הצפנת פליאיי

הצפנת פֵּלִיאֵי (באנגלית: Paillier Encryption)^[1] היא סכימת הצפנה אסימטרית הסתברותית הומומורפית וחתימה דיגיטלית שהומצאה ב-1999 על ידי פסקל פליאיי (Pascal Paillier) לשעבר מחברת GEMPLUS לוקסמבורג. הצפנת פליאיי הומצאה בהשראת סכימות הצפנה הסתברותית כמו בלום גולדווסר והיא מבוססת על פונקציה חד-כיוונית עם דלת צונחת שנגזרת מבעיה בתורת המספרים הנקראת בעיית השאריות הפריקות (Composite Residuosity Class Problem) מודולו $\textstyle n^{2}$ כאשר $n$ מכונה "מספר RSA" (כפולה של שני ראשוניים שונים שווים בגודלם בקירוב).

רקע מתמטי

הבסיס התאורטי של המערכת הוא, בהינתן שלם $n=pq$ כאשר $p$ ו- $q$ ראשוניים גדולים, שווים באורכם בקירוב והחבורה $\mathbb {Z} _{n}\times \mathbb {Z} _{n}^{*}\simeq \mathbb {Z} _{n^{2}}^{*}$ , השלם $z$ ייקרא שארית $n$ -ית (ממעלה $n$ ) מודולו $n^{2}$ אם קיים שלם $y\in \mathbb {Z} _{n^{2}}^{*}$ המקיים

z=y^{n}{\text{ mod }}n^{2}

.

קבוצת השאריות ה- $n$ -יות היא תת-חבורה כפלית $\mathbb {Z} _{n^{2}}^{*}$ . לכל $z$ כזה קיימים בדיוק $n$ שורשים ממעלה $n$ . בעיית ההכרעה האם שלם נתון הוא שארית $n$ -ית או לא, המסומנת בקיצור ${\text{CR}}[n]$ (קיצור של Composite Residuosity) נחשבת לבעיה קשה ולא ידוע על אלגוריתם יעיל שיכול לבצעה בזמן פולינומי. סדר החבורה $\mathbb {Z} _{n^{2}}^{*}$ הוא $n\phi (n)$ כאשר $\phi (n)$ היא פונקציית אוילר של $n$ .

הפונקציה ${\mathcal {E}}_{g}(x,y)$ המוגדרת על ידי

(x,y)\mapsto g^{x}y^{n}{\text{ mod }}n^{2}

עבור $x\in \mathbb {Z} _{n}$ ו- $y\in \mathbb {Z} _{n}^{*}$ היא פונקציה חד-חד-ערכית ועל מעל החבורה $\mathbb {Z} _{n^{2}}^{*}$ ביחס לבסיס $g\in {\mathcal {B}}$ נתון. $g$ הוא אלמנט מסדר $\alpha \cdot n$ עבור מחלק $\alpha$ כלשהו של $\phi$ . הקבוצה ${\mathcal {B}}$ היא קבוצת כל האלמנטים מסדר $n\alpha$ עבור $\alpha =1,...,\phi$ (לדוגמה אפשר לבחור $g=n+1$ כש- $\alpha =1$ ).

אפשר לראות שהפונקציה $w={\mathcal {E}}_{g}(x,y)$ הפיכה. כדי להפוך את הפונקציה מגדירים את $L(u)=(u-1)/n$ שהיא פונקציה מעל תת-חבורה כפלית של השלמים מודולו $n^{2}$ המקיימים $u\equiv 1{\text{ mod }}n$ . שחזור הערכים $x,y$ מתוך $w={\mathcal {E}}_{g}(x,y)$ מתבצע על ידי

x=\left({\frac {L(w^{\phi }{\text{ mod }}n^{2})}{L(g^{\phi }{\text{ mod }}n^{2})}}\right){\text{ mod }}n

y=(wg^{-x})^{1/n}{\text{ mod }}n

במקום $\phi$ של $n$ אפשר לעבוד עם פונקציית קרמייקל שהיא $\lambda (n)={\text{lcm}}(p-1,q-1)$ . זהו האקספוננט של חבורת אוילר ו- ${\text{lcm}}$ היא כפולה משותפת מינימלית. שים לב שלפי משפט קרמייקל עבור כל אלמנט $w\in \mathbb {Z} _{n^{2}}^{*}$ מתקיים $w^{\lambda }\equiv 1{\text{ mod }}n$ וכן $w^{n\lambda }\equiv 1{\text{ mod }}n^{2}$ . בהמשך ייעשה שימוש ב- $\lambda$ בכל המקומות בהן הופיעה פונקציית אוילר.

