ElGamal encryption

Táto stránka je kandidátom na rýchle zmazanie, z nasledujúceho dôvodu: 14 dní neupravené Ak nesúhlasíte s jej rýchlym zmazaním, vysvetlite, prosím, prečo na jej diskusnej stránke. Ak táto stránka zjavne nespĺňa kritériá pre rýchle zmazanie alebo ju mienite opraviť, odstráňte, prosím, tento oznam, ale neodstraňujte ho z iných článkov, ktoré ste sami vytvorili. Správcovia – nezabudnite kontrolovať, či sem niečo neodkazuje a históriu stránky (posledná úprava) pred zmazaním.

Tento článok urgentne potrebuje úpravy a/alebo aspoň základné rozšírenie. Pomôž Wikipédii tým, že ho vhodne vylepšíš, alebo rozšíriš. Pozri si kritériá na minimálny článok, inšpiráciu môžeš nájsť aj v radách štylistickej príručky, prípadne v diskusii k článku. Neodstraňuj túto šablónu ak nedošlo k podstatnému vylepšeniu článku. Ak si článok založil, odstránenie šablóny prenechaj inému redaktorovi. Ak nebude tento článok do 14 dní prijateľne upravený, bude pravdepodobne zmazaný. Preto buďte pri úprave smelí! Dátum označenia je 2. 1. 2023, k zmazaniu dôjde 16. 1. 2023. Ak si umiestnil/a túto šablónu do článku, vyhľadaj autora v histórii článku a vlož na jeho diskusnú stránku oznam: {{Urgentne upraviť autor|ElGamal encryption}}--~~~~

V kryptografii je šifrovací systém ElGamal asymetrický kľúčový šifrovací algoritmus pre kryptografiu s verejným kľúčom, ktorý je založený na výmene kľúčov Diffie–Hellman . Opísal ho Taher Elgamal v roku 1985. Šifrovanie ElGamal sa začalo používať v bezplatnom softvéri GNU Privacy Guard, najnovších verziách PGP a iných kryptosystémoch. ElGamal algoritmus digitálneho podpisu (DSA) je variant podpisovej schémy, ktorý by sa nemal zamieňať so šifrovaním ElGamal.

Šifrovanie ElGamal môže byť definované pre akúkoľvek cyklickú skupinu ${\displaystyle G}$, ako multiplikatívna skupina celých čísel modulo n. Jeho bezpečnosť závisí od zložitosti určitej úlohy nad touto cyklickou grupou ${\displaystyle G}$, súvisiacej s výpočtom diskrétnych logaritmov .

Algoritmus[upraviť | upraviť zdroj]

Šifrovanie ElGamal pozostáva z troch komponentov: generátor kľúča, šifrovací algoritmus a dešifrovací algoritmus.

Generovanie kľúčov[upraviť | upraviť zdroj]

Prvá strana, Alica, vygeneruje pár kľúčov takto:

• Vytvorí efektívny popis cyklickej grupy ${\displaystyle G\,}$ rádu ${\displaystyle q\,}$ s generátorom ${\displaystyle g}$ . Nechaj ${\displaystyle e}$ predstavuje neutrálny prvok množiny ${\displaystyle G}$ .
• Vyberie celé číslo ${\displaystyle x}$ náhodne z množiny ${\displaystyle \{1,\ldots ,q-1\}}$ .
• Vypočíta ${\displaystyle h:=g^{x}}$ .
• Verejný kľúč pozostáva z hodnôt ${\displaystyle (G,q,g,h)}$ . Alica zverejní tento verejný kľúč a ponechá si ${\displaystyle x}$ ako jej súkromný kľúč, ktorý musí zostať v tajnosti.

Šifrovanie[upraviť | upraviť zdroj]

Druhá strana, Braňo, zašifruje správu ${\displaystyle M}$ Alici s jej verejným kľúčom ${\displaystyle (G,q,g,h)}$ nasledovne:

• Zobrazí správu ${\displaystyle M}$ ako prvok ${\displaystyle m}$ z grupy ${\displaystyle G}$ pomocou funkcie inverzného zobrazenia.
• Vyberie celé číslo ${\displaystyle y}$ náhodne z množiny ${\displaystyle \{1,\ldots ,q-1\}}$ .
• Vypočíta ${\displaystyle s:=h^{y}}$ . Toto sa nazýva zdieľaný tajný kľúč.
• Vypočíta ${\displaystyle c_{1}:=g^{y}}$ .
• Vypočíta ${\displaystyle c_{2}:=m\cdot s}$ .
• Braňo posiela šifrovaný text ${\displaystyle (c_{1},c_{2})}$ Alici.

Note that if one knows both the ciphertext  and the plaintext , one can easily find the shared secret , since . Therefore, a new  and hence a new  is generated for every message to improve security. For this reason, y is also called an ephemeral key.

Je potrebné si uvedomiť, že ak poznáme šifrovaný text ${\displaystyle (c_{1},c_{2})}$ aj pôvodný text ${\displaystyle m}$, je možné ľahko zistiť zdieľaný tajný kľúč, pretože ${\displaystyle c_{2}\cdot s^{-1}=m}$ . Z tohoto dôvodu, pre zvýšenie bezpečnosti, je pre šifrovanie každej ďalšej správy generované nové číslo ${\displaystyle y}$ a teda aj nový tajný kľúč ${\displaystyle s}$ . Preto tento tajný kľúč dostal prívlastok dočasný.

