대수 지우개

대수 지우개(AE)^{[note 1]}는 각각 AE Public-Private Key Pair를 갖는 두 당사자가 안전하지 않은 채널에 대해 공유 비밀을 설정할 수 있도록 하는 익명 키 합의 프로토콜이다.^[1]이 공유 비밀은 키로 직접 사용될 수도 있고, 대칭 키 암호를 사용하여 후속 통신을 암호화하는 데 사용될 수 있는 또 다른 키를 도출할 수도 있다.대수 지우개는 Iris Anshel, Michael Anshel, Dorian Goldfeld, Stephane Lemieux에 의해 개발되었다.SecureRF는 프로토콜을^[2] 커버하는 특허를 소유하고 있으며, 무선 주파수 식별 장치 및 무선 센서 네트워크 보안 ^[3]표준인 ISO/IEC 29167-20의 일부로 프로토콜 표준화를 시도(2019년 7월 기준)했다.

키셋 파라미터

두 당사자가 키를 설정하기 전에 먼저 키셋 매개변수라 불리는 매개변수 집합에 합의해야 한다.이러한 매개변수는 다음과 같이 구성된다.

• ${\displaystyle N}$ ${\displaystyle$ N$\},$ 브레이드의 가닥 수,
• ${\displaystyle q}$ ${\displaystyle q$ 유한 필드 $F{\displaystyle {\mathbb{}}_{}}$ ${\displaystyle {}_{}}$ ${\$
• ${\displaystyle {}_{}}$${\displaystyle {}_{}}$$∗{\$${*}},$$$F q {\$displaystyle \mathb {F} _{q$의 초기 NxN 시드 행렬,
• ${\displaystyle \mathrm{T}}$ ${\$ $유한{\displaystyle }$ 필드 $F{\displaystyle {\mathbb{}}_{}}$ ${\displaystyle {}_{}}$ ${\$의 N ${\displaystyle N}$ 요소$$ 집합$($$$T-값이라고도 함) 및
• ${\displaystyle A}$, ${\displaystyle B}$ ${\디스플레이$ 스타일 $A,B}$ 서로 통근하도록 설계된 브레이드 그룹의 결합체 세트$$.

E 곱하기

대수 지우개(Agebraic Earward)의 기본 조작은 E 곱하기라고 하는 단방향 함수다.Given a matrix, permutation, an Artin generator ${\displaystyle \beta }$ in the braid group, and T-values, one applies E-multiplication by converting the generator to a colored Burau matrix and braid permutation, ${\displaystyle (CB(\beta ),\sigma _{\beta })}$, applying the permutation and T-values, and then행렬과 순열의 곱하기The output of E-multiplication is itself a matrix and permutation pair: ${\displaystyle (M',\sigma ')=(M,\sigma _{0})*(CB(\beta ),\sigma _{\beta })}$.

키 설정 프로토콜

다음 예는 키 구축 방법을 예시한다.앨리스가 밥과 공유키를 만들고 싶어하지만, 이용 가능한 유일한 채널은 제3자에 의해 도청될 수 있다고 가정해보자.처음에 앨리스와 밥은 그들이 사용할 키셋 매개변수에 동의해야 한다.

각 당사자는 키셋에서 파생된 키 쌍을 가지고 있어야 하며${\displaystyle {}_{}}$ $여기$서 ${\displaystyle M_{}}$ ${\$$displaystyle (m_{A},\mathrm {B} _{a}) {\$$displaystyle m_{$a}}}로 구성되어야 한다.$A}$은 시드 매트릭스 $m{\displaystyle {}_{}}$ ${\displaystyle A_{}}$= ${\displaystyle \underset{}{\overset{}{}}}$ ${\displaystyle \underset{}{\overset{}{i}}}$= ${\displaystyle \underset{}{\overset{}{}}}$ N${\displaystyle \underset{}{\overset{}{}}}$- 1 ${\displaystyle \underset{}{\overset{}{\mathrm{a}}}}$ ${\displaystyle {}_{}{}_{}^{}}$ ∗ ${\displaystyle {}_{}^{}}$ i {\$displaystyle m_{}$의 임의로 선택한 다항식이다.$A}=\sum _{i=0}^{N-1}{a_{i}M_{*}^{i}}}$ and a braid, which is a randomly selected set of conjugates and inverses chosen from the keyset parameters (A for Alice and B for Bob, where (for Alice) ${\displaystyle \mathrm {B} _{a}=\prod _{i=1}^{k$$}}A_{i}^{\pm 1.}$

From their private key material Alice and Bob each compute their public key ${\displaystyle (Pub_{A},\sigma _{a})}$ and ${\displaystyle (Pub_{B},\sigma _{b})}$ where, e.g., ${\displaystyle (Pub_{A},\sigma _{a})=(m_{A},id)*b_{$$a$ 즉, 개인 매트릭스의 E- 곱셈과 개인 땋은 아이덴티티-퍼튜팅의 결과.

각 당사자는 의정서 실행에 앞서 상대방의 공개키를 알아야 한다.

