Гомоморфные подписи для сетевого кодирования - Homomorphic signatures for network coding

Сетевое кодирование было показано, что оптимально использовать пропускная способность в сети, максимизируя информационный поток, но эта схема по своей природе очень уязвима для атак загрязнения со стороны злонамеренных узлов в сети. Узел, вводящий мусор, может быстро повлиять на многие получатели. Загрязнение сетевые пакеты распространяется быстро, так как выход (даже) честного узла поврежден, если поврежден хотя бы один из входящих пакетов. Злоумышленник может легко повредить пакет, даже если он зашифрован, путем подделки подписи или создания коллизии под хэш-функция. Это даст злоумышленнику доступ к пакетам и возможность их повредить. Денис Чарльз, Камаль Джайн и Кристин Лаутер разработали новый гомоморфное шифрование схема подписи для использования с сетевым кодированием для предотвращения атак загрязнения.[1] Гомоморфность подписей позволяет узлам подписывать любую линейную комбинацию входящих пакетов, не связываясь с органом подписи. В этой схеме для узла вычислительно невозможно подписать линейную комбинацию пакетов, не раскрывая, что линейная комбинация использовался при генерации пакета. Кроме того, мы можем доказать, что схема подписи безопасна при хорошо известных криптографический предположения о твердости дискретный логарифм проблема и вычислительная Эллиптическая кривая Диффи – Хеллмана.

Сетевое кодирование

Позволять быть ориентированный граф куда - множество, элементы которого называются вершинами или узлы, и это набор заказанные пары вершин, называемых дугами, направленными ребрами или стрелками. Источник хочет передать файл к набору вершин. Один выбирает векторное пространство (скажем о размере ), куда является простым и рассматривает данные, которые должны быть переданы, как набор векторов . Затем источник создает дополненные векторы установив куда это -я координата вектора . Есть нули перед первой "1" появляется в . Без ограничения общности можно считать, что векторы находятся линейно независимый. Обозначим линейное подпространство (из ), натянутые на эти векторы . Каждый исходящий край вычисляет линейную комбинацию, , векторов, входящих в вершину откуда начинается край, т. е.

куда . Мы рассматриваем источник как имеющий входные края, несущие векторов . К индукция, то вектор на любом ребре - линейная комбинация и является вектором в . K-мерный вектор просто первый k координаты вектора . Мы называем матрица чьи строки являются векторами , куда входящие ребра для вершины , глобальная матрица кодирования для и обозначим его как . На практике векторы кодирования выбираются случайным образом, поэтому матрица обратима с большой вероятностью. Таким образом, любой получатель, получив могу найти путем решения

где - векторы, образованные удалением первого координаты вектора .

Расшифровка на приемнике

Каждый приемник, , получает векторов которые представляют собой случайные линейные комбинации S. На самом деле, если

тогда

Таким образом, мы можем инвертировать линейное преобразование, чтобы найти С высоким вероятность.

История

Крон, Фридман и Мазьер предложили теорию[2] в 2004 году, если у нас есть хеш-функция такой, что:

  • является стойкий к столкновениям - трудно найти и такой, что ;
  • это гомоморфизм.

Тогда сервер сможет безопасно распространять каждому получателю и проверить,

мы можем проверить, есть ли

Проблема с этим методом заключается в том, что серверу необходимо передавать защищенную информацию каждому из получателей. Хеш-функции необходимо передать на все узлы в сети через отдельный защищенный канал. требует больших затрат на вычисление и безопасную передачу тоже не экономично.

Преимущества гомоморфных подписей

  1. Устанавливает аутентификацию в дополнение к обнаружению загрязнения.
  2. Нет необходимости распространять безопасные хеш-дайджесты.
  3. Обычно будет достаточно меньшей битовой длины. Подписи длиной 180 бит имеют такую ​​же безопасность, как и 1024-битные подписи RSA.
  4. Публичная информация не меняется для последующей передачи файлов.

Схема подписи

Гомоморфность подписей позволяет узлам подписывать любую линейную комбинацию входящих пакетов, не связываясь с органом подписи.

Криптография на эллиптических кривых над конечным полем

Криптография на эллиптических кривых над конечным полем - это подход к криптография с открытым ключом основанный на алгебраической структуре эллиптические кривые над конечные поля.

Позволять - конечное поле такое, что не является степенью 2 или 3. Тогда эллиптическая кривая над кривая, заданная уравнением вида

куда такой, что

Позволять , тогда,

образует абелева группа с O как личность. В групповые операции может выполняться эффективно.

