Normaforma egyenletek alkalmazása a

Normaforma egyenletek alkalmaz´ asa a kriptogr´ afi´ aban doktori (PhD) értekezés tézisei ¨ dmo ¨ n Jo ´ zsef Ko

Debreceni Egyetem Természettudományi Kar Debrecen, 2004

Bevezet´ es Az értekezés négy fejezetb˝ol áll. Az els˝oben a jelölt [12] könyve alapján rövid összefoglal´ ast adunk a modern - bonyolultságelméleti alapokon kidolgozott ´ kriptográfia alapfogalmairól. Erintj¨ uk az egészség¨ ugyi informatikai vonatkozásokat is (lásd [8], [13], [14] és [11]). A második fejezetben els˝osorban a [21], [17] és [10] könyvek alapján összefoglaljuk az egyirány´ u f¨ uggvények legfontosabb tudnivalóit. Lényeges megjegyezni, hogy nem ismert matematikai bizony´ıt´ as arra, hogy ezek az egyirány´ u f¨ uggvények val´ oban léteznek. Elterjedt használatuk létjogosultságát csupán a gyakorlati tapasztalatok igazolják. Helyesebb lenne az egyirány´ u f¨ uggvény jelölt elnevezés, de mégis inkább az irodalomban szokásos egyirány´ u f¨ uggvény szóhasználatnál maradunk. A harmadik fejezet tartalmazza értekezés¨ unk u ´j eredményeit. Egy u ´j egyir´ any´ u hash f¨ uggvény elkész´ıtését ´ırjuk le, amihez a diofantikus egyenletek elméletét alkalmazzuk. Célunk eléréséhez azonban nem az egyenletek megoldásainak megtalál´ as´ ahoz vezet˝o algoritmusokkal foglalkozunk, hanem - éppen ellenkez˝ oleg az olyan egyenleteket igyeksz¨ unk alkalmazni, amelyek megoldása nem látszik kivitelezhet˝onek. Egyirány´ u f¨ uggvény¨ unk invert´ al´ asi nehézségét az algebrai számelméletb˝ol jól ismert által´ anos normaforma egyenletek megoldásának nehézségére alapozzuk. ´ egyirány´ Uj u f¨ uggvény¨ unk seg´ıtségével kész´ıt¨ unk egy egyir´ any´ u hash f¨ uggvényt, amelyet ajánlunk a gyakorlati felhasznál´ as számára. ´ Ertekez´ es¨ unk f˝o eredménye, hogy bizony´ıtjuk (lásd még [3]), hogy az NP,s f¨ uggvény u ¨tközésmentes, ha a modulus elegend˝oen nagy. Ez pedig azt jelenti, hogy alkalmas egyirány´ u hash f¨ uggvénynek. A negyedik fejezetben találhatók a MAPLE rendszer1

ben kész´ıtett alkalmaz´ asok forrásk´ odjai, amelyeket az általunk - szintén MAPLE-ben - kész´ıtett algoritmusok teszteléséhez használtunk.

Egyir´ any´ u f¨ uggv´ enyek Az egyirány´ u f¨ uggvényekkel kapcsolatos fogalmak pontos defin´ıci´ oj´ at adjuk meg, felhasználva a [17] és [10] könyveket. 1. Defin´ıci´ o. A ν : N → R f¨ uggvény elhanyagolhat´ o, ha minden c ≥ 0 konstanshoz létezik kc egész u ´gy, hogy minden k ≥ kc esetén ν(k) < k −c . 2. Defin´ıci´ o. Az f : {0, 1}∗ → {0, 1}∗ f¨ uggvény (er˝ os) egyir´ any´ u f¨ uggvény ha: (1) Létezik PPT (polinomi´ alis val´ osz´ın˝ uségi) algoritmus, amelynek x inputja esetén az output f (x) lesz. (2) B´ armely A PPT algoritmushoz létezik egy νA elhanyagolhat´ o f¨ uggvény u ´gy, hogy b´ armely elegend˝ oen nagy k esetén: · ¸ R k P f (z) = y : x ∈ {0, 1} ; y = f (x); z = A(k, y) ≤ νA (k), ahol a val´ osz´ın˝ uséget u ´gy vessz¨ uk, hogy az x-ek befutj´ ak lehetséges értékeiket és az A algoritmus is az érmefeldob´ asait. R

Itt az x ∈ {0, 1}k azt jelenti, hogy az x sz´ ot véletlenszer˝ uen választjuk az összes lehetséges k hossz´ us´ ag´ u bináris szavak köz¨ ul. A defin´ıci´ oban szerepl˝o k konstans az u ´gynevezett biztonsági paraméter, amely jellemez egy adott kriptorendszert. A k paraméter által´ aban megegyezik az x input bináris hosszával. A szakirodalom foglalkozik másfajta egyirány´ u f¨ uggvény defin´ıci´ oval is, de mi a tov´ abbiakban ezt az er˝os változatot használjuk. 2

