XTR

암호학에서 XTR은 공개키 암호화를 위한 알고리즘이다.XTR은 Efficient and Compact Subgroup Trace Presentation의 약자인 'ECSTR'을 의미한다.유한 장의 승법군 하위군의 원소를 나타내는 방법이다.이를 위해 $GF(p^{2})$ $GF(p^{2})$ ) $GF(p^{2})$ 에 대한 추적을 사용하여 $GF(p^{2})$ $GF(p^{6})^{*}$ $GF(p^{6})^{*}$ ) $GF(p^{6})^{*}$ ${\$ 의 하위 그룹 요소를 나타낸다 $GF(p^{6})^{*}$

보안 관점에서 XTR은 유한 분야의 전체 승수 그룹에서 이산 로그 관련 문제를 해결하는 어려움에 의존한다.한정된 분야의 전체 승수 그룹의 생성기를 기반으로 하는 많은 암호 프로토콜과는 달리, XTR은 오른쪽 $choic$ 과 함께 $GF(p^{6})^{*}$ ( $GF(p^{6})^{*}$ $6$ ) $∗{\$ $q}$ 의 일부 $q$ 소수 부분군 g ${\displaystyle$ q}의 $g$ 생성기 $g$ ${\displaystyle$ $q$ $GF(p^{6})^{*}$ 을 사용한다.e of $q$ , computing Discrete Logarithms in the group, generated by $g$ , is, in general, as hard as it is in $GF(p^{6})^{*}$ and thus cryptographic applications of XTR use $GF(p^{2})$ arithmetics while achieving full $GF(p^{6})$ $GF(p^{6})$ $GF(p^{6})$ ( $GF(p^{6})$ $GF(p^{6})$ ) $GF(p^{6})$ 보안으로 $GF(p^{6})$ 보안에 영향을 주지 않으면서 통신 및 계산 오버헤드 모두에서 상당한 비용 절감 효과를 얻음XTR의 다른 장점으로는 빠른 키 생성, 작은 키 크기 및 속도 등이 있다.

XTR의 기본 원리

XTR은 일반적으로 XTR supergroup이라 불리는 부분군의 XTR supergroup 또는 just XTR 그룹으로, $p^{6}$ 6 ${\$ 원소가 $GF(p^{6})$ $p^{6}$ 있는 $GF(p^{6})$ $GF(p^{$ })의 승법집단을 사용한다.XTR 슈퍼 그룹은 p $p^{2}-p+1$ - $p^{2}-p+1$ p $p^{2}-p+1$ + 1 $p^{2}-p+1$ p - $p^{2}-p+1$ + 1 ${\$ $displaystyle$ p $^{2}-$ $p+1}$ 이며 $,$ 여기서 p는 충분히 큰 prime $p^{2}-p+1$ 가 $p^{2}-p+1$ $p^{2}-p+1$ - $p^{2}-p+1$ p + $1$ 을 나누는 프라임 $q$ 이다 $p^{2}-p+1$ XTR 하위 그룹은 이제 q를 주문했으며, 제너레이터 g와 함께 $\langle g\rangle$ 주기 $\langle g\rangle$ 인 $\langle g\rangle$ G $GF(p^{6})^{*}$ $\langle g\rangle$ $GF(p^{6})^{*}$ 6 $GF(p^{6})^{*}$ ) $∗ {\displaystyle GF$ $(p^{6$ $}}^{*}}}}}$ 의 하위 그룹으로서 $,$ The following three paragraphs will describe how elements of the XTR supergroup can be represented using an element of $GF(p^{2})$ instead of an element of $GF(p^{6})$ and how arithmetic operations take place in $GF(p^{2})$ instead of in $GF(p^{6})$ $GF(p^{6})$ ( $GF(p^{6})$ $GF(p^{6})$ ) $GF(p^{6})$ .

$GF(p^{2})$ $GF(p^{2})$ $GF(p^{2})$ ) $GF(p^{2})$ 의 산술 연산

p가장 많은 사람은 피와 p2-p2모드 3≡과 같아야+13우리는 그 p(Z/3Z)∗{\displaystyle(\mathbb{Z}/3\mathbb{Z})^{*}를 생성하}참조하십시오 p2 ≡ 1모드이고 따라서 세번째 원주 등분 다항식 Φ 3())이후)는 충분히 큰 소인수 quaque다 x2+x+1{\displaystyle \Phi_{3}())=x^{2}+x+1}irreduci 것입니다.가물가물e over $GF(p)$ . It follows that the roots $\alpha$ and $\alpha ^{p}$ form an optimal normal basis for $GF(p^{2})$ over $GF(p)$ and

GF(p^{2})\cong \{x_{1}\알파 +x_{2}\알파 ^{p}:x_{1},x_{2}\in GF(p)\}.

p ≡ 2 mod 3을 고려하면 우리는 지수 modulo 3을 줄일 수 있다.

