ElGamal 암호화

암호학에서, ElGamal 암호화 시스템은 Diffie-를 기반으로 하는 공개키 암호화를 위한 비대칭 키 암호화 알고리즘이다.헬먼 키 교환.1985년 타헤르 엘가말(Taher Elgamal)이 묘사한 것이다.^[1]ElGamal 암호화는 무료 GNU Privacy Guard 소프트웨어, 최신 버전의 PGP 및 기타 암호 시스템에 사용된다.ElGamal 암호화와 혼동해서는안 된다 변형으로서 DSA(디지털 서명 알고리즘)는 ElGamal 서명 방식의.

ElGamal 암호화는 정수 modulo n의 곱셈 그룹과 같은 모든 순환 그룹 $G$ $G$ 에 걸쳐 정의될 수 있다 $G$ 보안은 개별 로그 계산과 관련된 $G$ $G$ $G$ 의 특정 문제의 어려움에 따라 결정된다.

알고리즘

ElGamal 암호화는 키 생성기, 암호화 알고리즘, 암호 해독 알고리즘의 세 가지 요소로 구성된다.

키 생성

제1 당사자 앨리스는 다음과 같이 키 쌍을 생성한다.

생성자 $g$ 가 $g$ 인 $q\,$ $q\,$ ${\$ q\} 순서 $G\,$ $q\,$ q의 $G\,$ 그룹 $G\,$ G {\ $displaystyle$ g $}$ 에 대한 효율적인 설명을 $g$ 생성하십시오.e {\ $displaystyle$ e $}$ 이( $G$ )G {\ $displaystystyle G}$ 의 단위 요소를 나타내도록 하십시오 $G$
$정수$ x $\{1,\ldots ,q-1\}$ $x$ 을 $\{1,\ldots ,q-1\}$ 를) { $\{1,\ldots ,q-1\}$ , …, $\{1,\ldots ,q-1\}$ - $\{1,\ldots ,q-1\}$ $\{1,\ldots,q-1\$ 에서 임의로 $x$ 선택하십시오 $\{1,\ldots ,q-1\}$
계산 $h:=g^{x}$ $h:=g^{x}$ $h:=g^{x}$ $h:=g^{x}$ ${\$
공개 키는 값 $(G,q,g,h)$ $(G,q,g,h)$ $(G,q,g,h)$ $(G,q,g,h)$ ) $(G,q,g,h)$ 로 구성된다 $(G,q,g,h)$ 앨리스는 이 공개 키를 공개하고 $x$ ${\displaystyle$ x $}$ 을(를) 개인 키로 $x$ 유지하는데, 비밀로 해야 한다.

암호화

제2자 밥은 $M$ 의 공개 키 $($ , $(G,q,g,h)$ , $(G,q,g,h)$ , h $(G,q,g,h)$ 로 $(G,q,g,h)$ 메시지 M ${\$ $displaystyle$ $M}$ 을(를) 다음과 $M$ 같이 $(G,q,g,h)$ 암호화한다.

가역적 매핑 기능을 사용하여 $G$ 메시지 $M$ ${\displaystyle$ M $}$ 을(를) $G$ ${\displaystyle$ G $}$ 의 $m$ m ${\displaystyle$ m $}$ 에 $M$ 매핑하십시오.
$\{1,\ldots ,q-1\}$ , $\{1,\ldots ,q-1\}$ …, $\{1,\ldots ,q-1\}$ - $\{1,\ldots ,q-1\}$ } $\{1,\ldots,q-1\$ 에서 정수 $y$ $y$ 을(를) 임의로 $y$ 선택하십시오 $\{1,\ldots ,q-1\}$
계산 $s:=h^{y}$ $s:=h^{y}$ $s:=h^{y}$ $s:=h^{y}$ ${\$ s $:=h^{y$ 이것을 공유 비밀이라고 한다.
계산 $c_{1}:=g^{y}$ $c_{1}:=g^{y}$ $c_{1}:=g^{y}$ $c_{1}:=g^{y}$ $c_{1}:=g^{y}$ ${\$
계산 $c_{2}:=m\cdot s$ $c_{2}:=m\cdot s$ $c_{2}:=m\cdot s$ $c_{2}:=m\cdot s$ $c_{2}:=m\cdot s$ $c_{2}:=m\cdot s$ $c_{2}:==m\cdot s$ .
밥은 암호문 $(c_{1},c_{2})$ $(c_{1},c_{2})$ , $(c_{1},c_{2})$ 2 $(c_{1},c_{2})$ ) ${\displaystyle(c_{1},c_{2})$ 을 앨리스에게 보낸다 $(c_{1},c_{2})$ .