A gyakorlati alkalmazásokban nem egy egyirány´ u f¨ uggvényt, hanem egy egyir´ any´ u f¨ uggvény csal´ adot szok´ as használni: 3. Defin´ıci´ o. Legyen I egy indexhalmaz. Minden i ∈ I esetén Di és Ri véges sz´ amhalmazok. Az F = {fi : Di 7→ Ri }i∈I halmazt egyir´ any´ u f¨ uggv´ eny csal´ adnak nevezz¨ uk, ha teljes´ıti az al´ abbi feltételeket: (1) Létezik S1 PPT algoritmus, ami a k inputra el˝ o´ all´ıt egy legfeljebb k bin´ aris hossz´ us´ ag´ u i ∈ I indexet. (2) Létezik S2 PPT algoritmus, amely az i ∈ I inputra x ∈ Di outputot szolg´ altat. (3) Létezik A1 PPT algoritmus, amely az i ∈ I és x ∈ Di inputra fi (x) outputot szolg´ altat, azaz A1 (i, x) = fi (x). (4) B´ armely A PPT algoritmushoz létezik egy νA elhanyagolhat´ o f¨ uggvény u ´gy, hogy b´ armely elegend˝ oen nagy k esetén: · ¸ R R P fi (z) = y : i ∈ I, ∈ Di ; y = fi (x); z = A(i, y) ≤ νA (k). Ahol a val´ osz´ın˝ uséget u ´gy értelmezz¨ uk, hogy az i és x befutj´ ak lehetséges értékeiket és az A algoritmus is az érmefeldob´ asait. ´ Ertekez´ es¨ unkben meghatározó jelent˝osége van a hash f¨ uggvényeknek. 4. Defin´ıci´ o. A h f¨ uggvényt hash f¨ uggvénynek nevezz¨ uk, ha legal´ abb az al´ abbi két feltételt teljes´ıti: (1) ¨ osszenyom´ as: a h f¨ uggvény egy tetsz˝ oleges bin´ aris hossz´ us´ ag´ u x inputot egy r¨ ogzitett méret˝ u h(x) outputba képezi le. (2) k¨ onny˝ u kisz´ am´ıtani: adott h és x input esetén h(x) kisz´ am´ıt´ asa legfeljebb polinomi´ alis algoritmussal lehetséges. 3

5. Defin´ıci´ o. Inverzk´ ep rezisztencia: el˝ ore megadott y outputhoz kereszt¨ ulvihetetlen egy x input megad´ asa u ´gy, hogy h(x) = y teljes¨ ulj¨ on. 6. Defin´ıci´ o. M´ asodik inverzk´ ep rezisztencia: el˝ ore megadott x1 inputhoz kereszt¨ ulvihetetlen egy x2 (6= x1 ) m´ asodik input megad´ asa u ´gy, hogy h(x1 ) = h(x2 ) teljes¨ ulj¨ on. 7. Defin´ıci´ o. Egy h hash f¨ uggvény u ¨tk¨ oz´ esmentes (collision resistant), ha tetsz˝ oleges x1 és x2 értékekre és elegend˝ oen nagy k-ra, ha x1 6= x2 , akkor P [h(x1 ) = h(x2 )] ≤ ν(k), ahol a val´ osz´ın˝ uséget u ´gy értelmezz¨ uk, hogy az x1 , x2 ∈ {0, 1}k értékek egym´ ast´ ol f¨ uggetlen¨ ul befutj´ ak lehetséges értékeiket. 8. Defin´ıci´ o. (Strict avalanche criterion) Az f f¨ uggvény er˝ os lavina hat´ assal rendelkezik, ha egy input bit megv´ altoztat´ asa az ¨ osszes output bit v´ altoz´ as´ at okozza 21 val´ osz´ın˝ uséggel. Ez lényegében azt jelenti, hogy egy input bit változ´ asa esetén az output bitek átlagosan fele megváltozik. A bitek megváltoz´ as´ at a kódol´ aselméletb˝ ol ismert Hamming-t´ avols´ ag seg´ıtségével lehet mérni. Ennek defin´ıci´ oja a következ˝ o: 9. Defin´ıci´ o. (Hamming-t´ avols´ ag) Legyen az x, y ∈ Z sz´ amok bin´ aris reprezent´ aci´ oja x = (ξ1 , ...ξn ) illetve y = (η1 , ...ηn ), ahol ξi , ηi ∈ {0, 1}. Ekkor a két sz´ am Hamming-t´ avols´ aga: %(x, y) =

n X

ξi ⊕ ηi ,

i=1

ahol ⊕ jelenti a bitenként vett kiz´ ar´ o vagy m˝ uveletet. A tov´ abbiakban a közismert egyirány´ u f¨ uggvények le´ır´ as´ aval, t´ıpusaival és azok alkalmaz´ as´ aval, valamint a feltörési lehet˝oségekkel foglalkozunk. 4

Normaforma egyenlet alkalmaz´ as´ an alapul´ o egyir´ any´ u f¨ uggv´ eny Az egyirány´ u f¨ uggvények kutatásának igen kiterjedt irodalma van, amelyek köz¨ ul csak néhány fontosabbat emel¨ unk most ki: [9], [5], [4], [18] és [25]. A normaforma egyenlet alkalmazás´ an alapuló egyirány´ u f¨ uggvény kiszám´ıtásához három módszert hasonl´ıtunk össze. Ezek az N , NP és NP,s leképezések, melyeknek sorrendisége mutatja a konstrukció fejl˝odését. A gyakorlatban val´ o használatra az NP,s f¨ uggvényt ajánljuk, amely az NP f¨ uggvény moduláris aritmetikát használó változata. Legyen θ egy n-ed fok´ u algebrai egész, és jelölje T (X) ∈ Z [X] a Q fölötti minimál polinomját. Legyen K := Q(θ), és jelölje σi : K → C a K számtest k¨ ulönböz˝o beágyazásait a koplex számtestbe. Továbbá, valamely α ∈ K esetén jelölje α(i) := σi (α) (i = 1, . . . , n) az α konjugáltjait. Legyenek α1 , α2 , ..., αm ∈ K Q-linearisan f¨ uggetlen algebrai egészek. Tekints¨ uk az L(X) = α1 X1 + ... + αm Xm lineáris formát, ahol m ≤ n és legyen (i)

