הצפנת מקאליס
הצפנת מקאליס (McEliece Cryptosystem) היא מערכת הצפנה אסימטרית המבוססת על קוד תיקון שגיאות, שפותחה ב-1978 על ידי רוברט מקאליס (R.J. McEliece)[1].
הרעיון הכללי הוא; בהינתן מחרוזת של סיביות המקודדת למילת קוד בגודל סיביות על ידי מקודד ידוע לכול של קוד לינארי בינארי באורך ומימד , אזי הטקסט המוצפן מיוצר על ידי החדרת שגיאות אקראיות, כלומר הפיכת סיביות (bit flipping) במיקומים אקראיים במילת הקוד. אם קטן בחצי לפחות ממרחק המינג של הקוד הלינארי של טקסט מוצפן נתון קיים רק טקסט גלוי יחיד המתאים לו שניתן לשחזור באמצעות קוד תיקון השגיאות. אך אם הפרמטרים גדולים חילוץ הטקסט הגלוי מהטקסט המוצפן באמצעות תיקון שגיאות אינו מעשי אלא אם כן נתון מידע נוסף לגבי מבנה הקוד. ההבדל בפקטור העבודה בין קידוד מילת הקוד לבין תיקון השגיאות הוא הבסיס להצפנה האסימטרית שהציע מקאליס, המפתח הציבורי יהיה הקוד הלינארי והמפתח הפרטי יהיה המידע המאפשר את תיקון השגיאות בזמן פולינומי. מקאליס המליץ על שימוש בקוד תיקון שגיאות שנקרא "קוד גוֹפַּא בינארי" על שם ממציאו וולרי גופא (Valerii Goppa) מפני כמה סיבות, לקוד זה קיים אלגוריתם פענוח פולינומי יעיל וכן העובדה שקוד גופא מהווה מועמד טוב לפונקציה חד-כיוונית - קל לייצר קוד כזה אך קשה מאד לזהות אותו.
הגדרות כלליות
כדי להקים מערכת הצפנת מקאליס, אפשר לפעול כדלהלן: בוחרים קוד גוֹפַּא שהוא פולינום שרירותי אי-פריק ממעלה מעל השדה ותת-קבוצה של עם הפרמטרים . כדי לקבל מרחק מינימלי גדול ככל האפשר רצוי שמספר השורשים של יהיה שווה למעלה שלו (נקרא separable). מכינים מטריצה יוצרת של קוד גופא מסדר . לאחר מכן בוחרים מטריצה הפיכה (לא סינגולרית) ראנדומלית מסדר , ומטריצת תמורה (מטריצה בינארית ריבועית המכילה בדיוק כניסה אחת שהיא '1' בכל שורה ואו בכל עמודה וכל היתר אפסים) מסדר ומחשבים את . מפיצים את ואת כפרמטרים ציבוריים ושומרים בסוד את כל היתר. אם מישהו רוצה להצפין מסר כלשהו באורך סיביות, הוא בוחר וקטור שגיאות באורך במשקל (שבו לכל היותר קואורדינטות שונות מאפס), וההצפנה של היא אותה הוא שולח למקבל. המקבל יכול לחשב עם הפרמוטציה הסודית את:
כאשר במשקל נמוך מ-. עם אלגוריתם הפענוח של קוד גופא המקבל יכול לתקן את למילה על ידי חישוב . כיוון שהמטריצה הפיכה אפשר לחלץ את המסר על ידי .
כדי שהמערכת האמורה תהיה בטוחה ההמלצה של מקאליס הייתה לפני 25 שנה שהפרמטרים יהיו והפולינום הוא פולינום אי פריק מסדר ובמקרה זה ו-. אולם כדי לעמוד בהתקדמות הטכנולוגית שחלה ב-25 השנים האחרונות מומלץ כיום להשתמש בפרמטרים קצת יותר גדולים כמו ומספר השגיאות בין 30 ל-120 והמימד במקרה זה נע בין 1718 ל-728. לסיכום המערכת היא:
מפתח ציבורי | מטריצה מותאמת מסדר
עם יכולת תיקון עד שגיאות |
מפתח סודי | הפולינום ,
המטריצה היוצרת המקורית מסדר , המטריצה מסדר , המטריצה מסדר כך שמתקיים |
המסר לקידוד | |
הצפנה | כאשר |
פענוח | תחילה ,
מתקנים את ל- מחשבים את |
דוגמה במספרים קטנים
לשם המחשה: אם נבחר השדה , הפולינום אי פריק ואז הוא אלמנט פרימיטיבי רק אם הוא מסדר 15. האלמנטים של תת-הקבוצה הם החזקות של כאשר הקבוצה המתקבלת היא . קוד גופה מעל שדה זה יכול להיות
עבור קוד זה ו- צריך להיות . המרחק המינימלי הוא . בקיצור זהו קוד גופא בינארי עם הפרמטרים ואפשר לתקן איתו עד שתי שגיאות. אם נבחר לדוגמה את המטריצות הבאות
והמסר להצפנה הוא תחילה מחשבים את
מוסיפים את וקטור השגיאה (שהוא וקטור המכיל אפסים למעט הפוזיציות השנייה והשלישית) ואז ההצפנה של היא
המקבל שרוצה לפענח את מתוך מחשב תחילה את מהמטריצה
כתוצאה מהפעולה האחרונה השגיאות עברו לפוזיציות הרביעית והעשירית אחרי תיקון מתקבל
ואז אפשר לפענח את הקוד על ידי כפל המטאריצות הבא:
לכן והצעד האחרון הוא חישוב
- .
