Криптосистема Пэйе

Криптосистема Пэйе — вероятностная криптосистема с открытым ключом, изобретенная французским криптографом Паскалем Пэйе (англ. Pascal Paillier) в 1999 году. Аналогично криптосистемам RSA, Гольдвассер — Микали и Рабина, криптосистема Пэйе основана на сложности факторизации составного числа, являющегося произведением двух простых чисел.^[1]

Схема является аддитивной гомоморфной криптосистемой, то есть зная только открытый ключ и шифротексты, соответствующие открытым текстам $m_{1}$ и $m_{2}$ , мы можем вычислить шифротекст открытого текста $m_{1}+m_{2}$ .^[2]

История править

Алгоритм был впервые предложен Паскалем Пэйе в его статье в 1999 году^[3]. В работе было описано предположение о сложности вычисления корня остатка от деления по модулю^[англ.] и предложен соответствующий механизм использования этой математической проблемы в криптографических целях. В оригинальной статье отмечается, что криптосистема может быть уязвима для атак на основе подобранного шифротекста, однако уже в 2001 году было показано, что при небольшом изменении оригинальной схемы криптосистема перестает быть уязвимой для такого рода атак^[4]. В 2006 году был предложен метод увеличения эффективности и безопасности криптосистемы Пэйе, основанный на верифицируемых перестановках^[5].

Описание алгоритма править

Алгоритм работает следующим образом:^[3]

Генерация ключей править

Выбираются два больших простых числа $p$ и $q$ , такие, что $\gcd(pq,(p-1)(q-1))=1$ .
Вычисляется $n=pq$ и $\lambda =\operatorname {lcm} (p-1,q-1)$ .
Выбирается случайное целое число $g$ , такое что $g\in \mathbb {Z} _{n^{2}}^{*}$
Вычисляется $\mu =(L(g^{\lambda }\mod n^{2}))^{-1}{\bmod {n}}$ , где $L(u)=div({\frac {u-1}{n}})$ .

Открытым ключом является пара $(n,g)$ .
Закрытым ключом является пара $(\lambda ,\mu ).$

Шифрование править

Предположим, что необходимо зашифровать открытый текст $m$ , $m\in \mathbb {Z} _{n}$
Выбираем случайное число $r$ , $r\in \mathbb {Z} _{n}^{*}$
Вычисляем шифротекст $c=g^{m}\cdot r^{n}{\bmod {n}}^{2}$

Расшифрование править

Принимаем шифротекст $c\in \mathbb {Z} _{n^{2}}^{*}$
Вычисляем исходное сообщение $m=L(c^{\lambda }{\bmod {n}}^{2})\cdot \mu {\bmod {n}}$

Электронная подпись править

Для работы в режиме электронной подписи требуется наличие хеш-функции $h:\mathbb {N} \mapsto \{0,1\}^{k}\subset \mathbb {Z} _{n^{2}}^{*}$ .

Подпись сообщения

Для того, чтобы подписать сообщение $m$ , необходимо вычислить

$s_{1}={\frac {L(h(m)^{\lambda }{\bmod {n}}^{2})}{L(g^{\lambda }{\bmod {n}}^{2})}}{\bmod {n}}$

$s_{2}=(h(m)g^{-s_{1}})^{{\frac {1}{n}}{\bmod {\lambda }}}{\bmod {n}}$

Электронной подписью будет пара $(s_{1},s_{2})$ .

Проверка подписи

Подпись считается верной, если выполнено следующее условие:

$h(m)=g^{s_{1}}s_{2}^{n}{\bmod {n}}^{2}$ .

Гомоморфные свойства править

Отличительной особенностью криптосистемы Пэйе является её гомоморфность. Так как функция шифрования является аддитивно гомоморфной, могут быть записаны следующие тождества^[2]:

Гомоморфное сложение открытых текстов

Произведение двух шифротекстов будет расшифровано как сумма соответствующих их открытых текстов,

D(E(m_{1},r_{1})\cdot E(m_{2},r_{2}){\bmod {n}}^{2})=m_{1}+m_{2}{\bmod {n}}.

Умножив шифротекст на

g^{m_{2}}

мы получим сумму соответствующих открытых текстов,

D(E(m_{1},r_{1})\cdot g^{m_{2}}{\bmod {n}}^{2})=m_{1}+m_{2}{\bmod {n}}.