Dešifrovanie[upraviť | upraviť zdroj]

Alica dešifruje zašifrovaný text ${\displaystyle (c_{1},c_{2})}$ s jej súkromným kľúčom ${\displaystyle x}$ nasledovne:

• Vypočíta ${\displaystyle s:=c_{1}^{x}}$ . Potom ${\displaystyle c_{1}=g^{y}}$, ${\displaystyle c_{1}^{x}=g^{xy}=h^{y}}$, a teda ide o rovnaký zdieľaný tajný kľúč, aký použil Braňo pri šifrovaní.
• Vypočíta ${\displaystyle s^{-1}}$, inverzný prvok ${\displaystyle s}$ v grupe ${\displaystyle G}$ . Dá sa to vypočítať jedným z niekoľkých spôsobov. Ak ${\displaystyle G}$ je podgrupa multiplikatívnej skupiny celých čísel modulo ${\displaystyle n}$, kde ${\displaystyle n}$ je prvočíslo, modulárne multiplikatívne inverzné číslo možno vypočítať pomocou rozšíreného euklidovského algoritmu . Alternatívou je počítať ${\displaystyle s^{-1}}$ ako ${\displaystyle c_{1}^{q-x}}$ . Toto je inverzné číslo ${\displaystyle s}$ na základe Lagrangeovej vety, keďže ${\displaystyle s\cdot c_{1}^{q-x}=g^{xy}\cdot g^{(q-x)y}=(g^{q})^{y}=e^{y}=e}$ .
• Vypočíta ${\displaystyle m:=c_{2}\cdot s^{-1}}$ . Tento výpočet vytvorí pôvodnú správu ${\displaystyle m}$, pretože ${\displaystyle c_{2}=m\cdot s}$ ; teda ${\displaystyle c_{2}\cdot s^{-1}=(m\cdot s)\cdot s^{-1}=m\cdot e=m}$ .
• Urobí zobrazenie ${\displaystyle m}$ späť na správu vo formáte obyčajného textu ${\displaystyle M}$ .

Praktické využitie[upraviť | upraviť zdroj]

Ako väčšina systémov s verejným kľúčom, aj kryptosystém ElGamal sa zvyčajne používa ako súčasť hybridného kryptosystému, kde je samotná správa šifrovaná pomocou symetrického kryptosystému a ElGamal sa potom používa na šifrovanie iba symetrického kľúča. Je to preto, že asymetrické kryptosystémy ako ElGamal sú zvyčajne pomalšie ako symetrické pre rovnakú úroveň bezpečnosti, takže je rýchlejšie zašifrovať správu, ktorá môže byť ľubovoľne veľká, pomocou symetrickej šifry a potom použiť ElGamal iba na zašifrovanie symetrického kľúča, ktorý je zvyčajne dosť malý v porovnaní s veľkosťou správy.

Bezpečnosť[upraviť | upraviť zdroj]

Bezpečnosť schémy ElGamal závisí od vlastností základnej grupy ${\displaystyle G}$ ako aj akúkoľvek schému pre zarovnanie správ na požadovanú dĺžku. Ak v základnej cyklickej grupe ${\displaystyle G}$ platí výpočtový Diffie-Hellmanov predpoklad (CDH), potom je funkcia šifrovania jednosmerná . ^[1]

Ak platí rozhodovací Diffie-Hellmanov predpoklad (DDH) pre ${\displaystyle G}$, potom ElGamal dosiahne sémantickú bezpečnosť . ^{[1] [2]} Na dosiahnutie sémantickej bezpečnosti nestačí len platnosť Diffie-Hellmanovho predpokladu. ^[3]

Šifrovanie ElGamal je bezpodmienečne poddajné, a preto nie je bezpečné voči útoku na vybraný šifrovaný text . Napríklad vzhľadom na šifrovanie ${\displaystyle (c_{1},c_{2})}$ nejakej správy ${\displaystyle m}$, možno ľahko vytvoriť platné šifrovanie ${\displaystyle (c_{1},2c_{2})}$ správy ${\displaystyle 2m}$ .

Na dosiahnutie bezpečnosti zvoleného šifrového textu je potrebné šifrovaciu schému ďalej upravovať alebo použiť vhodný algoritmus pre zarovnanie textu na požadovanú dĺžku. V závislosti od modifikácie môže alebo nemusí byť splnený nutný predpoklad DDH.

Boli navrhnuté aj iné schémy súvisiace s ElGamal, ktoré dosahujú bezpečnosť voči útoku na vybraný šifrovaný text. Kryptosystém Cramer–Shoup je to bezpečný voči spomínanému útoku za predpokladu, že DDH platí pre ${\displaystyle G}$ . Ďalšou navrhovanou schémou je DHAES ^[3].

Efektívnosť[upraviť | upraviť zdroj]

Šifrovanie ElGamal je stochastické, čo znamená, že jeden otvorený text možno zašifrovať do mnohých možných šifrovaných textov, čo má za následok, že všeobecné šifrovanie ElGamal vytvára zašifrovanú správu, ktorá môže byť až dvojnásobne veľká voči pôvodnému textu.

Šifrovanie v rámci ElGamal vyžaduje dve umocňovania, avšak tieto umocnenia sú nezávislé od správy a v prípade potreby sa dajú vypočítať vopred. Dešifrovanie vyžaduje jedno umocnenie a jeden výpočet inverznej grupy, ktoré sa však dajú ľahko spojiť len do jedného umocnenia.

Ďalšie čítanie[upraviť | upraviť zdroj]

• A. J. Menezes; P. C. van Oorschot; S. A. Vanstone. „Kapitola 8.4 Šifrovanie verejným kľúčom ElGamal“ (PDF). Príručka aplikovanej kryptografie. CRC Press.
• Dan Boneh (1998). Problém rozhodovania Diffie-Hellman. Poznámky z prednášok z informatiky. Vol. 1423. s. 48–63. CiteSeerX 10.1.1.461.9971. doi:10.1007/BFb0054851. ISBN 978-3-540-64657-0.

Referencie[upraviť | upraviť zdroj]