(i) Xm . L(i) (X) = α1 X1 + ... + αm

A N ormK/Q (L(X)) =

n Y

L(i) (X)

i=1

polinomot normaformának nevezz¨ uk. Könnyen láthat´ o, hogy N ormK/Q (L(X)) egy n-ed fok´ u, egész egy¨ utthat´ os homogén polinom. Tekints¨ uk most azt a speciális esetet, amikor α1 = 1, α2 = θ, ..., αm = θm−1 . Feltételezz¨ uk még, hogy 1, θ, ..., θm−1 egy 5

hatvány egész bázisa ZK -nak, ahol ZK jel¨ oli a K sz´ amtest egészeinek gy˝ ur˝ ujét. Így minden normaforma racionális egy¨ utthatós lineáris transzformáci´ oval konvert´ alhat´ o az alábbi speciális alakba: N (X) = N ormK/Q (X1 + θX2 + · · · + θm−1 Xm ).

(1)

Így az által´ anoss´ ag megsértése nélk¨ ul használhatjuk ezt a formát. Leképezés¨ unk els˝o változata az alábbi:. 1. Konstrukci´ o. Defini´ aljuk az N : Zm → Z leképezést az al´ abbi m´ odon: N : (x1 , . . . , xm ) 7→ N ormK/Q (x1 + θx2 + · · · + θm−1 xm ). Leképezés¨ unk második változat´ aban legyen P (X) ∈ Z[X] rögz´ıtett n-ed fok´ u (n ≥ 3) f˝opolinom, amelynek nincsenek többsz¨ or¨ os gyökei. Jelölje α1 , . . . , αn a P polinom gyökeit és legyen L(i) (X) :=

m X

αij−1 Xj ,

ahol i = 1, . . . , n és m ≤ n.

j=1

Legyen definiálva a P polinomhoz tartozó normaforma az alábbi módon: n Y L(i) (X). NP (X) := i=1

Val´ oj´ aban NP (X) a normaforma egy által´ anos´ıt´ asa, egy speciális szétes˝ o forma. 2. Konstrukci´ o. Defini´ aljuk az NP : Zm → Z leképezést a k¨ ovetkez˝ o m´ odon: NP : (x1 , . . . , xm ) 7→ NP (x1 , . . . , xm ). 6

(2)

Mivel NP (X) egy egész egy¨ utthatós homogén polinom, ezért az NP (x) f¨ uggvényérték minden x ∈ Zm esetén racionális egész lesz. Kriptográfiai szempontból jobbnak t˝ unik véges testet alkalmazni. Legyen valamely s ∈ Z esetén Zs := Z/sZ. Így leképezés¨ unk harmadik változata az alábbi: 3. Konstrukci´ o. Legyen s := pq, ahol p és q megfelel˝ oen nagy pr´ımsz´ amok. Defini´ aljuk az NP,s : Zm → Z lek´ e pez´ e st az al´ abbi s s m´ odon: NP,s : (x1 , ..., xm ) 7→ NP (x1 , . . . , xm ) mod s. A következ˝ okben megmutatjuk, hogy az N (x), NP (x) és NP,s (x) f¨ uggvényértékek kiszám´ıtása könny˝ u, ha x ∈ Zm . Három k¨ ul¨ onböz˝o algoritmust mutatunk be a f¨ uggvényértékek kiszám´ıtására. Az N (x) érték kiszám´ıtására fogunk koncentr´ alni, mivel az ott alkalmazott algoritmusok és a hozzájuk tartozó bonyolultsági értékek könnyen átvihet˝ok a másik két f¨ uggvényre. A f¨ uggvényérték könny˝ u kiszám´ıthat´ os´ aga azt jelenti, hogy van olyan polinomiális bonyolultság´ u algoritmus, amellyel a f¨ uggvényérték egyértelm˝ uen meghatározhat´ o. A bonyolults´ agot minden esetben az input értékek X maximuma és az n foksz´ am f¨ uggvényében adjuk meg. A norma defin´ıciója alapján nem lehet egész aritmetikával számolni, ezért meghatározzuk a közel´ıt˝o szám´ıt´ as hibáj´ anak fels˝o korlátját is. A bonyolultságra pedig az alábbi eredményt kapjuk: 1. T´ etel. [2] Az N (x) f¨ uggvényérték¡ meghat´ aroz´ as´ ¢anak bonyo2 6 4 lults´ aga az (1) defin´ıci´ o alapj´ an O n + n log PmX , ahol a O konstansa csak A értékét˝ ol f¨ ugg, ahol A = es j=1 αj ≥ 2 ´ ¯ n¯ o ¯ (i) ¯ αj = max ¯αj ¯ : 1 ≤ i ≤ n . A f¨ uggvényértékek azonban meghatározhat´ ok egész aritmetikával is. Ehhez az L(i) (X) lineáris formák mátrix reprezentációját alkalmazzuk. Bizony´ıtjuk a következ˝ o tételt: 7

