UMA APLICAÇÃO DE CÓDIGOS CORRETORES DE ERROS EM CRIPTOGRAFIA

Transcrição

1 UMA APLICAÇÃO DE CÓDIGOS CORRETORES DE ERROS EM CRIPTOGRAFIA Valdemar C. da Rocha Jr. e David Lopes de Macêdo Grupo de Pesquisa em Comunicações - CODEC Departamento de Electrônica e Sistemas - UFPE Caixa Postal 7800 CEP Recife PE 99VCR@NPD.UFPE.BR Resumo Um novo criptosistema de chave-secreta é apresentado cuja estrutura matemática baseia-se essencialmente em propriedades de subespaços lineares complementares. Este criptosistema é bem mais prático e seguro contra ataques com texto-claro escolhido de que o criptosistema equivalente proposto por Rao e Nam, em Abstract A new secret-key cryptosystem is presented whose mathematical structure is essentially based on properties of linear complementary subspaces. This cryptosystem is more practical and more secure against chosen-plaintext attacks then the equivalent one proposed by Rao and Nam in Introdução Em 1994 da Rocha [1] propôs um criptosistema de chave-secreta baseado em códigos de bloco lineares complementares. Dois códigos lineares C 1 e C 2 de mesmo comprimento de bloco n, sobre um corpo finito GF(q), são definidos como complementares [2] quando a única palavra código que têm em comum é a palavra toda zero, i.e., {C 1 } {C 2 } = {0}, e a soma direta de suas palavras código gera todo o espaço vetorial sobre GF(q), i.e., {C 1 } {C 2 } = GF(q) n, em que denota adição de n-uplas sobre GF(q). No que segue iremos nos deter o suficiente para explicar os aspectos mais importantes daquele criptosistema [1], com a finalidade de facilitar a compreensão das modificações a serem introduzidas no mesmo e que serão o tema do presente trabalho. Sabemos que um dado código de bloco linear binário, com comprimento de bloco n, com k dígitos de informação e distância mínima de Hamming d, é capaz de corrigir um número máximo de 2 n k padrões binários de erros. Este trabalho foi apresentado oralmente no XIV Simpósio Brasileiro de Telecomunicações, de julho de 1996, Curitiba, Paraná, publicado nos anais do simpósio, págs e recebeu apoio parcial do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) através do projeto No /77-9.

2 Porém, devido a problemas práticos de implementação e à natureza do ruído, os decodificadores comumente empregados só corrigem padrões contendo até t erros, em que t (d 1)/2. O primeiro criptosistema de chave-secreta baseado em códigos de bloco foi proposto por Rao e Nam [3]. Os próprios autores mostraram como quebrá-lo com um ataque de texto-claro escolhido e propuseram duas versões modificadas, que evitavam o tipo de ataque por êles proposto mas que também foram quebradas, uma delas por Hin [4] e a outra por Struik e Tilburg [5], essencialmente porque ambas empregavam um número de padrões de erros corrigíveis limitado pela desigualdade t (d 1)/2. A distinção essencial entre o criptosistema proposto em [1] e criptosistemas convencionais empregando códigos corretores de erros é que estes últimos fazem uso exclusivo de padrões de erros corrigíveis com peso de Hamming não superior a t, em que t é a capacidade de correção de erros aleatórios do código empregado, enquanto que em [1] o conjunto de padrões de erros corrigíveis é formado pelas 2 n k palavras código de um código linear C 2, (n, n k), complementar ao código C 1, (n, k), empregado para codificar as mensagens a serem transmitidas ou armazenadas, não sofrendo portanto C 2 nenhuma restrição quanto ao peso de Hamming de suas palavras. Dizendo de uma outra forma, os padrões de erros em [1] são palavras código de um código de bloco linear, enquanto que nos criptosistemas convencionais os padrões de erros corrigíveis podem ser vistos como pertencendo a um código não-linear sem nenhuma estrutura algébrica útil aparente. Enquanto o criptosistema em [1] tem a vantagem de poder lidar de forma eficaz com os 2 n k padrões de erros corrigíveis, devido à estrutura linear, esta mesma estrutura pesa contra pois é um ponto extremamente vulnerável a ataques criptoanalíticos. A fim de combater tal vulnerabilidade, durante a operação era imperiosa a mudança frequente do código linear complementar empregado, o que nem sempre é interessante do ponto de vista prático. Neste trabalho mostramos como evitar esta dificuldade, mantendo as características interessantes de imunidade a ataques do antigo sistema. 2 Cifras de Bloco e Códigos Corretores de Erros O primeiro sistema criptográfico baseado em códigos corretores de erros foi o sistema de chave-pública proposto por McEliece em 1978 [6]. Em 1991 Gabidulin [7] propôs um sistema criptográfico de chave-pública baseado em códigos corretores de erros, porém usando a métrica de posto em vez da métrica de Hamming. Sistemas criptográficos de chave-privada baseados em códigos corretores de erros foram propostos por Rao e Nam [3], e da Rocha [8]. Apresentamos a seguir uma breve revisão dos processos de cifragem e de decifragem empregando códigos corretores de erros, com o objetivo de facilitar a compreensão dos assuntos que abordaremos mais adiante neste trabalho. O alfabeto considerado é binário.