דלת המלכודת היא הגורמים הראשוניים או $\lambda$ . כאשר הגורמים הראשוניים של $n$ לא ידועים שחזור $x$ מתוך ${\mathcal {E}}_{g}(x,y)$ ואפילו להכריע האם $x=0$ ללא $\lambda$ נחשבים לבעיה קשה תחת המודל הסטנדרטי של סיבוכיות חישובית, בהנחה שפירוק לגורמים של $n$ אינו מעשי. האחרונה נקראת בעיית הכרעה של השאריות הפריקות ומסומנת בקיצור DCRA.

סכימות הצפנה וחתימה דיגיטלית

על בסיס הרעיון האמור הצפנת פליאיי פועלת כדלהלן. יהי $n=pq$ ויהי $g\in {\mathcal {B}}$ , אפשר למצוא ערך כזה על ידי בדיקה אם

{\text{gcd}}(L(g^{\lambda }{\text{ mod }}n^{2}),n)=1

. הפונקציה

{\text{gcd}}

מייצגת מחלק משותף מקסימלי.

הערכים $n$ ו- $g$ יהיו מפתחות ציבוריים ואילו $p$ ו- $q$ יהיו המפתחות הפרטיים (במקום המספרים הראשוניים אפשר לשמור את $\lambda$ ). בהינתן מסר $m$ הנמוך מ- $n$ להצפנה בוחרים שלם אקראי $r<n$ ומבצעים:

c=g^{m}\cdot r^{n}{\text{ mod }}n^{2}

לפענוח:

m={\frac {L(c^{\lambda }{\text{ mod }}n^{2})}{L(g^{\lambda }{\text{ mod }}n^{2})}}{\text{ mod }}n

או $L(c^{\lambda }{\text{ mod }}n^{2})\cdot L(g^{\lambda }{\text{ mod }}n^{2})^{-1}$ מודולו $n$ . הסכימה נחשבת הסתברותית בגלל $r$ והיא בטוחה סמנטית כנגד יריב פסיבי, בהנחה שבעיית ${\text{CR}}[n]$ היא בעיה קשה ושקשה לפרק את $n$ לגורמים. סיבוכיות ההצפנה היא מסדר גודל של $O(|n|^{3})$ בקירוב.

דוגמה במספרים קטנים

לצורך המחשה הראשוניים יהיו $q=331$ , $p=149$ . לכן $n=49319$ ו- $n^{2}=243236376$ . הערך $\lambda ={\text{lcm}}(148,330)=24420$ . הבסיס נקבע ל- $g=n+1=49320$ .

מפתח ציבורי:

49319

.

מפתח פרטי:

24420

.

לצורך הצפנת המסר $m=12345$ בוחרים מספר אקראי נניח $r=47026$ ואז מחשבים את $c=49320^{12345}\cdot 47026^{49319}{\text{ mod }}2432363761=159515031$ .

הטקסט המוצפן הוא אם כן $c=159515031$ .

לפענוח תחילה מחשבים את $L(49320^{12345}{\text{ mod }}2432363761)=27172$ וכן $L(47026^{49319}{\text{ mod }}2432363761)=24420$ .

ההופכי הכפלי של $24420$ מודולו $49319$ הוא $27388$ לכן $m=27172\cdot 27388{\text{ mod }}49319=12345$ .

פרמוטציה חד-כיוונית עם דלת מלכודת

להלן סכימה לא הסתברותית המבוססת חלקית על RSA שנקראת פרמוטציה חד כיוונית עם דלת מלכודת כאשר דלת המלכודת היא $\lambda$ . והיא מסתמכת על בעיית ${\text{CR}}[n]$ בהנחה שפירוק לגורמים של $n$ היא בעיה קשה. למרות התלות ב-RSA הסכימה ראויה לציון בשל העובדה שפרמוטציות חד כיווניות עם דלת מלכודת (דוגמת RSA ורבין) הן אובייקטים נדירים וחשובים בקריפטוגרפיה מודרנית.

