Rabin şifreleme sistemi

Rabin şifreleme sistemi, Rabin kriptoloji veya Rabin kriptosistemi, güvenliği RSA'daki gibi tam sayı çarpanlarına ayırmanın zorluğu üzerine kurgulanmış olan asimetrik bir kriptografik tekniktir. Bununla birlikte, Rabin kriptosisteminin avantajı, saldırgan tam sayıları verimli bir şekilde çarpanlarına ayıramadığı sürece, seçilmiş bir düz metin saldırısına karşı hesaplama açısından güvenli olduğu matematiksel olarak kanıtlanmıştır, oysa RSA için bilinen böyle bir kanıt yoktur.^[1]^:145 Rabin fonksiyonunun her çıktısının dört olası girdiden herhangi biri tarafından üretilebilmesi dezavantajı; her çıktı bir şifreli metinse, olası dört girdiden hangisinin gerçek düz metin olduğunu belirlemek için şifre çözmede ekstra karmaşıklık gerekir.

Tarihçe

Algoritma Ocak 1979'da Michael O. Rabin tarafından yayınlandı.^[2] Rabin şifreleme sistemi, şifreli metinden düz metni kurtarmanın çarpanlara ayırma kadar zor olduğu kanıtlanabilen ilk asimetrik şifreleme sistemiydi.

Şifreleme algoritması

Tüm asimetrik şifreleme sistemleri gibi, Rabin şifreleme sistemi de bir anahtar çifti kullanır: şifreleme için genel anahtar ve şifre çözme için özel anahtar. Genel anahtar, herkesin kullanması için yayınlanırken, özel anahtar yalnızca mesajın alıcısı tarafından bilinir.

Anahtar üretimi

Rabin şifreleme sisteminin anahtarları şu şekilde oluşturulur:

İki tane çok büyük ve farklı $p$ , $q$ asal sayıları seçilir. Kare kökün hesaplanmasını basitleştirmek için bir tanesini $p\equiv q\equiv 3{\pmod {4}}$ yöntemi ile seçebiliriz. Fakat yöntem herhangi daha büyük asal sayılarla çalışır.
$n=p\cdot q$ hesaplanır. Burada $n$ açık anahtar, asal sayılardan oluşan $(p,q)$ ise özel anahtardır.

Şifreleme

Bir $M$ mesajı, önce tersine çevrilebilir bir eşleme kullanılarak $m<n$ sayısına dönüştürülerek ve ardından $c=m^{2}{\pmod {n}}$ hesaplanarak şifrelenebilir. Şifreli metin, $c$ 'dir.

Şifre çözme

$m$ mesajı, şifreli $c$ metninden karekök modül $n$ 'si aşağıdaki gibi alınarak elde edilebilir.

Aşağıdaki formülleri kullanarak $c$ modül $p$ ve $q$ 'nun karekökünü hesaplayın;
${\begin{aligned}m_{p}&=c^{{\frac {1}{4}}(p+1)}{\pmod {p}}\\m_{q}&=c^{{\frac {1}{4}}(q+1)}{\pmod {q}}\end{aligned}}$
$y_{p}\cdot p+y_{q}\cdot q=1$ olacak şekilde $y_{p}$ ve $y_{q}$ 'i bulmak için Genişletilmiş Öklid algoritması kullanın.
$c$ modül $n$ 'nin dört karekökünü bulmak için Çin kalan teoremi'ni kullanın:
${\begin{aligned}r_{1}&=\left(y_{p}\cdot p\cdot m_{q}+y_{q}\cdot q\cdot m_{p}\right){\pmod {n}}\\r_{2}&=n-r_{1}\\r_{3}&=\left(y_{p}\cdot p\cdot m_{q}-y_{q}\cdot q\cdot m_{p}\right){\pmod {n}}\\r_{4}&=n-r_{3}\end{aligned}}$

Bu dört değerden biri orijinal düz metin $m$ 'dir, ancak dördünden hangisinin doğru olduğu ek bilgi olmadan belirlenemez.