3 m CODIFICADOR c r PERMUTAÇ ÃO e y GERADOR DE RUÍDO Figura 1: Cifrador. 2.1 Criptosistemas Baseados em Códigos Corretores de Erros Denotaremos por G a matriz geradora do código C, (n, k, d). Quando G tem a forma sistemática G = [I k : g], em que I k e G são respectivamente a matriz identidade k k e uma matriz k (n k), é comum fazer-se um embaralhamento dos dados prémultiplicando-os por uma matriz S, k k, densa e não-singular. Na descrição a seguir, dos processos de cifragem e de decifragem empregando códigos corretores de erros, admitiremos que G não se encontra na forma sistemática Cifragem O processo de cifragem do texto-claro consiste dos seguintes passos: 1. Segmentar o texto-claro em blocos m, de k dígitos cada, e usá-los para gerar palavras código do código C, cuja matriz geradora é G, efetuando a operação mg, dando origem à n-upla c = mg. 2. Adicionar, através da operação ou-exclusivo, a palavra código c ao vetor erro e, este último produzido pelo gerador de ruído, obtendo assim r = c + e. 3. Finalmente o criptograma y é obtido permutando-se as coordenadas da n-upla r através da operação rp, ou seja y = rp, em que P é uma matriz de permutação n n. A Figura 1 ilustra a operação de cifragem descrita anteriormente Decifragem O processo de decifragem do criptograma y gerado a partir do cifrador da Figura 1 consiste dos seguintes passos, ilustrados na Figura Aplicar a permutação inversa P 1 ao criptograma y a fim de obter r. 3

