Схема Боне-Франклина - Boneh–Franklin scheme

В Схема Боне-Франклина является шифрование на основе личности система, предложенная Дэн Бонех и Мэтью К. Франклин в 2001.^[1] Эта статья относится к версии протокола под названием BasicIdent. Это приложение пары (Спаривание Вейля ) над эллиптические кривые и конечные поля.

Группы и параметры

Поскольку схема основана на пары, все вычисления производятся в двух группах: ${displaystyle extstyle G_ {1}}$ и ${displaystyle extstyle G_ {2}}$ :

Для ${displaystyle extstyle G_ {1}}$ , позволять ${displaystyle extstyle p}$ быть первоклассным, ${displaystyle extstyle pequiv 2mod 3}$ и рассмотрим эллиптическая кривая ${displaystyle extstyle E: y ^ {2} = x ^ {3} +1}$ над ${displaystyle extstyle mathbb {Z} / pmathbb {Z}}$ . Отметим, что эта кривая не является особой при ${displaystyle extstyle 4a ^ {3} + 27b ^ {2} = 27 = 3 ^ {3}}$ только равно ${displaystyle extstyle 0}$ для случая ${displaystyle extstyle p = 3}$ что исключается дополнительным ограничением.

Позволять ${displaystyle extstyle q> 3}$ быть основным фактором ${displaystyle extstyle p + 1}$ (что является порядком ${displaystyle extstyle E}$ ) и найти точку ${displaystyle extstyle Pin E}$ порядка ${displaystyle extstyle q}$ . ${displaystyle extstyle G_ {1}}$ - множество точек, порожденных ${displaystyle extstyle P}$ : ${displaystyle extstyle left {nP | nin left {0, ldots, q-1ight} ight}}$

${displaystyle extstyle G_ {2}}$ подгруппа порядка ${displaystyle extstyle q}$ из ${displaystyle extstyle GFleft (p ^ {2} ight) ^ {*}}$ . Нам не нужно явно конструировать эту группу (это делается спариванием) и, следовательно, не нужно искать генератор.

Описание протокола

Настроить

Генератор открытых ключей (PKG) выбирает:

публичные группы ${displaystyle extstyle G_ {1}}$ (с генератором ${displaystyle extstyle P}$ ) и ${displaystyle extstyle G_ {2}}$ как указано выше, размером ${displaystyle extstyle q}$ в зависимости от параметра безопасности ${displaystyle extstyle k}$ ,
соответствующее спаривание ${displaystyle extstyle e}$ ,
случайный частный мастер-ключ ${displaystyle extstyle K_ {m} = sin mathbb {Z} _ {q} ^ {*}}$ ,
открытый ключ ${displaystyle extstyle K_ {pub} = sP}$ ,
публичная хеш-функция ${displaystyle extstyle H_ {1}: left {0,1ight} ^ {*} ightarrow G_ {1} ^ {*}}$ ,
публичная хеш-функция ${displaystyle extstyle H_ {2}: G_ {2} ightarrow left {0,1ight} ^ {n}}$ для некоторых фиксированных ${displaystyle extstyle n}$ и
то пространство сообщений и зашифрованное пространство ${displaystyle extstyle {mathcal {M}} = left {0,1ight} ^ {n}, {mathcal {C}} = G_ {1} ^ {*} imes left {0,1ight} ^ {n}}$

Добыча

Чтобы создать открытый ключ для ${displaystyle extstyle IDin left {0,1ight} ^ {*}}$ , PKG вычисляет

${displaystyle extstyle Q_ {ID} = H_ {1} left (IDight)}$ и
закрытый ключ ${displaystyle extstyle d_ {ID} = sQ_ {ID}}$ который предоставляется пользователю.

Шифрование

Данный ${displaystyle extstyle min {mathcal {M}}}$ , зашифрованный текст ${displaystyle extstyle c}$ получается следующим образом:

${displaystyle extstyle Q_ {ID} = H_ {1} слева (IDight) в G_ {1} ^ {*}}$ ,
выбрать случайный ${displaystyle extstyle rin mathbb {Z} _ {q} ^ {*}}$ ,
вычислить ${displaystyle extstyle g_ {ID} = eleft (Q_ {ID}, K_ {pub} ight) в G_ {2}}$ и
набор ${displaystyle extstyle c = left (rP, moplus H_ {2} left (g_ {ID} ^ {r} ight) ight)}$ .

Обратите внимание, что ${displaystyle extstyle K_ {pub}}$ является открытым ключом PKG и поэтому не зависит от идентификатора получателя.

Расшифровка

Данный ${displaystyle extstyle c = left (u, vight) в {mathcal {C}}}$ , открытый текст можно получить с помощью закрытого ключа:

${displaystyle extstyle m = voplus H_ {2} left (eleft (d_ {ID}, uight) ight)}$

Правильность

Первичный шаг как в шифровании, так и в дешифровании - это использование пары и ${displaystyle extstyle H_ {2}}$ чтобы сгенерировать маску (например, симметричный ключ), которая скомпилирована с открытым текстом. Таким образом, чтобы проверить правильность протокола, нужно убедиться, что честный отправитель и получатель имеют здесь одинаковые значения.

Шифрующий объект использует ${displaystyle extstyle H_ {2} left (g_ {ID} ^ {r} ight)}$ , а для расшифровки ${displaystyle extstyle H_ {2} left (eleft (d_ {ID}, uight) ight)}$ применены. Из свойств пар следует, что:

${displaystyle {egin {выравнивается} H_ {2} влево (eleft (d_ {ID}, uight) ight) & = H_ {2} left (eleft (sQ_ {ID}, rPight) ight) & = H_ {2} left (eleft (Q_ {ID}, Pight) ^ {rs} ight) & = H_ {2} left (eleft (Q_ {ID}, sPight) ^ {r} ight) & = H_ {2} left ( eleft (Q_ {ID}, K_ {pub} ight) ^ {r} ight) & = H_ {2} left (g_ {ID} ^ {r} ight) end {align}}}$

Безопасность

Надежность схемы зависит от твердости билинейная задача Диффи-Хеллмана (BDH) для используемых групп. Доказано, что в случайная модель оракула, протокол семантически безопасный в предположении BDH.

Улучшения

BasicIdent не является выбранный зашифрованный текст защищен. Однако существует универсальный метод преобразования за счет Fujisaki и Окамото^[2] что позволяет преобразовать в схему с этим свойством FullIdent.

использованная литература

^ Дэн Боне, Мэтью К. Франклин, «Шифрование на основе личности с помощью пары Вейля», Достижения в криптологии - Труды CRYPTO 2001 (2001)
^ Эйитиро Фудзисаки, Тацуаки Окамото, "Безопасная интеграция асимметричных и симметричных схем шифрования", Достижения в криптологии - Труды CRYPTO 99 (1999). Полная версия появилась в J. Cryptol. (2013) 26: 80–101

внешние ссылки

[1] Дэн Боне, Мэтью К. Франклин, «Шифрование на основе личности с помощью пары Вейля», Достижения в криптологии - Труды CRYPTO 2001 (2001)

[2] Эйитиро Фудзисаки, Тацуаки Окамото, "Безопасная интеграция асимметричных и симметричных схем шифрования", Достижения в криптологии - Труды CRYPTO 99 (1999). Полная версия появилась в J. Cryptol. (2013) 26: 80–101

[1]

[2]