Tarmoq kodlash uchun gomomorfik imzolar - Homomorphic signatures for network coding

Tarmoq kodlash tegmaslik ishlatilishi ko'rsatilgan tarmoqli kengligi Tarmoqda, axborot oqimini maksimal darajada oshirish, ammo bu sxema o'z-o'zidan tarmoqdagi zararli tugunlar tomonidan ifloslanish xurujlariga juda zaifdir. Axlatni yuboradigan tugun ko'plab qabul qiluvchilarga tezda ta'sir qilishi mumkin. Ifloslanishi tarmoq paketlari kiruvchi paketlardan kamida bittasi buzilgan bo'lsa (hatto) halol tugunning chiqishi buzilganligi sababli tez tarqaladi. Hujumchi, imzoni soxtalashtirish yoki to'qnashuvni keltirib chiqarish orqali shifrlangan bo'lsa ham, paketni osonlikcha buzishi mumkin. xash funktsiyasi. Bu tajovuzkorga paketlarga kirish va ularni buzish imkoniyatini beradi. Denis Charlz, Kamol Jayn va Kristin Lauter yangisini ishlab chiqdilar homomorfik shifrlash ifloslanish hujumlarini oldini olish uchun tarmoq kodlash bilan ishlatish uchun imzo sxemasi.^[1] Imzolarning homomorfik xususiyati tugunlarga imzo vakolatiga murojaat qilmasdan kelgan paketlarning har qanday chiziqli kombinatsiyasini imzolashga imkon beradi. Ushbu sxemada tugunning paketlarning chiziqli kombinatsiyasini nimani oshkor qilmasdan imzolashi hisoblash uchun mumkin emas chiziqli birikma paketni yaratishda ishlatilgan. Bundan tashqari, biz imzo sxemasi taniqli bo'lgan xavfsizligini isbotlashimiz mumkin kriptografik qattiqligining taxminlari alohida logaritma muammo va hisoblash Diffie-Hellman elliptik egri chizig'i.

Tarmoq kodlash

Ruxsat bering ${ displaystyle G = (V, E)}$ bo'lishi a yo'naltirilgan grafik qayerda ${ displaystyle V}$ to'plamidir, uning elementlari tepaliklar yoki tugunlar va ${ displaystyle E}$ to'plamidir buyurtma qilingan juftliklar yoy, yo'naltirilgan qirralar yoki o'qlar deb nomlangan tepaliklarning. Manba ${ displaystyle s in V}$ faylni uzatishni xohlaydi ${ displaystyle D}$ to'plamga ${ displaystyle T subseteq V}$ tepaliklarning. Bittasi a ni tanlaydi vektor maydoni ${ displaystyle W / mathbb {F} _ {p}}$ (o'lchov haqida gapiring ${ displaystyle d}$ ), qaerda ${ displaystyle p}$ asosiy son bo'lib, uzatiladigan ma'lumotlarni bir qator vektor sifatida ko'rib chiqadi ${ displaystyle w_ {1}, ldots, w_ {k} in W}$ . Keyin manba kengaytirilgan vektorlarni yaratadi ${ displaystyle v_ {1}, ldots, v_ {k}}$ sozlash orqali ${ displaystyle v_ {i} = (0, ldots, 0,1, ldots, 0, w_ {i_ {1}}, ldots, w {i_ {d}})}$ qayerda ${ displaystyle w_ {i_ {j}}}$ bo'ladi ${ displaystyle j}$ - vektorning koordinatasi ${ displaystyle w_ {i}}$ . Lar bor ${ displaystyle (i-1)}$ birinchi '1' paydo bo'lishidan oldin nol ${ displaystyle v_ {i}}$ . Vektorlar umumiyligini yo'qotmasdan taxmin qilish mumkin ${ displaystyle v_ {i}}$ bor chiziqli mustaqil. Biz chiziqli pastki bo'shliq (ning ${ displaystyle mathbb {F} _ {p} ^ {k + d}}$ ) tomonidan ushbu vektorlar tomonidan kengaytirilgan ${ displaystyle V}$ . Har bir chiqadigan chekka ${ displaystyle e in E}$ chiziqli kombinatsiyani hisoblab chiqadi, ${ displaystyle y (e)}$ , tepaga kiruvchi vektorlardan ${ displaystyle v = in (e)}$ chekka qaerdan kelib chiqadi, demak

