Криптосистема Нидеррайтера

Криптосистема Нидеррайтера — криптосистема с открытыми ключами, основанная на теории алгебраического кодирования, разработанная в 1986 году Харальдом Нидеррайтером^[1]. В отличие от криптосистемы McEliece, в криптосистеме Нидеррайтера используется проверочная матрица кода. Криптосистема Нидеррайтера позволяет создавать цифровые подписи и является кандидатом для постквантовой криптографии, поскольку устойчива к атаке с использованием алгоритма Шора.

Используемый в криптосистеме Нидеррайтера алгоритм основан на сложности декодирования полных линейных кодов.

Несмотря на то, что данная криптосистема была взломана, некоторые её модификации остаются криптостойкими^[2]

Алгоритм работы

Генерация ключа

Алиса выбирает $(n,k)$ код $C$ над полем Галуа $GF(q)$ , исправляющий $t$ ошибок. Этот код должен обладать эффективным алгоритмом декодирования^[3].
Алиса генерирует $(n-k)\times n$ проверочную матрицу $H$ кода $C$ .
Алиса выбирает случайную $(n-k)\times (n-k)$ невырожденную матрицу $S$ над полем $GF(q)$ и некоторую $n\times n$ матрицу перестановки $P$ ^[3].
Алиса вычисляет $(n-k)\times n$ матрицу $H_{pub}=SHP$
Открытым ключом Алисы является пара $(H_{pub},t)$ . Закрытым ключом является набор $(S^{-1},H,P^{-1})$ .

Шифрование сообщения

В данном случае сообщения — это все $n-$ векторы с координатами из поля $GF(q)$ с весом, не превосходящим $t$ . Таким образом, сообщениями являются все возможные ошибки, которые выбранный код в состоянии исправить^[2].
Предположим, что Боб хочет отправить сообщение Алисе, чей открытый ключ $(H_{pub},t)$ .

Боб представляет своё сообщение в виде двоичной последовательности $m$ длины $n$ , имеющей вес, не превосходящий $t$ .
Боб вычисляет шифротекст по формуле: $c=mH_{pub}^{T}$ . Таким образом, шифротекстом в криптосистеме Нидеррайтера является зашумленный синдром шифруемого вектора ошибки^[2].

Расшифровывание сообщения

После получения сообщения $c$ , Алиса выполняет следующие действия:

Алиса вычисляет $s=c{(S^{T})}^{-1}=mP^{T}H^{T}S^{T}(S^{T})^{-1}=(mP^{T})H^{T}={\hat {m}}H^{T}$ . Заметим, что, так как $P$ — матрица перестановки, вес ${\hat {m}}=(mP^{T})$ совпадает с весом $m$ и не превосходит $t$ , и потому алгоритм декодирования для $C$ может найти вектор ошибки, соответствующий синдрому $s$ ^[3].
Алиса использует алгоритм быстрого декодирования для кода $C$ , чтобы найти ${\hat {m}}$ ^[3].
Алиса вычисляет сообщение ${\hat {m}}P^{-1}=mPP^{-1}=m$ .

Оригинальная криптосистема и её модификации

В оригинальной криптосистеме Нидеррайтер предлагал использовать коды Рида-Соломона и не использовал матрицу перестановки $P$ . Однако такая система оказалась нестойкой и была взломана Сидельниковым и Шестаковым в 1992 году^[4]. Авторы показали, что возможно угадать структуру закрытого ключа по открытому и подобрать такие матрицы ${\hat {H}}$ и ${\hat {S}}$ , что $H_{pub}={\hat {S}}{\hat {H}}$ . После этого для повышения криптостойкости системы было предложено использовать матрицу перестановки $P$ . Кроме того, появились различные модификации системы, например:

использующие различные метрики, отличные от классической хэмминговой, например, ранговую^[5]: примером этого является модифицированная система GPT^[3]
использующие коды со специфическими свойствами. Так, модификации, основанные на кодах Гоппы, все ещё остаются криптостойкими^[2].

Преимущества и недостатки системы

Преимущества

В отличие от McEliece, в криптосистеме Нидеррайтера не используются случайные параметры. Таким образом, результат шифрования одного и того же текста будет одинаковым. Этот факт позволяет использовать именно систему Нидеррайтера, а не McEliece, для создания электронно-цифровой подписи.
Размер открытого ключа в криптосистеме Нидеррайтера в ${\frac {n}{n-k}}$ раз меньше, чем в McEliece^[6].
По сравнению с RSA, скорость шифрования выше приблизительно в 50 раз, а дешифрования — в 100 раз^[6].

Недостатки

Для шифрования произвольного сообщения необходим алгоритм перевода в $q$ -арный вектор длиной $n$ веса не более $t$ .
Размер ключей больше, чем в классических криптосистемах с открытым ключом (RSA, Схема Эль-Гамаля, ГОСТ Р 34.10-2012).
Размер шифротекста намного больше, чем размер шифруемого сообщения (если сообщение размера $t$ переводится в вектор длиной $n$ и шифруется, то получается шифротекст размером $n-k$ , что не менее, чем в 2 раза превосходит $t$ ).

