

Üzerinde izler ${ displaystyle GF (p ^ {2})}$

iz XTR'de her zaman bitmiş sayılır ${ displaystyle GF (p ^ {2})}$. Başka bir deyişle, eşlenikler nın-nin ${ displaystyle h GF'de (p ^ {6})}$ bitmiş ${ displaystyle GF (p ^ {2})}$ vardır ${ displaystyle h, h ^ {p ^ {2}}}$ ve ${ displaystyle h ^ {p ^ {4}}}$ ve izi ${ displaystyle h}$ onların toplamı:

${ displaystyle Tr (h) = h + h ^ {p ^ {2}} + h ^ {p ^ {4}}.}$

Bunu not et ${ displaystyle Tr (h) GF'de (p ^ {2})}$ dan beri

${ displaystyle { begin {align} Tr (h) ^ {p ^ {2}} & = h ^ {p ^ {2}} + h ^ {p ^ {4}} + h ^ {p ^ {6 }} & = h + h ^ {p ^ {2}} + h ^ {p ^ {4}} & = Tr (h) end {hizalı}}}$

Şimdi jeneratörü düşünün ${ displaystyle g}$ Bir ana siparişin XTR alt grubunun ${ displaystyle q}$. Bunu hatırla ${ displaystyle langle g rangle}$ siparişin XTR üst grubunun bir alt grubudur ${ displaystyle p ^ {2} -p + 1}$, yani ${ displaystyle q orta p ^ {2} -p + 1}$. İçinde sonraki bölüm nasıl seçileceğini göreceğiz ${ displaystyle p}$ ve ${ displaystyle q}$, ancak şimdilik bunu varsaymak yeterli ${ displaystyle q> 3}$. İzini hesaplamak için ${ displaystyle g}$ modulo'nun ${ displaystyle p ^ {2} -p + 1}$ sahibiz

${ displaystyle p ^ {2} = p-1}$ ve

${ displaystyle p ^ {4} = (p-1) ^ {2} = p ^ {2} -2p + 1 = -p}$

ve böylece

${ displaystyle { begin {align} Tr (g) & = g + g ^ {p ^ {2}} + g ^ {p ^ {4}} & = g + g ^ {p-1} + g ^ {- p}. end {hizalı}}}$

Konjugatlarının çarpımı ${ displaystyle g}$ eşittir ${ displaystyle 1}$yani ${ displaystyle g}$ vardır norm 1.

XTR'deki en önemli gözlem, minimal polinom nın-nin ${ displaystyle g}$ bitmiş ${ displaystyle GF (p ^ {2})}$

${ displaystyle (x-g) ! (x-g ^ {p-1}) (x-g ^ {- p})}$

basitleştirir

${ displaystyle x ^ {3} -Tr (g) ! x ^ {2} + Tr (g) ^ {p} x-1}$

tamamen belirleyen ${ displaystyle Tr (g)}$. Sonuç olarak, konjugatları ${ displaystyle g}$minimal polinomunun kökleri olarak ${ displaystyle g}$ bitmiş ${ displaystyle GF (p ^ {2})}$, tamamen iziyle belirlenir ${ displaystyle g}$. Aynısı herhangi bir güç için de geçerlidir. ${ displaystyle g}$: eşlenikleri ${ displaystyle g ^ {n}}$ polinomun kökleridir

${ displaystyle x ^ {3} -Tr (g ^ {n}) ! x ^ {2} + Tr (g ^ {n}) ^ {p} x-1}$

ve bu polinom tamamen tarafından belirlenir ${ displaystyle Tr (g ^ {n})}$.