2. T´ etel. [3] Legyen P egy n-ed fok´ u f˝ opolinom, amelynek nincsenek t¨ obbsz¨ or¨ os gy¨ okei. Jel¨ olje α a P egy gy¨ okét. Legyen x ∈ Zm és legyen NP (x) defini´ alva (2) szerint. Akkor az NP (x) f¨ uggvényérték egész aritmetik´ aval meghat´ arozhat´ o. 1. Megjegyz´ es. A 2. Tétel igaz az (1)-ben defini´ alt N (x) f¨ uggvényérték kisz´ am´ıt´ as´ anak esetére is. Legyen T (x) = P (x) és legyen péld´ aul θ = α1 , ekkor a tételben le´ırt kisz´ am´ıt´ asi m´ odszer lényegében ugyan´ ugy haszn´ alhat´ o. Az algoritmus bonyolults´ ag´ ara pedig a következ˝ o eredményt kapjuk: 3. T´ etel. [3] Ha az egész aritmetik´ at alkalmaz´ o algoritmust haszuggvényérték kisz´ am´ıt´ as´ ara, akkor annak bonyon´ aljuk az NP (x) f¨ lults´ aga O(n7 + n6 log X + n5 log2 X), ahol a O konstansa csak a P (X) polinom egy¨ utthat´ oit´ ol f¨ ugg. 2. Megjegyz´ es. Tekintettel a 1.Megjegyzésre, a 3.Tételben megadott bonyolults´ ag igaz a (1)-ben defini´ alt N (x) f¨ uggvényérték kisz´ am´ıt´ as´ anak bonyolults´ ag´ ara is. A f¨ uggvényértékek meghatározhat´ ok modul´ aritmetik´ val¤ £aMris ¤ £aM −1 is, amelyben minden x ∈ Z sz´ amhoz, amire − 2 ≤x≤ 2 teljes¨ ul, egy v elem˝ u vektort tudunk rendelni a következ˝ o módon: ψ(x) = x(M ) = (x mod m1 , ..., x mod mv ), ahol M := m1 m2 · · · mv és az m1 , ..., mv > 0 számok páronként relat´ıv pr´ımek. Az x(M ) vektort szokás az x egész szám moduláris reprezent´ aci´ oj´ anak nevezni. Mivel a ψ: x ↔ x(M ) leképezés egy gy˝ ur˝ u homomorfizmus, az egész aritmetikát használ´ o algoritmusunk átalak´ıthat´ o u ´gy, hogy a moduláris reprezent´ aci´ o alkalmaz´ as´ aval tov´ abb csökkentj¨ uk a bonyolults´ agot. Az alábbi eredményeket kapjuk: 8

4. T´ etel. [2] Az N (x) f¨ uggvényérték modul´ aris aritmetik´ aval t¨ ortén˝ o meghat´ aroz´ as´ anak bonyolults´ aga O(n7 + n6 log X + n2 log3/2 X), ahol a O konstansai csak a T (X) polinom egy¨ utthat´ oit´ ol f¨ uggnek. 5. T´ etel. [3] Az NP (x) f¨ uggvényérték modul´ aris aritmetik´ aval t¨ ortén˝ o meghat´ aroz´ as´ anak bonyolults´ aga O(n7 + n6 log X + n2 log3/2 X), ahol a O konstansa csak a P (X) polinom egy¨ utthat´ oit´ ol f¨ ugg. Az NP,s (x) f¨ uggvényérték kiszám´ıtására a következ˝ o eredményt kapjuk: 6. T´ etel. [3] Az NP,s (x) f¨ uggvényérték kisz´ am´ıt´ as´ anak bonyolults´ aga O(n5 log2 s), ahol a O konstansa abszol´ ut. Elkész´ıtj¨ uk mindhárom algoritmus implement´ aci´ oj´ at MAPLE rendszerben, és tesztelj¨ uk a futásid˝oket. Ezek azt mutatj´ ak, hogy az N (x), NP (x) és NP,s (x) f¨ uggvényértékek kiszám´ıt´ asa - a gyakorlatban is - valóban könny˝ u. A legjobbnak a mátrix reprezentációt alkalmazó algoritmus bizonyult. Meg kell azonban azt is vizsgálnunk, hogy az N , NP és NP,s leképezések inverzének kiszám´ıtása mennyire nehéz feladat. Ehhez elegend˝o az NP (X) = b, illetve NP (X) = b mod s normaforma egyenletek megoldásának lehet˝oségeit áttekinteni, ahol 0 6= b ∈ Z és a megoldásokat az x ∈ Zm vektorok köz¨ ott keress¨ uk. Az ilyen általános normaforma egyenletek megoldás´ ara jelenleg nem ismert a gyakorlatban is használhat´ o algoritmus, s˝ot még az is nyitott kérdés, hogy a probléma algoritmussal megoldhatóe. Mint ismeretes, Jurij Matijaszevics [16] 1970-ben bizony´ıtotta, hogy nem létezik olyan algoritmus, amely az által´ anos diofantikus egyenletek megoldhatóságát eldöntené. A normaforma egyenletekkel szoros kapcsolatban áll´ o lineáris rekurz´ıv sorozatokról szól Cerlienco, Mignotte és Piras [6] következ˝o sejtése: 9