להצפנה:

תחילה מפצלים את המסר המיועד להצפנה

m

בדרך הפיכה כלשהי לשני חלקים

m_{1},m_{2}

. למשל

m=m_{1}+nm_{2}

.

מחשבים את

c=g^{m_{1}}m_{2}^{n}{\text{ mod }}n^{2}

לפענוח:

תחילה

m_{1}={\frac {L(c^{\lambda }{\text{ mod }}n^{2})}{L(g^{\lambda }{\text{ mod }}n^{2})}}

מחשבים את ערך הביניים

c'=cg^{-m_{1}}{\text{ mod }}n

m_{2}=(c')^{n^{-1}{\text{ mod }}\lambda }{\text{ mod }}n

ואז המסר הוא

m=m_{1}+nm_{2}

.

אפשר להשתמש בכל תמורה פומבית מוסכמת שממפה את $m$ לערכים $m_{1},m_{2}$ . יש לשים לב שהסכימה הזו אינה הסתברותית, כלומר אינה מערבת שימוש במספר אקראי.

חתימה דיגיטלית

לצורך חתימה דיגיטלית תהי $h:\mathbb {N} \rightarrow \{0,1\}^{k}$ פונקציית גיבוב קריפטוגרפית של המסר שתסומן בקיצור $h(m)$ . עבור המסר $m$ החותם מחשב את החתימה $(s_{1},s_{2})$ כדלהלן:

s_{1}={\frac {L(h(m)^{\lambda }{\text{ mod }}n^{2})}{L(g^{\lambda }{\text{ mod }}n^{2})}}{\text{ mod }}n

s_{2}=(h(m)g^{-s_{1}})^{1/n{\text{ mod }}\lambda }{\text{ mod }}n

מקבל החתימה יכול לוודא את תקפותה על ידי הבדיקה שמתקיים

h(m)=g^{s_{1}}s_{2}^{n}{\text{ mod }}n^{2}

הצפנה מהירה

סכימות כמו RSA סובלות מחסרון בכך שהפענוח דורש זמן ואינו יעיל במונחי מחשוב. מסיבה זו מערכת הצפנה אסימטרית תהיה אטרקטיבית אם הפענוח יהיה מסדר גודל כמעט ריבועי ביחס ל- $n$ . להלן גרסה שונה מעט שבה סיבוכיות הפענוח היא בסדר גודל של $O(|n|^{2+\epsilon })$ עבור $\epsilon >0$ קטן כלשהו. הרעיון הוא להגביל את מרחב הטקסט המוצפן $\mathbb {Z} _{n^{2}}^{*}$ לתת קבוצה $<g>$ מסדר נמוך יותר. מסיבות של ביטחון $\lambda$ צריך להיות כפולה של ראשוני גדול. בהינתן הבסיס $g\in {\mathcal {B}}_{\alpha }$ עבור $1\leq \alpha \leq \lambda$ כלשהו, הסכימה היא כדלהלן.

הצפנה:

בוחרים אלמנט אקראי

r

הנמוך מ-

n

.

מחשבים את

c=g^{m+rn}{\text{ mod }}n^{2}

פענוח:

m={\frac {L(c^{\alpha }{\text{ mod }}n^{2})}{L(g^{\alpha }{\text{ mod }}n^{2})}}{\text{ mod }}n

הפעם דלת המלכודת מסתמכת על ידיעת $\alpha$ כמפתח סודי במקום $\lambda$ . צוואר הבקבוק בפעולת הפענוח הוא הפעולה $c^{\alpha }{\text{ mod }}n^{2}$ שסיבוכיותה היא בסדר גודל $O(|n|^{2}|\alpha |)$ בלבד. אם $g$ נבחר באופן כזה ש- $|\alpha |=\Omega (|n|^{\epsilon })$ אז כל תהליך הפענוח יתבצע עם $O(|n|^{2+\epsilon })$ פעולות בסיביות. זהו מאפיין חשוב בהשוואה למערכת אסימטריות אחרות. אולם יש לשים לב שבמקרה זה המערכת לא מסתמכת על בעיית ${\text{CR}}[n]$ כיוון שכעת ידוע שהטקסט המוצפן שייך לקבוצה $<g>$ . הבעיה האחרונה, דהיינו לחשב את $x,y$ בהינתן $w\in <g>$ נקראת בעיית הלוגריתם הבדיד 'חלקית' וגם היא משוערת כבעיה קשה.