4 y PERMUTAÇÃO INVERSA r DECODIFICADOR m Figura 2: Decifrador. 2. Decodificar r, obtido no passo 1, empregando um decodificador para o código C, o qual reproduz na saída o texto-claro m. 2.2 Fonte Aleatória Privada Nos sistemas criptográficos convencionais, baseados em códigos corretores de erros, o segredo consiste do código C empregado, enquanto que o papel do gerador de ruído, ou gerador de erros aleatórios, é o de uma (mal projetada) fonte aleatória privada [9, pág. 8]. Uma fonte aleatória privada é na verdade um codificador de fonte em que o alfabeto de saída tem em geral um número de símbolos maior que o alfabeto de entrada, e cuja finalidade é esconder a estatística de ocorrência dos símbolos de entrada apresentando, idealmente, uma distribuição uniforme de probabilidades para seus símbolos de saída. Isto é alcançado associando um dado símbolo de entrada a um subconjunto dos símbolos de saída, cuja cardinalidade é proporcional à probabilidade de ocorrência deste símbolo de entrada. Obviamente, a fim de permitir unicidade na decodificação, tais subconjuntos precisam ser necessariamente disjuntos. Na aplicação em questão (vide a Figura 1), a fonte aleatória privada, cuja saída é denotada por r, ignora a estatística dos símbolos do texto-claro pelo fato de associar a cada palavra código c sempre o mesmo número fixo de n- uplas (padrões de erros corrigíveis) produzidas pelo gerador de ruído. Observamos que o mapeamento do conjunto {C} de palavras código c (associadas aos textos-claros) para o conjunto {R} de vetores r, juntamente com o conjunto {C} (alfabeto de entrada) e o conjunto {R} (alfabeto de saída), definem um canal sem ruído [10, págs ], isto é, um canal em que a saída especifica de modo único a entrada. A cardinalidade do conjunto dos vetores r é geralmente bem maior que a do correspondente conjunto de textos-claros. Desta forma é praticamente eliminado o risco de sucesso de um ataque com texto-claro escolhido, com a finalidade de identificar o mapeamento {C} {R} empregado. Discutiremos a seguir alguns aspectos teóricos de como é possível implementarmos o gerador de ruído da Figura O Arranjo Padrão Arranjo padrão [11, págs.52-56] é o nome dado a uma partição de um espaço vetorial sobre um corpo finito, utilizando um subespaço deste espaço vetorial a fim de gerar as correspondentes classes laterais da decomposição. No estudo de códigos corretores de erros o subespaço empregado é um código linear C

5 e os líderes das classes laterais são escolhidos dentre os padrões de erros corrigíveis mais prováveis de ocorrer em um dado canal discreto. Quando estamos interessados em aplicações desta ferramenta em criptografia não estamos necessariamente sujeitos às restrições acima e podemos vislumbrar modos mais gerais de decomposição de espaços vetoriais, que incluam o arranjo-padrão como um caso especial. Um destes modos, que denominamos de construção não-linear, consiste em empregar um código C não-linear e um conjunto de líderes das classes laterais que formam um código também não-linear. A segunda, que denominamos de construção linear e que foi utilizada em [1], consiste em usar um código C linear e um conjunto de líderes das classes laterais que formam um código linear. Denominamos a construção empregada no estudo de códigos corretores de erros de construção semi-linear, por razões óbvias. Os três tipos distintos de construção aqui descritos podem ser usados, com as devidas adaptações, na implementação do gerador de ruído da Figura 1, porém neste trabalho utilizaremos a construção semi-linear estruturada, descrita na próxima seção. 3 Sistema Proposto A fim de nos livrarmos das dificuldades associadas à implementação prática do criptosistema proposto em [1] e mencionadas acima, introduzimos a seguir a construção semi-linear estruturada. A partir de uma palavra x, x C 2, e de um operador f(.) que leva palavras código de C 2 em palavras código de C 1, geramos um vetor e (vide Figura 1) da seguinte forma: e = x + f(x). (1) Observamos que por meio de (1) podemos gerar 2 n k vetores e, a partir de palavras código de C 2, os quais em geral não serão palavras código nem de C 1 nem de C 2. O vetor r passa a ser expresso da seguinte forma: r = c + e = c + x + f(x) = c + x, (2) em que c C 1. Denotemos por G i e por H i, respectivamente, as matrizes geradora e de verificação de paridade do código C i, i = 1, 2. Como veremos a seguir, é conveniente utilizarmos para a cifragem a k-upla m 1 = m(g 1 H T 2 ) 1 em vez de m, chamando à atenção de que a matriz, (G 1 H T 2 ) 1, k k, é nãosingular [1]. Consideraremos S = (G 1 H T 2 ) 1 a nossa matriz de embaralhamento dos dados 1 e G = SG 1 a nossa matriz geradora para C 1. Assim, a partir de (2) obtemos, r = c + e = mg + e = m(g 1 H T 2 ) 1 G 1 + e = m 1 G 1 + e = c + x. (3) 1 Os 2 k(n k) códigos lineares distintos C 2, complementares a um dado código linear C 1 [1], nos garante grande liberdade na escolha de C 2 e, consequentemente, da matriz de embaralhamento S. 5