1. Sejt´ es. Létezik k pozit´ıv egész sz´ am és ξ (1) , . . . , ξ (k) egészekb˝ ol ´ all´ o line´ aris rekurz´ıv sorozat a k¨ ovetkez˝ o tulajdons´ aggal: Algoritmussal nem d¨ onthet˝ o el, hogy vannak-e olyan n1 , . . . , nk ∈ Nk (1) (k) értékek, amelyekre ξn 1 + · · · + ξn k = 0. Ezt felhasználva, talán beláthat´ o lenne, ha igaz ez a sejtés, akkor a normaforma egyenletek megoldhatós´ aga algoritmikusan nem dönthet˝ o el. Pontosabban, kimondható a következ˝ o sejtés: 2. Sejt´ es. Ha az 1. Sejtés igaz, akkor nem létezik olyan algoritmus, amelyik nem elfajul´ o normaforma egyenletekr˝ ol eld¨ onti, hogy megoldhat´ oak-e. Megvizsgáljuk a Thue-egyenlet esetét, amely tekinthet˝ o egy speciális normaforma egyenletnek. Legyen F (X, Y ) ∈ Z[X, Y ] irreducibilis polinom és deg(F ) ≥ 3. Ekkor minden nem nulla b ∈ Zre az F (X, Y ) = b

(3)

diofantikus egyenletet Thue-egyenletnek nevezz¨ uk, ahol a megoldások (x, y) ∈ Z2 sz´ amp´ arok. Láthat´ o, hogy a Thue-egyenlet lényegében az NP (X) = b normaforma egyenlet két ismeretlenes specializál´ asa (m = 2, n ≥ 3). A. Thue 1909-ben a [23] cikkben bizony´ıtotta, hogy (3)-nak csak véges sok megoldása van. 1968-ban A. Baker [1] effekt´ıv fels˝o korl´ atot határozott meg a megoldások abszol´ ut értékének maximum´ ara, ami annyit jelent, hogy a (3) Thue egyenlet megoldásai algoritmussal meghatározhat´ oak. Huszonegy évvel kés˝ obb, 1989ben Tzanakis és de Weger [24] gyakorlatban használható algoritmust adott a (3) egyenlet megoldásainak megkeresésére az LLL algoritmus (lásd [7] 2.6.3. Algoritmus) felhasznál´ as´ aval. Thue-egyenletek gyakorlati megoldás´ anak esetére N.P. Smart [22] elvégezte a bonyolults´ agi elemzést, amelyb˝ol kider¨ ul, hogy ilyen egyenletek megoldása által´ aban exponenciális bonyolults´ ag´ u. 10

A fentiek alapj´ an l´ athat´ o, hogy az NP (x) = b, illetve NP (x) = b mod s egyenlet megold´ asainak meghat´ aroz´ asa elég nehéz probléma. ´ Igy az N , NP és NP,s f¨ uggvények lehetnek egyir´ any´ u f¨ uggvény jel¨ oltek, k¨ ul¨ on¨ osen akkor, ha a v´ altoz´ ok sz´ ama legal´ abb 3. ´ Ertekez´ es¨ unkben az NP és NP,s f¨ uggvények két fontos tulajdonságát - az u ¨tközésmentességet és a lavina hatást - vizsgáljuk meg. Az NP,s f¨ uggvény u ¨tközéseinek bekövetkezési val´ osz´ın˝ uségét a Pcoll = P [NP,s (x) = NP,s (y) : x, y ∈ Zs m ] kifejezés értéke mutatja meg. ´ Ertekez´ es¨ unk f˝o eredménye a következ˝o két tétel: 7. T´ etel. [3] Legyen P (X) ∈ Z[X] egy legal´ abb harmadfok´ u f˝ opolinom, amelynek nincsenek t¨ obbsz¨ or¨ os gy¨ okei. Legyenek p és q olyan pr´ımsz´ amok, hogy q > p > q/2 és s := pq. Tegy¨ uk fel, hogy lnko(m, ϕ(s)) = 1. Jel¨ olje N (P, b, s) az NP (x1 , . . . , xm ) ≡ b (mod s) kongruencia megold´ asainak sz´ am´ at. ul, akkor • Ha lnko(b, s) = 1 teljes¨ 1

|N (P, b, s) − sm−1 | < c1 (P )sm−1− 4 • egyébként pedig N (P, b, s) < c2 (P )sm−1 . A tételben lnko(n, m) jelöli az n és m egészek legnagyobb köz¨ os osztóját, ϕ(x) pedig, szokás szerint, az Euler féle ϕ-f¨ uggvényt. 8. T´ etel. [3] Legyen P (X) ∈ Z[X] egy legal´ abb harmadfok´ u f˝ opolinom, amelynek nincsenek t¨ obbsz¨ or¨ os gy¨ okei. Legyenek p és q pr´ımsz´ amok olyanok, hogy q > p > q/2 és s := pq. Tegy¨ uk 11

fel, hogy lnko(m, ϕ(s)) = 1. Akkor az NP,s f¨ uggvény Pcoll u ¨tk¨ ozési val´ osz´ın˝ usége teljes´ıti a Pcoll <

C , s

egyenl˝ otlenséget, ahol a C konstans csak a P polinomt´ ol f¨ ugg. A bizony´ıt´ ashoz alkalmazzuk S. Lang és A. Weil [15] tételét, amely szerint ha a p pr´ım modulus elegend˝oen nagy, akkor az f ≡ 0 (mod p) egyenlet N (f, p) megoldásainak száma teljes´ıti az ¯ ¯ ¯N (f, p) − pm−1 ¯ < C(f )pm−1− 12 egyenl˝ otlenséget, ahol a C(f ) konstans értéke kizár´ olag az f (X1 , . . . , Xm ) abszol´ ut irreducibilis polinomt´ ol f¨ ugg. Az abszol´ ut irreducibilitás bizony´ıt´ as´ ahoz két lemmára lesz sz¨ ukség¨ unk. Az els˝o a klasszikus Sch¨ oneman - Eisenstein tétel megfelel˝oje polinom gy˝ ur˝ ukre és egy következménye Capelli tételének (lásd [20] 662. oldal). 1. Lemma. Legyen P (X) ∈ C[X] egy polinom, amelynek van legal´ abb egy egyszeres gy¨ oke. Akkor a Z n −P (X) ∈ C[X, Z] polinom abszol´ ut irreducibilis minden n ≥ 1 esetén. 2. Lemma. Legyen f (X) := f (X1 , . . . , Xm ) :=