קוד גופא בינארי
יהי שלם חיובי ויהיו ו- שני פרמטרים כך שמתקיים וכן . קוד גופה בינארי המסומן מוגדר על ידי תת-קבוצה סדורה של השדה מסדר שנקראת תמיכה (support) ועל ידי פולינום מתוקן אי פריק ממעלה ללא שורשים ב- הנקרא יוצר (generator). הווקטור ייקרא קוד גופא אם מתקיים
הביטוי קיים מאחר ש- הוא שדה. והמעלה של הפולינום מהווה גבול תחתון ליכולת תיקון השגיאות של הקוד. הקוד המתואר לינארי ולו מימד וכן מרחק מינימלי של לפחות לכן ניתן לשחזר עד שגיאות.
פענוח אלגברי של קוד גופה
אם הוא מילת קוד של ואם עם בעל מרחק המינג או פחות, המילים ו- ייחודיים בגלל . קיים פולינום מתוקן יחיד ב- ממעלה לכל היותר המקיים
כאשר הוא פולינום ב- ממעלה לכל היותר . לפולינום יש בדיוק שורשים ב- המתאימים לפוזיציות המכילות אחד בוקטור השגיאה . תהליך הפענוח כולל את הפעולות הבאות:
- חישוב קוד גופה ,
- פתרון נוסחת המפתח ,
- חישוב השורשים של .
ישנן כמה וריאציות לפתרון נוסחת המפתח האמורה ביניהן אלגוריתם אוקלידס.
גרסאות נוספות
ב-1986 הציע נידריטר (Niederreiter)[2] מערכת דומה בביטחונה שנקראת גרסה דואלית. גרסה נוספת שהוצעה מבוססת על קוד ריד-מולר[3]. מקאליס ציין שהמערכת שלו אינה מתאימה לחתימה דיגיטלית ב-2001 הומצאה חתימה דיגיטלית מבוססת מקאליס[4].
גודל מפתחות
גודל המפתח הציבורי הוא כנראה חסרונה הגדול של המערכת והוא כאשר הוא אורך המידע המיועד להצפנה ו- הוא אורך הבלוק המוצפן. למשל לפי הפרמטרים המקוריים שהוצעו על ידי מקאליס גודל המפתח הציבורי הוא 536,576 סיביות. סנדריר הציע[5] להפחית מגודל המפתח הציבורי בשיטה סיסטמטית. כלומר כאשר הוא מטריצת היחידה ו- הוא מסדר . כך גודל המפתח מצטמצם ל- סיביות כי יש צורך לאחסן רק את הצד הימני (), אך עדיין המפתח יהיה די גדול (בערך 262,000 סיביות).
ביטחון
הצפנת מקאליס מבוססת על שתי בעיות קשות בתורת הקודים האחת היא מקרה פרטי של בעיית "פענוח סינדרומי" שהוכח שהיא NP-שלמה; בהינתן מטריצה בינארית מסדר ו- מילות קוד כלשהן ב- הבעיה היא למצוא מילה ב- במשקל נמוך או שווה ל- כך שמתקיים כאשר הוא הסינדרום. הוכח על ידי ברלקמפ, מקאליס וטילבורג שהבעיה NP-קשה[6].
