Псевдослучайная функция Наора – Рейнгольда - Naor–Reingold pseudorandom function
В 1997 г. Мони Наор и Омер Рейнгольд описаны эффективные конструкции для различных криптографические примитивы в закрытом ключе, а также криптография с открытым ключом. Их результат - построение эффективного псевдослучайная функция. Позволять п и л быть простые числа с л |п−1. Выберите элемент грамм ∈ из мультипликативный порядок л. Тогда для каждого (п + 1)-размерный вектор а = (а0, а1, ..., ап)∈ они определяют функцию
куда Икс = Икс1 … Иксп это битовое представление целого числа Икс, 0 ≤ Икс ≤ 2п−1, с некоторыми дополнительными ведущими нулями, если необходимо.[1]
Пример
Позволять п = 7 и л = 3; так л |п−1. Выбирать грамм = 4 ∈ мультипликативного порядка 3 (поскольку 43 = 64 ≡ 1 по модулю 7). За п = 3, а = (1, 1, 2, 1) и Икс = 5 (битовое представление 5 равно 101), мы можем вычислить следующее:
Эффективность
Оценка функции в Наор – Рейнгольд строительство можно сделать очень качественно. Вычисление значения функции в любой момент сравним с одним модульное возведение в степень и n-модульные умножения. Эта функция может быть вычислена параллельно пороговыми схемами ограниченной глубины и полиномиального размера.
В Наор – Рейнгольд функция может быть использована как основа многих криптографический схемы, включая симметричное шифрование, аутентификация и цифровые подписи.
Безопасность функции
Предположим, что злоумышленник видит несколько выходов функции, например , ... и хочет вычислить . Предположим для простоты, что Икс1 = 0, то атакующему необходимо решить вычислительный метод Диффи – Хеллмана (CDH) между и получить . В общем, переходя от k к k + 1 изменяет битовый шаблон, и если k + 1 - степень двойки, можно разделить показатель степени на так что вычисление соответствует вычислению Диффи – Хеллмана ключ между двумя предыдущими результатами. Этот злоумышленник хочет предсказать следующий последовательность элемент. Такая атака была бы очень плохой, но с ней также можно бороться, работая в группы с трудом Проблема Диффи – Хеллмана (DHP).
Пример:Злоумышленник видит несколько выходов функции, например , как в предыдущем примере, и . Затем злоумышленник хочет предсказать следующий элемент последовательности этой функции, . Однако злоумышленник не может предсказать исход от знания и .
Есть и другие атаки, которые очень вредны для генератор псевдослучайных чисел: пользователь ожидает получить случайные числа из вывода, поэтому, конечно, поток не должен быть предсказуемым, но, более того, он должен быть неотличим от случайной строки. Позволять обозначим алгоритм с доступом к оракулу для оценки функции . Предположим, что решающее предположение Диффи – Хеллмана держится для , Наор и Рейнгольд показать это для каждого вероятностное полиномиальное время алгоритм и достаточно большой п
- является незначительный.
Первая вероятность берется за выбор начального числа s = (p, g, a), а вторая вероятность берется за случайное распределение, индуцированное на p, g посредством , генератор экземпляров и случайный выбор функции среди множества всех функции.[2]
Линейная сложность
Одна естественная мера того, насколько полезной может быть последовательность для криптографический цели - это размер его линейная сложность. Линейная сложность п-элементная последовательность W (Икс), Икс = 0,1,2,…,п - 1, над кольцом это длина л кратчайшего линейного отношение повторения W (Икс + л) = Ал−1 W (Икс +л−1) +… + А0 W (Икс), Икс = 0,1,2,…, п – л −1 с A0,…, Ал−1 ∈ , которому удовлетворяет эта последовательность.
Для некоторых > 0,п ≥ (1+ ) , для любого , достаточно большой л, линейная сложность последовательности , 0 ≤ х ≤ 2п-1, обозначаемый удовлетворяет
для всех, кроме возможно не более векторы a ∈ .[3] Граница этой работы имеет недостатки, а именно не относится к очень интересному случаю.
Равномерность распределения
Статистическое распределение экспоненциально близка к равномерное распределение почти для всех векторов а ∈ .
Позволять быть несоответствие из набора . Таким образом, если это длина в битах п то для всех векторов a ∈ граница держит, где
и
Хотя это свойство, похоже, не имеет никаких непосредственных криптографических последствий, обратный факт, а именно неравномерное распределение, если оно истинно, будет иметь катастрофические последствия для приложений этой функции.[4]
Последовательности в эллиптической кривой
В эллиптическая кривая Представляет интерес и версия этой функции. В частности, это может помочь улучшить криптографическую безопасность соответствующей системы. Позволять п > 3 простое число, а E - эллиптическая кривая над , то каждый вектор а определяет конечная последовательность в подгруппа в качестве:
куда битовое представление целого числа . В Наор – Рейнгольд последовательность эллиптических кривых определяется как
Если решающее предположение Диффи – Хеллмана верно, индекс k недостаточно для вычисления за полиномиальное время, даже если злоумышленник выполняет полиномиально много запросов к случайному оракулу.
Смотрите также
- Решающее предположение Диффи – Хеллмана
- Конечное поле
- Инверсивный конгруэнтный генератор
- Обобщенные инверсивные конгруэнтные псевдослучайные числа
Примечания
- ^ Наор, М., Рейнгольд, О. "Теоретико-числовые конструкции эффективных псевдослучайных функций", Proc 38th IEEE Symp. на Основах Комп. Sci, (1997), 458–467.
- ^ Бонех, Дэн. «Решающая проблема Диффи – Хеллмана», ANTS-III: Труды Третьего Международного симпозиума по алгоритмической теории чисел, 1998, 48–63.
- ^ Шпарлинский Игорь Э. Линейная сложность псевдослучайной функции Наора – Рейнгольда, Информ. Process Lett, 76 (2000), 95–99.
- ^ Шпарлинский, Игорь Э. «О равномерности распределения псевдослучайной функции Наора – Рейнгольда», Конечные поля и их приложения, 7 (2001), 318–326
- ^ Круз, М., Гомес, Д., Садорнил, Д. «О линейной сложности последовательности Наора – Рейнгольда с эллиптическими кривыми», Конечные поля и их приложения, 16 (2010), 329–333
Рекомендации
- Наор, Мони; Рейнгольд, Омер (2004), "Теоретико-числовые конструкции эффективных псевдослучайных функций", Журнал Ассоциации вычислительной техники, 51 (2): 231–262, Дои:10.1145/972639.972643, S2CID 8665271.
- Шпарлинский, Игорь (2003), Криптографические приложения аналитической теории чисел: нижние границы сложности и псевдослучайность (первое изд.), Birkhäuser Basel, ISBN 978-3-7643-6654-4
- Гольдрайх, Одед (1998), Современная криптография, вероятностные доказательства и псевдослучайность (первое изд.), Springer, ISBN 978-3-540-64766-9