라빈 암호 체계

Rabin 암호 시스템은 RSA와 마찬가지로 정수 인수 분해의 어려움과 관련이 있는 비대칭 암호화 기술입니다.그러나 Rabin 암호 시스템은 공격자가 정수를 효율적으로 인수할 수 없는 한 선택된 일반 텍스트 공격에 대해 계산적으로 안전하다는 것이 수학적으로 입증되었지만 ^{[1]: 145} RSA에 대해 알려진 증거는 없습니다.Rabin 함수의 각 출력이 4개의 가능한 입력 중 하나에 의해 생성될 수 있다는 단점이 있습니다. 각 출력이 암호문인 경우, 4개의 가능한 입력 중 어느 것이 진정한 평문인지 식별하기 위해 복호화 시 추가적인 복잡성이 요구됩니다.

역사

이 알고리즘은 마이클 O. 라빈에 [2]의해 1979년 1월에 출판되었다.Rabin 암호 시스템은 암호 텍스트에서 평문을 복구하는 것이 팩터링만큼 어렵다는 것을 증명할 수 있는 최초의 비대칭 암호 시스템이었습니다.

암호화 알고리즘

모든 비대칭 암호 시스템과 마찬가지로 Rabin 시스템은 암호화에 대한 공개 키와 암호 해독에 대한 개인 키라는 키 쌍을 사용합니다.공용 키는 모든 사용자가 사용할 수 있도록 게시되지만 개인 키는 메시지의 수신인만 알 수 있습니다.

키 생성

Rabin 암호 시스템의 키는 다음과 같이 생성됩니다.

1. p${\displaystyle 3}$ ${\displaystyle 3}$ ${\displaystyle mod\mathrm{}}$4 { \ $display style$p \ $equiv$3 { \$b mod$ { 4$$} $q$ 3 ${\displaystyle 4\mathrm{}}$3 mod 4 display 3 3 3 3 q 3 ${\displaystyle 33}$ mod 4 { \ $display style$q$$ \ $equiv$ 3 \ $bmod${$4$$}$$$$3{\displaystyle }$ large2개의 큰 $구별$되는 소수$$p\ $displaystyleq$를 $선택$합니다.
2. $계산{\displaystyle }$ n ${\displaystyle =}$ ${\displaystyle p}$q \ $displaystyle$ n $= pq$}

$(\displaystyle$ n$)$이 공개키이고 쌍$({\displaystyle p}$ ,${\displaystyle }$q $)(\displaystyle (p,q))$이 개인키입니다.

암호화

$메시지{\displaystyle }$ M$(\displaystyle$ M$)$을 암호화하려면 먼저 가역 매핑을 사용하여 메시지 M(\$displaystyle$ m$<n})$을 m$(\$displaystyle m)으로 변환한 다음 c${\displaystyle =m2}$ ${\displaystyle mod}$n(\$displaystyle$ c$=m^{2}{n$을 $계산$합니다.$암호문$은 c$\displaystyle$c입니다$.$

복호화

$메시지{\displaystyle }$ m${displaystyle$ m$}$은 암호문 c{$displaystyle$ c$}$에서 다음과 같이 제곱근 modulo$n{\displaystyle }${$displaystyle$ n$}$을 취함으로써 복구할 수 있습니다.

1. 다음 공식을 사용하여 c$$$\displaystyle$ c$\$$displaystyle$ p$\$$displaystyle$의 $제곱근$을 계산합니다.

   ${\displaystyle {displaystyle}m_{p}&=c^{\frac {1}{4}(p+1)}{\bmod {p}\m_{q}&=c^{\frac {1}{4}(q+1)}{\bmod {q}\end{aligned}}}$

2. 확장 유클리드 알고리즘을 사용하여 ${\displaystyle y_{}}$ p ${\$ 및$$ ${\displaystyle y_{}}$q {$displaystyle y_{q}$를 $찾습니다{\displaystyle {}_{}}$(${\displaystyle y_{}}$ ${\displaystyle p}$+ ${\displaystyle y_{}q}$ ） ${\displaystyle =}$ ${\displaystyle 1}$ { $displaystyle y_{p}$ \ $cdot$ p$+y_{q}$ \ $cdot = 1$ 。
3. 중국어 나머지 정리를 사용하여 c$\displaystyle$ c$\displaystyle$$n$의$$4제곱근을 구합니다.