Гомоморфное умножение открытых текстов

Шифротекст, возведенный в степень, равную другому шифротексту, будет расшифрован как произведение двух открытых текстов,

D(E(m_{1},r_{1})^{m_{2}}{\bmod {n}}^{2})=m_{1}m_{2}{\bmod {n}},

D(E(m_{2},r_{2})^{m_{1}}{\bmod {n}}^{2})=m_{1}m_{2}{\bmod {n}}.

В общем случае, возведение шифротекста в степень

k

, будет расшифровано как произведение исходного текста на

k

,

D(E(m_{1},r_{1})^{k}{\bmod {n}}^{2})=km_{1}{\bmod {n}}.

Обобщение править

В 2001 году Иван Дамгард^[англ.] и Мадс Юрик предложили обобщение^[6] криптосистемы Пэйе. Для этого предлагается вести вычисления по модулю $n^{s+1}$ , где $n=p*q$ , $s$ - натуральное число. Измененный алгоритм выглядит следующим образом:

Генерация ключей править

Случайно и независимо друг от друга выбираются два больших простых числа $p$ и $q$ .
Вычисляется $n=pq$ и $\lambda =\operatorname {lcm} (p-1,q-1)$ .
Выбирается число $g\in \mathbb {Z} _{n^{s+1}}^{*}$ , такое, что $g=(1+n)^{j}x{\bmod {n}}^{s+1}$ , где $j$ известное взаимно простое число с $n$ и $x\in H$ .
Используя китайскую теорему об остатках, выбирается $d$ такое, что $d{\bmod {n}}\in \mathbb {Z} _{n}^{*}$ и $d=0{\bmod {\lambda }}$ . Например, $d$ может быть равен $\lambda$ из оригинальной криптосистемы Пэйе.

Открытым ключом является пара $(n,g)$ .
Закрытым ключом является $d$ .

Шифрование править

Допустим мы хотим зашифровать сообщение $m$ , где $m\in \mathbb {Z} _{n^{s}}$ .
Выбираем случайное число $r$ такое, что $r\in \mathbb {Z} _{n^{s+1}}^{*}$ .
Вычисляем шифротекст $c=g^{m}\cdot r^{n^{s}}{\bmod {n}}^{s+1}$ .

Расшифрование править

Пусть у нас есть шифротекст $c\in \mathbb {Z} _{n^{s+1}}^{*}$ и мы хотим его расшифровать.
Вычисляем $c^{d}\;mod\;n^{s+1}$ . Если $c$ действительно является шифротекстом, то выполнены равенства: $c^{d}=(g^{m}r^{n^{s}})^{d}=((1+n)^{jm}x^{m}r^{n^{s}})^{d}=(1+n)^{jmd\;bmod\;n^{s}}(x^{m}r^{n^{s}})^{d\;bmod\;\lambda }=(1+n)^{jmd\;bmod\;n^{s}}$ .
Применяем рекурсивную версию механизма расшифрования криптосистемы Пэйе для получения $jmd$ . Так как произведение $jd$ известно, мы можем вычислить $m=(jmd)\cdot (jd)^{-1}\;bmod\;n^{s}$ .

Применение править

Электронное голосование править

Используя криптосистему Пэйе можно организовать выборы между несколькими кандидатами, используя следующую схему: ^[7] ^[8]

Пусть $N$ — число избирателей и $k\in \mathbb {N}$ такое, что $N<2^{k}$ .
Если избиратель хочет проголосовать за кандидата номер $i$ , то он шифрует число $2^{k(i-1)}$ и передает полученный шифротекст координатору выборов.
При подведении итогов выборов координатор дешифрует произведение всех шифротекстов, полученных от избирателей. Несложно заметить, что первые $k$ бит результата будут давать число голосов, отданных за первого кандидата, вторые $k$ бит будут давать число голосов, отданных за второго кандидата, и так далее.

Электронная лотерея править

При помощи криптосистемы Пэйе можно организовать проведение электронной лотереи следующим образом:^[7]^[8]

Пусть $N$ игроков хотят поучаствовать в лотерее, каждый имеет свой лотерейный билет с уникальным номером $n\in \{0,\dots ,N-1\}$ .
Каждый игрок выбирает случайное число, шифрует и передает организатору лотереи.
Для того чтобы вычислить «счастливый» билет, организатор дешифрует произведение всех полученных шифротекстов, получая при этом сумму $s$ случайных чисел, сгенерированных игроками. Организатор лотереи объявляет победителем билет с номером $s{\bmod {n}}$ .

Несложно заметить, что у всех участников вероятности выигрыша будут равны даже если $n-1$ игроков попытаются сфальсифицировать итог лотереи, отправив организатору заранее подготовленные числа.