GF(p^{2})\cong \{y_{1}\알파 +y_{2}\알파 ^{2}:\알파 ^{2}+\알파 ^{1=0,y_{1},y_{2}\in GF(p)\}

산술 연산의 비용은 이제 "XTR 공개 키 시스템의 개요"^[1]에서 Lema 2.21이라는 라벨을 붙인 다음 Lemma에 제시되어 있다.

보조정리

x^p 컴퓨팅은 곱셈을 사용하지 않고 수행된다.
컴퓨팅 x는² $GF(p)$ $GF(p)$ ( $GF(p)$ ) $GF(p)$ 의 두 배수를 사용한다.
xy 컴퓨팅은 $GF(p)$ $GF(p)$ ( $GF(p)$ ) $GF(p)$ 의 세 배수를 사용한다.
xz-yz^p 연산에는 $GF(p)$ ) $GF(p)$ 의 네 가지 배수가 사용된다 $GF(p)$

$GF(p^{2})$ $GF(p^{2})$ $GF(p^{2})$ ) ${\displaystyle GF(p^{2})$ 에 대한 추적

The trace in XTR is always considered over $GF(p^{2})$ . In other words, the conjugates of $h\in GF(p^{6})$ over $GF(p^{2})$ are $h,h^{p^{2}}$ and $h^{p^{4}}$ $h^{p^{4}}$ $h$ $h$ 의 흔적이 이들의 총합이다 $h$ .

Tr(h)=h+h^{p^{2}}+h^{p^{4}}.

이후 $Tr(h)\in GF(p^{2})$ $Tr(h)\in GF(p^{2})$ $Tr(h)\in GF(p^{2})$ ( $Tr(h)\in GF(p^{2})$ ) $Tr(h)\in GF(p^{2})$ $Tr(h)\in GF(p^{2})$ $Tr(h)\in GF(p^{2})$ ( $Tr(h)\in GF(p^{2})$ 2 $Tr(h)\in GF(p^{2})$ ) ${\displaystyle Tr(h)\in GF(p^{2})$ 에 주목하십시오.

{\displaystyle{\begin}{p^{p^{2}}~{p^{p^{2}}+h^{p^{4}}+h^{p^{6}\\&=h+h^{p^{2}}+h^{p^{p^{4}}}}}\&=Tr(h)\end{liged}}}}}}}}}}}}}}}}}}

Consider now the generator $g$ of the XTR subgroup of a prime order $q$ . Remember that $\langle g\rangle$ is a subgroup of the XTR supergroup of order $p^{2}-p+1$ , so $q\mid p^{2}-p+1$ .다음 섹션에서는 $p$ $p$ $p$ $및$ q{\ $displaystyle q$ 을(를) 선택하는 방법을 볼 수 있지만, 현재로서는 $q>3$ > 3 ${\displaystyle$ $q>3$ 을(를 $)$ 가정하면 충분하다. modulo $p^{2}-p+1$ $p^{2}-p+1$ - $p^{2}-p+1$ + $p^{2}-p+1$ ${\displaystylease$ $p$ $^{2}+1}$ 에 $g$ $p^{2}-p+1$ 대한 $g$ 을 계산하려면

p^{2}=p-1

p^{2}=p-1

=

p^{2}=p-1

-

p^{2}=p-1

p^{2}=p-1

및

p^{4}=(p-1)^{2}=p^{2}-2p+1=-p

따라서

{\begin{aigned}Tr(g)&=g+g^{p^{2}}+g^{p^{p^{4}\\&=g+g^{p-1}+g^{-p}.\end{정렬}}

$g$ $g$ 의 $1$ 은 1 ${\displaystyle$ 1 $1$ 즉 $g$ $g$ 이(가) 표준 1을 갖는 $g$ 것과 같다 $g$ .

XTR의 중요한 관찰 내용은 $GF(p^{2})$ $GF(p^{2})$ $GF(p^{2})$ ) ${\displaystyle GF(p^{2})$ 에 $g$ 대한 g $g$ 의 최소 다항식이라는 것이다.