   ${\displaystyle {displaystyle }r_{1}&=left(y_{p}\cdot p_{q}+y_{q}\cdot q\cdot m_{p}\right){\bmod {n2}&=n-r_{1}\r_{3}=\cdot p_{q}$

이 4개의 값 중1개는 원래의 $평문{\displaystyle }$ m$\backslash$$displaystyle$m입니다.다만, 4개의 값 중 어느 것이 올바른 것인지, 추가 정보가 없으면 판별할 수 없습니다.

제곱근 계산

위의 1단계 공식은 실제로 $c$의 제곱근을 산출하는 것을 다음과 같이 나타낼 수식은 c$\displaystyle$c의$$ 제곱근입니다.첫 번째 공식에서는 ${\displaystyle m_{}^{}}$ ${\displaystyle {\mathrm{}}_{}^{}}$ 2${\displaystyle {}_{}^{}\mu }$ c ${\displaystyle mod}$p {\$displaystyle m_{p}^{p}\equiv c{\$bmod ${p$ p${\displaystyle 3}$ ${\displaystyle 3}$ ${\displaystyle mod\mathrm{}}$ $4$이므로 ${\displaystyle$$$p$\equiv$ 3${4$$}}}$의 지수$$$1$($\mathrm{p}$+$$1 ) an {$text$ {$frac1}$ an {$p}$ + p}입니다.c${\displaystyle 0}$ ${\displaystyle 0}$ ${\displaystyle mod}$p \ $displaystyle$ c \ $equiv$ 0 \ $bmod${$p$$$}$$$c{\displaystyle }$ c $、$ p \ $displaystyle$c \ $equiv$ m^ { \ b $mod$$$ { p $}$ {\ {\ $、$ c ${\displaystyle {}^{}{m\mathrm{}}^{}}$ 2 ${\displaystyle mod}$$$q$$${\displaystyle 、}$ $c$ ${\displaystyle {}^{}}$ ${\displaystyle {m\mathrm{}}^{}}$ 2 $display$ $style$ c\$equiv$ m^ { p } } { p } } $that$ that that that that that that that that that that that that that that that that that that that that that that that that that that that that that2 $mod$ c 。즉, c는 2차 잔차 $모듈$로$$p(\$display$ style p$)$그리고나서

${\displaystyle m_{p}^{{\frac {1}{2}}(p+1)}\equiv c\cdot c^{\frac {1}{2}}(p-1)\equiv c\cdot 1\mod p}$

마지막 단계는 오일러의 기준에 의해 정당화된다.

예

예를 들어 p ${\displaystyle =}$ ${\displaystyle 7}${$displaystyle$ p$=7}$ $및$ q ${\displaystyle =}$ {$displaystyle$ q$=$$11$$\}$을 $선택$한 $다음{\displaystyle }$ ${\displaystyle \mathrm{n}}$ $=$ ${\displaystyle 77}$ {$displaystyle n=$77$\}$을(를) 사용합니다. m $=$ $20$ {$displaystyle$ m$=$20$$}을 사용합니다.따라서 암호문은 c ${\displaystyle =}$ ${\displaystyle \mathrm{m}}$ ${\displaystyle 2}$ ${\displaystyle mod}$ n ${\displaystyle =}$ ${\displaystyle 400}$ mod 77 ${\displaystyle =}$ ${\displaystyle 15}${\$displaystyle$ c$=m^{2}{\bmod {$n}} =$400 b$ bmod ${77$} =$15$ 입니다.

복호화는 다음과 같이 진행됩니다.