Электронная валюта править

Еще одной отличительной особенностью криптосистемы Пэйе является так называемое самоослепление^[англ.]. Под этим термином понимают способность изменения шифротекста без изменения открытого текста. Это может быть использовано при разработке систем электронной валюты, например таких как ecash. Допустим, вы хотите оплатить товар онлайн, но не хотите сообщать продавцу номер своей кредитной карты, и, следовательно, свою личность. Как и в случае с электронным голосованием, мы можем проверить правильность электронной монеты (или электронного голоса), не раскрывая при этом личность человека, с которым сейчас она связана.

Примечания править

↑ Jonathan Katz, Yehuda Lindell, "Introduction to Modern Cryptography: Principles and Protocols, " Chapman & Hall/CRC, 2007
↑ ¹ ² Варновский Н. П., Шокуров А. В. «Гомоморфное шифрование», 2007
↑ ¹ ² Pascal Paillier, «Public-Key Cryptosystems Based on Composite Degree Residuosity Classes»,1999
↑ Pierre-Alain Fouque and David Pointcheval, «Threshold Cryptosystems Secure against Chosen-Ciphertext Attacks»,2001
↑ Lan Nguyen,Rei Safavi-Naini, Kaoru Kurosawa ,"A Provably Secure and Eﬃcient Veriﬁable Shuﬄe based on a Variant of the Paillier Cryptosystem", 2006
↑ Jurik M., Damgård I. «A Generalisation, a Simplification and Some Applications of Paillier's Probabilistic Public-Key System»,1999
↑ ¹ ² P.-A.,Poupard G.,Stern J.,"Sharing Decryption in the Context of Voting or Lotteries",2001
↑ ¹ ² Jurik M. J., «Extensions to the paillier cryptosystem with applications to cryptological protocols», 2003

Литература править

Paillier P. Public-Key Cryptosystems Based on Composite Degree Residuosity Classes (англ.) // Advances in cryptology, EUROCRYPT'99. — 1999. — P. 223-238. — ISBN 978-3-540-48910-8. — doi:10.1007/3-540-48910-X_16. Архивировано 17 декабря 2014 года.

Fouque P.-A., Poupard G., Stern J. Sharing Decryption in the Context of Voting or Lotteries (англ.) // Financial Cryptography, Proceedings of 4th International Conference. — 2001. — P. 90-104. — ISBN 978-3-540-45472-4. — doi:10.1007/3-540-45472-1_7.

Jurik M. J. Extensions to the paillier cryptosystem with applications to cryptological protocols (англ.) // Public Key Cryptography. — 2003. — P. 119-136.

Jurik M., Damgård I. A Generalisation, a Simplification and Some Applications of Paillier's Probabilistic Public-Key System (англ.) // Proceedings of 4th International Workshop on Practice and Theory in Public Key Cryptosystems. — 2001. — P. 119-136.

Варновский Н. П., Шокуров А. В. Гомоморфное шифрование (рус.) // Труды ИСП РАН. — 2007. — С. 27-36.

Katz J., Lindell Y. Introduction to Modern Cryptography: Principles and Protocols. — Chapman & Hall/CRC, 2007. — С. 385-395. — ISBN 978-1584885511.

Ссылки править

[katzLindell-1] Jonathan Katz, Yehuda Lindell, "Introduction to Modern Cryptography: Principles and Protocols, " Chapman & Hall/CRC, 2007

[gom-2] ¹ ² Варновский Н. П., Шокуров А. В. «Гомоморфное шифрование», 2007

[pail-3] ¹ ² Pascal Paillier, «Public-Key Cryptosystems Based on Composite Degree Residuosity Classes»,1999

[cca-4] Pierre-Alain Fouque and David Pointcheval, «Threshold Cryptosystems Secure against Chosen-Ciphertext Attacks»,2001

[shuffles-5] Lan Nguyen,Rei Safavi-Naini, Kaoru Kurosawa ,"A Provably Secure and Eﬃcient Veriﬁable Shuﬄe based on a Variant of the Paillier Cryptosystem", 2006

[damgardyurik-6] Jurik M., Damgård I. «A Generalisation, a Simplification and Some Applications of Paillier's Probabilistic Public-Key System»,1999

[vote-7] ¹ ² P.-A.,Poupard G.,Stern J.,"Sharing Decryption in the Context of Voting or Lotteries",2001

[jurik-8] ¹ ² Jurik M. J., «Extensions to the paillier cryptosystem with applications to cryptological protocols», 2003

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]