(x-g)\!\ (x-g^{p-1})(x-g^{-p})

로 단순화하다.

x^{3}-Tr(g)\!\ x^{2}+Tr(g)^{p}x-1

T $Tr(g)$ ( $Tr(g)$ ) $Tr(g)$ 에 의해 완전히 결정된다 $Tr(g)$ 따라서 G $GF(p^{2})$ ( $GF(p^{2})$ $GF(p^{2})$ ) $g$ 에 $g$ $대한$ g ${\displaystyle$ g $}$ 의 최소 다항식의 뿌리로서 $g$ ${\displaysty g}$ 의 추적에 의해 완전히 결정된다 $g$ $g$ $g$ 의 모든 동력에 대해서도 동일함 $g$ $g^{n}$ ${\$ g $^{n}$ 의 접합자는 다항식의 뿌리임 $g^{n}$

x^{3}-Tr(g^{n})\!\ x^{2}+Tr(g^{n})^{p}x-1

그리고 이 다항식은 $Tr(g^{n})$ $Tr(g^{n})$ ( g $Tr(g^{n})$ ) $Tr(g^{n})$ 에 의해 완전히 결정된다 $Tr(g^{n})$

트레이스를 사용하는 이면의 아이디어는 암호 프로토콜(예: Diffie–)에서 $g^{n}\in GF(p^{6})$ g $g^{n}\in GF(p^{6})$ G F $g^{n}\in GF(p^{6})$ ( $g^{n}\in GF(p^{6})$ $g^{n}\in GF(p^{6})$ ) ${\displaystyle$ g $^{n}\in GF(p^{6})$ 를 대체하는 것이다. $GF(p^{2})$ 에서 T $Tr(g^{n})\in GF(p^{2})$ ) $Tr(g^{n})\in GF(p^{2})$ ∈ $Tr(g^{n})\in GF(p^{2})$ F( $Tr(g^{n})\in GF(p^{2})$ 2 ) $\displaystyle Tr(g^{n})\\$ displaystyle Tr(g^{n})\에 의한 헬만 키 교환으로 표현 크기가 $Tr(g^{n})\in GF(p^{2})$ 3 감소하는 계수를 얻었다.그러나 이는 $Tr(g)$ $Tr(g)$ ( $Tr(g)$ n $Tr(g^{n})$ ) ${\displaystyle Tr(g$ $^{n})}$ 을 $Tr(g^{n})$ (를 $)$ 얻을 수 있는 빠른 방법이 있는 경우에만 유용하다 $Tr(g)$ The next paragraph gives an algorithm for the efficient computation of $Tr(g^{n})$ . In addition, computing $Tr(g^{n})$ given $Tr(g)$ turns out to be quicker than computing $g^{n}$ given $g$ .^[1]

$Tr(g)$ $Tr(g)$ ( $Tr(g^{n})$ n $Tr(g^{n})$ ) ${\displaystyle Tr($ $Tr(g)$ $^{n})$ $Tr(g)$ 의 빠른 계산 알고리즘

A. 렌스트라와 E.Verheul은 XTR 공개 키 시스템이라는 제목의 논문에서 이 알고리즘을 제공했다.^[2]알고리즘과 여기에 제시된 알고리즘 자체에 필요한 모든 정의와 레마(lemmas)는 이 문서에서 가져온 것이다.

$GF(p^{2})$ $GF(p^{2})$ ) $GF(p^{2})$ {\ $displaystyle GF(p^{$ 2})에서 c에 $대한$ 정의 정의 $GF(p^{2})$ 정의

F(c,X)=X^{3}-cX^{2}+c^{p}X-1\in GF(p^{2}][X].

Definition Let $h_{0},\!\ h_{1},h_{2}$ denote the, not necessarily distinct, roots of $F(c,X)$ in $GF(p^{6})$ and let $n$ be in $\mathbb {Z}$ . Define

c_{n}=h_{0}^{n}+h_{1}^{n}+h_{2}^{n}.

$c_{n}$ $c_{n}$ ${\$ 및 $c_{n}$ $F(c,X)$ , X $F(c,X)$ ) $F(c,X)$ 의 속성

${\displaystyle c=c_{1}.$
$c_{-n}=c_{np}=c_{n}^{p}}$
$c_{n}\in GF(p^{2}){\text{{}}{}}}}}}}{}n\in \in \mathb {Z}$
$c_{u+v}=c_{u}c_{v}-c_{v}^{p}c_{u-v}+c_{u-2v}{\text{}{}}{}}}}}}{}u,v\in \mathb {Z}}}}}$
해석)모든 hj{\displaystyle h_{j}}하 p2− p+1{\displaystyle p^{2}-p+1}과 을 나누고, 3{\displaystyle>3}또는 모든 hj{\displaystyle h_{j}}GF(p2){GF(p^{2})\displaystyle}에. 특히, 만일 F(c, X){F(c,X)\displaystyle} 할 수 있다.그 roots는 $p^{2}-p+1$ $p^{2}-p+1$ 2 - p $p^{2}-p+1$ + $p^{2}-p+1$ (\ $displaystyle p^{2$ }- $p+1}$ $>3$ 및 > $>3$ 3 (\ $displaystyle$ > $3}$ 을 $p^{2}-p+1$ (를) 주문한다 $>3$
$F(c,X)$ $c_{p+1}\in GF(p)$ $F(c,X)$ $F(c,X)$ $F(c,X)$ ) ${\displaystyle F$ $GF(p^{2})$ $c,$ $GF(p^{2})$ $)}$ 은(는 $GF(p^{2})$ ) C $c_{p+1}\in GF(p)$ + $c_{p+1}\in GF(p)$ $c_{p+1}\in GF(p)$ $c_{p+1}\in GF(p)$ $c_{p+1}\in GF(p)$ ) ${\displaystyle C_{p+$ 1 $}\in$ $GF(p)$ 에 $GF(p^{2})$ 축소 가능함 $F(c,X)$