Kesin anahtar üretimi süreci aşağıdaki gibidir:

Karekökleri hesaplama

Yukarıdaki 1. adımdaki formüllerin aslında $c$ 'in kareköklerini aşağıdaki gibi ürettiğini gösterebiliriz. İlk formül için, $m_{p}^{2}\equiv c{\pmod {p}}$ olduğunu kanıtlamak istiyoruz. $p\equiv 3{\pmod {4}}$ olduğundan, ${\textstyle {\frac {1}{4}}(p+1)}$ üssü bir tam sayıdır. $c\equiv 0{\pmod {p}}$ ise ispat önemsizdir, bu nedenle $p$ 'nin $c$ 'yi bölmediğini varsayabiliriz. $c\equiv m^{2}{\pmod {pq}}$ ögesinin $c\equiv m^{2}{\pmod {p}}$ anlamına geldiğini unutmayın, dolayısıyla $c$ modül $p$ 'ye göre bir kuadratik kalıntıdır (rezidü). Buradan;

m_{p}^{2}\equiv c^{{\frac {1}{2}}(p+1)}\equiv c\cdot c^{{\frac {1}{2}}(p-1)}\equiv c\cdot 1{\pmod {p}}

yazılabilir. Son adım Euler ölçütü tarafından doğrulanır.

Deşifreleme şifreli metninin kare köklerini hesaplamak için $c$ mod asal sayı $p$ ve $q$ 'yu gerektirir.

m_{p}=c^{\frac {(p+1)}{4}}\,{\pmod {p}}

m_{q}=c^{\frac {(q+1)}{4}}\,{\pmod {q}}

olur.

Biz bu metodun $p$ için çalışmasını aşağıdaki gibi gösterebiliriz. İlk ${\frac {(p+1)}{4}}$ 'ün, $p\equiv 3\!\!\!{\pmod {4}}$ bir tam sayı olduğunu gösterir. $c\equiv 0{\pmod {p}}$ için varsayım basittir. Bu yüzden biz $p$ 'nin $c$ 'ye bölünmediğini varsayabiliriz. O zaman:

m_{p}^{2}\equiv c^{\frac {(p+1)}{2}}\equiv c\cdot c^{\frac {(p-1)}{2}}\equiv c\cdot \left({c \over p}\right){\pmod {p}},

\left({c \over p}\right)

Legendre sembolüdür.

c\equiv m^{2}{\pmod {pq}}

'dan aşağıdaki gibi

c\equiv m^{2}{\pmod {p}}

olarak hesaplanır.

Bu yüzden $x$ , modül $p$ 'nin kuadratik kalanıdır. Buradan;

\left({c \over p}\right)=1

m_{p}^{2}\equiv c{\pmod {p}}

elde edilir.

p\equiv 3{\pmod {4}}

ilişkisi bir gereksinim değildir. Çünkü kare kökler in diğer asal sayılarla modülü de hesaplanabilir.

Rabin kare köklerin asal sayılarla modlarını bulmak için Berlekamp algoritmasının özel bir durumunu kullanmayı önerir.

Örnek

Örnek olarak, $p=7$ ve $q=11$ olarak alalım, ardından $n=77$ olur (Elbette burada anahtarların seçimi kötüdür. 77'nin çarpanlarına ayrılması basittir gerçek örneklerde çok çok daha büyük sayılar kullanılır). Düz metnimiz olarak $m=20$ alalım. Şifreli metin bu şekilde

c=m^{2}{\pmod {n}}=400{\pmod {77}}=15

olarak elde edilir.

Bizim basit örneğimizde $P=\{0,\dots ,76\}$ bizim düz metin uzayımızdır. Biz $m=20$ 'yi bizim düz metnimiz olarak alacağız. Bu yüzden şifreli metin, $c=m^{2}\,{\pmod {n}}=400\,{\pmod {77}}=15$ 'dir. Açıkça $m$ ’nin 4 farklı değeri $m\in \{13,20,57,64\}$ için, şifreli metin 15 üretilir. Bu Rabin algoritması tarafından üretilen çoğu şifreli metinler için geçerlidir.

Şifre çözme işlemi şu şekilde ilerler:

$m_{p}=c^{{\frac {1}{4}}(p+1)}{\pmod {p}}=15^{2}{\pmod {7}}=1$ ve $m_{q}=c^{{\frac {1}{4}}(q+1)}{\pmod {q}}=15^{3}{\pmod {11}}=9$ hesaplanır.
$y_{p}=-3$ ve $y_{q}=2$ 'yi hesaplamak için genişletilmiş Öklid algoritması kullanılır. $y_{p}\cdot p+y_{q}\cdot q=(-3\cdot 7)+(2\cdot 11)=1$ olduğunu doğrulayabiliriz.
Dört düz metin adayını hesaplayın:
${\begin{aligned}r_{1}&=(-3\cdot 7\cdot 9+2\cdot 11\cdot 1){\pmod {77}}=64\\r_{2}&=77-64=13\\r_{3}&=(-3\cdot 7\cdot 9-2\cdot 11\cdot 1){\pmod {77}}=\mathbf {20} \\r_{4}&=77-20=57\end{aligned}}$

ve $r_{3}$ 'in istenen düz metin olduğunu görüyoruz. Dört adayın hepsinin 15 mod 77'nin karekökleri olduğuna dikkat edin. Yani, her aday için $r_{i}^{2}{\pmod {77}}=15$ , böylece her $r_{i}$ aynı değere (15) şifreler.