암호문 $(c_{1},c_{2})$ $(c_{1},c_{2})$ , $(c_{1},c_{2})$ $(c_{1},c_{2})$ ) ${\displaystyle(c_{1},c_{2})$ 과 $(c_{1},c_{2})$ 일반 텍스트 $m$ ${\displaystyle$ $m$ $}$ 을 $m$ 를) 모두 알고 있으면 $c_{2}\cdot m^{-1}=s$ $c_{2}\cdot m^{-1}=s$ ⋅ $c_{2}\cdot m^{-1}=s$ - $c_{2}\cdot m^{-1}=s$ = ${\displaystyle c_{2}\cdot$ m $^{-1}s$ 이(가)이므로 공유 비밀 $s$ ${\daysty$ s {\daystytype s $}$ 을 쉽게 찾을 수 있다 $s$ 따라서 보안 향상을 위해 모든 메시지에 대해 새로운 $y$ ${\displaystyle$ y $}$ 이(가) 생성되며 $s$ , 따라서 새로운 $y$ $s$ $s$ 이(가) 생성된다.이러한 이유로 $y$ $y$ 을(를) 사용 후 삭제 키라고도 한다 $y$ .

암호 해독

앨리스는 암호문 $(c_{1},c_{2})$ $(c_{1},c_{2})$ , $(c_{1},c_{2})$ c $(c_{1},c_{2})$ ) ${\displaystyle(c_{1},c_{2}})$ 을 개인 $키$ x $x$ 로 $(c_{1},c_{2})$ 다음과 같이 $x$ 해독한다.

Compute $s:=c_{1}^{x}$ . Since $c_{1}=g^{y}$ , $c_{1}^{x}=g^{xy}=h^{y}$ , and thus it is the same shared secret that was used by Bob in encryption.
$계산$ $s^{-1}$ - $s^{-1}$ ${\$ s $^{-1}$ 그룹 G $s$ ${\displaystyle$ G $}$ 에서 $s$ $s$ 의 역행 $G$ 이것은 여러 가지 방법 중 하나로 계산할 수 있다. $G$ $G$ 이(가) 정수 modulo $n$ $n$ 의 승수 그룹의 하위 그룹인 $G$ 경우 $n$ 여기서 $n$ ${\displaystyn}$ 은 $n$ (는) 확장된 유클리드 알고리즘을 사용하여 모듈형 승수 역학을 계산할 수 있다.An alternative is to compute $s^{-1}$ as $c_{1}^{q-x}$ . This is the inverse of $s$ because of Lagrange's theorem, since ${\displaystyle s\cdot c_{1}^{q-x}=g^{xy}\cd$ $ot g^{(q-x)y}=(g^{q}})^{y}=e^{y}=e$
계산 $m:=c_{2}\cdot s^{-1}$ $m:=c_{2}\cdot s^{-1}$ c $m:=c_{2}\cdot s^{-1}$ $m:=c_{2}\cdot s^{-1}$ $m:=c_{2}\cdot s^{-1}$ - $m:=c_{2}\cdot s^{-1}$ ${\$ s $^{-1}$ .This calculation produces the original message $m$ , because $c_{2}=m\cdot s$ ; hence $c_{2}\cdot s^{-1}=(m\cdot s)\cdot s^{-1}=m\cdot e=m$ .
$M$ {\ $displaystyle$ M}을 $($ 를) 일반 $m$ 텍스트 메시지 M ${\displaystyle$ M $M$

실용화

대부분의 공개 키 시스템과 마찬가지로 ElGamal 암호체계는 대개 하이브리드 암호체계의 일부로 사용되는데, 여기서 메시지 자체는 대칭 암호체계를 사용하여 암호화되고, 이후 ElGamal은 대칭 암호키만을 암호화하는 데 사용된다.이는 엘가말과 같은 비대칭 암호체계는 대개 같은 수준의 보안을 위해 대칭 암호체계에 비해 속도가 느리기 때문에 임의로 클 수 있는 메시지를 대칭 암호로 암호화한 다음, 대칭 키만 암호화하기 위해 엘가말(ElGamal)을 사용하는 것이 빠르기 때문이다.

보안

ElGamal 스키마의 보안은 메시지에 사용된 패딩 스키마뿐만 아니라 $G$ 기본 그룹 $G$ $G$ 의 속성에 따라 달라진다.만약 계산 디피-헬먼 가정(CDH)은 기본 순환 그룹 $G$ $G$ 에서 유지되며 $G$ 그러면 암호화 기능은 단방향이다.^[2]

만약 결정권 디피-Hellman 가정(DDH)은 $G$ $G$ 에서 유지되며 $G$ 이후 ElGamal은 의미적 보안을 달성한다.^[2]^[3]의미적 보안은 계산적 Diffie-에 의해 함축되지 않는다.지옥의 가정 하나.^[4]의사 결정 Diffifi- 참조그 가정이 유지된다고 여겨지는 집단의 토론에 대한 헬맨 가정.