{ displaystyle y (e) = sum _ {f: mathrm {out} (f) = v} (m_ {e} (f) y (f))}

qayerda ${ displaystyle m_ {e} (f) in mathbb {F} _ {p}}$ . Biz manbani mavjud deb bilamiz ${ displaystyle k}$ kirish chekkalari ${ displaystyle k}$ vektorlar ${ displaystyle w_ {i}}$ . By induksiya, bu vektorga ega ${ displaystyle y (e)}$ har qanday chekkada chiziqli birikma mavjud ${ displaystyle y (e) = sum _ {1 leq i leq k} (g_ {i} (e) v_ {i})}$ va bu vektor ${ displaystyle V}$ . K o'lchovli vektor ${ displaystyle g (e) = (g_ {1} (e), ldots, g_ {k} (e))}$ shunchaki birinchi k vektorning koordinatalari ${ displaystyle y (e)}$ . Biz qo'ng'iroq qilamiz matritsa ularning qatorlari vektorlardir ${ displaystyle g (e_ {1}), ldots, g (e_ {k})}$ , qayerda ${ displaystyle e_ {i}}$ vertex uchun kiruvchi qirralar ${ displaystyle t in T}$ , uchun global kodlash matritsasi ${ displaystyle t}$ va uni quyidagicha belgilang ${ displaystyle G_ {t}}$ . Amalda kodlash vektorlari matritsa, shuning uchun tasodifiy tanlanadi ${ displaystyle G_ {t}}$ yuqori ehtimollik bilan qaytarib olinadi. Shunday qilib, har qanday qabul qiluvchi, qabul qilishda ${ displaystyle y_ {1}, ldots, y_ {k}}$ topishi mumkin ${ displaystyle w_ {1}, ldots, w_ {k}}$ hal qilish orqali

{ displaystyle { begin {bmatrix} y ' y_ {2}' vdots y_ {k} ' end {bmatrix}} = G_ {t} { begin {bmatrix} w_ {1} w_ {2} vdots w_ {k} end {bmatrix}}}

qaerda ${ displaystyle y_ {i} '}$ birinchisini olib tashlash natijasida hosil bo'lgan vektorlar ${ displaystyle k}$ vektor koordinatalari ${ displaystyle y_ {i}}$ .

Qabul qilgichda dekodlash

Har biri qabul qiluvchi, ${ displaystyle t in T}$ , oladi ${ displaystyle k}$ vektorlar ${ displaystyle y_ {1}, ldots, y_ {k}}$ ning tasodifiy chiziqli birikmalaridir ${ displaystyle v_ {i}}$ Aslida, agar

{ displaystyle y_ {i} = ( alfa _ {i_ {1}}, ldots, alfa _ {i_ {k}}, a_ {i_ {1}}, ldots, a_ {i_ {d}} )}

keyin

{ displaystyle y_ {i} = sum _ {1 leq j leq k} ( alfa _ {ij} v_ {j}).}

Shunday qilib biz topish uchun chiziqli o'zgarishni teskari aylantirishimiz mumkin ${ displaystyle v_ {i}}$ Yuqori bilan ehtimollik.

Tarix

Kron, Fridman va Mozieres nazariyani taklif qildilar^[2] 2004 yilda bizda xash funktsiyasi bo'lsa ${ displaystyle H: V longrightarrow G}$ shu kabi:

${ displaystyle H}$ bu to'qnashuvga chidamli - topish qiyin ${ displaystyle x}$ va ${ displaystyle y}$ shu kabi ${ displaystyle H (x) = H (y)}$ ;
${ displaystyle H}$ a homomorfizm – ${ displaystyle H (x + y) = H (x) + H (y)}$ .

