베날로 암호체계

베날로 크립토시스템(Benaloh Cryptosystem)은 1985년 조쉬(코헨) 베날로가 만든 골드와세르-미칼리 암호체계(GM)의 연장선이다.GM에 비해 Benaloh Cryptosystem의 주요 개선점은 긴 데이터 블록을 한 번에 암호화할 수 있는 반면 GM에서는 각 비트가 개별적으로 암호화된다는 것이다.^[1]^[2]^[3]

구성표 정의

다른 공용 키 암호 시스템과 마찬가지로 이 체계는 그룹 $(\mathbb {Z} /n\mathbb {Z} )^{*}$ Z $(\mathbb {Z} /n\mathbb {Z} )^{*}$ ) $(\mathbb {Z} /n\mathbb {Z} )^{*}$ ${\$ 에서 작동하며 여기서 $(\mathbb {Z} /n\mathbb {Z} )^{*}$ n은 두 개의 큰 프리임의 곱이다.이 계획은 동형이기 때문에 순응할 수 있다.

키 생성

블록 크기 r을 지정하면 다음과 같이 공용/개인 키 쌍이 생성된다.

Choose large primes p and q such that $r\vert (p-1),\operatorname {gcd} (r,(p-1)/r)=1,$ and $\operatorname {gcd} (r,(q-1))=1$
설정 $n=pq,\phi =(p-1)(q-1)$ = $n=pq,\phi =(p-1)(q-1)$ $n=pq,\phi =(p-1)(q-1)$ , $n=pq,\phi =(p-1)(q-1)$ = $n=pq,\phi =(p-1)(q-1)$ ( $n=pq,\phi =(p-1)(q-1)$ - $n=pq,\phi =(p-1)(q-1)$ ) $n=pq,\phi =(p-1)(q-1)$
$y^{\phi /r}\not \equiv 1\mod n$ $y\in \mathbb {Z} _{n}^{*}$ $y^{\phi /r}\not \equiv 1\mod n$ / $y^{\phi /r}\not \equiv 1\mod n$ $y^{\phi /r}\not \equiv 1\mod n$ $y^{\phi /r}\not \equiv 1\mod n$ $y^{\phi /r}\not \equiv 1\mod n$ $y^{\phi /r}\not \equiv 1\mod n$ $y\in \mathbb {Z} _{n}^{*}$ {\ $displaystyle y\$ in \ $mathb {$ Z $} _{$ n}^{*}}을 $y\in \mathbb {Z} _{n}^{*}$ (를) $y\in \mathbb {Z} _{n}^{*}$ 하여 $\$ / r 1 mod n ${\displaysty y^{\pi /r}\equiv 1\modn}$ 이(가 아님)를 선택하십시오 $y^{\phi /r}\not \equiv 1\mod n$

참고: r이 복합적인 경우, 2011년^[4] Fousse 등에서는 위의 조건(즉, 원본 논문에 명시된 조건)이 정확한 암호 해독을 보장하기에 불충분하다는 점을 지적하였다. 즉,

D(E(m))=m

(

D(E(m))=m

=

D(E(m))=m

D(E)(m)=m

을 모든 경우에

D(E(m))=m

보장하기에 불충분하다는 점을 지적하였다.이를 다루기 위해 저자들은

r=p_{1}p_{2}\dots p_{k}

=

r=p_{1}p_{2}\dots p_{k}

r=p_{1}p_{2}\dots p_{k}

r=p_{1}p_{2}\dots p_{k}

2 …

r=p_{1}p_{2}\dots p_{k}

r=p_{1}p_{2}\dots p_{k}

{\

displaystyle r=p_{

1}

p_{2}\dots p_{k}}}

를 r의 주요 인자화(primary factorization)로

r=p_{1}p_{2}\dots p_{k}

하자고 제안한다.

y\in \mathbb {Z} _{n}^{*}

요인

p_{i}

y\in \mathbb {Z} _{n}^{*}

p_{i}

{\

에

대해

y

y^{\phi /p_{i}}\neq 1\mod n

/

y^{\phi /p_{i}}\neq 1\mod n

i 1

y^{\phi /p_{i}}\neq 1\mod n

n

{\

displaystyle y^{n

}^{n}}}

을

y\in {\mathbb {Z}}_{n}^{*}

p_{i}

를) 선택하면 y

y\in \mathbb {Z} _{n}^{*}

y^{\phi /p_{i}}\neq 1\mod n

/ p

y^{\phi /p_{i}}\neq 1\mod n

/ 1 mod n {\

displaystysty

y

^{\p_{i}\neq 1mod

n

y^{\phi /p_{i}}\neq 1\mod n

$x=y^{\phi /r}\mod n$ = $x=y^{\phi /r}\mod n$ $x=y^{\phi /r}\mod n$ / $x=y^{\phi /r}\mod n$ $x=y^{\phi /r}\mod n$ $x=y^{\phi /r}\mod n$ $x=y^{\phi /r}\mod n$ 설정

공용 키는 $y,$ $n$ ${\displaystyle y,n$ 이고 개인 키는 $\phi ,x$ $\phi ,x$ $\phi,x$ 입니다 $\phi ,x$

메시지 암호화

메시지 $m\in \mathbb {Z} _{r}$ $m\in \mathbb {Z} _{r}$ $m\in \mathbb {Z} _{r}$ $m\in \mathbb {Z} _{r}$ ${\$ :