Eğer $c$ ve $r$ bilinirse düz metin $m^{2}\equiv c{\pmod {r}}$ ile $m\in \{0,\dots ,n-1\}$ olacaktır. $r$ bir kompozit sayıdır kompozit sayı asal olmayan herhangi bir pozitif sayıdan daha büyük pozitif sayı demektir. Eğer $N>0$ bir tam sayı ise ve $N=a\times b$ gibi $1<a,b<N$ sayısı var ise o zaman $N$ kompozit sayı demektir (yani Rabin algoritmasının $n=p\cdot q$ formülüne benzer). $m$ 'yi bulmak için bilinen daha etkili bir metot yoktur. Eğer asal ise (Rabin algoritmasındaki $p$ ve $q$ gibi) Çin kalan teoremi $m$ 'nin çözümü için başvurulabilecek bir metottur. Bu yüzden kare kökler;

m_{p}={\sqrt {c}}\,{\pmod {p}}

m_{q}={\sqrt {c}}\,{\pmod {q}}

hesaplanmış olmalıdır.

Bizim örneğimizde $m_{p}=1$ ve $m_{q}=9$ alalım, Genişletilmiş Öklid Algoritması uygulanarak biz $y_{p}$ ve $y_{q}$ 'yu bulmak isteyelim. $y_{p}\cdot p+y_{q}\cdot q=1$ ile bulunur. Bizim örneğimizde $y_{p}=-3$ ve $y_{q}=2$ bulunur.

Şimdi, Çin kalan teoremi yardımıyla, $c+n\mathbb {Z} \in \mathbb {Z} /n\mathbb {Z}$ 'nin dört karekökü $+r$ , $-r$ , $+s$ ve $-s$ şeklinde hesaplanır (burada $\mathbb {Z} /n\mathbb {Z}$ , ${\bmod {n}}$ uyum sınıfları halkası [ring of congruence classes] anlamına gelir.) 4 kare kök $\{0,\dots ,n-1\}$ kümesi içindedir:

{\begin{matrix}r&=&(y_{p}\cdot p\cdot m_{q}+y_{q}\cdot q\cdot m_{p})\,{\pmod {n}}\\-r&=&n-r\\s&=&(y_{p}\cdot p\cdot m_{q}-y_{q}\cdot q\cdot m_{p})\,{\pmod {n}}\\-s&=&n-s\end{matrix}}

'dir.

Bu kare köklerin bir tanesi ${\bmod {n}}$ orijinal düz metin $m$ ’dir. Bizim örneğimizde $m\in \{64,\mathbf {20} ,13,57\}$ 'dir.

Rabin kendi makalesinde eğer bir kişi hem $r$ hem de $s$ 'yi hesaplayabilirse o zaman $n$ 'nin çarpanlarını da hesaplayabileceğini bize şöyle gösteriyor;

\gcd(|r-s|,n)=p

\gcd(|r-s|,n)=q

, burada

\gcd

(Greatest Common Divisor) yani en büyük ortak bölen (EBOB) anlamına gelir.

Çünkü eğer bir kişi $r$ ve $s$ 'yi biliyorsa, en büyük ortak bölen $n$ 'nin çarpanlarını bulmak için etkili bir hesaplama yöntemidir bizim örneğimizde ( $57$ ve $13$ 'ü $r$ ve $s$ olarak alalım):

\gcd(57-13,77)=\gcd(44,77)=11=q

bulunur.

Dijital İmza Algoritması

Rabin şifreleme sistemi, dijital imza'lar oluşturmak ve doğrulamak için kullanılabilir. İmza oluşturmak için $(p,q)$ özel anahtarı gerekir. Bir imzanın doğrulanması için $n$ ortak anahtarı gerekir.

İmzalama

Bir $m<n$ mesajı, bir özel anahtar $(p,q)$ ile aşağıdaki gibi imzalanabilir.