Keyin server xavfsiz ravishda tarqatishi mumkin ${ displaystyle H (v_ {i})}$ har bir qabul qiluvchiga va yo'qligini tekshirish uchun

{ displaystyle y = sum _ {1 leq i leq k} ( alfa _ {i} v_ {i})}

yo'qligini tekshirib ko'rishimiz mumkin

{ displaystyle H (y) = sum _ {1 leq i leq k} ( alfa _ {i} H (v_ {i}))}

Ushbu usul bilan bog'liq muammo shundaki, server har bir qabul qiluvchiga xavfsiz ma'lumotlarni uzatishi kerak. Xash funktsiyalari ${ displaystyle H}$ alohida xavfsiz kanal orqali tarmoqdagi barcha tugunlarga uzatilishi kerak. ${ displaystyle H}$ hisoblash va xavfsiz uzatish uchun qimmat ${ displaystyle H}$ ham iqtisodiy emas.

Gomomorfik imzolarning afzalliklari

Ifloslanishni aniqlashdan tashqari autentifikatsiyani o'rnatadi.
Xavfsiz xash-dayjestlarni tarqatishga hojat yo'q.
Umuman olganda kichikroq uzunliklar etarli bo'ladi. Uzunligi 180 bit bo'lgan imzolar 1024 bitli RSA imzolari kabi xavfsizlikka ega.
Faylni keyingi uzatishda ommaviy ma'lumotlar o'zgarmaydi.

Imzo sxemasi

Imzolarning homomorfik xususiyati tugunlarga imzo vakolatiga murojaat qilmasdan kelgan paketlarning har qanday chiziqli kombinatsiyasini imzolashga imkon beradi.

Elliptik egri chiziqli kriptografiya cheklangan maydon ustida

Elliptik egri chiziqli kriptografiya cheklangan maydon ustida yondashuv ochiq kalitli kriptografiya ning algebraik tuzilishiga asoslangan elliptik egri chiziqlar ustida cheklangan maydonlar.

Ruxsat bering ${ displaystyle mathbb {F} _ {q}}$ shunday cheklangan maydon bo'ling ${ displaystyle q}$ 2 yoki 3 kuchga ega emas. Keyin elliptik egri chiziq ${ displaystyle E}$ ustida ${ displaystyle mathbb {F} _ {q}}$ - shaklning tenglamasi bilan berilgan egri chiziq

{ displaystyle y ^ {2} = x ^ {3} + ax + b, ,}

qayerda ${ displaystyle a, b in mathbb {F} _ {q}}$ shu kabi ${ displaystyle 4a ^ {3} + 27b ^ {2} not = 0}$

Ruxsat bering ${ displaystyle K supseteq mathbb {F} _ {q}}$ , keyin,

{ displaystyle E (K) = {(x, y) | y ^ {2} = x ^ {3} + ax + b } bigcup {O }}

shakllantiradi abeliy guruhi identifikator sifatida O bilan. The guruh operatsiyalari samarali bajarilishi mumkin.

Vayl juftligi

Vayl juftligi ning qurilishi birlikning ildizlari funktsiyalari yordamida an elliptik egri chiziq ${ displaystyle E}$ , a tashkil etadigan tarzda juftlashtirish (bilinear shakl bilan bo'lsa ham multiplikativ yozuv ) ustida torsion kichik guruh ning ${ displaystyle E}$ . Ruxsat bering ${ displaystyle E / mathbb {F} _ {q}}$ elliptik egri chiziq bo'lsin ${ displaystyle mathbb { bar {F}} _ {q}}$ ning algebraik yopilishi bo'lishi mumkin ${ displaystyle mathbb {F} _ {q}}$ . Agar ${ displaystyle m}$ maydonning xarakteristikasi uchun nisbatan ustun bo'lgan butun son ${ displaystyle mathbb {F} _ {q}}$ , keyin ${ displaystyle m}$ -o'tkazish punktlari, ${ displaystyle E [m] = {P in E ( mathbb { bar {F}} _ {q}): mP = O}}$ .