Ниже в таблице приведены различные параметры для криптосистем McEliece, Нидеррайтера и RSA, наглядно показывающие их преимущества и недостатки^[6].

	McEliece n=1024, k=524, t=101 бинарный код	Криптосистема Нидеррайтера n=1024, k=524, t=101 бинарный код	RSA 1024-битные модули e=17
Размер открытого ключа в байтах	67072	32750	256
Количество бит полезной информации	512	276	1024
Число бинарных операций для шифрования	514	50	2402
Число бинарных операций для расшифровывания	5140	7863	738112

Эквивалентность криптостойкости системы Нидеррайтера и системы McEliece

Как показано в оригинальной статье о системе Сидельникова^[7], атака на систему Нидеррайтера может быть полиномиально сведена к атаке на систему McEliece и обратно.

Пусть известен синдром $c=eD$ . Тогда можно вычислить вектор $b=aE+e$ с некоторым $a$ таким, что $c=bD$ . Вектор $b$ будет рассматриваться как шифротекст в системе McEliece. Если найдена криптографическая атака со сложностью $T$ для системы McEliece, то есть известен алгоритм вычисления вектора $a$ , который является секретной информацией в этой системе, то вектор $e$ , являющийся секретом для системы Нидеррайтера, можно представить в виде $e=aE+b$ . Таким образом, сложность определения $e$ совпадает со сложностью определения $a$ .

Если же известна криптоатака со сложностью $T$ для системы Нидеррайтера, то возможно, используя в качестве шифротекста вектор $(aE+e)D^{T}=eD^{T}$ , вычислить векторы $e$ и $a$ .

Построение цифровой подписи

В 2001 году Николя Куртуа, Мэттью Финиаз и Николя Сандриер показали^[8], что криптосистема Нидеррайтера может быть использована для создания электронной подписи.

Подпись сообщения

Пусть $H_{pub}$ — открытый ключ криптосистемы Нидеррайтера, использующей $(n,k,d)$ -линейный код. Для подписи документа $D$ необходимо:

Выбрать хеш-функцию $h()$ , дающей $n-k$ символов на выходе. Таким образом, результат данной хеш-функции можно представить в виде синдрома и попытаться декодировать;
Вычислить хеш $s=h(D)$ ;
Для каждого $i=0,1,2,...$ вычислить $s_{i}=h(s|i)$ ;
Найти наименьший номер $i_{min}$ такой, что синдром $s_{i_{min}}$ будет возможно декодировать. Пусть $z$ — результат декодирования синдрома $s_{i_{min}}$ ;
Подписью документа $D$ является пара $(z,i_{min})$ .

Проверка подписи

Вычислить $s_{1}=zH_{pub}^{T}$ ;
Вычислить $s_{2}=h(h(D)|i_{min})$ ;
Сравнить $s_{1}$ и $s_{2}$ : если они совпадают — подпись верна.

Пример работы системы

Пусть для кодирования был выбран $(7,3)$ код Рида-Соломона над полем Галуа $GF(2^{3})$ , построенным по модулю неприводимого многочлена $x^{3}+x+1$ , с порождающим многочленом $g(x)=(x-1)(x-{\alpha })(x-{\alpha }^{2})(x-{\alpha }^{3})=(x-1)(x-2)(x-4)(x-3)=x^{4}+4x^{3}+7x^{2}+7x+5.$

Тогда, порождающая матрица кода: $G={\begin{pmatrix}1&4&7&7&5&0&0\\0&1&4&7&7&5&0\\0&0&1&4&7&7&5\end{pmatrix}}$

Проверочная матрица кода: $H={\begin{pmatrix}1&1&1&1&1&1&1\\1&2&4&3&6&7&5\\1&4&6&5&2&3&7\\1&3&5&4&7&2&6\end{pmatrix}}$

Заметим, что расстояние данного кода $d=n-k+1=5$ , то есть число исправляемых ошибок $t=(d-1)/2=2$ .

Генерация ключей

Пусть выбрана матрица $S={\begin{pmatrix}4&1&3&5\\7&1&5&2\\2&6&5&4\\1&7&2&1\end{pmatrix}}$ . Тогда обратная к ней матрица $S^{-1}={\begin{pmatrix}1&5&2&7\\7&5&0&7\\4&4&1&5\\1&0&0&4\end{pmatrix}}$

Пусть выбрана матрица перестановки $P={\begin{pmatrix}0&1&0&0&0&0&0\\0&0&0&1&0&0&0\\0&0&0&0&1&0&0\\1&0&0&0&0&0&0\\0&0&0&0&0&0&1\\0&0&1&0&0&0&0\\0&0&0&0&0&1&0\\\end{pmatrix}}$

В этом случае открытым ключом системы будет матрица: $H_{pub}=SHP={\begin{pmatrix}1&3&7&5&6&0&2\\0&1&0&1&1&3&5\\2&5&1&0&6&2&0\\6&5&6&4&2&4&6\end{pmatrix}}$