1. $계산{\displaystyle {}_{}}$ ${\displaystyle m_{}}$ p ${\displaystyle {}_{}}$ ${\displaystyle {c\frac{\mathrm{}}{}}^{}}$ ${\displaystyle {\frac{1}{}}^{}}$ 4${\displaystyle {}^{}}$(${\displaystyle {}^{}p}$ +${\displaystyle {}^{}}$${\displaystyle 1}$) ${\displaystyle mod}$ p $=$ ${\displaystyle {15\mathrm{}}^{}}$ ${\displaystyle 2}$ ${\displaystyle mod\mathrm{}}$ 7 $1$ { { \ $displaystyle$m _ { p } = ${\displaystyle {c\frac{\mathrm{}}{}}^{}}$$^$ { \ $frac${${\displaystyle {\frac{1}{}}^{}}$$}$ {${\displaystyle {}^{}}$\ $bmod${$$7 }$=${ \ $bmod${ 7 ${\displaystyle {\}}^{}}$ ${\displaystyle {}_{}}$ $1$ \ ${\displaystyle {\mathrm{bmod}}^{}}$ 9 = ${\displaystyle 15}$ ${\displaystyle \mathrm{mod}}$ 3 mod ${\displaystyle =}$
2. 확장 유클리드 알고리즘을 사용하여 ${\displaystyle \mathrm{y}}$ p $=$ -$$3(\$displaystyle y_${p}=-$3$$)$ $및$ ${\displaystyle y_{}}$ q $=$}=2}를 $계산$합니다. y ${\displaystyle p_{}}$ p + y${\displaystyle q}$ ${\displaystyle =}$( - ${\displaystyle 3}$ ${\displaystyle 7}$ 7${\displaystyle }$)${\displaystyle }$+ ( ${\displaystyle 211}$ 11${\displaystyle }$) ${\displaystyle =}$ { $displaystyle$ y$$p _ p _ { p _ { p _ $cd$ } } { p _ cd + cd + cd + cd _ cd } { $cd$ } { cd } { $cd$} { cd } { $cd$
3. 4개의 평문 후보를 계산합니다.

   $({displaystyle {displaystyle}{cdot 9+2\cdot 11\cdot 1){\bmod {77}=64\r_{2}&=13\r_{3}&=cdot 7\cdot 9-2\cdot 11\cdot 1\b}}{b}) {b}$

${\displaystyle {r\mathrm{}}_{}}$ 3$(\$이 $바람직한{\displaystyle {}_{}}$ 평문임을 알 수 있습니다.4개의 후보 모두 15 mod 77의 제곱근입니다.즉, 각 후보별로 ${\displaystyle {\mathrm{}}_{}^{}}$ ${\displaystyle 2}$ ${\displaystyle \mathrm{mod}}$ 77 $=$ ${\displaystyle 15}${\$displaystyle r_$${i}^{\$$bmod {77$}=$15$이므로 $각{\displaystyle {}_{}}$ $ri는$한 값 15로 암호화됩니다$$.

디지털 서명 알고리즘

Rabin 암호 시스템을 사용하여 디지털 서명을 만들고 확인할 수 있습니다.시그니처를 작성하려면 개인키$({\displaystyle p}$ ,${\displaystyle }$q$$) { $displaystyle (p , q$ ) $\}$ 이 필요합니다.시그니처를 확인하려면 $공개키{\displaystyle }$n { $displaystyle$n$$} 이 필요합니다.

서명

m < \ $displaystyle$m <$n$ >는 다음과 같이 개인 키$({\displaystyle p}$ ,${\displaystyle q}$ )$${ $displaystyle$( $p , q$ )로$$ 서명할 수 있습니다.