İz kullanmanın arkasındaki fikir, ${ displaystyle g ^ {n} GF'de (p ^ {6})}$ kriptografik protokollerde, ör. Diffie – Hellman anahtar değişimi tarafından ${ displaystyle Tr (g ^ {n}) GF'de (p ^ {2})}$ ve böylece temsil büyüklüğünde 3 faktörlük bir azalma elde edilir. Ancak bu, yalnızca hızlı bir şekilde bilgi edinme ${ displaystyle Tr (g ^ {n})}$ verilen ${ displaystyle Tr (g)}$. Bir sonraki paragraf, verimli hesaplama için bir algoritma verir. ${ displaystyle Tr (g ^ {n})}$. Ek olarak, bilgi işlem ${ displaystyle Tr (g ^ {n})}$ verilen ${ displaystyle Tr (g)}$ bilgi işlemden daha hızlı çıkıyor ${ displaystyle g ^ {n}}$ verilen ${ displaystyle g}$.^[1]

Hızlı hesaplama için algoritma ${ displaystyle Tr (g ^ {n})}$ verilen ${ displaystyle Tr (g)}$

A. Lenstra ve E. Verheul, bu algoritmayı XTR genel anahtar sistemi içinde.^[2] Burada sunulan algoritma ve algoritmanın kendisi için gerekli tüm tanımlar ve lemmalar bu yazıda alınmıştır.

Tanım C için ${ displaystyle GF (p ^ {2})}$ tanımlamak

${ displaystyle F (c, X) = X ^ {3} -cX ^ {2} + c ^ {p} X-1 GF'de (p ^ {2}) [X].}$

Tanım İzin Vermek ${ displaystyle h_ {0}, ! h_ {1}, h_ {2}}$ ayrı olması gerekmeyen köklerini belirtmek ${ displaystyle F (c, X)}$ içinde ${ displaystyle GF (p ^ {6})}$ ve izin ver ${ displaystyle n}$ içinde olmak ${ displaystyle mathbb {Z}}$. Tanımlamak

${ displaystyle c_ {n} = h_ {0} ^ {n} + h_ {1} ^ {n} + h_ {2} ^ {n}.}$

Özellikleri ${ displaystyle c_ {n}}$ ve ${ displaystyle F (c, X)}$

1. ${ displaystyle c = c_ {1}}$
2. ${ displaystyle c _ {- n} = c_ {np} = c_ {n} ^ {p}}$
3. ${ displaystyle c_ {n} GF'de (p ^ {2}) { text {for}} n in mathbb {Z}}$
4. ${ displaystyle c_ {u + v} = c_ {u} c_ {v} -c_ {v} ^ {p} c_ {uv} + c_ {u-2v} { text {for}} u, v in mathbb {Z}}$
5. Hepsi ${ displaystyle h_ {j}}$ düzen bölmek ${ displaystyle p ^ {2} -p + 1}$ ve ${ displaystyle> 3}$ ya da hepsi ${ displaystyle h_ {j}}$ içeride ${ displaystyle GF (p ^ {2})}$. Özellikle, ${ displaystyle F (c, X)}$ indirgenemez, ancak ve ancak kökleri dalma düzenine sahipse ${ displaystyle p ^ {2} -p + 1}$ ve ${ displaystyle> 3}$.
6. ${ displaystyle F (c, X)}$ indirgenebilir ${ displaystyle GF (p ^ {2})}$ ancak ve ancak ${ displaystyle c_ {p + 1} GF (p)}$

Lemma İzin Vermek ${ displaystyle c, ! c_ {n-1}, c_ {n}, c_ {n + 1}}$ verilecek.

1. Bilgi işlem ${ displaystyle c_ {2n} = c_ {n} ^ {2} -2c_ {n} ^ {p}}$ iki çarpma alır ${ displaystyle GF (p)}$.
2. Bilgi işlem ${ displaystyle c_ {n + 2} = c_ {n + 1} cdot c-c ^ {p} cdot c_ {n} + c_ {n-1}}$ dört çarpma alır ${ displaystyle GF (p)}$.
3. Bilgi işlem ${ displaystyle c_ {2n-1} = c_ {n-1} cdot c_ {n} -c ^ {p} cdot c_ {n} ^ {p} + c_ {n + 1} ^ {p}}$ dört çarpma alır ${ displaystyle GF (p)}$.
4. Bilgi işlem ${ displaystyle c_ {2n + 1} = c_ {n + 1} cdot c_ {n} -c cdot c_ {n} ^ {p} + c_ {n-1} ^ {p}}$ dört çarpma alır ${ displaystyle GF (p)}$.

Tanım İzin Vermek ${ displaystyle S_ {n} (c) = (c_ {n-1}, c_ {n}, c_ {n + 1}) GF'de (p ^ {2}) ^ {3}}$.