임의 $u\in \mathbb {Z} _{n}^{*}$ $u\in \mathbb {Z} _{n}^{*}$ $u\in \mathbb {Z} _{n}^{*}$ $u\in \mathbb {Z} _{n}^{*}$ $u\in \mathbb {Z} _{n}^{*}$ ${\$ 을(를) 선택하십시오.
설정 $E_{r}(m)=y^{m}u^{r}\mod n$ $E_{r}(m)=y^{m}u^{r}\mod n$ ( $E_{r}(m)=y^{m}u^{r}\mod n$ ) $E_{r}(m)=y^{m}u^{r}\mod n$ = y $E_{r}(m)=y^{m}u^{r}\mod n$ $E_{r}(m)=y^{m}u^{r}\mod n$ r $E_{r}(m)=y^{m}u^{r}\mod n$ $E_{r}(m)=y^{m}u^{r}\mod n$ $E_{r}(m)=y^{m^{r}\mod n$

메시지 암호 해독

암호 텍스트 $c\in \mathbb {Z} _{n}^{*}$ $c\in \mathbb {Z} _{n}^{*}$ $c\in \mathbb {Z} _{n}^{*}$ $c\in \mathbb {Z} _{n}^{*}$ $c\in \mathbb {Z} _{n}^{*}$ ${\$ 의 암호를 해독하려면:

계산 $a=c^{\phi /r}\mod n$ = $a=c^{\phi /r}\mod n$ $a=c^{\phi /r}\mod n$ / $a=c^{\phi /r}\mod n$ $a=c^{\phi /r}\mod n$ n $a=c^{\phi /r}\mod n$
출력 $m=\log _{x}(a)$ = $m=\log _{x}(a)$ $m=\log _{x}(a)$ $m=\log _{x}(a)$ ( $m=\log _{x}(a)$ ) ${\displaystyle$ m $=\log _{x}(a$ 즉, $x^{m}\equiv a\mod n$ $x^{m}\equiv a\mod n$ $x^{m}\equiv a\mod n$ a $x^{m}\equiv a\mod n$ n ${\displaystyle$ x $^{m}\equiv a\mod n}$ 과 같은 m을 찾으십시오.

암호 해독을 이해하려면 먼저 $m\in \mathbb {Z} _{r}$ $m\in \mathbb {Z} _{r}$ $m\in \mathbb {Z} _{r}$ $m\in \mathbb {Z} _{r}$ ${\$ 및 $m\in \mathbb {Z} _{r}$ $u\in \mathbb {Z} _{n}^{*}$ $u\in \mathbb {Z} _{n}^{*}$ $u\in \mathbb {Z} _{n}^{*}$ ${\$ { $Z} _{n}^{*}}}$ 에 대해 다음 사항을 $u\in \mathbb {Z} _{n}^{*}$ 확인하십시오.

a=(c)^{\phi /r}\equiv (y^{m}u^{r})^{\phi /r}\equiv (y^{m})^{\phi /r}(u^{r})^{\phi /r}\equiv (y^{\phi /r})^{m}(u)^{\phi }\equiv (x)^{m}(u)^{0}\equiv x^{m}\mod n

To recover m from a, we take the discrete log of a base x. If r is small, we can recover m by an exhaustive search, i.e. checking if $x^{i}\equiv a\mod n$ for all $0\dots (r-1)$ . For larger values of r, the Baby-step giant-step algorithm can be used to recover m in $O({\sqrt {r}})$ $O({\sqrt {r}})$ ( $O({\sqrt {r}})$ ) ${\displaystyle$ O $({\sqrt{r}}}$ 시간 $O({\sqrt {r}})$ 및 공간.

보안

이 계획의 보안성은 특히 n의 인자를 알 수 없는 z,r 및 n을 고려할 때, z가 r번째 잔류물 모드의 n인지, $z\equiv x^{r}\mod n$ z $z\equiv x^{r}\mod n$ x r $z\equiv x^{r}\mod n$ n $z\equiv x^{r}\mod n$ {\ $displaystyle z\equiv$ x $^{r}\mod$ n $}$ 과 같은 x가 존재하는지 여부를 계산적으로 확인할 수 없다 $z\equiv x^{r}\mod n$

참조

^ Cohen, Josh; Ficsher, Michael (1985). A Robust and Verifiable Cryptographically Secure Election Scheme (PDF). Proceedings of 26th IEEE Symposium on Foundations of Computer Science. pp. 372–382.
^ Benaloh, Josh (1987). Verifiable Secret-Ballot Elections (Ph.D. thesis) (PDF).
^ Benaloh, Josh (1994). Dense Probabilistic Encryption (PDF). Workshop on Selected Areas of Cryptography. pp. 120–128.
^ Fousse, Laurent; Lafourcade, Pascal; Alnuaimi, Mohamed (2011). "Benaloh's Dense Probabilistic Encryption Revisited". arXiv:1008.2991 [cs.CR].

[COHEN-FISCHER-1] Cohen, Josh; Ficsher, Michael (1985). A Robust and Verifiable Cryptographically Secure Election Scheme (PDF). Proceedings of 26th IEEE Symposium on Foundations of Computer Science. pp. 372–382.

[BENALOH-THESIS-2] Benaloh, Josh (1987). Verifiable Secret-Ballot Elections (Ph.D. thesis) (PDF).

[BENALOH-DPE-3] Benaloh, Josh (1994). Dense Probabilistic Encryption (PDF). Workshop on Selected Areas of Cryptography. pp. 120–128.

[ACRYPT-4] Fousse, Laurent; Lafourcade, Pascal; Alnuaimi, Mohamed (2011). "Benaloh's Dense Probabilistic Encryption Revisited". arXiv:1008.2991 [cs.CR].

[1]

[2]

[3]

[4]

Search

베날로 암호체계

네임스페이스

더

목차

구성표 정의

키 생성

메시지 암호화

메시지 암호 해독

보안

참조