To compute the shared secret, Alice computes ${\displaystyle (S_{ab},\sigma _{ab})=(m_{A}Pub_{B},\sigma _{b})*\mathrm {B} _{a}}$ and Bob computes ${\displaystyle (S_{ba},\sigma _{ba})=(m_{B}P$$ub_{A},\sigma _{a}*\mathrm {B} _{b$공유 비밀은 매트릭스/permutation 쌍$({\displaystyle S_{}}$ a ${\displaystyle b_{}}$,${\displaystyle {}_{}{a}_{}}$ a${\displaystyle {}_{}}$b ) ${\displaystyle(S_{ab},\sigma _{ab})$인데$,$ 이는${\displaystyle }$(${\displaystyle {}_{}}$ ${\displaystyle b_{}}$ ${\displaystyle a_{}}$,${\displaystyle {}_{}{}_{}}$ ${\displaystyle b_{}}$ ${\displaystystyle(S_{ba},\sigma _{ba})$과 같다$.$통근하기 위해 $결합{\displaystyle }$ 세트 A ${\displaystyle$ A$}$과 $B$ ${\displaystyle B}$을(를) 선택하고 앨리스와 밥 모두 동일한 시드 매트릭스 $M{\displaystyle \mathrm{}}$${\displaystyle {}_{}}$∗ ${\$과 T 값 T ${\${T$}}}$을 사용하기 때문에 공유 비밀은 동일하다$.$

앨리스가 처음에 폭로한 그녀의 개인 키에 대한 유일한 정보는 그녀의 공개 키뿐이다.그래서 앨리스 이외의 어떤 당사자도 앨리스의 개인 열쇠를 결정할 수 없다. 그 당사자가 브레이드 그룹 동시 결합 분리 검색 문제를 해결할 수 없다면 말이다.밥의 개인 키는 이와 유사하게 안전하다.앨리스나 밥 이외의 어떤 당사자도 디피를 해결할 수 없는 한, 공유된 비밀을 계산할 수 없다.헬맨 문제.

공개 키는 정적(인증서를 통해 신뢰할 수 있음)이거나 순간 삭제된 키입니다.사용 후 삭제 키는 일시적이며 반드시 인증되지 않으므로 인증을 원할 경우 다른 방법으로 진위 확인을 얻어야 한다.인신공격을 피하기 위해서는 인증이 필요하다.앨리스나 밥의 공개키 중 하나가 정적이면 중간 공격이 좌절된다.정적 공개 키는 다른 고급 보안 속성들 중에서 전방 비밀 유지나 키 보정 사칭 복원력을 제공하지 않는다.정적 개인 키 보유자는 다른 공용 키의 유효성을 확인해야 하며 원시 Diffie-에 보안 키 파생 기능을 적용해야 한다.헬먼은 정적 개인키에 대한 정보가 새지 않도록 비밀을 공유했다.

보안

AE의 보안은 브레이드 그룹 내의 일반화 동시 결합 검색 문제(GSCSP)^[4]에 기초한다.이것은 땋은 집단 암호법이라고 불리는 것의 중심적인 하드 문제가 되어온 결합 검색 문제(CSP)와는 뚜렷하고 다른 어려운 문제다.^[5]CSP가 균일하게 (현재까지 수행되지 않은) 깨진다고 해도, 이것이 어떻게 GSCSP의 파단을 촉진할 수 있을지는 알 수 없다.

알려진 공격

Kalka, Teicher, Tsaban의 첫 번째 공격은 $M{\displaystyle {}_{}}$ ${\displaystyle {\ast }_{}}$ ${\$ 또는$$ ${\displaystyle m_{}}$ $\$ {\$displaystyle m_{}}$일 때 약한 키의 종류를 나타낸다.$A}$은(는) 임의로 선택된다.^[6]대수 지우개의 저자들은 공격하기 쉬운 파라미터를 선택하는 방법에 대한 사전 인쇄를 뒤따랐다.^[7]벤 즈비, 블랙번, 차반은 첫 공격을 8 CPU 시간, 64MB 이하의 메모리를 사용하는 공개된 보안 매개변수(128비트 보안을 제공한다고 주장)를 깨는 것으로 개선했다.^[8]안셀, 앳킨스, 골드펠트는 2016년 1월 이 공격에 대응했다.^[9]

프리프린트로 출판된 마야스니코프와 우샤코프의 두 번째 공격은 너무 짧은 결합자 땋기로 선택한 결합체를 분리할 수 있다는 것을 보여주며, 이 시스템을 망가뜨린다.^[10]이 공격은 Gunnells에 의해 반박되었는데, 적절한 크기의 결합기 땋기는 분리될 수 없다는 것을 보여주었다.^[4]

2016년 사이먼 R.블랙번과 매튜 J. B. 롭쇼는 2016년 1월 초안인 ISO/IEC 29167-20 공중파 프로토콜에 대한 일련의 실제 공격을 발표했는데, 여기에는 시간과 메모리가 거의 없는 목표 태그의 사칭과 2회⁴⁹⁴⁸, 2회의 메모리가 필요한 완전한 개인 키 복구 등이 포함된다.^[11]앳킨스와 골드펠트는 초안 프로토콜에 해시 또는 메시지 인증 코드를 추가하면 이러한 공격을 물리친다고 응답했다.^[12]

참고 항목

• 안셀-안셀-골드펠트 키 교환
• 그룹 기반 암호화
• 비확정암호법

메모들

참조

외부 링크

• SecureRF 홈 페이지