n Q

(αi1 X1 + · · · +

i=1

αim Xm ) ∈ C[X1 , . . . , Xm ] egy forma, amelyre teljes¨ ul, hogy αij ∈ n Q m Q C minden 1 ≤ i ≤ n, 1 ≤ j ≤ m esetén, és αij 6= 0. i=1 j=1

Tov´ abb´ a tegy¨ uk fel, hogy létezik 1 ≤ j1 < j2 ≤ n u ´gy, hogy ½ ¾ αkj1 αij1 6∈ : 1 ≤ k ≤ n, k 6= i . αij2 αkj2 Akkor az f (X) − a polinom irreducibilis C[X]-ben minden 0 6= a ∈ C esetén. 12

3. Megjegyz´ es. Ha az s modulus elég nagy, akkor az NP,s f¨ uggvény a 7. Definici´ o szerint u ¨tk¨ ozésmentes. Az NP,s és NP f¨ uggvények lavina hatás´ anak teszteléséhez egy MAPLE programot kész´ıt¨ unk, amely az alábbi relat´ıv Hammingtávolságokat határozza meg: RHP,s :=

ρ(NP,s (x), NP,s (x0 )) l(s)

és

ρ(NP (x), NP (x0 )) , l(NP (x0 )) ahol az x egy input az x0 pedig a hozzá tartozó egy bitben megváltoztatott input, valamint l(.) jelöli a bináris hossz f¨ uggvényt és ρ(., .) a 9. Definicióban megadott Hamming-távolságot. A tesztet több alkalommal is ezerszer futtattuk véletlenszer˝ uen generált 21024 nagyságrend˝ u input adatokkal. Az x0 input egyetlen bitjének megváltoztatása szintén véletlenszer˝ u volt. Az RHP,s értékek átlaga 0.50 volt, 0.004 szór´ assal. Az NP f¨ uggvény tesztje egy kicsit rosszabb eredményt hozott, az RHP értékek átlaga 0.48 volt, 0.003 szórással. Ez a f¨ uggvény csak közel´ıt˝ oleg teljes´ıti az 8. Defin´ıcióban megfogalmazott er˝os lavinahatás kritériumot. RHP :=

uggvény teljes´ıti az 8. Defin´ıci´ oban megfogal3. Sejt´ es. Az NP,s f¨ mazott er˝ os lavinahat´ as kritériumot. Azt, hogy az NP,s f¨ uggvény invertál´ asa által´ aban nehéz, az alábbi feltétel fejezi ki. 10. Defin´ıci´ o. Er˝ os Modul´ aris Normaforma Feltétel (SMNA): Minden Q polinom és A PPT algoritmus esetén, ha az s elegend˝ oen nagy 1 , P [A(s, b) = (x1 , ..., xm ) u ´gy, hogy b = NP,s (x1 , ..., xm )] < Q(k) 13

ahol xi ∈ Z és 1 ≤ max {|xi |} ≤ s − 1, valamint a val´ osz´ın˝ uséget u ´gy kell venni, hogy az xi inputok befutj´ ak lehetséges értékeiket, és az A algoritmus is az érmefeldob´ asait. 4. Megjegyz´ es. Az el˝ obbihez hasonl´ oan az NP (X) f¨ uggvényhez lehet defini´ alni az Er˝ os Normaforma Feltételt (SNA), ami az NP f¨ uggvény invert´ al´ as´ anak kereszt¨ ulvihetetlenségét fejezi ki. Bizony´ıthat´ o a következ˝ o tétel. 9. T´ etel. Az SMNA, illetve SNA teljes¨ ulése esetén az NP,s , illetve az NP f¨ uggvény egyir´ any´ u hash f¨ uggvény. A kriptográfiai gyakorlat által´ aban nem egy egyirány´ u f¨ uggvényt alkalmaz, hanem inkább egyir´ any´ u f¨ uggvény csal´ adot. Egy ilyen családot fogunk kész´ıteni az NP,s f¨ uggvény felhasznál´ as´ aval. Tekints¨ uk az alábbi konstrukci´ ot: 4. Konstrukci´ o. Legyen P (X) ∈ Z[X] egy olyan f˝ opolinom, amelynek nincsenek t¨ obbsz¨ or¨ os gy¨ okei. Legyenek p és q elegend˝ oen nagy pr´ımsz´ amok u ´gy, hogy q > p > q/2 és s := pq. Tegy¨ uk fel tov´ abb´ a, hogy lnko(m, ϕ(s)) = 1. Defini´ aljuk a P = {P (X) : deg(P (X)) = n ≥ 4, r¨ ogz´ıtett } polinom halmazt és az ) ( n Y Li (X), mods) MNFF = NP,s : Zm s 7→ Zs ; NP,s (X) = ( i=1