Hesaplama için Algoritma 1 ${ displaystyle S_ {n} (c)}$ verilen ${ displaystyle n}$ ve ${ displaystyle c}$

• Eğer ${ displaystyle n <0}$ bu algoritmayı şuna uygula ${ displaystyle -n}$ ve ${ displaystyle c}$ve elde edilen değere Özellik 2'yi uygulayın.
• Eğer ${ displaystyle n = 0}$, sonra ${ displaystyle S_ {0} (c) ! = (c ^ {p}, 3, c)}$.
• Eğer ${ displaystyle n = 1}$, sonra ${ displaystyle S_ {1} (c) ! = (3, c, c ^ {2} -2c ^ {p})}$.
• Eğer ${ displaystyle n = 2}$, hesaplamasını kullan ${ displaystyle c_ {n + 2} = c_ {n + 1} cdot c-c ^ {p} cdot c_ {n} + c_ {n-1}}$ ve ${ displaystyle S_ {1} (c)}$ bulmak ${ displaystyle c_ {3}}$ ve böylece ${ displaystyle S_ {2} (c)}$.
• Eğer ${ displaystyle n> 2}$, hesaplamak ${ displaystyle S_ {n} (c)}$ tanımlamak

${ displaystyle { bar {S}} _ {i} (c) = S_ {2i + 1} (c)}$

ve ${ displaystyle { bar {m}} = n}$ n tuhafsa ve ${ displaystyle { bar {m}} = n-1}$ aksi takdirde. İzin Vermek ${ displaystyle { bar {m}} = 2m + 1, k = 1}$ ve hesapla ${ displaystyle { bar {S}} _ {k} (c) = S_ {3} (c)}$ Yukarıdaki Lemma'yı kullanarak ve ${ displaystyle S_ {2} (c)}$. Daha fazla izin ver

${ displaystyle m = toplam _ {j = 0} ^ {r} m_ {j} 2 ^ {j}}$

ile ${ displaystyle m_ {j} {0,1}}$ ve ${ displaystyle m_ {r} = 1}$. İçin ${ displaystyle j = r-1, r-2, ..., 0}$ arka arkaya aşağıdakileri yapın:

• Eğer ${ displaystyle m_ {j} = 0}$, kullan ${ displaystyle { bar {S}} _ {k} (c)}$ hesaplamak ${ displaystyle { bar {S}} _ {2k} (c)}$.
• Eğer ${ displaystyle m_ {j} = 1}$, kullan ${ displaystyle { bar {S}} _ {k} (c)}$ hesaplamak ${ displaystyle { bar {S}} _ {2k + 1} (c)}$.
• Değiştir ${ displaystyle k}$ tarafından ${ displaystyle 2k + m_ {j}}$.

Bu yinelemeler bittiğinde, ${ displaystyle k = m}$ ve ${ displaystyle S _ { bar {m}} (c) = { bar {S}} _ {m} (c)}$. N bile kullanılıyorsa ${ displaystyle S _ { çubuğu {m}} (c)}$ hesaplamak ${ displaystyle { bar {S}} _ {m + 1} (c)}$.

Parametre seçimi

Sonlu alan ve alt grup boyutu seçimi

Elemanların izleriyle yukarıda açıklanan temsillerinden yararlanmak ve ayrıca yeterli güvenliği sağlamak için, bu tartışılacaktır. altında asal bulmalıyız ${ displaystyle p}$ ve ${ displaystyle q}$, nerede ${ displaystyle p}$ gösterir karakteristik Alanın ${ displaystyle GF (p ^ {6})}$ ile ${ displaystyle p eşdeğeri 2 { metin {mod}} 3}$ ve ${ displaystyle q}$ alt grubun boyutudur, öyle ki ${ displaystyle q}$ böler ${ displaystyle p ^ {2} -p + 1}$.

İle ifade ediyoruz ${ displaystyle P}$ ve ${ displaystyle Q}$ boyutları ${ displaystyle p}$ ve ${ displaystyle q}$ bitler halinde. 1024 bit ile karşılaştırılabilir güvenlik elde etmek için RSA, seçmeliyiz ${ displaystyle 6P}$ yaklaşık 1024, yani ${ displaystyle P yaklaşık 170}$ ve ${ displaystyle Q}$ 160 civarında olabilir.