ביטחון

הסכמות המתוארות הוכחו בטוחות מהיבט תאורטי תחת ההנחות הסטנדרטיות, אך לא הוכחו כבטוחות כנגד התקפת מוצפן-נבחר. כדי להבטיח עמידות כנגד התקפות מוצפן נבחר יש לבצע שינויים נוספים. אפשר להגיע לביטחון כזה לפחות תחת מודל אורקל אקראי.

יעילות

לפי ההמלצות המקובלות הראשוניים $p$ ו- $q$ צריכים להיבחר באופן שיהיה קשה לפרק את $n$ לגורמים. הבסיס $g$ יכול להיבחר באקראי (בגרסה המהירה יידרש טיפול שונה למשל להעלות אלמנט בחזקת $\lambda /\alpha$ ). כדי לשפר ביצועים אפשר לאמץ את שיטת CRT כמו ב-RSA, כלומר כל החישובים יתבצעו מודולו $p^{2}$ ו- $q^{2}$ בהתאמה והתוצאה הסופית תהיה חישוב מערכת המשוואות המודולריות המתקבלת באמצעות משפט השאריות הסיני שהוא זניח יחסית לפעולה של העלאה בחזקה מודולרית. אם בוחרים $g$ קטן (כמו $g=2$ ) כל עוד הוא מקיים את ההגדרות של הסכימה, יתקבל שיפור נוסף בביצועים בסדר גודל של $1/3$ . יתרה מזו $g$ יכול להיות קבוע מה שמאפשר חישוב מוקדם כדי להאיץ ביצועים. בכללות כל הערכים הקבועים וכן חישוב $r^{n}$ או $g^{nr}$ יכולים להתבצע מראש. בפענוח חישוב הפונקציה $L(u)=(u-1)/n$ ניתן לביצוע במחיר פעולת כפל אחת מודולו $2^{|n|}$ על ידי חישוב מוקדם של הקבוע $n^{-1}{\text{ mod }}2^{|n|}$ . הקבועים $L(g^{\lambda }{\text{ mod }}n^{2})^{-1}{\text{ mod }}n$ או $L(g^{\alpha }{\text{ mod }}n^{2})^{-1}{\text{ mod }}n$ בגרסה המהירה ניתנים לחישוב מראש.

כדי לנצל את משפט השאריות הסיני (CRT) לשיפור ביצועים, יש להגדיר את הפונקציות $L_{p}$ ו- $L_{q}$ כדלהלן: $L_{p}(u)=(u-1)/p$ וכן $L_{q}(u)=(u-1)/q$ בהתאמה. פענוח יתבצע כעת עם הקבועים הבאים אותם מחשבים מראש:

h_{p}=L_{p}(g^{p-1}{\text{ mod }}p^{2})^{-1}{\text{ mod }}p

h_{q}=L_{q}(g^{q-1}{\text{ mod }}q^{2})^{-1}{\text{ mod }}q

ואז תהליך הפענוח הוא כדלהלן:

m_{p}=L_{p}(c^{p-1}{\text{ mod }}p^{2})h_{p}{\text{ mod }}p

m_{q}=L_{q}(c^{q-1}{\text{ mod }}q^{2})h_{q}{\text{ mod }}q

m=CRT(m_{p},m_{q}){\text{ mod }}n

כאשר CRT היא מימוש של פתרון מערכת הקונגרואנציות לפי משפט השאריות הסיני. ובגרסה המהירה יש להחליף את $p-1$ ו- $q-1$ ב- $\alpha$ .