6 De maneira análoga ao que fizemos para a codificação das palavras de C 1, consideraremos a palavra código x, x C 2, construída da forma x = m 2 (G 2 H T 1 ) 1 G 2. Assim sendo, a recuperação do texto claro m é realizada a partir do texto-cifrado y do seguinte modo: 1. Recuperação de r a partir de y: r = yp Recuperação de e a partir de r: m 2 = rh T 1 = (c + x)h T 1 = xh T 1 = m 2 (G 2 H T 1 ) 1 G 2 H T 1, portanto, x = m 2 (G 2 H T 1 ) 1 G 2 e finalmente, e = x + f(x). 3. Recuperação do texto-claro m a partir de c: c = r (x + f(x)), m = ch T 2 = m(g 1 H T 2 ) 1 G 1 H T 2. 4 Comentários A chave-secreta do sistema acima proposto é formada pelas matrizes geradora e de verificação de paridade, respectivamente, dos códigos C 1 e C 2, e pela função f(.). Porém, revelando C 1 e C 2, e mantendo secreta apenas a função f(.), este sistema manter-se-á computacionalmente seguro desde que a cardinalidade do conjunto de palavras código de C 2 seja elevada, por exemplo, não inferior a , visando evitar uma busca exaustiva das n-uplas x + f(x), num ataque com texto-claro escolhido. Referências [1] V. C. da Rocha, Jr., A secret-key cipher based on linear complementary codes, IEEE International Symposium on Information Theory, Trondheim, Norway, 27 de junho a 01 de julho de Publicado no livro de resumos, página 346. [2] V. C. da Rocha, Jr., Complementary cyclic codes, Communiations and Signal Processing Series: 3, Communication Theory and Applications II. Editors: B. Honary, M. Darnell and P.G. Farrell. HW Communications Ltd., páginas 37-40, [3] T. R. N. Rao and K. H. Nam, Private-key algebraic-code encryptions, IEEE Trans. Inform. Theory, vol.35, no.4, pp , July [4] P. J. M. Hin, Channel-error-correcting privacy cryptosystems, Ph.D. Thesis, Delft University of Technology, 1986.

7 [5] R. Struik and J. van Tilburg, The Rao-Nam scheme is insecure against a chosen-plaintext attack, Lecture Notes in Computer Science 293; Advances in Cryptology: Proceedings of Crypto 87, C. Pomerance, Ed., Santa Barbara, CA, Aug , pp Berlin: Springer-Verlag, [6] R. J. McEliece, A public-key cryptosystem based on algebraic coding theory, DSN Progress Report, Jet Propulsion Laboratory, Pasadena, CA, pp , Jan./Feb [7] E. M. Gabidulin, A. V. Paramonov and O. V. Tretjakov, Ideals over a non-commutative ring and their application in cryptology, Advances in Cryptology, EUROCRYPT 91 (Ed. D.W. Davies), Lecture Notes in Computer Science No.547. Berlin and Heidelberg:Springer, 1991, pp [8] V. C. da Rocha, Jr., Secret-key cryptosystems based on algebraic codes, IEEE Information Theory Workshop. Salvador, Bahia, 21 a 26 de junho de Publicado no livro de resumos, páginas [9] G. J. Simmons, Contemporary Cryptology, IEEE Press, New York, [10] N. Abramson, Principles of Information and Coding, New York: McGraw Hill, [11] W. W. Peterson and E. J. Weldon Jr., Error-Correcting Codes, Massachussets: MIT Press,