Bu tür asal sayıları hesaplamak için ilk kolay algoritma ${ displaystyle p}$ ve ${ displaystyle q}$ sonraki Algoritma A:

Algoritma A

1. Bul ${ displaystyle r in mathbb {Z}}$ öyle ki ${ displaystyle q = r ^ {2} -r + 1}$ bir ${ displaystyle Q}$-bit asal.
2. Bul ${ displaystyle k in mathbb {Z}}$ öyle ki ${ displaystyle p = r + k cdot q}$ bir ${ displaystyle P}$-bit asal ${ displaystyle p eşdeğeri 2 { metin {mod}} 3}$.

Algoritma A'nın Doğruluğu:

Kontrol etmeye devam ediyor ${ displaystyle q orta p ^ {2} -p + 1}$ çünkü diğer tüm gerekli özellikler, tanımına göre açıkça karşılanmaktadır. ${ displaystyle p}$ ve ${ displaystyle q}$. Bunu kolayca görüyoruz ${ displaystyle p ^ {2} -p + 1 = r ^ {2} + 2rkq + k ^ {2} q ^ {2} -r-kq + 1 = r ^ {2} -r + 1 + q ( 2rk + k ^ {2} qk) = q (1 + 2rk + k ^ {2} qk)}$ ki bunun anlamı ${ displaystyle q orta p ^ {2} -p + 1}$.

Algoritma A çok hızlıdır ve asal sayıları bulmak için kullanılabilir ${ displaystyle p}$ küçük katsayılarla ikinci derece polinomu karşılayan. Böyle ${ displaystyle p}$ hızlı aritmetik işlemlere yol açar ${ displaystyle GF (p)}$. Özellikle arama ${ displaystyle k}$ ile sınırlıdır ${ displaystyle k = 1}$yani bir ${ displaystyle r}$ öyle ki ikisi de ${ displaystyle r ^ {2} -r + 1 { text {ve}} r ^ {2} +1}$ asal ve öyle ki ${ displaystyle r ^ {2} +1 eşdeğeri 2 { text {mod}} 3}$, asal ${ displaystyle p}$ bu güzel forma sahip. bu durumda not edin ${ displaystyle r}$ eşit olmalı ve ${ displaystyle r eşdeğeri 1 { metin {mod}} 4}$.

Öte yandan, böyle ${ displaystyle p}$ güvenlik açısından istenmeyen bir durum olabilir çünkü Ayrık Logaritma varyantı Numara Alanı Elek Daha kolay.

Aşağıdaki Algoritma B'nin bu dezavantajı yoktur, ancak aynı zamanda hızlı aritmetik modülo da yoktur. ${ displaystyle p}$ Algoritma A bu durumda vardır.

Algoritma B

1. Bir seçin ${ displaystyle Q}$-bit asal ${ displaystyle q}$ Böylece ${ displaystyle q eşdeğeri 7 { metin {mod}} 12}$.
2. Kökleri bulun ${ displaystyle r_ {1}}$ ve ${ displaystyle r_ {2}}$ nın-nin ${ displaystyle X ^ {2} -X + 1 { text {mod}} q}$.
3. Bulmak bir ${ displaystyle k in mathbb {Z}}$ öyle ki ${ displaystyle p = r_ {i} + k cdot q}$ bir ${ displaystyle P}$-bit asal ${ displaystyle p eşdeğeri 2 { metin {mod}} 3}$ için ${ displaystyle i in {1,2 }}$

Algoritma B'nin Doğruluğu:

Biz seçtiğimizden beri ${ displaystyle q eşdeğeri 7 { metin {mod}} 12}$ hemen ardından gelir ${ displaystyle q eşdeğeri 1 { metin {mod}} 3}$ (Çünkü ${ displaystyle 7 eşdeğeri 1 { metin {mod}} 3}$ ve ${ displaystyle 3 mid 12}$). Ondan ve ikinci dereceden karşılıklılık bunu çıkarabiliriz ${ displaystyle r_ {1}}$ ve ${ displaystyle r_ {2}}$ var olmak.