Agar ${ displaystyle E / mathbb {F} _ {q}}$ bu elliptik egri chiziq va ${ displaystyle gcd (m, q) = 1}$ keyin

{ displaystyle E [m] cong ( mathbb {Z} / m mathbb {Z}) * ( mathbb {Z} / m mathbb {Z})}

Xarita mavjud ${ displaystyle e_ {m}: E [m] * E [m] rightarrow mu _ {m} ( mathbb {F} _ {q})}$ shu kabi:

(Bilinear) ${ displaystyle e_ {m} (P + R, Q) = e_ {m} (P, Q) e_ {m} (R, Q) { text {and}} e_ {m} (P, Q + R) ) = e_ {m} (P, Q) e_ {m} (P, R)}$ .
(Degeneratlanmagan) ${ displaystyle e_ {m} (P, Q) = 1}$ Barcha uchun P shuni anglatadiki ${ displaystyle Q = O}$ .
(O'zgaruvchan) ${ displaystyle e_ {m} (P, P) = 1}$ .

Shuningdek, ${ displaystyle e_ {m}}$ samarali hisoblash mumkin.^[3]

Gomomorf imzolar

Ruxsat bering ${ displaystyle p}$ bosh va bo'lishi ${ displaystyle q}$ asosiy kuch. Ruxsat bering ${ displaystyle V / mathbb {F} _ {p}}$ o'lchovning vektor maydoni bo'lishi ${ displaystyle D}$ va ${ displaystyle E / mathbb {F} _ {q}}$ shunday qilib elliptik egri chiziq bo'ling ${ displaystyle P_ {1}, ldots, P_ {D} in E [p]}$ .Tushrif bering ${ displaystyle h: V longrightarrow E [p]}$ quyidagicha: ${ displaystyle h (u_ {1}, ldots, u_ {D}) = sum _ {1 leq i leq D} (u_ {i} P_ {i})}$ .Funktsiya ${ displaystyle h}$ o'zboshimchalik bilan homomorfizmdir ${ displaystyle V}$ ga ${ displaystyle E [p]}$ .

Server tanlaydi ${ displaystyle s_ {1}, ldots, s_ {D}}$ yashirincha ${ displaystyle mathbb {F} _ {p}}$ va bir fikrni e'lon qiladi ${ displaystyle Q}$ p-burilishining shundayligi ${ displaystyle e_ {p} (P_ {i}, Q) not = 1}$ va shuningdek nashr etadi ${ displaystyle (P_ {i}, s_ {i} Q)}$ uchun ${ displaystyle 1 leq i leq D}$ .Vektorning imzosi ${ displaystyle v = u_ {1}, ldots, u_ {D}}$ bu ${ displaystyle sigma (v) = sum _ {1 leq i leq D} (u_ {i} s_ {i} P_ {i})}$ Izoh: Ushbu imzo homomorfikdir, chunki h ning hisoblashi homomorfizmdir.

Imzoni tekshirish

Berilgan ${ displaystyle v = u_ {1}, ldots, u_ {D}}$ va uning imzosi ${ displaystyle sigma}$ , buni tasdiqlang

{ displaystyle { begin {aligned} e_ {p} ( sigma, Q) & = e_ {p} left ( sum _ {1 leq i leq D} (u_ {i} s_ {i} P_) {i}), Q o'ng) & = prod _ {i} e_ {p} (u_ {i} s_ {i} P_ {i}, Q) & = prod _ {i} e_ {p} (u_ {i} P_ {i}, s_ {i} Q) end {hizalanmış}}}

Tekshiruv Vayl juftligini aniqligini ishlatadi.

Tizimni sozlash

Server hisoblaydi ${ displaystyle sigma (v_ {i})}$ har biriga ${ displaystyle 1 leq i leq k}$ . Uzatadi ${ displaystyle v_ {i}, sigma (v_ {i})}$ .Har bir chetda ${ displaystyle e}$ hisoblash paytida ${ displaystyle y (e) = sum _ {f in E: mathrm {out} (f) = mathrm {in} (e)} (m_ {e} (f) y (f))}$ shuningdek hisoblash ${ displaystyle sigma (y (e)) = sum _ {f in E: mathrm {out} (f) = mathrm {in} (e)} (m_ {e} (f) sigma () y (f)))}$ elliptik egri chiziqda ${ displaystyle E}$ .

