Псевдослучайная функция Наора – Рейнгольда - Naor–Reingold pseudorandom function

В 1997 г. Мони Наор и Омер Рейнгольд описаны эффективные конструкции для различных криптографические примитивы в закрытом ключе, а также криптография с открытым ключом. Их результат - построение эффективного псевдослучайная функция. Позволять п и л быть простые числа с л |п−1. Выберите элемент грамм из мультипликативный порядок л. Тогда для каждого (п + 1)-размерный вектор а = (а0, а1, ..., ап)∈ они определяют функцию

куда Икс = Икс1Иксп это битовое представление целого числа Икс, 0 ≤ Икс ≤ 2п−1, с некоторыми дополнительными ведущими нулями, если необходимо.[1]

Пример

Позволять п = 7 и л = 3; так л |п−1. Выбирать грамм = 4 ∈ мультипликативного порядка 3 (поскольку 43 = 64 ≡ 1 по модулю 7). За п = 3, а = (1, 1, 2, 1) и Икс = 5 (битовое представление 5 равно 101), мы можем вычислить следующее:

Эффективность

Оценка функции в Наор – Рейнгольд строительство можно сделать очень качественно. Вычисление значения функции в любой момент сравним с одним модульное возведение в степень и n-модульные умножения. Эта функция может быть вычислена параллельно пороговыми схемами ограниченной глубины и полиномиального размера.

В Наор – Рейнгольд функция может быть использована как основа многих криптографический схемы, включая симметричное шифрование, аутентификация и цифровые подписи.

Безопасность функции

Предположим, что злоумышленник видит несколько выходов функции, например , ... и хочет вычислить . Предположим для простоты, что Икс1 = 0, то атакующему необходимо решить вычислительный метод Диффи – Хеллмана (CDH) между и получить . В общем, переходя от k к k + 1 изменяет битовый шаблон, и если k + 1 - степень двойки, можно разделить показатель степени на так что вычисление соответствует вычислению Диффи – Хеллмана ключ между двумя предыдущими результатами. Этот злоумышленник хочет предсказать следующий последовательность элемент. Такая атака была бы очень плохой, но с ней также можно бороться, работая в группы с трудом Проблема Диффи – Хеллмана (DHP).

Пример:Злоумышленник видит несколько выходов функции, например , как в предыдущем примере, и . Затем злоумышленник хочет предсказать следующий элемент последовательности этой функции, . Однако злоумышленник не может предсказать исход от знания и .

Есть и другие атаки, которые очень вредны для генератор псевдослучайных чисел: пользователь ожидает получить случайные числа из вывода, поэтому, конечно, поток не должен быть предсказуемым, но, более того, он должен быть неотличим от случайной строки. Позволять обозначим алгоритм с доступом к оракулу для оценки функции . Предположим, что решающее предположение Диффи – Хеллмана держится для , Наор и Рейнгольд показать это для каждого вероятностное полиномиальное время алгоритм и достаточно большой п

является незначительный.

Первая вероятность берется за выбор начального числа s = (p, g, a), а вторая вероятность берется за случайное распределение, индуцированное на p, g посредством , генератор экземпляров и случайный выбор функции среди множества всех функции.[2]

Линейная сложность

Одна естественная мера того, насколько полезной может быть последовательность для криптографический цели - это размер его линейная сложность. Линейная сложность п-элементная последовательность W (Икс), Икс = 0,1,2,…,п - 1, над кольцом это длина л кратчайшего линейного отношение повторения W (Икс + л) = Ал−1 W (Икс +л−1) +… + А0 W (Икс), Икс = 0,1,2,…, пл −1 с A0,…, Ал−1, которому удовлетворяет эта последовательность.

Для некоторых > 0,п ≥ (1+ ) , для любого , достаточно большой л, линейная сложность последовательности , 0 ≤ х ≤ 2п-1, обозначаемый удовлетворяет

для всех, кроме возможно не более векторы a ∈ .[3] Граница этой работы имеет недостатки, а именно не относится к очень интересному случаю.

Равномерность распределения

Статистическое распределение экспоненциально близка к равномерное распределение почти для всех векторов а.

Позволять быть несоответствие из набора . Таким образом, если это длина в битах п то для всех векторов a ∈ граница держит, где

и

Хотя это свойство, похоже, не имеет никаких непосредственных криптографических последствий, обратный факт, а именно неравномерное распределение, если оно истинно, будет иметь катастрофические последствия для приложений этой функции.[4]

Последовательности в эллиптической кривой

В эллиптическая кривая Представляет интерес и версия этой функции. В частности, это может помочь улучшить криптографическую безопасность соответствующей системы. Позволять п > 3 простое число, а E - эллиптическая кривая над , то каждый вектор а определяет конечная последовательность в подгруппа в качестве:

куда битовое представление целого числа . В Наор – Рейнгольд последовательность эллиптических кривых определяется как

[5]

Если решающее предположение Диффи – Хеллмана верно, индекс k недостаточно для вычисления за полиномиальное время, даже если злоумышленник выполняет полиномиально много запросов к случайному оракулу.

Смотрите также

Примечания

  1. ^ Наор, М., Рейнгольд, О. "Теоретико-числовые конструкции эффективных псевдослучайных функций", Proc 38th IEEE Symp. на Основах Комп. Sci, (1997), 458–467.
  2. ^ Бонех, Дэн. «Решающая проблема Диффи – Хеллмана», ANTS-III: Труды Третьего Международного симпозиума по алгоритмической теории чисел, 1998, 48–63.
  3. ^ Шпарлинский Игорь Э. Линейная сложность псевдослучайной функции Наора – Рейнгольда, Информ. Process Lett, 76 (2000), 95–99.
  4. ^ Шпарлинский, Игорь Э. «О равномерности распределения псевдослучайной функции Наора – Рейнгольда», Конечные поля и их приложения, 7 (2001), 318–326
  5. ^ Круз, М., Гомес, Д., Садорнил, Д. «О линейной сложности последовательности Наора – Рейнгольда с эллиптическими кривыми», Конечные поля и их приложения, 16 (2010), 329–333

Рекомендации

  • Наор, Мони; Рейнгольд, Омер (2004), "Теоретико-числовые конструкции эффективных псевдослучайных функций", Журнал Ассоциации вычислительной техники, 51 (2): 231–262, Дои:10.1145/972639.972643, S2CID  8665271.
  • Шпарлинский, Игорь (2003), Криптографические приложения аналитической теории чисел: нижние границы сложности и псевдослучайность (первое изд.), Birkhäuser Basel, ISBN  978-3-7643-6654-4
  • Гольдрайх, Одед (1998), Современная криптография, вероятностные доказательства и псевдослучайность (первое изд.), Springer, ISBN  978-3-540-64766-9