P ∈P

f¨ uggvény csal´ adot, ahol 3 ≤ m ≤ n, és az L(i) (X) defin´ıci´ oja ugyanaz, mint kor´ abban. Az alábbi tételt nyerj¨ uk: 10. T´ etel. Ha minden P (X) ∈ P polinomhoz tartoz´ o NP,s f¨ uggvény teljes´ıti az SMNA-t, akkor az MNFF f¨ uggvény halmaz egy egyir´ any´ u hash f¨ uggvény csal´ ad. 14

5. Megjegyz´ es. A fentihez hasonl´ o m´ odon lehet az NP f¨ uggvény alkalmaz´ as´ aval megkonstru´ alni az NFF f¨ uggvénycsal´ adot, amelyr˝ ol bizony´ıtani lehet, hogy SNA esetén az NFF egy egyir´ any´ u f¨ uggvénycsal´ ad. Megvizsgáljuk, hogy miként kell megválasztani a P (X) polinomot, hogy a lehet˝o legegyszer˝ ubben lehessen számolni a f¨ uggvényértéket. Legyen P (X) := X n − 1 u ´gy, hogy n ≥ 3. Jelölje ζ ennek egy gyökét és legyen L(X) := X1 + ζX2 + · · · + ζ n−1 Xn . A ζ j L(X) = Xn−j+1 +ζXn−j+2 +· · ·+ζ j−1 Xn +ζ j X1 +· · ·+ζ n−1 Xn−j egyenletb˝ol, amely minden 1 ≤ j ≤ n esetén fennáll, láthat´ o, hogy az NP,s (X) egy   X1 X2 . . . Xn Xn X1 . . . Xn−1    . . . . . . . . . . . . . . . . . . . . X2 X3 . . . X1 ciklikus mátrix determinánsa, amely nagyon egyszer˝ u formáj´ u. m−1 Ha L(X) = X1 + ζX2 + · · · + ζ Xm , ahol m < n, akkor Xm+1 , . . . , Xn helyett minden sorban n − m darab 0 áll, de a determináns értéke nem lesz 0, csak a formája lesz még egyszer˝ ubb. Vég¨ ul egy rekurz´ıv hash f¨ uggvényt konstru´ alunk az NP,s (x1 , ..., xm ) f¨ uggvény alkalmazásával. Legyen adott az M u ¨zenet, amelyet egy tetsz˝oleges hossz´ us´ ag´ u bináris szónak tekint¨ unk. Ezt szétvágjuk x1 , ..., xk részszavakra u ´gy, hogy minden xi (1 ≤ i ≤ k) egy egész számot reprezent´ aljon az [1, s − 1] intervallumban. Tegy¨ uk fel, hogy k ≥ m, egyébként pedig egész´ıts¨ uk ki a sorozatot nullákkal. El˝osz¨ or definiáljuk a h(x1 , . . . , xm ) := NP,s (x1 , . . . , xm ) 15

kezd˝ oértéket, majd pedig legyen rekurz´ıv módon h(x1 , . . . , xm+t(m−1) ) := NP,s (h(x1 , . . . , xm+(t−1)(m−1) ), xm+(t−1)(m−1)+1 , . . . , xm+t(m−1) ). Ha k valamely alkalmas t ∈ Z számra nem m+t(m−1) alak´ u, akkor egész´ıts¨ uk ki az M u ¨zenetet 0-val, mindaddig, m´ıg k megfelel˝ o alak´ u lesz. Így kapunk egy gyakorlatban is használhat´ o h egyirány´ u hash f¨ uggvényt. Ez a f¨ uggvény minden iteráci´ os lépésben megtartja u ¨tk¨ ozésmentes tulajdonság´ at és sejthet˝oen rendelkezik lavina hatással is (lásd 8. Tétel és 3. Sejtés). Ezek a tulajdonságok garant´ alj´ ak biztonságos használat´ at. Az értekezés tartalmaz még két konkrét szám´ıt´ asi péld´ at, amely bemutatja, hogyan használhat´ o a h f¨ uggvény egyirány´ u hash f¨ uggvényként a kriptográfiai gyakorlatban.

Summary In this thesis we present a new one-way function with collision resistance and avalanche effect. The security of this function based on the difficulty of solving a general norm form equation. Let P (X) ∈ Z[X] be a monic polynomial of degree n ≥ 3 having no multiple roots. Denote by α1 , . . . , αn the roots of P and put L(i) (X) :=

m X

αij−1 Xj

for i = 1, . . . , n and m ≤ n.

j=1

Define the norm form corresponding to the polynomial P by NP (X) :=

n Y i=1

16

L(i) (X).

In fact, NP (X) is a generalization of the concept of norm form and is a special decomposable form. Define the mapping NP : Zm → Z in the following way: NP : (x1 , . . . , xm ) 7→ NP (x1 , . . . , xm ). Since NP (X) is a homogeneous polynomial of degree n, with integer coefficients the function value NP (x) will be a rational integer for every x ∈ Zm . Let p and q be primes such that q > p > q/2 and s := pq. Define the mapping NP,s : Zm s → Zs in the following way: NP,s : (x1 , ..., xm ) 7→ NP (x1 , . . . , xm ) (mod s). We present three algorithms for the calculation of the value NP (x) and NP,s (x). Their complexity are discussed and the running time of their imlementations in MAPLE are compared. And so we proved that the value NP (x) and NP,s (x) can be computed efficiently. Denote by Pcoll = P [NP,s (x) = NP,s (y) : x, y ∈ Zs m ] the probability of the collision for the function NP,s . Our main result is the following two theorems. Theorem 7 Let P (X) ∈ Z[X] be a monic polynomial of degree at least 3 having no multiple roots. Let p and q be primes such that q > p > q/2 and s := pq. Suppose that gcd(m, ϕ(s)) = 1. Let N (P, b, s) denote the number of solutions of the congruence NP (x1 , . . . , xm ) ≡ b (mod s). • If gcd(b, s) = 1 we have 1

|N (P, b, s) − sm−1 | < c1 (P )sm−1− 4 • othervise N (P, b, s) < c2 (P )sm−1 . 17

