多变元公钥密码算法:Matsumoto-Imai Cryptosystems

唠嗑！

已于 2022-05-18 23:17:49 修改

阅读量850

点赞数 5

分类专栏：经典密码文章标签：算法网络安全线性代数抽象代数几何学

于 2022-04-10 17:25:46 首次发布

本文链接：https://blog.csdn.net/forest_LL/article/details/124072982

版权

经典密码专栏收录该内容

12 篇文章 2 订阅

订阅专栏

前言

一. MI密码系统的发展历程

二. 构建Matsumoto-Imai系统结构

前言

在多变元公钥密码系统中，Matsumoto-Imai密码系统（MI）是在其发展过程中一个很重要的组成部分。1988年，Matsumoto和Imai提出了一种新的设计多变元公钥密码系统的数学思想，其思想利用了 $k^n$ 的向量空间与隐藏的域结构。且利用了k的一个大的扩域上的映射作为变换的基础。前提需要构造一个有限域k，利用一个n级不可约多项式将k扩张到n维空间向量 $k^n$ 上。

$K$ 和 $k^n$ 之间是标准的k-线性同构，此种同构映射可用来构建两个不同空间之间的联系。寻找在向量空间 $k^n$ 上的可逆映射，可以转化为寻找在k向量空间扩域K上的可逆映射，K是k的n级扩张，也就是K可以看成k上n维向量空间。相反过程求可逆映射也是对的。

一. MI密码系统的发展历程

MI和 $C^*$ 就是基于前言中所述的方法构建出来的公钥密码系统，由于它们在实际应用中的高效率和潜力，吸引了密码界许多学者的高度关注。事实上，MI密码系统还被提交为日本政府的安全标准的一个候选算法，不幸的是，在最后一轮的筛选前，MI系统就被Jacques Patarun使用代数攻击的方法破解了，利用的思想是有关线性方程的。这一破解方法利用了MI密码系统中所隐含的特定代数结构。

在MI密码系统被破解后，很多人都以为MI密码系统的发展将会受到很大的限制，有趣的是，后来的事实证明并非如此。一个原因是MI密码系统代表着一个数学观点的突破，一个全新的数学思想。这给公钥密码领域的研究带来了蓬勃朝气，引来了更深入的研究和广泛的拓展。

另一个原因是有许多基于MI密码系统而发展起来的新安全系统不断涌现，包含Sflash签名方案。在由NESSIE发起的新的欧洲签名、数据完整性和加密方案项目中，经过重重选拔，此思想在2004年被接受为通过最后筛选的方案之一，应用主要集中于低配置的智能卡。

以下将会介绍单支MI密码系统，Patarin对MI密码系统的分析思想，以及相关攻击和安全性分析。

二. 构建Matsumoto-Imai系统结构

给定k是一个特征为2的有限域，它的元素个数为 $|k|=q$ 。任取 $g(x)\in k[x]$ 是n级不可约多项式，进一步定义域 $K=k[x]/(g(x))$ 为k的一个n级扩张。

设 $\phi:K\to k^n$ 是在 $K$ 和 $k^n$ 之间自然k线性同构，定义如下式子：

$\phi(a_0+a_1x+\ldots+a_{n-1x^{n-1}})=(a_0,a_1,\ldots,a_{n-1})$

K的子域以自然的方式在 $k^n$ 中嵌入，如下：

$\phi(a)=(a,0,\ldots,0),\quad\forall a\in k$

当然，如果把k看成K的一个子域，上式子中的 $\phi$ 就是k-线性映射，取 $0\leq\theta\leq n$ ，且满足如下式子：

$gcd(q^\theta+1,q^n-1)=1$

上式子中的q是有限域k的元素个数。

定义K上的映射 $\tilde F$ ，如下：

$\tilde F(X)=X^{1+q^\theta}$

如果存在t满足下列式子，则 $\tilde F$ 是一个可逆的映射：

$t(1+q^\theta)=1\quad mod(q^n-1)$

所以可以定义映射 $\tilde F^{-1}$ ，如下：

$\tilde F^{-1}(X)=X^t$

假定F为 $k^n$ 上的映射，定义为如下：

$F(x_1,\ldots,x_n)=\phi\circ\tilde F\circ\phi^{-1}(x_1,\ldots,x_n)=(f_1,\ldots,f_n)$

上式子中 $f_1,\ldots,f_n\in k[x_1,\ldots,x_n]$ 。

引入 $L_1$ 和 $L_2$ 是 $k^n$ 上可逆的仿射变换。定义 $k^n$ 上的映射如下：

$\bar F(x_1,\ldots,x_n)=L_1\circ F\circ L_2(x_1,\ldots,x_n)=(\bar f_1,\ldots,\bar f_n)$

上式子中 $\bar f_1,\ldots,\bar f_n\in k[x_1,\ldots,x_n]$ 。将上述中所有的映射变换形成一张框架图，如下：

三. 公私钥与加密解密

3.1 公钥

MI密码系统的公钥包含以下两项：

（1）有限域k以及域上的加法和乘法运算

（2）n个二次多项式， $\bar f_1,\ldots,\bar f_n\in k[x_1,\ldots,x_n]$

3.2 私钥

MI密码系统的私钥包含两个可逆的仿射变换 $L_1$ 和 $L_2$ 。参数 $\theta$ 是否保密对整个加密系统影响不大。由于 $\theta$ 可以选择的个数少于n，而且n也不会太大，所以是否隐藏 $\theta$ 对破解攻击的复杂度通常影响不会太大。