1. 임의의 $값{\displaystyle }$u\$displaystyle$u
2. 암호화 $해시함수{\displaystyle }$H(\$displaystyle$H)를$$ 사용하여 c$)$ {$displaystyle$ c$=H(mu$를 $계산$합니다.여기서 막대는 연결을 나타냅니다.$\displaystyle$c는$$ n$\displaystyle$n보다 $작은{\displaystyle }$ 정수여야 합니다.
3. ${\displaystyle {c\mathrm{}}_{}}$$\displaystyle$c를$$ Rabin 암호화 값으로 간주하고 개인 키$({\displaystyle p,}$${\displaystyle {}_{}{q\mathrm{}}_{}}$$)\displaystyle (p,$${\displaystyle {}_{}}$$)\$displaystyle (${\displaystyle {p\mathrm{}}_{}}$$)\backslash$$displaystyle r_{1},r_{$2},$r_{4$를 사용하여 복호화를 시도합니다.
4. $각{\displaystyle {}_{}}$ $(\$를 암호화하면$$c(\$displaystyle$ c$)$가 $생성$될 것으로 예상할 수 있지만, 이는 c$(\displaystyle$ c$)$가 2차 잔차 $모듈$로$$p(\$displaystyle$ p$)$ 및$$$$q(\$displaystyle$ q$)$일 $경우$에만 해당됩니다. 이 경우 첫 번째 복호화를 암호화합니다.$ult{\displaystyle {}_{}}$ r $({$$$c\$displaystyle$c로 $암호화$되지 않으면 새로운 $\displaystyle$u를 사용하여$$이 알고리즘을 반복합니다.$적절한{\displaystyle }$ c$\displaystyle$c를$$ 찾기 전에 이 알고리즘을 반복해야 하는 예상 횟수는 4입니다.
5. c ${$ $displaystyle$ c$\}$ 로 암호화되는 ${\displaystyle {r\mathrm{}}_{}}$1 { $displaystyle r_{1}$ } 이 검출되면 시그니처는${\displaystyle }$(${\displaystyle r}$ 1,${\displaystyle }$u$$) { $displaystyle (r_{1},u$ 입니다.

시그니처 확인

$메시지{\displaystyle }$m {\$displaystyle$$$m$}$의 시그니처$r,u)$는 다음과 같이 $공개키{\displaystyle }$n {\$displaystyle$ n$}$을 사용하여 확인할 수 있습니다.

1. c ${\displaystyle =H}$ ( ${\displaystyle mu}$ ${\displaystyle )}${ $displaystyle$ c $= H$ ( $mu )$} 를 $계산$합니다.
2. $공개키{\displaystyle }$ n$\displaystyle$ n$\backslash$displaystyle$$n\$displaystyle$ n$\$$displaystyle$ n
3. 시그니처는 r$\displaystyle$r의$$ $암호화$가 c$\backslash$$displaystyle$c와 $동일$한 경우에만 유효합니다.

알고리즘 평가

효과

복호화에서는 올바른 결과 외에 3개의 잘못된 결과가 생성되므로 올바른 결과를 추측해야 합니다.이것은 Rabin 암호 시스템의 주요 단점이며, 광범위한 실용화를 방해하는 요인 중 하나입니다.

일반 텍스트가 텍스트메시지를 나타내는 것이라면 추측은 어렵지 않습니다.단, 일반 텍스트가 수치를 나타내는 것이라면 이 문제는 모종의 명확화 스킴에 의해 해결되어야 하는 문제가 됩니다.특수 구조를 가진 일반 텍스트를 선택하거나 패딩을 추가하여 이 문제를 제거할 수 있습니다.반전의 모호성을 제거하는 방법은 Blum과 Williams에 의해 제안되었다. 사용된 두 개의 소수는 3 모듈로 4와 일치하는 소수점으로 제한되고 제곱의 영역은 2차 잔기의 집합으로 제한된다.이러한 제한에 의해 스쿼링 함수는 트랩도어 순열로 바뀌어 ^[3]모호성이 해소됩니다.

효율성.

암호화의 경우 제곱모듈로를 계산해야 합니다.이 방법은 큐브 이상의 계산이 필요한 RSA보다 효율적입니다.

복호화를 위해 두 개의 모듈식 인수분해와 함께 중국어 나머지 정리가 적용된다.이 경우 효율성은 RSA에 필적합니다.

