А.В. АРХАНГЕЛЬСКАЯ, С.В. ЗАПЕЧНИКОВ КРИПТОГРАФИЧЕСКИЕ ГЕНЕРАТОРЫ ПСЕВДОСЛУЧАЙНЫХ ЧИСЕЛ С РАСПРЕДЕЛЕННЫМ СЕКРЕТНЫМ КЛЮЧОМ

УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы
А.В. АРХАНГЕЛЬСКАЯ, С.В. ЗАПЕЧНИКОВ
Московский инженерно-физический институт (государственный университет)
КРИПТОГРАФИЧЕСКИЕ ГЕНЕРАТОРЫ
ПСЕВДОСЛУЧАЙНЫХ ЧИСЕЛ С РАСПРЕДЕЛЕННЫМ
СЕКРЕТНЫМ КЛЮЧОМ
В системах криптографической защиты информации (СКЗИ) на основе схем
разделения секрета (СРС), одной из важных функций является распределенный
механизм вычисления псевдослучайных функций (ПСФ). Предлагаемый авторами
способ реализации этого примитива является развитием классических СРС.
Определение. Пусть Fm   f   – семейство ПСФ с параметром m и
ключом . (t,n)-пороговое вычисление Fm – тройка <S,F,G> функций
(функция разделения ключа, вычисления с разделенными данными и
функция реконструкции соответственно), вычислимых за полиномиальное
время, таких что: 1)  fFm: S()=<1,...,n>; 2)  1  i1  ...  it  n :




G i1 , F  i1 , x ,..., it , F  it , x
   f x ; 3) 
1  i1  ...  it 1  n :
по заданным  i t 1
j j 1
и множеству Y величин (количество которых полиномиально ограничено,
а элементы множества выбираются адаптивно, возможно, в зависимости
от  i t 1 ) и по данным f  y , F  i , y in1 для y  Y , функция fявляется
j
j 1
псевдослучайной на множестве аргументов, не принадлежащих
множеству Y [1].
Механизм распределенной генерации ПСФ по передаваемым на вход
числам h выполняет (t,n)-пороговое вычисление ПСФ, т.е. возвращает данные,
по которым запросивший определяет значения f(h), причем их
последовательность вычислительно неразличима с последовательностью
случайных чисел. Известны различные подходы к вычислению таких функций.
Для применения в СКЗИ предлагается адаптировать способ, основанный на
обобщении СРС Шамира [2] для многочленов от двух переменных, который
дает высокопроизводительные алгоритмы, а последовательность генерируемых
значений функции является истинно случайной. Особенностью способа
является ограничение количества значений f(h), после которого
последовательность перестает быть случайной.
Пусть G={S1,...,Sn} – множество узлов распределенной компьютерной
системы, U – пользователь, имеющий защищенные каналы связи с узлами
SiG, i  1, n . F – множество всех многочленов от двух переменных P(x,y)
ISBN 5-7262-0711-4. XIV Всероссийская научная конференция
23
УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы
над конечным полем H, в которых максимальная степень вхождения
переменной x в одночлены равна t-1, переменной y – l-1.  – ключ,
выбираемый случайным образом, состоящий из lt коэффициентов
многочлена, при помощи которого выбирается функция fF. Значением
функции является элемент поля H, размер которого должен быть порядка
требуемой длины значения ПСФ. Параметр l определяет предельное
количество ключей, которые могут быть выработаны при сохранении
свойства псевдослучайности. Механизм вычисления ПСФ включает три
протокола, все операции выполняются в поле H.
Протокол инициализации: 1. Узел SiG, i  1, n , выбирает многочлен
Pi(0)(x,y) со случайными коэффициентами и рассылает его всем остальным
узлам Sj, ji. Общий многочлен определяется как Px, y  
P ( 0 )  x, y  .

i
S i G
2. Каждый узел SiG вычисляет свой ключ i=P(i,y)=Qi(y), deg Qi(y) = l-1.
Протокол вычисления значения ПСФ: 1. Пользователь U рассылает
узлам SiG, i  1, n , значение h, для которого необходимо получить
f(h)=P(0,h). 2. Узел SiG, i  1, n , вычисляет i,h=F(i,h)=Qi(h)=P(i,h) и
пересылает его пользователю.
3. Пользователь U выполняет
интерполяцию по формуле Лагранжа, по точкам i j ,  i ,h t , S j  G находит
j 1
j
P(0,h)=Q0(h)=f(h).
Протокол обновления ПСФ:
1. Узел SiG, i  1, n , выбирает
(t)
многочлен Pi (x,y) со случайными коэффициентами, такой что Pi(t)(0,y)=0
и рассылает всем остальным узлам Sj, ji значения Pi(t)(j,y). 2. Все узлы
выполняют протокол совместной генерации случайного числа r. 3. Узел
SiG, i  1, n , вычисляет Pi(t)(x,r) и рассылает этот многочлен всем
остальным узлам SjG, ji. 4. Узел SjG, j  1, n , проверяет для каждого i,
что Pi(t)(0,r)=0 и проверяет соответствие этого многочлена присланному
ему на шаге (1). В случае положительного результата для всех i он
полагает, что новый многочлен P (t ) x, y   P t 1 x, y   P (t )  j, y  .
j
j

i
Si G
Список литературы
1. Naor M., Pinkas B., Reingold O. Distributed pseudo-random functions and KDCs. – Advances in Cryptology: EUROCRYPT'99, LNCS, V. 1592. – Springer-Verlag, 1999. P. 327–346.
2. Shamir A. How to share a secret // Comm. ACM, Vol. 22, No. 11, 1979. P. 612 – 613.
ISBN 5-7262-0711-4. XIV Всероссийская научная конференция
24