15-08-2023
Односторонняя функция с потайным входом (англ. trapdoor function) — это функция, которая легко вычисляется в одном направлении, но трудно вычисляется в обратном без специальной информации (секрета), называемой «лазейкой» или «потайным входом». Односторонние функции с потайным входом широко используются в криптографии.
Данная функция была введена в 1976 году Уитфилдом Диффи, Мартином Хеллманом и Ральфом Меркле. Главное отличие от обычной односторонней функции заключается в том, что у функции с потайным входом не обязательно теряют информацию. Примерами применения таких функций могут служить алгоритм RSA, функция Рабина, схемы Эль-Гамаля и другие.
В настоящее время доподлинно не установлено, что односторонние функции с потайным входом функции действительно являются односторонними, т.е. нет доказательства того, что, не зная потайной вход, криптоаналитик не сможет обратить функцию.
Содержание |
Функция
- множество открытых ключей.
- отображаемый элемент, состоящий из n битов.
называется односторонней с потайным входом, если
Иначе говоря, если F — односторонняя функция с потайным входом, тогда существует секретная информация Y, такая, что при известных F(х) и Y легко вычислить x. Рассмотрим замок и его ключ. Можно изменить состояние замка с открытого на закрытое, не прибегая к использованию ключа, защелкнув дужку замка. Это простая задача. Однако, чтобы легко открыть замок, требуется ключ. В данном примере ключом является «лазейка».
Понятие односторонней функции с потайным входом было введено в середине 1970-х годов после публикации Уитфилдом Диффи, Мартином Хеллманом и Ральфом Меркле статьи об асимметричных методах шифрования (шифрование с открытым ключом). Именно Диффи и Хеллман ввели данный термин[1].
Статья описывала новый способ для минимизации необходимости передачи ключей по защищенным каналам, а также в ней была разобрана криптографическая система, которая может использоваться в создании цифровой подписи[2].
Авторы также показали, что одностороняя функция с потайным входом используется в криптосистемах с открытым ключом и в устройстве цифровой подписи[3]. Криптосистема с открытым ключом — система, в которой открытый ключ передается по незащищённому каналу. Смысл цифровой подписи заключается в том, что при пересылке подписанного сообщения от Алисы к Бобу, Боб может убедиться в том, что сообщение действительно было послано Алисой.
Благодаря односторонним функциям с потайным входом могут быть реализованы различные шифры с потайным входом. Эти шифры являются криптозащищенными[1].
Было предложено несколько классов функций, но скоро стало понятно, что подходящие функции труднее найти, чем считалось изначально. Например, сначала предполагалось использовать функции, основанные на задаче суммы подмножества. Вскоре выяснилось, что этот способ неприемлем.
В 2005 году самыми подходящими кандидатами в односторонние функции с потайным входом являлись функции из классов RSA и Рабина [4]. Эти функции используют возведение в степень по модулю составного числа, и обе они основаны на задаче факторизации целых чисел.
Данную функцию впервые ввели Крис Пейкерт (англ. Chris Peikert) и Брент Уотерс (англ. Brent Waters)[5]. Они основаны на идее повреждения значительной части информации[6].
Такие функции имеют два свойства:
Основная особенность в том, что эти два свойства становятся фактически неразличимыми[6]. Зная только зашифрованное сообщение F(x), ни один криптоаналитик не может сказать, какая функция была использована — с потерями или без.
Односторонние функции с потайным входом, допускающие потери применяются во многих схемах шифрования. В их число входят: детерминированное шифрование с открытым ключом, защита от атак выборочного открытого текста и другие. Также эти функции могут использоваться в псевднослучайных генераторах[7].
Для исследований атак, проводимых на основе подобранного шифротекста, были введены односторонние функции с потайным входом «Все, кроме одного»[8].
Каждая функция имеет дополнительный аргумент, называемый ветвью. Все ветви являеются односторонними функциями с потайным входом с одной «лазейкой», за исключением одной — которая является ветвью с потерями. Данная ветвь определяется как параметр функции, причём его значение — скрыто (с точки зрения вычисления) описанием полученной функции.
Возьмем число , где и принадлежат множеству простых чисел. Считается, что для данного числа вычисление и является математически трудной задачей. Функция шифрования RSA — , где — взаимнопростое с . Числа и являются потайным входом, зная которые вычислить обратную функцию легко. На сегодняшний день лучшей атакой на RSA является факторизация числа [9][10].
Рассмотрим функцию , где , а p и q принадлежат множеству простых чисел. Рабин показал, что вычислить функцию легко тогда и только тогда, когда разложение на множители составного числа из двух простых является простой задачей[11].
Данная схема была предложена Тахером Эль-Гамалем в 1984 году. Она основывается на задаче дискретного логарифмирования[12].
Алгоритм
Алгоритм[13]
Известно, что функции, связанные с задачей дискретного логарифмирования, не являются односторонними функциями с потайным входом, потому что нет никакой информации о «лазейке», которая позволила бы эффективно вычислять дискретный логарифм. Однако, задача дискретного логарифмирования может использоваться в качестве основы для «лазейки», например, вычислительная задача Диффи-Хеллмана (CDH) и его разновидности. Алгоритм цифровой подписи основан на CDH.
Односторонние функции с потайным входом имеют очень специфическое применение в криптографии и их не нужно путать с бэкдором (часто одно понятие подменяется другим, но это неправильно). Бэкдор — механизм, который намеренно добавляется к шифровальному алгоритму (например, алгоритм генерации ключевых пар, алгоритм цифровой подписи, и т. д.) или к операционным системам, позволяя одному или нескольким посторонним лицам обходить или подрывать безопасность системы.
Односторонняя функция с потайным входом.