והבעיה שנייה היא בעיית זיהוי 'קוד גופא', כלומר בהינתן מטריצה בינארית מסדר לענות על השאלה האם היא מטריצת גופה. אפשר לתקוף את סכימת מקאליס בשתי דרכים. אחת היא 'התקפה מבנית' בה מנסים לשחזר את המפענח של הקוד הנוצר על ידי המפתח הציבורי ומשם לשחזר את המפתח הפרטי , אם היא מצליחה המערכת נפרצת לחלוטין. אפשר לסווג קודי שגיאות למחלקות שקילות, שני קודים באורך זהה ייקראו שקולים (שההפרש ביניהם הוא מילת קוד) אם קיימת בדיוק תמורה אחת באורך המשנה קוד אחד לשני לכן הקוד שנוצר על ידי והקוד הנוצר על ידי נקראים שקולים. בהתקפה זו התוקף מנסה להשוות בין קודים כדי למצוא שקילות. אם נמצאה שקילות אפשר לשחזר את התמורה ביניהם על ידי אלגוריתם פולינומי שנקרא Support Splitting Algorithm (של ניקולס סנדריר 1999). תהליך זה הוא מעבר ליכולת הטכנולוגית הנוכחית עם הפרמטרים המקוריים של מקאליס כי התקפה מבנית מסוג זה דורשת בערך קודים כדי שתצליח. בהתקפה השנייה שנקראת התקפת פענוח התוקף מנסה לנחש את פענוח הקוד מבלי לפרוץ את המערכת עצמה. ההתקפה תלויה בפרמטרים של קוד תיקון השגיאות , אורכו, המימד שלו ויכולת תיקון השגיאות (). לפי הפרמטרים המקוריים של מקאליס התקפה כזו תתבצע עם פעולות בינאריות. מספר זה נמוך בהשווה ליכולת הטכנולוגית הנוכחית אך הבעיה היא שכדי להעלות מספר זה יש צורך להגדיל את הפרמטרים וכיוון שהמפתח הציבורי מאד גדול גם ככה זו בעיה.
יתרונות וחסרונות
המערכת מצד אחד בטוחה מאד ויעילה. יעילותה עולה על RSA כיוון שפעולות ההצפנה והפענוח דורשות פעולות לינאריות בסיביות, דהיינו הכפלה של ווקטור במטריצה בלבד, לעומת RSA שדורשת העלאה בחזקה מודולרית. החסרונות העיקריים של הצפנת מקאליס הן בעובדה שהמפתח הציבורי גדול מאד וכן בעובדה שתפוקת המערכת היא בשיעור 50 אחוז בערך. מסיבות אילו האלגוריתם לא זכה לפופולריות רבה. ההתעניינות המחודשת באלגוריתם באה בעקבות ההתעניינות הגוברת במערכות הצפנה עמידות נגד התקפות קוונטיות כאשר מחשב קוונטי יהיה מעשי. מערכת מקאליס אטרקטיבית בשל העובדה שאינה מבוססת על הבעיות הידועות מתורת המספרים - פירוק לגורמים ולוגריתם דיסקרטי לכן אלגוריתם שור ואלגוריתמים קוונטיים אחרים לא יהיו אפקטיביים נגדה[7]. מסיבה זו המחקר בנושא כנראה יימשך ויהיו ממצאים נוספים.
קישורים חיצוניים
הערות שוליים
- ^ A Public-Key Cryptosystem Based On Algebraic Coding Theory
- ^ Niederreiter, H. (1986). “Knapsack-type cryptosystems and algebraic coding theory.” Prob. Contr. Inform. Theory, 15 (2), 157–166.
- ^ Sidel’nikov, V.M. (1994). “A public-key cryptosystem based on Reed-Muller codes.” Discrete Mathematics and Applications, 4 (3), 191–207.
- ^ Courtois. N., M. Finiasz, and N. Sendrier (2001). “How to achieve a McEliece-based digital signature scheme.” Advances in Cryptology—ASIACRYPT 2001, Lecture Notes in Computer Science, vol. 2248, ed. C. Boyd. Springer-Verlag, Berlin, 157–174.
- ^ Sendrier, N. (2002). “On the security of the McEliece public-key cryptosystem.” Information, Coding and Mathematics, eds. M. Blaum, P.G. Farrell, and H. van Tilborg. Kluwer, 141–163. Proceedings of Workshop honoring Prof. Bob McEliece on his 60th birthday.
- ^ Berlekamp, E.R., R.J. McEliece, and H.C. van Tilborg (1978). “On the inherent intractability of certain coding problems.” IEEETransactions on Information Theory, 24 (3), 384–386.
- ^ The McEliece Cryptosystem Resists Quantum Fourier Sampling Attacks