מאפיינים והרחבות

הצפנת פליאיי הורחבה למספר כיוונים^[2]. איוון דמגרד הציע^[3] גרסה שבה המודולוס הוא מהצורה $n^{s}$ במקום בחזקת 2. וכן הוצעה גרסה מבוזרת (סכמת סף - threshold cryptography) וכן הוצע מימוש ב-ECC^[4].

הומומורפיזם

סכימות ההצפנת פליאיי $m\mapsto g^{m}r^{n}$ וכן $m\mapsto g^{m+nr}$ , מודולו $n^{2}$ הן הומומורפיות מהחבורה הכפלית $(\mathbb {Z} _{n^{2}}^{*},\times )$ לחבורה החיבורית $(\mathbb {Z} _{n},+)$ . בניסוח פורמלי עבור כל $m_{1},m_{2}\in \mathbb {Z} _{n}$ ו- $k\in \mathbb {N}$ , פונקציית הצפנה $E$ ופונקציית פענוח $D$ בהתאמה, מתקיים

D(E(m_{1})E(m_{2}){\text{ mod }}n^{2})=m_{1}+m_{2}{\text{ mod }}n

D(E(m)^{k}{\text{ mod }}n^{2})=km{\text{ mod }}n

D(E(m_{1})g^{m_{2}}{\text{ mod }}n^{2})=m_{1}+m_{2}{\text{ mod }}n

וכן הלאה. ההשלכה של מאפיין זה היא שהסכימה תהיה שימושית עבור מגוון פרוטוקולים קריפטוגרפיים כמו הצבעה ממוחשבת, סכימת סף, חלוקת סוד ומנגנון הגנת העתקה (copy protection).

הסתרה עצמית

הסתרה עצמית (self blinding) היא התכונה שכל טקסט מוצפן ניתן לשינוי לטקסט מוצפן אחר מבלי שהשינוי ישפיע על הטקסט המקורי, בניסוח פורמלי עבור כל $m\in \mathbb {Z} _{n}$ ו- $r\in \mathbb {N}$ מתקיים

D(E(m)r^{n}{\text{ mod }}n^{2})=m

או

D(E(m)g^{nr}{\text{ mod }}n^{2})=m

במקרה של ההצפנה המהירה.

בעיקרון התכונה הזו מאפשרת לבצע פעולות חישוב על ידי צד שלישי מבלי שהוא עצמו ידע מהו תוכן המידע עליו בוצעו החישובים. לתכונה שימושים רבים בקריפטוגרפיה למשל חתימה עיוורת או מחשוב ענן.

הערות שוליים

↑ Public-Key Cryptosystems Based on Composite Degree Residuosity Classes
↑ Catalano, Dario, Rosario Gennaro, Nick Howgrave-Graham, and Phong Q. Nguyen (2001). “Paillier’s cryptosystem revisited.” Proceedings of the 8th ACM conference on Computer and Communications Security ACM Press, New York, 206–214
↑ Damgard, Ivan and Mads Jurik (2001). “A generalization, a simplification and some applications of paillier’s probabilistic public-key system.” Public Key Cryptography—PKC 2001, Lecture Notes in Computer Science, vol. 1992, ed. K. Kim. Springer-Verlag, Berlin, 119–136.
↑ Galbraith, Steven D. (2002). “Elliptic curve paillier schemes.” Journal of Cryptology, 15 (2), 129–138.

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

הצפנת פליאיי29680125

[1] Public-Key Cryptosystems Based on Composite Degree Residuosity Classes

[2] Catalano, Dario, Rosario Gennaro, Nick Howgrave-Graham, and Phong Q. Nguyen (2001). “Paillier’s cryptosystem revisited.” Proceedings of the 8th ACM conference on Computer and Communications Security ACM Press, New York, 206–214

[3] Damgard, Ivan and Mads Jurik (2001). “A generalization, a simplification and some applications of paillier’s probabilistic public-key system.” Public Key Cryptography—PKC 2001, Lecture Notes in Computer Science, vol. 1992, ed. K. Kim. Springer-Verlag, Berlin, 119–136.

[4] Galbraith, Steven D. (2002). “Elliptic curve paillier schemes.” Journal of Cryptology, 15 (2), 129–138.

[1]

[2]

[3]

[4]

הצפנת פליאיי

תוכן עניינים

רקע מתמטי