Медведев Н.В.Титов С.С.

2

Определения:1. Дилер2. Участник3. Злоумышленник

3

Свойства СРС:1.

Совершенность2. Идеальность3. Пороговость4. Линейность

4

5

bkxxF )( 1. Формирование секрета S дилером

если , то

2. Параметризация участников

3. Расчет долей секрета

Над конечным полем

Nixxx N ...1,,...,, 21

SbkxxF

bkxxF

secsec )(

,)(

NNNN sybkxxF

sybkxxF

sybkxxF

)(

...

)(

)(

2222

1111

2-квазигруппа

x kF )(

1

)(

max

qN

qGFK

6

4. Восстановление секретаИнтерполяционный многочлен Лагранжа:

Решение системы уравнений:

SbkxxF

bk

sbkx

sbkx

secsec

22

11

)(

??,

121

22

12

1)( sxx

xxs

xx

xxxF

21

12

12

21

21

1

12

2

)()(

xx

sx

xx

sxb

xx

s

xx

sk

7

«2 из N» Совершенность

8

сbxaxy 21. Формирование секрета S

дилером если , то

2. Параметризация участников

3. Расчет долей секрета

Nixxx N ...1,,...,, 21

,)( 2 сbxaxxF

NNNNN syсbxaxxF

syсbxaxxF

syсbxaxxF

2

222222

111211

)(

...

)(

)(

3-квазигруппа

xaF )(

SсbxaxxF sec2secsec )(

9

4. Восстановление секрета

Интерполяционный многочлен Лагранжа:

Решение системы уравнений:

ScbxaxxF

cba

scbxax

scbxax

scbxax

sec2secsec

3323

2222

1121

)(

??,?,

23212

311

3121

32

))((

))((

))((

))(()( s

xxxx

xxxxs

xxxx

xxxxxF

32313

21

))((

))((s

xxxx

xxxx

10

«3 из N» Совершенность

11

1. Параметризация участников абсциссами из множества

2. Формирование многочлена дилером

- линейность3. Расчет доли секрета для N участников

- идеальность

Интерполяционный многочлен Лагранжа

)...()( 012

21

1 axaxaxaxF kk

kk

Nixxx N ...1,,...,, 21

NN sxF

sxF

sxF

)(

...

)(

)(

22

11

ix

0aS ),,...,,(),,...,,()( 021

0121 xxxxaaaaxF kkkk

kj

k

jj

j

jj

j

j

k

iji ij

ij

k

jjj

xx

xx

xx

xx

xx

xx

xx

xx

xx

xxxl

xFxlyxL

......)(

)()()(

1

1

1

1

0

0

,0

1

4. Восстановление секрета k участниками

Любой идеальной СРС соответствует связный матроид.Введение в криптографию / Под общ. ред. В.В. Ященко. СПб: Питер, 2001. – 288 с.

Асанов М.О., Баранский В.А., Расин В.В. Дискретная математика: графы, матроиды, алгоритмы. — Ижевск: ННЦ "Регулярная и хаотическая динамика", 2001. — С. 288.

Не для любой структуры доступа возможно идеальное разделение секрета.

Для любого набора разрешенных множеств можно построить совершенную СРС

12

kkk

kkk

kk

kk

kk

kk

kk

saxaxaxa

saxaxaxa

saxaxaxa

012

21

1

20212

221

21

10112

121

11

...

...

...

...

Если поле конечно, то каково максимально возможное число участников для линейных пороговых «k из N» CРС?

Гипотеза: , за исключением двух случаев: , когда , и случая , или , когда .Введение в криптографию / Под общ. ред. В.В. Ященко. СПб: Питер, 2001. – 288 с.

13

)(qGFK

maxNN

1max qNN

kq 1kNmq 2 3k 1qk

2qN

Алгоритм удвоения и сложения точек на эллиптической кривой

14

642

23

312 aXaXaXYaXYaY

62

232 aXaXY

baXXY 232

Абелева группа,

00

Форма Вейерштрасса:Теорема Хассе

15

Сложение: Удвоение:

3112

1213

21

2

12

123

33

2211

),(

),(),,(

xxxx

yyyy

xxxx

yyx

yxQP

yxQyxP

)(2

3

22

3

),(2

),(

211

21

12

1

2

1

21

2

22

11

xxy

axyy

xy

axx

yxP

yxP

16

44y 32 xx

легко трудно

Пример:100P=2(2(P+2(2(2(P+2P)))))Всего 8 операций!Элементарное введение в эллиптическую криптографию:

Алгебраические и алгоритмические основы / А.А. Болотов, С.Б. Гашков, А.Б. Фролов, А.А. Часовских. – М.: КомКнига, 2006. – 328 с.

17

?,

?

),(

),(

11

00

nQP

QnPP

yxQ

yxP

Стандартное использованиеэллиптических кривых в криптографии

1. Формирование секрета S дилером

2. Параметризация участников

3. Расчет доли секрета

18

cbxaxxy 232

yxxyxF )()(),(

NNNNN syxxPF

syxxPF

syxxPF

)()()(

...