ElGamal 암호화는 무조건 암호화가 가능하므로 선택한 암호문 공격에 의해 안전하지 않다.예를 들어 $2m$ $(c_{1},c_{2})$ 아마도 알 수 없는) 메시지 m ${\$ $displaystyle$ m $}$ 의 암호화 $(c_{1},c_{2})$ (c $(c_{1},c_{2})$ , $c2$ ) ${\$ displaystyle m $}$ 을 $m$ 를) $지정$ 하면 $메시지$ $2m$ {\displaystyle $(c_{1},2c_{2})$ $2m$ 의 $(c_1, 2 c_2)$ $2m$ 한 암호화 $(c_{1},2c_{2})$ $(c_{1},2c_{2})$ , $(c_{1},2c_{2})$ $c2)$ 를 쉽게 구성할 수 있다 $.$

선택한 암호 텍스트 보안을 달성하려면, 계획을 추가로 수정하거나 적절한 패딩 방식을 사용해야 한다.개조에 따라 DDH 가정은 필요할 수도 있고 필요하지 않을 수도 있다.

선택한 암호문 공격에 대한 보안을 달성하는 ElGamal과 관련된 다른 계획도 제안되었다.크레이머-션프 암호 $G$ 은 $DDH$ 가 G {\ $displaystyle$ G $}$ 을(를) 유지한다고 가정할 때 선택된 암호문 공격에 의해 안전하며 $G$ 그 증거는 임의의 오라클 모델을 사용하지 않는다.또 다른 제안 계획은 DHAES인데,^[4] DHAES의 증명에는 DDH 가정보다 약한 가정이 필요하다.

효율성

ElGamal 암호화는 확률론적인 것으로, 하나의 일반 일반 텍스트가 일반 ElGamal 암호화가 일반 텍스트에서 암호 텍스트로 1:2의 크기를 확장하는 결과로 가능한 많은 가능한 암호 텍스트로 암호화될 수 있다는 것을 의미한다.

ElGamal에 의한 암호화는 두 개의 지수를 필요로 하지만, 이러한 지수는 메시지와 독립적이며, 필요한 경우 미리 계산할 수 있다.암호 해독은 하나의 지수와 그룹 역의 계산을 필요로 하는데, 단 하나의 지수로 쉽게 결합될 수 있다.

참고 항목

Taher Elgamal, 이것과 다른 암호 시스템의 설계자
ElGamal 서명 방식
동형 암호화

추가 읽기

A. J. Menezes; P. C. van Oorschot; S. A. Vanstone. "Chapter 8.4 ElGamal public-key encryption" (PDF). Handbook of Applied Cryptography. CRC Press.
Dan Boneh (1998). The Decision Diffie–Hellman Problem. Lecture Notes in Computer Science. Vol. 1423. pp. 48–63. CiteSeerX 10.1.1.461.9971. doi:10.1007/BFb0054851. ISBN 978-3-540-64657-0.

참조

^ Taher ElGamal (1985). "A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms" (PDF). IEEE Transactions on Information Theory. 31 (4): 469–472. CiteSeerX 10.1.1.476.4791. doi:10.1109/TIT.1985.1057074. (CRIPTO'84, 페이지 10–18에 컨퍼런스 버전이 표시됨)
^ ^a ^b Mike Rosulek (2008-12-13). "Elgamal encryption scheme". University of Illinois at Urbana-Champaign. Archived from the original on 2016-07-22.
^ Tsiounis, Yiannis; Yung, Moti (2006-05-24). "On the security of ElGamal based encryption". Public Key Cryptography 1998. Lecture Notes in Computer Science. 1431: 117–134. doi:10.1007/BFb0054019. ISBN 978-3-540-69105-1.
^ ^a ^b Abdalla, Michel; Bellare, Mihir; Rogaway, Phillip (1999-03-17). "DHAES: An Encryption Scheme Based on the Diffie-Hellman Problem". Theory of Cryptography Library.

[1] Taher ElGamal (1985). "A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms" (PDF). IEEE Transactions on Information Theory. 31 (4): 469–472. CiteSeerX 10.1.1.476.4791. doi:10.1109/TIT.1985.1057074. (CRIPTO'84, 페이지 10–18에 컨퍼런스 버전이 표시됨)

[cryptutor-2] Mike Rosulek (2008-12-13). "Elgamal encryption scheme". University of Illinois at Urbana-Champaign. Archived from the original on 2016-07-22.

[3] Tsiounis, Yiannis; Yung, Moti (2006-05-24). "On the security of ElGamal based encryption". Public Key Cryptography 1998. Lecture Notes in Computer Science. 1431: 117–134. doi:10.1007/BFb0054019. ISBN 978-3-540-69105-1.

[DHAES-4] Abdalla, Michel; Bellare, Mihir; Rogaway, Phillip (1999-03-17). "DHAES: An Encryption Scheme Based on the Diffie-Hellman Problem". Theory of Cryptography Library.

[1]

[2]

[3]

[4]

Search