Kontrol etmek için ${ displaystyle q orta p ^ {2} -p + 1}$ tekrar düşünüyoruz ${ displaystyle p ^ {2} -p + 1}$ için ${ displaystyle r_ {i} in {1,2 }}$ ve onu al ${ displaystyle p ^ {2} -p + 1 = r_ {i} ^ {2} + 2r_ {i} kq + k ^ {2} q ^ {2} -r_ {i} -kq + 1 = r_ { i} ^ {2} -r_ {i} + 1 + q (2rk + k ^ {2} qk) = q (2rk + k ^ {2} qk)}$, dan beri ${ displaystyle r_ {1}}$ ve ${ displaystyle r_ {2}}$ kökleri ${ displaystyle X ^ {2} -X + 1}$ ve dolayısıyla ${ displaystyle q orta p ^ {2} -p + 1}$.

Alt grup seçimi

Son paragrafta boyutları seçtik ${ displaystyle p}$ ve ${ displaystyle q}$ sonlu alanın ${ displaystyle GF (p ^ {6})}$ ve çarpımsal alt grubu ${ displaystyle GF (p ^ {6}) ^ {*}}$, şimdi bir alt grup bulmalıyız ${ displaystyle langle g rangle}$ nın-nin ${ displaystyle GF ! (p ^ {6}) ^ {*}}$ bazı ${ displaystyle g GF'de (p ^ {6})}$ öyle ki ${ displaystyle orta ! ! langle g rangle ! ! mid = q}$.

Bununla birlikte, açık bir bulmamıza gerek yok ${ displaystyle g GF'de (p ^ {6})}$bir element bulmak yeterli ${ displaystyle c GF'de (p ^ {2})}$ öyle ki ${ displaystyle c = Tr (g)}$ bir eleman için ${ displaystyle g GF'de (p ^ {6})}$ düzenin ${ displaystyle q}$. Ama verilen ${ displaystyle Tr (g)}$bir jeneratör ${ displaystyle g}$ XTR (alt) grubunun herhangi bir kökü belirlenerek bulunabilir. ${ displaystyle F (Tr (g), X)}$ hangisi tanımlanmış yukarıda. Böyle bir bulmak için ${ displaystyle c}$ 5 numaralı özelliğe bir göz atabiliriz ${ displaystyle F (c, X)}$ İşte köklerinin olduğunu belirten ${ displaystyle F (c, X)}$ bölünen bir düzen var ${ displaystyle p ^ {2} -p + 1}$ ancak ve ancak ${ displaystyle F (c, X)}$ dır-dir indirgenemez. Böyle bulduktan sonra ${ displaystyle c}$ gerçekten düzenli olup olmadığını kontrol etmeliyiz ${ displaystyle q}$ama önce nasıl seçeceğimize odaklanıyoruz ${ displaystyle c GF'de (p ^ {2})}$ öyle ki ${ displaystyle F (c, X)}$ indirgenemez.

İlk yaklaşım seçmektir ${ GF'de displaystyle c (p ^ {2}) ters eğik çizgi GF (p)}$ rastgele olan bir sonraki lemma tarafından doğrulanır.

Lemma: Rastgele seçilmiş bir ${ displaystyle c GF'de (p ^ {2})}$ olasılığı ${ displaystyle F (c, X) = X ^ {3} -cX ^ {2} + c ^ {p} X-1 GF'de (p ^ {2}) [X]}$ indirgenemez, yaklaşık üçte biridir.

Şimdi uygun olanı bulmak için temel algoritma ${ displaystyle Tr (g)}$ Şöyleki:

Algoritmanın ana hatları

1. Rastgele seç ${ GF'de displaystyle c (p ^ {2}) ters eğik çizgi GF (p)}$.
2. Eğer ${ displaystyle F (c, X)}$ indirgenebilir, ardından 1. Adıma dönün.
3. Hesaplamak için Algoritma 1'i kullanın ${ displaystyle d = c _ {(p ^ {2} -p + 1) / q}}$.
4. Eğer ${ displaystyle d}$ düzensiz ${ displaystyle q}$, 1. Adıma dönün.
5. İzin Vermek ${ displaystyle Tr (g) = d}$.