Theorem 8 Let P (X) ∈ Z[X] be a monic polynomial of degree at least 3 having no multiple roots. Let p and q be primes such that q > p > q/2 and s := pq. Suppose that gcd(m, ϕ(s)) = 1. Then the probability of collision Pcoll for the function NP,s satisfies the inequality C Pcoll < , s where the constant C depends only on the polynomial P . We tested a MAPLE implementation of the function NP,s (x) and we can showed that this function has avalanche effect. We construct an application, which uses this function as a oneway hash function. This application can check passphrase of user of a computer. An other application makes the hash value of a message. So we propose to apply the function NP,s in the practice of the cryptography as a one-way hash function. Further we found also some fact, which show that NP,s is probably a family of one-way functions.

Hivatkoz´ asok [1] A. Baker, Contributions to theory of diophantine equations I. and II., Phil. Trans. Roy. Soc. London Ser A., 263 (1968) 173-208. ´rczes, J. Ko ¨ dmo ¨ n, Methods for the calculation of [2] A. Be values of a norm form, Publ. Math. Debrecen, 63 (2003), 751-768. ´rczes, J. Ko ¨ dmo ¨ n, A. Petho ˝ , A one-way func[3] A. Be tion based on norm form equations, Periodica Math. Hungar. (megjelenés alatt). 18

[4] J. Black, S. Halevi, H. Krawczyk, T. Krovetz, P. Rogaway, UMAC: Fast and Secure Message Authetication, In Advances in Cryptology - CRYPTO ’99 (1999), vol. 1666 of Lecture Notes In Computer Science, Springer-Verlag, pp. 216-233. [5] J. Buchmann, S. Paulus, A one-way function based on ideal arithmetic in number fields, Lect. Notes Comput. Sci. 1294 (1997), 385-394. [6] L. Cerlienco, M. Mignotte, F. Piras, Suites récurrentes linéaires. Propriétés algébriques et arithmétiques. (Linear recurrent sequences. Algebraic and arithmetic properties), L’Enseign. Math. 33 (1987), 67-408. [7] H. Cohen, A course in computational algebraic number theory, Springer Verlag, 1993. ´kes E., Surja ´ n Gy., ugyi informatika, Szerk: Ke [8] Egészség¨ ´ nyi L., Kozmann Gy., Medicina Könyvkiad´ Balka o, 2000. [9] O. Goldreich, L. Levin, N. Nisan, On constructing 1-1 one-way functions, Electronic colloquium on computational complexity, TR-95-029, 6/25/95, 1995. [10] S.Goldwasser, M.Bellare, Lecture Notes on Cryptography, MIT Press, Cambridge, Massachusetts 2001. [11] Handbook of medical informatics, Eds: J. H. van Bemmel, M. A. Musen, Springer Verlag, 2002. ¨ dmo ¨ n J., Kriptogr´ [12] Ko afia, Az informatikai biztons´ ag alapjai, A PGP kriptorendszer haszn´ alata, ComputerBooks Könyvkiadó, 1999. ¨ dmo ¨ n J., Adatvédelem, adatbiztons´ ag az egészség¨ ugyben, [13] Ko Lege Artis Medicinae 4, (1997), 278-281. 19

¨ dmo ¨ n J., Az egészség¨ [14] Ko ugyi adatvédelem szab´ alyoz´ asa, Orvosi Hetilap 140 (1999), 1113-1115. [15] S. Lang, A. Weil, Number of points of varieties in finite fields, Am. J. Math. 76 (1954), 819-827. [16] Y.V.Matiyasevich, Press,1993.

Hilbert’s

Tenth

Problem,

MIT

[17] A.J.Menezes, P.C.van Oorschot, S.Vanstone, Hadbook of Applied Cryptography, CRC Press, 1997. [18] J. Patarin, Secret public key schemes, In:Public-Key Criptography and Computational Number Theory, (ed. by K. Alster, J. Urbanowicz and H. C. Williams), 221-237. Walter de Gruyter, 2001. ˝ , Algebraische Algorithmen, Vieweg Verlag,1999. [19] A.Petho ´dei, Algebra I, Akademische Verlagsgeselschaft Geest [20] L. Re & Portig K.-G., Leipzig, 1959. [21] B. Schneier, Applied Cryptography, John Wiley & Sons, 1996. [22] N.P.Smart, How Difficult is it to Solve a Thue Equation?, In ANTS-2, LNCS 1122, 363-373, 1996. ¨ [23] A. Thue, Uber Ann¨ aherungswerte algebraischer Zahlen, J. Reine Angew. Math. 135 (1909), 284-305. [24] N. Tzanakis, B.M.M. de Weger, On the practical solution of the Thue equation, J. Number Theory, 31 (1989), 99-132. [25] D.L. Whiting, M.J. Sabin, Montgomery Prime Hashing for Message Authentication, CT-RSA 2003 (ED: M. Joye), LNCS 2612, pp. 50-67, Springer-Verlag, 2003.

20

Normaforma egyenletek alkalmazása a

Recommend Documents