명확화는 추가적인 계산 비용을 초래하며, Rabin 암호 시스템이 광범위한 실용성을 ^{[citation needed]}찾지 못하게 합니다.

보안.

Rabin 암호화 값을 복호화하는 알고리즘은 $계수{\displaystyle }$n(\$style$ n$)$에 사용할 수 있는 것으로 증명되었습니다.따라서 Rabin 복호화는 적어도 RSA에서 증명되지 않은 정수 인수분해 문제만큼 어렵습니다.일반적으로 팩터링을 위한 다항식 시간 알고리즘은 존재하지 않는 것으로 알려져 있습니다.이는 개인 키$({\displaystyle p}$ ,${\displaystyle q}$ $)\displaystyle$(p $,$q )\displaystyle (p , q $)\}$이 없으면 Rabin 암호화 값을 복호화하는 효율적인 알고리즘이 없음을 의미합니다.

Rabin 암호 시스템은 암호화 프로세스가 결정론적이기 때문에 선택된 일반 텍스트 공격에 대해 구별을 할 수 없습니다.암호문 및 후보 메시지를 부여받은 상대는 암호문이 후보 메시지를 부호화하는지 여부를 쉽게 판단할 수 있다(후보 메시지를 암호화하는 것이 소정의 암호문을 산출하는지 여부를 확인하는 것).

Rabin 암호 시스템은 선택된 암호문 공격에 대해 안전하지 않습니다(메시지 ^{[1]: 150} 공간에서 챌린지 메시지가 랜덤으로 선택되는 경우에도 마찬가지).예를 들어 마지막 64비트의 반복과 같은 용장성을 추가함으로써 시스템은 단일 루트를 생성할 수 있습니다.복호화 알고리즘은 공격자가 이미 알고 있는 루트만 생성하기 때문에 이 특정 선택된 암호문 공격을 중지합니다.이 기법을 적용하면 인수분해 문제와의 동등성 증명에 실패하기 때문에 이 변종이 안전한지는 2004년 현재 불확실합니다.Menezes, Oorschot 및 Vanstone의 응용암호화 핸드북에서는 이러한 등가성이 있을 가능성이 높다고 간주하고 있지만, 루트의 발견이 두 부분으로 이루어진 프로세스(1. ${\displaystyle roots}$mod p\$displaystyle\bmod$ {p$})$와 $q\displaystyle\bmod$ {q$}$ 및$$ 2. 중국어 잔여정리의 적용)로$$ 이루어진다고 간주하고 있습니다.

「 」를 참조해 주세요.

• 암호화 토픽
• 블럼블럼슈브
• 샹크스-토넬리 알고리즘
• 슈미트 사모아 암호 체계
• Blum-Goldwasser 암호 시스템
• 쿠네르스의_알고리즘

메모들

레퍼런스

• 부크만, 요하네스크립토그래피의 아인푸엉.제2판베를린: Springer, 2001.ISBN 3-540-41283-2
• 메네제스, 알프레드, 반 우르쇼트, 폴 C, 반스톤, 스콧 A.응용 암호 핸드북CRC Press, 1996년 10월ISBN 0-8493-8523-7
• 라빈, 마이클디지털 서명 및 공개 키 기능은 인수분해만큼 다루기 어렵습니다(PDF).MIT 컴퓨터 과학 연구소, 1979년 1월.
• Scott Lindhurst 유한장에서의 제곱근 계산을 위한 Shank 알고리즘 분석.R Gupta 및 K S Williams, Proc 5th Conf Can Nr Theo Assoc, 1999, vol 19 CRM Proc & Lec Notes, AMS, 1999년 8월
• R Kumanduri and C Romero, 컴퓨터 어플리케이션 포함 수론, Alg 9.2.9, 프렌티스 홀, 1997.소수 2차 잔차 모듈의 제곱근에 대한 확률론적.

외부 링크

• Menezes, Oorschot, Vanstone, Scott: 응용 암호화 핸드북(무료 PDF 다운로드), 8장 참조