Görünüşe göre bu algoritma gerçekten de ${ displaystyle GF (p ^ {2})}$ bu eşittir ${ displaystyle Tr (g)}$ bazı ${ displaystyle g GF'de (p ^ {6})}$ düzenin ${ displaystyle q}$.

Algoritma, doğruluğu, çalışma süresi ve Lemma kanıtıyla ilgili daha fazla ayrıntı şurada bulunabilir: "XTR genel anahtar sistemine genel bakış" içinde.^[1]

Şifreleme şemaları

Bu bölümde, elementlerin izlerini kullanan yukarıdaki kavramların kriptografiye nasıl uygulanabileceği açıklanmaktadır. Genel olarak, XTR, (alt grup) Ayrık Logaritma problemine dayanan herhangi bir şifreleme sisteminde kullanılabilir. XTR'nin iki önemli uygulaması şunlardır: Diffie – Hellman anahtar anlaşması ve ElGamal şifreleme. Önce Diffie – Hellman ile başlayacağız.

XTR-DH anahtar anlaşması

Her ikisinin de Alice ve Bob XTR'ye erişim sahibi olmak Genel anahtar veri ${ displaystyle sol (p, q, Tr (g) sağ)}$ ve üzerinde anlaşmaya niyetliyim paylaşılan sır anahtar ${ displaystyle K}$. Bunu, Diffie – Hellman anahtar değişiminin aşağıdaki XTR sürümünü kullanarak yapabilirler:

1. Alice seçer ${ displaystyle a in mathbb {Z}}$ rastgele ile ${ displaystyle 1$, ile hesaplar Algoritma 1 ${ displaystyle S_ {a} (Tr (g)) = sol (Tr (g ^ {a-1}), Tr (g ^ {a}), Tr (g ^ {a + 1}) sağ) GF'de (p ^ {2}) ^ {3}}$ ve gönderir ${ displaystyle Tr (g ^ {a}) GF'de (p ^ {2})}$ Bob'a.
2. Bob alır ${ displaystyle Tr (g ^ {a})}$ Alice'den rastgele seçer ${ displaystyle b in mathbb {Z}}$ ile ${ displaystyle 1$, hesaplamak için Algoritma 1'i uygular ${ displaystyle S_ {b} (Tr (g)) = sol (Tr (g ^ {b-1}), Tr (g ^ {b}), Tr (g ^ {b + 1}) sağ) GF'de (p ^ {2}) ^ {3}}$ ve gönderir ${ displaystyle Tr (g ^ {b}) GF'de (p ^ {2})}$ Alice'e.
3. Alice alır ${ displaystyle Tr (g ^ {b})}$ Bob'dan Algoritma 1 ile hesaplar ${ displaystyle S_ {a} (Tr (g ^ {b})) = sol (Tr (g ^ {(a-1) b}), Tr (g ^ {ab}), Tr (g ^ {( a + 1) b}) sağ) GF'de (p ^ {2}) ^ {3}}$ ve belirler ${ displaystyle K}$ dayalı ${ displaystyle Tr (g ^ {ab}) GF'de (p ^ {2})}$.
4. Bob, hesaplamak için Algoritma 1'i benzer şekilde uygular ${ displaystyle S_ {b} (Tr (g ^ {a})) = sol (Tr (g ^ {a (b-1)}), Tr (g ^ {ab}), Tr (g ^ {a (b + 1)}) sağ) GF'de (p ^ {2}) ^ {3}}$ ve ayrıca belirler ${ displaystyle K}$ dayalı ${ displaystyle Tr (g ^ {ab}) GF'de (p ^ {2})}$.