)()()(

)()()(

22222

11111

NiPPP N ...1,,...,, 21

3deg2,deg2maxdeg F

19

4. Восстановление секрета

Решение системы уравнений:

SyxxxF

syxx

syxx

syxx

kkkk

secsecsecsec

2222

1111

)()()(

)()(

...

)()(

)()(

Для k различных точек на эллиптической кривой EC существует многочлен степени k, имеющий эти точки своими корнями, тогда и только тогда, когда сумма этих k точек равна нулю в группе точек данной кривой .

20

Доказательство основано на теореме о главных дивизорах

k=3

kPPP ,...,, 21

0...21 kPPP

0

1

1

1

33

22

11

yx

yx

yx

EyDCxPF )()(

0)(

0)(

0)(

33

22

11

EyDCx

EyDCx

EyDCx

Пусть неразрешенная коалиция

, тогда

При введение любого другого участника в неразрешенную коалицию из k участников делает ее разрешенной.

Почти-пороговая схема разделения секрета.

21

ECPPP k ,...,, 21

kPPPP ,...,, 21

00)...()(... 12112 PPPPPPPPPP kk

1PP

В данной конечной абелевой группе G для данного k такого, что , не существует k-подмножества, сумма элементов которого равна нулю, в следующих лишь случаях:

1) G – элементарная абелева группа вида , , при или при 2) в группе G имеется единственный (ненулевой) элемент второго порядка, иВ этом случае , четно.

22

Gk 0

rZ22k 1r 22 rk ;2r

.Gk kZG k

23

021

21

gg

gg

1) Пример – СРС «2 из 2»,

8,2 rZ r

)10100011()10100011()00000000(

2) Пример - СРС «k из k» (циклическая группа), k – четно

Вывод: пороговость для EC только в тривиальных случаях

kZG

)6(mod03543210

5,4,3,2,1,0

6

6

Z

k

rq 2

24

EF

sEyCBxPF

sEyCBxPF

sEyCBxPF

EyCBxPF

cbxaxxy

)(

)()(

...

)()(

)()(

)()(

10101010

2222

1111

232

333

222

111

)(

)(

)(

sEyCBx

sEyCBx

sEyCBx

45 232 xxxy

+ P0 P1 P2 P3 P4 P5 P6 P7 P8 P9 P10P0 P0 P1 P2 P3 P4 P5 P6 P7 P8 P9 P10

P1 P1 P7 0 P4 P10 P8 P9 P6 P2 P3 P5

P2 P2 0 P8 P9 P3 P10 P7 P1 P5 P6 P4

P3 P3 P4 P9 P2 0 P7 P5 P10 P6 P8 P1

P4 P4 P10 P3 0 P1 P6 P8 P5 P9 P2 P7

P5 P5 P8 P10 P7 P6 P3 0 P2 P4 P1 P9

P6 P6 P9 P7 P5 P8 0 P4 P3 P1 P10 P2

P7 P7 P6 P1 P10 P5 P2 P3 P9 0 P4 P8

P8 P8 P2 P5 P6 P9 P4 P1 0 P10 P7 P3

P9 P9 P3 P6 P8 P2 P1 P10 P4 P7 P5 0P10 P10 P5 P4 P1 P7 P9 P2 P8 P3 0 P6

25

Неразрешенные коалиции участников: 1 4 9, 1 5 7, 1 6 10, 2 3 10, 2 5 9, 2 6 8, 3 5 8, 3 7 9, 4 6 7, 5 8 10, 1 2 ∞, 3 4 ∞, 5 6 ∞, 7 8 ∞, 9 10 ∞

26

44y 32 xx

1010

9999299

2222222

1111211

2

32

)()(

)()()(

...

)()()(

)()()(

)()()(

sDFPF

syEDxCBxAxPF

syEDxCBxAxPF

syEDxCBxAxPF

yEDxCBxAxPF

baxxy

555425

444424

333323

222222

111121

)()(

)()(

)()(

)()(

)()(

syEDxCBxAx

syEDxCBxAx

syEDxCBxAx

syEDxCBxAx

syEDxCBxAx

)2,2(

,4432

P

xxy

6791023554217729315948390109688241866079683439708782272218370255

80617267376375082018159598020761972106125638526333287242110470370029614285880758463879034713928845411700941415

704167863106789398397347333261603231031485122

50

y

x

P

Ушаков В.Н. Теорема Чевы и некоторые особенности геометрии пирамиды Хеопса

Гипотеза :Множество всюду плотно на кривой

Теорема 3.Если эллиптическая кривая на полем Q имеет ранг больше единицы, то рациональные точки на ее правой ветви располагаются всюду плотно.Доказательство получено методами топологических групп.

28

mP4432 xxy

1. Существует ли идеально реализуемая структура доступа Г, которую невозможно реализовать как идеальную линейную многомерную СРС?

2. Описать матроиды, соответствующие идеальным СРС

3.

29

1. Описан принцип схем совершенного разделения секрета

2. Свойства СРС3. Пороговая СРС Шамира4. Связь СРС и матроидов5. Выявлена почти-пороговость СРС на EC6. Доказана всюду плотность

рациональных точек на ЕС

30