Спаривание Вейля

Спаривание Вейля это конструкция корни единства с помощью функций на эллиптическая кривая , таким образом, чтобы создать спаривание (билинейная форма хотя с мультипликативная запись ) на торсионная подгруппа из . Позволять - эллиптическая кривая и пусть быть алгебраическим замыканием . Если является целым числом, взаимно простым с характеристикой поля , то группа -точки кручения,.

Если эллиптическая кривая и тогда

Есть карта такой, что:

  1. (Билинейный) .
  2. (Невырожденный) для всех п подразумевает, что .
  3. (Чередование) .

Также, можно вычислить эффективно.[3]

Гомоморфные подписи

Позволять быть первым и основная сила. Позволять быть векторным пространством размерности и - эллиптическая кривая такая, что .Определять следующее:.Функция - произвольный гомоморфизм из к .

Сервер выбирает тайно в и публикует точку p-кручения такое, что а также издает за .Подпись вектора является Примечание: эта сигнатура гомоморфна, поскольку вычисление h является гомоморфизмом.

Проверка подписи

Данный и его подпись , подтвердите это

Проверка критически использует билинейность спаривания Вейля.

Настройка системы

Сервер вычисляет для каждого . Передает .На каждом краю при вычислениитакже вычислитьна эллиптической кривой .

Подпись - это точка на эллиптической кривой с координатами в . Таким образом, размер подписи бит (что является постоянным временем бит, в зависимости от относительного размера и ), и это накладные расходы передачи. Вычисление подписи в каждой вершине требуется битовые операции, где внутренняя степень вершины . Для проверки подписи требуется битовые операции.

Доказательство безопасности

Злоумышленник может вызвать коллизию под хеш-функцией.

Если дано указывает в найти и

такой, что и

Утверждение: есть полиномиальное сокращение времени от дискретного журнала на циклическая группа порядка на эллиптических кривых к Hash-Collision.

Если , то получаем . Таким образом .Мы утверждаем, что и . Предположим, что , тогда у нас было бы , но это по порядку ведения заседания (простое число) таким образом . Другими словами в . Это противоречит предположению, что и различные пары в . Таким образом, мы имеем , где обратная величина берется по модулю .

Если у нас r> 2, мы можем сделать одно из двух. Либо мы можем взять и как прежде и установить за > 2 (в этом случае доказательство сводится к случаю, когда ), или мы можем взять и куда выбираются случайным образом из . Мы получаем одно уравнение с одной неизвестной (дискретный журнал ). Вполне возможно, что полученное уравнение не включает неизвестное. Однако это происходит с очень малой вероятностью, как мы рассуждаем дальше. Предположим, алгоритм Hash-Collision дал нам, что

Тогда пока , мы можем найти дискретный журнал Q. Но Оракулу неизвестны для Hash-Collision, поэтому мы можем поменять местами порядок, в котором происходит этот процесс. Другими словами, учитывая , за , не все равны нулю, какова вероятность того, что Мы выбрали удовлетворение ? Ясно, что последняя вероятность равна . Таким образом, с большой вероятностью мы сможем найти дискретный логарифм .

Мы показали, что создавать хеш-коллизии в этой схеме сложно. Другой метод, с помощью которого злоумышленник может помешать нашей системе, - это подделка подписи. Эта схема для подписи по сути является версией схемы подписи Boneh-Lynn-Shacham с использованием агрегированной подписи.[4] Здесь показано, что подделка подписи не менее сложна, чем решение эллиптическая кривая Диффи – Хеллмана проблема. Единственный известный способ решить эту проблему на эллиптических кривых - это вычисление дискретных журналов. Таким образом, подделка подписи не менее сложна, чем решение вычислительного ко-Диффи – Хеллмана на эллиптических кривых, и, вероятно, так же сложно, как вычисление дискретных журналов.

Смотрите также

Рекомендации

  1. ^ «Подписи для сетевого кодирования». 2006 г. CiteSeerX  10.1.1.60.4738. Цитировать журнал требует | журнал = (помощь)
  2. ^ https://www.cs.princeton.edu/~mfreed/docs/authcodes-sp04.pdf
  3. ^ Эйзентрегер, Кирстен; Лаутер, Кристин; Монтгомери, Питер Л. (2004). «Улучшенные пары Вейля и Тейта для эллиптических и гиперэллиптических кривых»: 169–183. arXiv:математика / 0311391. Bibcode:2003математика ..... 11391E. CiteSeerX  10.1.1.88.8848. Цитировать журнал требует | журнал = (помощь)
  4. ^ http://cseweb.ucsd.edu/~hovav/dist/sigs.pdf

внешняя ссылка

  1. Комплексное представление о системе P2P с кодированием в реальном времени
  2. Подписи для сетевого кодирования (презентация) СНПЧ 2006, Принстон
  3. Лекционные заметки по теории кодирования Университета в Буффало - доктор Атри Рудра