XTR ElGamal şifreleme

ElGamal şifrelemesi için artık Alice'in XTR genel anahtar verilerinin sahibi olduğunu varsayıyoruz ${ displaystyle (p, q, Tr (g))}$ ve bir sır seçtiğini tamsayı ${ displaystyle k}$, hesaplanmış ${ displaystyle Tr (g ^ {k})}$ ve sonucu yayınladı. Alice'in XTR genel anahtar verileri verildiğinde ${ displaystyle sol (p, q, Tr (g), Tr (g ^ {k}) sağ)}$, Bob bir mesajı şifreleyebilir ${ displaystyle M}$, ElGamal şifrelemesinin aşağıdaki XTR sürümünü kullanarak Alice için tasarlanmıştır:

1. Bob rastgele bir ${ displaystyle b in mathbb {Z}}$ ile ${ displaystyle 1$ ve ile hesaplar Algoritma 1 ${ displaystyle S_ {b} (Tr (g)) = sol (Tr (g ^ {b-1}), Tr (g ^ {b}), Tr (g ^ {b + 1}) sağ) GF'de (p ^ {2}) ^ {3}}$.
2. Bob sonra hesaplamak için Algoritma 1'i uygular ${ displaystyle S_ {b} (Tr (g ^ {k})) = sol (Tr (g ^ {(b-1) k}), Tr (g ^ {bk}), Tr (g ^ {( b + 1) k}) sağ) GF'de (p ^ {2}) ^ {3}}$.
3. Bob, simetrik bir şifreleme anahtarı belirler ${ displaystyle K}$ dayalı ${ displaystyle Tr (g ^ {bk}) GF (p ^ {2})}$.
4. Bob, anahtarla birlikte üzerinde anlaşmaya varılmış bir simetrik şifreleme yöntemi kullanıyor ${ displaystyle K}$ mesajını şifrelemek ${ displaystyle M}$, şifreleme ile sonuçlanır ${ displaystyle E}$.
5. Bob gönderir ${ displaystyle (Tr (g ^ {b}), E)}$ Alice'e.

Alındıktan sonra ${ displaystyle (Tr (g ^ {b}), E)}$Alice mesajın şifresini şu şekilde çözer:

1. Alice hesaplar ${ displaystyle S_ {k} (Tr (g ^ {b})) = sol (Tr (g ^ {b (k-1)}), Tr (g ^ {bk}), Tr (g ^ {b (k + 1)}) sağ) GF'de (p ^ {2}) ^ {3}}$.
2. Alice simetrik anahtarı belirler ${ displaystyle K}$ dayalı ${ displaystyle Tr (g ^ {bk}) GF (p ^ {2})}$.
3. Alice, üzerinde anlaşmaya varılan simetrik şifreleme yöntemini anahtarla kullanır ${ displaystyle K}$ şifresini çözmek ${ displaystyle E}$, orijinal mesajla sonuçlanır ${ displaystyle M}$.

Burada açıklanan şifreleme şeması, ortak bir melez ElGamal şifreleme sürümü, gizli anahtar ${ displaystyle K}$ ile elde edilir asimetrik genel anahtar sistem ve ardından mesaj bir simetrik anahtar Alice ve Bob şifreleme yöntemini kabul etti.

Daha geleneksel ElGamal şifrelemede mesaj, burada anahtar alanı ile sınırlıdır. ${ displaystyle GF (p ^ {2})}$, Çünkü ${ displaystyle Tr (g) GF'de (p ^ {2}) forall p GF'de (p ^ {6}) ^ {*}}$. Bu durumda şifreleme, anahtar alanında tersine çevrilebilir bir işlem olan mesajın anahtarla çarpılmasıdır. ${ displaystyle GF (p ^ {2})}$.

Somut olarak bu, Bob'un bir mesajı şifrelemek istediği anlamına gelir ${ displaystyle M ! '}$önce onu bir öğeye dönüştürmesi gerekiyor ${ displaystyle M}$ nın-nin ${ displaystyle GF (p ^ {2})}$ ve sonra şifrelenmiş mesajı hesaplayın ${ displaystyle E}$ gibi ${ displaystyle E = K cdot M GF'de (p ^ {2})}$Şifrelenmiş mesaj alındıktan sonra ${ displaystyle E}$ Alice orijinal mesajı kurtarabilir ${ displaystyle M}$ hesaplayarak ${ displaystyle M = E cdot K ^ {- 1}}$, nerede ${ displaystyle K ^ {- 1}}$ tersidir ${ displaystyle K}$ içinde ${ displaystyle GF (p ^ {2})}$.

Güvenlik