Imzo - bu elliptik egri chiziqdagi koordinatalari bo'lgan nuqta ${ displaystyle mathbb {F} _ {q}}$ . Shunday qilib imzo hajmi ${ displaystyle 2 log q}$ bit (bu doimiy vaqtlar) ${ displaystyle log (p)}$ ning nisbiy kattaligiga qarab bit ${ displaystyle p}$ va ${ displaystyle q}$ ), va bu uzatish uzatmasi. Imzo hisoblash ${ displaystyle h (e)}$ har bir tepada talab qilinadi ${ displaystyle O (d_ {in} log p log ^ {1+ epsilon} q)}$ bit operatsiyalari, qaerda ${ displaystyle d_ {in}}$ vertexning darajasidir ${ displaystyle (e)} da$ . Imzoni tekshirishni talab qiladi ${ displaystyle O ((d + k) log ^ {2+ epsilon} q)}$ bit operatsiyalari.

Xavfsizlikning isboti

Hujumchi xash funktsiyasi ostida to'qnashuvni keltirib chiqarishi mumkin.

Agar berilgan bo'lsa ${ displaystyle (P_ {1}, ldots, P_ {r})}$ ball ${ displaystyle E [p]}$ topmoq ${ displaystyle a = (a_ {1}, ldots, a_ {r}) in mathbb {F} _ {p} ^ {r}}$ va ${ displaystyle b = (b_ {1}, ldots, b_ {r}) in mathbb {F} _ {p} ^ {r}}$

shu kabi ${ displaystyle a not = b}$ va

{ displaystyle sum _ {1 leq i leq r} (a_ {i} P_ {i}) = sum _ {1 leq j leq r} (b_ {j} P_ {j}).}

Taklif: diskret logdan polinom vaqtining kamayishi mavjud tsiklik guruh tartib ${ displaystyle p}$ Hash-to'qnashuvga elliptik egri chiziqlarda.

Agar ${ displaystyle r = 2}$ , keyin olamiz ${ displaystyle xP + yQ = uP + vQ}$ . Shunday qilib ${ displaystyle (x-u) P + (y-v) Q = 0}$ .Biz buni da'vo qilamiz ${ displaystyle x not = u}$ va ${ displaystyle y not = v}$ . Aytaylik ${ displaystyle x = u}$ , keyin bizda bo'lar edi ${ displaystyle (y-v) Q = 0}$ , lekin ${ displaystyle Q}$ buyurtma nuqtasidir ${ displaystyle p}$ (asosiy) shunday ${ displaystyle y-u equiv 0 { bmod {p}}}$ . Boshqa so'zlar bilan aytganda ${ displaystyle y = v}$ yilda ${ displaystyle mathbb {F} _ {p}}$ . Bu taxminga zid keladi ${ displaystyle (x, y)}$ va ${ displaystyle (u, v)}$ ichida alohida juftliklar mavjud ${ displaystyle mathbb {F} _ {2}}$ . Shunday qilib bizda bor ${ displaystyle Q = - (x-u) (y-v) ^ {- 1} P}$ , bu erda teskari modul sifatida olinadi ${ displaystyle p}$ .

Agar bizda r> 2 bo'lsa, unda biz ikkita narsadan birini qila olamiz. Yoki biz olishimiz mumkin ${ displaystyle P_ {1} = P}$ va ${ displaystyle P_ {2} = Q}$ oldingidek va o'rnatildi ${ displaystyle P_ {i} = O}$ uchun ${ displaystyle i}$ > 2 (bu holda dalil qachongacha kamayadi ${ displaystyle r = 2}$ ), yoki biz olishimiz mumkin ${ displaystyle P_ {1} = r_ {1} P}$ va ${ displaystyle P_ {i} = r_ {i} Q}$ qayerda ${ displaystyle r_ {i}}$ dan tasodifiy tanlanadi ${ displaystyle mathbb {F} _ {p}}$ . Biz bitta noma'lumda bitta tenglamani olamiz (diskret log ${ displaystyle Q}$ ). Ehtimol, biz olgan tenglama noma'lum narsani o'z ichiga olmaydi. Biroq, bu juda kichik ehtimollik bilan sodir bo'ladi, chunki biz keyingi bahslashamiz. Aytaylik, Hash-to'qnashuv algoritmi bizga buni berdi