3.3 加密过程

给定明文 $(x_1',\ldots,x_n')$ ，相对应的密文为 $(y_1',\ldots,y_n')$ ，每一个加密的密文可定义为如下式子：

$y_i'=\bar f_i(x_1',\ldots,x_n'),\quad i=1,\ldots,n$

由于公钥对任何人都是可见的，所以大家都可以对明文进行加密。

3.4 解密

通过下面的过程对密文 $(y_1',\ldots,y_n')$ 进行解密：

$\bar F^{-1}(y_1',\ldots,y_n')\\$

$\\=L_2^{-1}\circ F^{-1}\circ L_1^{-1}(y_1',\ldots,y_n')\\=L_2^{-1}\circ\phi\circ\tilde F^{-1}\circ\phi^{-1}\circ L_1^{-1}(y_1',\ldots,y_n')$

通常 $\tilde F^{-1}$ 的项的次数非常高，因此实际对密文 $(y_1',\ldots,y_n')$ 的解密过程有如下三个步骤：

（1）首先计算 $(z_1',\ldots,z_n')=L_1^{-1}(y_1',\ldots,y_n')$ ；

（2）然后计算 $(\bar z_1,\ldots,\bar z_n)=\phi\circ\tilde F^{-1}\circ\phi^{-1}(z_1',\ldots,z_n')$ ；

（3）最后计算 $(x_1',\ldots,x_n')=L_2^{-1}(\bar z_1,\ldots,\bar z_n)$

理论上讲，只有能够得到私钥的人才能执行解密过程，此MI密码系统才是安全的。加密和解密的基本流程图可见如下：

四. 公钥多项式的次数

映射F是由 $k[x_1,\ldots,x_n]$ 上的多个多项式构成的。实际上，由于把变量 $x_1,\ldots,x_n$ 看成有限域k上的明文信息比特，将取定 $f_1,\ldots,f_n$ 在以下 $k^n$ 到 $k$ 的多项式环上的最小总次数的代表元，如下：

$Fun(k^n,k)=\frac{k[x_1,\ldots,x_n]}{(x_1^q-x_1,\ldots,x_n^q-x_n)}$

为了记号使用方便，用 $k[x_1,\ldots,x_n]$ 代替 $Fun(k^n,k)$ 。除非特意标注，否则不会用 $k[x_1,\ldots,x_n]$ 代替k上的 $x_1,\ldots,x_n$ 的多项式环。同理， $K[X]$ 表示K到K的多项式环。为了简化分析，将用 $K[X]$ 代表 $\frac{K[X]}{X^{q^n}-X}$ 。

现在开始讨论 $\tilde F$ 的次数与 $f_1,\ldots,f_n$ 次数的关系。

K映射 $T_i(X)=X^{q^i},\quad i=0,1,\ldots,n-1$ ，是有名的Frobenius映射。实际上，这些映射的集合恰好是Galois群 $G=Gal(\frac{K}{k})$ ，群环 $KG=\lbrace\sum_{i=0}^{n-1}\alpha_iT_i|\alpha_i\in K\rbrace$ 是K上k-线性映射的集合。由此，可得对 $\forall L(X)\in KG$ ，都有 $\phi\circ L\circ\phi^{-1}$ 是 $k^n$ 上的k线性映射，每个 $\phi\circ L\circ\phi^{-1}$ 的分量多项式在 $k[x_1,\ldots,x_n]$ 上总次数为1。

为了更好地研究 $H(X)\in K[X]$ 的次数和 $\phi\circ H\circ\phi^{-1}$ 各分量多项式总次数的关系，定义单项式 $X^e\in K[X]$ 的q-汉明重量次数是e以q进制展开的系数的总和，也就是e的q-汉明重量。函数 $H(X)\in K[X]$ 的q-汉明重量次数是 $H(X)$ 的各单项式q-汉明重量次数的最大值。以上讨论的e均满足 $0\leq e\leq q^n$ 。

假定函数 $H(X)\in K[X]$ 的q-汉明重量次数为d，那么 $\phi\circ L\circ\phi^{-1}$ 各分量多项式的总次数也为d。特别地，由于 $\tilde F$ 的q-汉明重量次数为2，也就是每一个 $f_1,\ldots,f_n$ 的总次数为2。由于 $L_1$ 和 $L_2$ 是可逆的仿射变换，所以每一个 $\bar f_1,\ldots,\bar f_n$ 的总次数也为2。

唠嗑！

关注

5
点赞
踩
5

收藏

觉得还不错? 一键收藏
打赏
0
评论
多变元公钥密码算法:Matsumoto-Imai Cryptosystems

一. 构建Matsumoto-Imai系统结构假设k是一个特征为2的有限域，它的元素个数为。任取是n级不可约多项式。定义域为k的一个n级扩张。设是在和之间自然k线性同构，定义如下式子：K的子域以自然的方式嵌入，如下：当然，如果把k看成K的一个子域，上式子中的就是k-线性的映射，取，且满足如下式子：上式子中的q是有限域k的元素个数。定义K上的映射，如下：如果存在t满足下列式子，则是一个可逆的映射：所以可以定义映射，如下假定F为上的映射，定义为如下..
复制链接

扫一扫