Rastgele bir $u$ değeri oluşturun.
$c=H(m|u)$ 'i hesaplamak için bir $H$ kriptografik özet fonksiyonunu kullanın, buradaki | notasyonu birleştirmeyi (İngilizce: concatenation) gösterir. $c$ , $n$ değerinden küçük bir tam sayı olmalıdır.
$c$ 'yi Rabin tarafından şifrelenmiş bir değer olarak ele alın ve özel anahtarı $(p,q)$ kullanarak şifresini çözmeye çalışın. Bu, olağan şekilde dört $r_{1},r_{2},r_{3},r_{4}$ sonucunu üretecektir.
Her bir $r_{i}$ şifrelemenin $c$ üreteceği beklenebilir. Ancak, bu yalnızca $c$ bir kuadratik kalıntı mod $p$ ve $q$ olursa doğru olacaktır. Durumun böyle olup olmadığını belirlemek için, ilk şifre çözme sonucunu $r_{1}$ şifreleyin. $c$ olarak şifrelemezse, bu algoritmayı yeni bir rastgele $u$ ile tekrarlayın. Uygun bir $c$ bulmadan önce bu algoritmanın tekrarlanması gereken beklenen tekrar sayısı 4'tür.
$c$ olarak şifreleyen bir $r_{1}$ bulduktan sonra, imza $(r_{1},u)$ olur.

İmzanın doğrulanması

$m$ mesajı için bir $(r,u)$ imzası, $n$ genel anahtarı kullanılarak aşağıdaki gibi doğrulanabilir.

$c=H(m|u)$ 'yi hesapla.
$r$ 'yi $n$ ortak/açık anahtarını kullanarak şifrele.
İmza, ancak ve ancak $r$ şifrelemesinin $c$ 'ye eşit olması durumunda geçerlidir.

Algoritmanın değerlendirilmesi

Etkinlik

Şifre çözme, doğru sonuca ek olarak üç yanlış sonuç üretir, böylece doğru sonucun tahmin edilmesi gerekir. Bu, Rabin şifreleme sisteminin en büyük dezavantajıdır ve yaygın pratik kullanım bulmasını engelleyen faktörlerden biridir.

Düz metnin bir metin mesajını temsil etmesi amaçlanıyorsa, tahmin etmek zor değildir; bununla birlikte, eğer düz metin sayısal bir değeri temsil etmeyi amaçlıyorsa, bu konu, bir tür belirsizliği giderme şemasıyla çözülmesi gereken bir problem haline gelir. Bu problemi ortadan kaldırmak için özel yapılara sahip düz metinler seçmek veya dolgu eklemek mümkündür. Tersine çevirmenin belirsizliğini ortadan kaldırmanın bir yolu Blum ve Williams tarafından önerilmiştir: kullanılan iki asal sayı, 3 modül 4 ile uyumlu asal sayılarla sınırlandırılmıştır ve kare alma alanı, ikinci dereceden kalıntılar kümesiyle sınırlandırılmıştır. Bu kısıtlamalar, kare alma fonksiyonunu bir tuzak kapı permütasyonuna dönüştürerek belirsizliği ortadan kaldırır.^[3]

Verimlilik

Şifreleme için bir kare modül n hesaplanmalıdır. Bu, en az bir küpün hesaplanmasını gerektiren RSA'dan daha verimlidir.

Şifre çözme için, iki modüler üsle birlikte Çin kalan teoremi uygulanır. Burada verimlilik RSA ile karşılaştırılabilir.

Belirsizliği giderme, ek hesaplama maliyetleri getirir ve Rabin şifreleme sisteminin yaygın pratik kullanım bulmasını engelleyen şeydir.^{[kaynak belirtilmeli]}

Güvenlik

Rabin ile şifrelenmiş bir değerin şifresini çözen herhangi bir algoritmanın $n$ modülünü çarpanlara ayırmak için kullanılabileceği kanıtlanmıştır. Bu nedenle, Rabin şifre çözme en az tam sayı çarpanlarına ayırma problemi kadar zordur, bu RSA için kanıtlanmamış bir şeydir. Genellikle çarpanlara ayırma için polinom-zaman algoritması olmadığına inanılır, bu da özel anahtar $(p,q)$ olmadan Rabin ile şifrelenmiş bir değerin şifresini çözmek için verimli bir algoritma olmadığı anlamına gelir.

Rabin şifreleme sistemi, şifreleme süreci deterministik olduğu için seçilen düz metin saldırılarına karşı ayırt edilemezlik sağlamaz. Bir şifreli metin ve bir aday mesaj verilen bir rakip, şifreli metnin aday mesajı kodlayıp kodlamadığını kolayca belirleyebilir (sadece aday mesajı şifrelemenin verilen şifreli metni verip vermediğini kontrol ederek).