{ displaystyle ar_ {1} P + sum _ {2 leq i leq r} (b_ {i} r_ {i} Q) = 0.}

Shunda ekan ${ displaystyle sum _ {2 leq i leq r} b_ {i} r_ {i} not equiv 0 { bmod {p}}}$ , biz Q ning diskret logini echishimiz mumkin. Ammo ${ displaystyle r_ {i}}$ Hash-Collision uchun oracle uchun noma'lum va shuning uchun biz ushbu jarayonning tartibini almashtira olamiz. Boshqacha qilib aytganda, berilgan ${ displaystyle b_ {i}}$ , uchun ${ displaystyle 2 leq i leq r}$ , barchasi nol emas, ning ehtimoli qanday ${ displaystyle r_ {i}}$ Biz tanladik qondiradi ${ displaystyle sum _ {2 leq i leq r} (b_ {i} r_ {i}) = 0}$ ? Oxirgi ehtimollik aniq ${ displaystyle 1 over p}$ . Shunday qilib, biz katta ehtimollik bilan diskret log uchun echishimiz mumkin ${ displaystyle Q}$ .

Ushbu sxemada xash to'qnashuvlarini ishlab chiqarish qiyinligini ko'rsatdik. Raqib bizning tizimimizni buzishi mumkin bo'lgan boshqa usul - bu imzo soxtalashtirishdir. Ushbu imzo sxemasi asosan Boneh-Lin-Shacham imzo sxemasining Aggregate Signature versiyasidir.^[4] Bu erda imzoni soxtalashtirish hech bo'lmaganda uni echish kabi qiyin ekanligi ko'rsatilgan Diffie-Hellman elliptik egri chizig'i muammo. Ushbu muammoni elliptik egri chiziqlarda hal qilishning yagona ma'lum usuli bu diskret-loglarni hisoblashdir. Shunday qilib, imzoni zarb qilish hech bo'lmaganda elliptik egri chiziqlar bo'yicha Diffie-Hellman hisoblash koeffitsientini echish kabi qiyin va, ehtimol diskret jurnallarni hisoblash kabi qiyin.

Shuningdek qarang

Adabiyotlar

^ "Tarmoq kodlash uchun imzolar". 2006 yil. CiteSeerX 10.1.1.60.4738. Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)
^ https://www.cs.princeton.edu/~mfreed/docs/authcodes-sp04.pdf
^ Eyzentraeger, Kirsten; Lauter, Kristin; Montgomeri, Piter L. (2004). "Elliptik va giperelliptik egri chiziqlar uchun Vayl va Teyt yaxshilangan juftliklar": 169–183. arXiv:matematik / 0311391. Bibcode:2003 yil ..... 11391E. CiteSeerX 10.1.1.88.8848. Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)
^ http://cseweb.ucsd.edu/~hovav/dist/sigs.pdf

Tashqi havolalar

[1] "Tarmoq kodlash uchun imzolar". 2006 yil. CiteSeerX 10.1.1.60.4738. Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)

[2] ttps://www.cs.princeton.edu/~mfreed/docs/authcodes-sp04.pdf

[3] Eyzentraeger, Kirsten; Lauter, Kristin; Montgomeri, Piter L. (2004). "Elliptik va giperelliptik egri chiziqlar uchun Vayl va Teyt yaxshilangan juftliklar": 169–183. arXiv:matematik / 0311391. Bibcode:2003 yil ..... 11391E. CiteSeerX 10.1.1.88.8848. Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)

[4] ttp://cseweb.ucsd.edu/~hovav/dist/sigs.pdf

[1]

[2]

[3]

[4]