Goldwasser-Micali

Goldwasser-Micali kryptosysteemi (GM) on epäsymmetrinen julkisen avaimen salaamisalgoritmi, jonka ovat kehittäneet Shafi Goldwasser ja Silvio Micali vuonna 1982. GM oli ensimmäinen satunnaistava (probabilistinen) julkisen avaimen salakirjoitusjärjestelmä, joka on kryptografisten standardioletusten ollessa voimassa todistettavasti turvallinen. Se ei kuitenkaan ole tehokas kryptosysteemi, koska salakielinen viesti voi olla alkuperäistä viestiä satoja kertoja pitempi. Todistaakseen kryptosysteemin turvallisuusominaisuudet Goldwasser ja Micali esittelivät laajaan käyttöön levinneen semanttisen turvallisuuden käsitteen.

GM salakirjoitusjärjestelmä on semanttisesti turvallinen olettaen, että ns. neliönjäännösprobleema on ratkeamaton modulo yhdistetty luku ${\displaystyle N=pq}$, missä ${\displaystyle p}$ ja ${\displaystyle q}$ ovat suuria alkulukuja. Olettamuksen mukaan annetuilla ${\displaystyle (x,N)}$ on hyvin vaikeata määrätä, onko jokin luku ${\displaystyle x}$ neliönjäännös modulo ${\displaystyle N}$ (ts. onko olemassa sellaista lukua ${\displaystyle y}$, että ${\displaystyle x=y^{2}}$ mod ${\displaystyle N}$), kun Jacobin symboli luvulle ${\displaystyle x}$ saa arvon +1. Neliönjäännösprobleema on helppo ratkaista, kun luvun ${\displaystyle N}$ tekijöihinjako tunnetaan. Toisaalta uusia neliönjäännöksiä pystyy kuka tahansa tuottamaan vaikka ei tuntisi tätä tekijöihinjakoa. GM-salakirjoitusjärjestelmä hyödyntää tätä epäsymmetriaa salakirjoittamalla tietyn selväkielisen viestin joko jonoksi neliönjäännöksiä tai epäneliöitä modulo ${\displaystyle N}$, joilla kaikilla Jacobin symboli saa arvon +1. Viestin vastaanottaja käyttää tuntemaansa luvun ${\displaystyle N}$ tekijöihinjakoa salaisena avaimenaan ja desiferoi viestin testaamalla, ovatko vastaanotetun salakieliviestin luvut neliöitä vai epäneliöitä.

Koska Goldwasser-Micali korvaa jokaisen selväkielisen koodin bitin suuruusluokkaa ${\displaystyle |N|}$ olevalla luvulla, GM salaus johtaa koodin oleelliseen laajentumiseen. Tekijöihinjakoon perustuvien hyökkäysten estämiseksi suositellaan nimittäin, että luku ${\displaystyle N}$ olisi useiden satojen bittien mittainen. Siten järjestelmä epäkäytännöllisenä palvelee lähinnä teoreettista tutkimusta. Käytännön sovellutuksia varten on myöhemmin kehitetty tehokkaampia todistettavasti turvallisia salakirjoitusjärjestelmiä. Esimerkki tällaisesta järjestelmästä on Elgamal-järjestelmä.

Koska salauksessa käytetään satunnaistavaa algoritmia, sama selväkieliteksti tuottaa yleensä erilaisia salakieliviestejä joka salauskerralla. Tästä on järjestelmän turvallisuuden kannalta merkittävää etua, sillä se estää sen, että viestien sisältöä voitaisiin arvata vertailemalla salakieliviestejä aikaisemmin tunnettuihin.

Järjestelmän määrittely

Goldwasser-Micali koostuu kolmesta algoritmista:

• satunnaistava avaimen generointialgoritmi, joka tuottaa julkisen ja salaisen avaimen,
• satunnaistava salausalgoritmi ja
• deterministinen purkualgoritmi.

Järjestelmä perustuu siihen, että pystytään päättelemään, onko annettu luku ${\displaystyle x}$  neliönjäännös mod ${\displaystyle N}$ , kun luvun ${\displaystyle N}$  tekijöihinjako ${\displaystyle (p,q)}$  tunnetaan. Jos nimittäin ${\displaystyle x^{(p-1)/2}\equiv 1}$  (mod ${\displaystyle p}$ ) ja ${\displaystyle x^{(q-1)/2}\equiv 1}$  (mod ${\displaystyle q}$ ), niin ${\displaystyle x}$  on neliönjäännös modulo ${\displaystyle N}$ , muussa tapauksessa kysymyksessä on epäneliö.

Avaimen generointi

GM-järjestelmän moduuliluku generoidaan samalla tavalla kuin RSA-järjestelmässä.

1. Liisa generoi satunnaisesti ja toisistaan riippumatta kaksi sellaista suurta alkulukua ${\displaystyle p}$  ja ${\displaystyle q}$ , että ${\displaystyle p\neq }$ .
2. Liisa laskee luvun ${\displaystyle N=pq}$ .
3. Tämän jälkeen hän etsii jonkin epäneliön ${\displaystyle z}$  modulo ${\displaystyle N}$ , jolle Jacobin symboli saa arvon +1. Tämän hän voi tehdä valitsemalla satunnaislukuja ja testaamalla tuntemansa tekijöihinjaon avulla, ovatko ne neliönjäännöksiä. Jos ${\displaystyle (p,q)\equiv 3}$  (mod ${\displaystyle 4}$ ) (ts. ${\displaystyle N}$  on Blumin kokonaisluku), niin luvulla ${\displaystyle N-1}$  on varmasti tämä ominaisuus.

Julkinen avain muodostuu lukuparista ${\displaystyle (N,z)}$ . Salaisen avaimen muodostaa puolestaan tekijöihinjako ${\displaystyle (p,q)}$ .

Viestin salaaminen

Oletetaan, että Roope haluaa lähettää Liisalle viestin m:

1. Roope koodaa viestin ${\displaystyle m}$  bittijonoksi ${\displaystyle (m_{0},m_{1},\dots ,m_{n})}$  käyttäen jotain yksinkertaista ja tunnettua koodaustapaa, esimerkiksi ASCII-koodia.
2. Jokaista bittiä ${\displaystyle m_{i}}$  kohti Roope generoi satunnaisluvun ${\displaystyle y}$ , joka on pienempi kuin ${\displaystyle N}$ . Hän laskee arvon ${\displaystyle c_{i}\equiv y^{y}z^{m_{i}}}$  (mod ${\displaystyle N}$ ).

Roope lähettää Liisalle salakielisen viestin ${\displaystyle (c_{0},c_{1},\dots ,c_{n})}$ .

Viestin avaaminen

Liisa vastaanottaa salakieliviestin ${\displaystyle (c_{0},c_{1},\dots ,c_{i})}$ . Hän pystyy palauttamaan viestin ${\displaystyle m}$  seuraavalla tavalla:

1. Käyttämällä tuntemaansa tekijöihinjakoa ${\displaystyle (p,q)}$  Liisa tutkii, mitkä salakieliviestin luvut ${\displaystyle c_{i}}$  ovat neliönjäännöksiä. Jos luku ${\displaystyle c_{i}}$  on neliönjäännös, ${\displaystyle m_{i}=1}$ , muuten ${\displaystyle m_{i}=0}$ .

Liisa saa näin selville selväkieliviestin ${\displaystyle m=(m_{0},m_{1},\dots ,m_{n})}$ .