Rabin şifreleme sistemi, seçilen bir şifreli metin saldırısına karşı güvensizdir (sorgulama mesajları, mesaj uzayından homojen bir biçimde rastgele seçilse bile).^[1]^:150 Fazlalıklar, örneğin son 64 bitin tekrarı eklenerek, sistem tek bir kök üretmek için yapılmıştır. Bu, seçilen şifreli metin saldırısını engeller, çünkü şifre çözme algoritması yalnızca saldırganın zaten bildiği kökü üretir. Eğer bu teknik uygulanırsa, çarpanlara ayırma problemi ile denkliğin ispatı başarısız olur, bu yüzden bu varyantın güvenli olup olmadığı 2004 itibarıyla belirsizdir. Menezes, Oorschot ve Vanstone tarafından hazırlanan Handbook of Applied Cryptography,^[4] köklerin bulunması iki parçalı bir süreç olduğu sürece (1. ${\bmod {p}}$ ve ${\bmod {q}}$ kökleri ve 2. Çin kalan teoreminin uygulaması) bu eşdeğerliğin muhtemel olduğunu düşünmektedir.

Notlar

^ ^a ^b Stinson, Douglas (1995). Cryptography: Theory and Practice. CRC Press LLC.
^ Rabin, Michael (Ocak 1979). "Digitalized Signatures and Public-Key Functions as Intractable as Factorization" (PDF). MIT Laboratory for Computer Science. 12 Temmuz 2010 tarihinde kaynağından (PDF) arşivlendi.
^ Shafi Goldwasser and Mihir Bellare "Lecture Notes on Cryptography" 21 Nisan 2012 tarihinde Wayback Machine sitesinde arşivlendi.. Summer course on cryptography, MIT, 1996-2001
^ Alfred J. Menezes; Paul C. van Oorschot; Scott A. Vanstone (Ağustos 2001) [1996], Handbook of Applied Cryptography (5 bas.), CRC Press, ISBN 0-8493-8523-7, 3 Şubat 2021 tarihinde kaynağından arşivlendi, erişim tarihi: 14 Mart 2020

Ayrıca bakınız

Kriptografi konuları
Blum Blum Shub
Shanks–Tonelli algoritması
Schmidt-Samoa şifreleme sistemi
Blum-Goldwasser şifreleme sistemi

Kaynakça

Buchmann, Johannes (2001), Einführung in die Kryptographie (Almanca) (2. bas.), Berlin: Springer, ISBN 3-540-41283-2
Rabin, Michael (Ocak 1979), Digitalized Signatures and Public-Key Functions as Intractable as Factorization (PDF), MIT Bilgisayar Bilimi Laboratuvarı, 12 Temmuz 2010 tarihinde kaynağından arşivlendi (PDF), erişim tarihi: 14 Mart 2020
Scott Lindhurst (Ağustos 1999), R. Gupta & K. S. Williams (Ed.), "An analysis of Shank's algorithm for computing square roots in finite fields", CRM Proc. & Lec. Notes, AMS, 19 KB1 bakım: Editörler parametresini kullanan (link)
R. Kumanduri; C. Romero (1997), Alg 9.2.9"İkinci dereceden bir kalan modülasının kare kökü için bir olasılık", Number Theory w/ Computer Applications, Prentice Hall

Dış bağlantılar

Alfred J. Menezes; Paul C. van Oorschot; Scott A. Vanstone (Ağustos 2001) [1996], "Bölüm 8", Handbook of Applied Cryptography (PDF) (5. bas.), CRC Press, ISBN 0-8493-8523-7, 3 Şubat 2021 tarihinde kaynağından arşivlendi, erişim tarihi: 14 Mart 2020

Açık anahtarlı şifreleme

Algoritmalar

Sabit çarpanlara ayırma	Benaloh Blum–Goldwasser Cayley–Purser Damgård–Jurik GMR Goldwasser–Micali Naccache–Stern Paillier Rabin RSA Okamoto–Uchiyama Schmidt–Samoa
Ayrık logaritma	BLS Cramer–Shoup DH DSA ECDH ECDSA EdDSA EKE ElGamal imza çizelgesi MQV Schnorr SPEKE SRP STS
Diğerleri	AE CEILIDH EPOC HFE IES Lamport McEliece Merkle–Hellman Merkle İmzası Naccache–Stern Naccache–Stern knapsack kriptosistemi NTRUEncrypt NTRUSign Üç geçişli protokol XTR