Односторонняя функция с потайным входом

Односторонняя функция с потайным входом  — это функция, которая легко вычисляется в одном направлении, но трудно вычисляется в обратном без специальной информации (секрета), называемой «лазейкой» или «потайным входом». Односторонние функции с потайным входом широко используются в криптографии.
 Данная функция была введена в 1976 году Уитфилдом Диффи, Мартином Хеллманом и Ральфом Мёрклом. Главное отличие от обычной односторонней функции заключается в том, что функции с потайным входом не обязательно теряют информацию. Примерами применения таких функций могут служить алгоритм RSA, функция Рабина, схемы Эль-Гамаля и другие.
 В настоящее время доподлинно не установлено, что односторонние функции с потайным входом действительно являются односторонними, т.е. нет доказательства того, что, не зная потайной вход, криптоаналитик не сможет обратить функцию.

Определение


 Функция
F:{0,1}l(n)×{0,1}n{0,1}m(n)

{0,1}l(n) - множество открытых ключей.
{0,1}m(n) - отображаемый элемент, состоящий из n битов.
 называется односторонней с потайным входом, если

  1. Она является односторонней.
  2. Существует эффективный алгоритм, который при заданных открытом ключе Y, сообщении M и значении функции вычисляет M` такое, что F(M) = F(M`) для некоторого ключа Z.
  3. Для данного сообщения M и функции F(M) трудно найти сообщение M`≠M такое, что F(M) = F(M`).

 Иначе говоря, если F — односторонняя функция с потайным входом, тогда существует секретная информация Y, такая, что при известных F(х) и Y легко вычислить x. Рассмотрим замок и его ключ. Можно изменить состояние замка с открытого на закрытое, не прибегая к использованию ключа, защелкнув дужку замка. Это простая задача. Однако, чтобы легко открыть замок, требуется ключ. В данном примере ключом является «лазейка».

История


 Понятие односторонней функции с потайным входом было введено в середине 1970-х годов после публикации Уитфилдом Диффи, Мартином Хеллманом и Ральфом Мёрклом статьи об асимметричных методах шифрования (шифрование с открытым ключом). Именно Диффи и Хеллман ввели данный термин.
 Статья описывала новый способ для минимизации необходимости передачи ключей по защищенным каналам, а также в ней была разобрана криптографическая система, которая может использоваться в создании цифровой подписи.
 Авторы также показали, что одностороняя функция с потайным входом используется в криптосистемах с открытым ключом и в устройстве цифровой подписи. Криптосистема с открытым ключом — система, в которой открытый ключ передается по незащищённому каналу. Смысл цифровой подписи заключается в том, что при пересылке подписанного сообщения от Алисы к Бобу, Боб может убедиться в том, что сообщение действительно было послано Алисой.
 Благодаря односторонним функциям с потайным входом могут быть реализованы различные шифры с потайным входом. Эти шифры являются криптозащищенными.
 Было предложено несколько классов функций, но скоро стало понятно, что подходящие функции труднее найти, чем считалось изначально. Например, сначала предполагалось использовать функции, основанные на задаче суммы подмножества. Вскоре выяснилось, что этот способ неприемлем.
 В 2005 году самыми подходящими кандидатами в односторонние функции с потайным входом являлись функции из классов RSA и Рабина . Эти функции используют возведение в степень по модулю составного числа, и обе они основаны на задаче факторизации целых чисел.

Развитие односторонних функций с потайным входом


Односторонние функции с потайным входом, допускающие потери


 Данную функцию впервые ввели Крис Пейкерт и Брент Уотерс . Они основаны на идее повреждения значительной части информации.
 Такие функции имеют два свойства:

  1. Повторяют работу обычной односторонней функции с потайным входом, то есть при наличии «лазейки» позволяет эффективно вычислить x по значению F(x).
  2. Теряют часть информации о входе, тогда у выхода F(x) существует много прообразов.

 Основная особенность в том, что эти два свойства становятся фактически неразличимыми. Зная только зашифрованное сообщение F(x), ни один криптоаналитик не может сказать, какая функция была использована — с потерями или без.
 Односторонние функции с потайным входом, допускающие потери применяются во многих схемах шифрования. В их число входят: детерминированное шифрование с открытым ключом, защита от атак выборочного открытого текста и другие. Также эти функции могут использоваться в псевднослучайных генераторах.

Односторонние функции с потайным входом «Все, кроме одного»


 Для исследований атак, проводимых на основе подобранного шифротекста, были введены односторонние функции с потайным входом «Все, кроме одного».
 Каждая функция имеет дополнительный аргумент, называемый ветвью. Все ветви являеются односторонними функциями с потайным входом с одной «лазейкой», за исключением одной — которая является ветвью с потерями. Данная ветвь определяется как параметр функции, причём его значение — скрыто (с точки зрения вычисления) описанием полученной функции.

Применение односторонних функций с потайным входом


RSA


 Возьмем число n=pq, где p и q принадлежат множеству простых чисел. Считается, что для данного числа n вычисление p и q является математически трудной задачей. Функция шифрования RSA — E(m)=memodn, где e — взаимнопростое с (p1)(q1). Числа p и q являются потайным входом, зная которые вычислить обратную функцию E1 легко. На сегодняшний день лучшей атакой на RSA является факторизация числа n.

Функция Рабина


 Рассмотрим функцию F(x,n)=x2mod(n), где n=pq, а p и q принадлежат множеству простых чисел. Рабин показал, что вычислить функцию f1 легко тогда и только тогда, когда разложение на множители составного числа из двух простых является простой задачей.

Схема Эль-Гамаля


 Данная схема была предложена Тахером Эль-Гамалем в 1984 году. Она основывается на задаче дискретного логарифмирования.
 Алгоритм

  1. Алиса выбирает простое чисто p и произвольное число a.
  2. Алиса вычисляет свой открытый ключ (а, b), где b=ac, $1
  3. Боб выбирает $1m: (m1,m2)=(ad,mbd)
  4. Алиса расшифровывает сообщение m=m2(m1c)1.

Криптосистема Polly Cracker


 Алгоритм

  1. Алиса случайным образом выбирает вектор в конечном поле.
  2. Алиса строит полиномы, которые в точке, задаваемой этим вектором, обращаются в ноль.
  3. Боб генерирует сумму p=qibi
  4. Боб посылает p+m

Другие примеры


 Известно, что функции, связанные с задачей дискретного логарифмирования, не являются односторонними функциями с потайным входом, потому что нет никакой информации о «лазейке», которая позволила бы эффективно вычислять дискретный логарифм. Однако, задача дискретного логарифмирования может использоваться в качестве основы для «лазейки», например, вычислительная задача Диффи-Хеллмана (CDH) и его разновидности. Алгоритм цифровой подписи основан на CDH.
 Односторонние функции с потайным входом имеют очень специфическое применение в криптографии и их не нужно путать с бэкдором (часто одно понятие подменяется другим, но это неправильно). Бэкдор — механизм, который намеренно добавляется к шифровальному алгоритму (например, алгоритм генерации ключевых пар, алгоритм цифровой подписи, и т. д.) или к операционным системам, позволяя одному или нескольким посторонним лицам обходить или подрывать безопасность системы.