Lemma Let $c,\!\ c_{n-1},c_{n},c_{n+1}$ , c $c,\!\ c_{n-1},c_{n},c_{n+1}$ - $c,\!\ c_{n-1},c_{n},c_{n+1}$ , $c,\!\ c_{n-1},c_{n},c_{n+1}$ c $c,\!\ c_{n-1},c_{n},c_{n+1}$ $c,\!\ c_{n-1},c_{n},c_{n+1}$ + $c,\!\ c_{n-1},c_{n},c_{n+1}$ ${\$ c $,\\\c_{n-1}c_{n},c_{n+1}$ 가 주어지도록 $c,\!\ c_{n-1},c_{n},c_{n+1}$ 한다.

컴퓨팅 $c_{2n}=c_{n}^{2}-2c_{n}^{p}$ $c_{2n}=c_{n}^{2}-2c_{n}^{p}$ = $c_{2n}=c_{n}^{2}-2c_{n}^{p}$ $c_{2n}=c_{n}^{2}-2c_{n}^{p}$ $c_{2n}=c_{n}^{2}-2c_{n}^{p}$ - 2 $c_{2n}=c_{n}^{2}-2c_{n}^{p}$ $c_{2n}=c_{n}^{2}-2c_{n}^{p}$ ${\$ 은(는) $GF(p)$ ) $GF(p)$ 에서 두 곱을 취한다 $c_{2n}=c_{n}^{2}-2c_{n}^{p}$ $GF(p)$
$c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ + 2 $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ = $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ + $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ c - $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ c $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ + c $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ c + $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ - 1 ${\$ $cdot$ $c_{n}+c_{n-1}$ 는 $GF(p)$ 로 4 곱한다 $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ $GF(p)$
Computing $c_{2n-1}=c_{n-1}\cdot c_{n}-c^{p}\cdot c_{n}^{p}+c_{n+1}^{p}$ takes four multiplication in $GF(p)$ .
Computing $c_{2n+1}=c_{n+1}\cdot c_{n}-c\cdot c_{n}^{p}+c_{n-1}^{p}$ takes four multiplication in $GF(p)$ .

$S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ Let S $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ ( c $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ ) $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ = ( $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ - $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ , c $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ + 1 $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ ) $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ ( $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ ) $S_{n}(c)=(c_{n-1},c_{n},c_{n+1})\in GF(p^{2})^{3}$ ${\$

$n$ $n$ 및 $n$ $c$ $c$ 에 $S_{n}(c)$ 지정된 $S_{n}(c)$ $S_{n}(c)$ ( $S_{n}(c)$ $S_{n}(c)$ $S_{n}(c)$ 계산 알고리즘 1

$n<0$ < $n<0$ $n<0$ 인 경우 이 알고리즘을 $c$ $-n$ $-n$ $c$ c $c$ 에 적용하고 $n<0$ 결과 값에 속성 2를 적용한다.
$n=0$ = $n=0$ ${\displaystyle n=0$ 이면 $S_{0}(c)\!\ =(c^{p},3,c)$ $S_{0}(c)\!\ =(c^{p},3,c)$ $S_{0}(c)\!\ =(c^{p},3,c)$ = $S_{0}(c)\!\ =(c^{p},3,c)$ ( $S_{0}(c)\!\ =(c^{p},3,c)$ , 3 $S_{0}(c)\!\ =(c^{p},3,c)$ , c $S_{0}(c)\!\ =(c^{p},3,c)$ ) $S_{0}(c)\\ =(c^{p},3,c)$ .
$n=1$ = $n=1$ $n=1$ 이면 $n=1$ $S_{1}(c)\!\ =(3,c,c^{2}-2c^{p})$ 1 $S_{1}(c)\!\ =(3,c,c^{2}-2c^{p})$ ( $S_{1}(c)\!\ =(3,c,c^{2}-2c^{p})$ ) $S_{1}(c)\!\ =(3,c,c^{2}-2c^{p})$ = ( 3, c $S_{1}(c)\!\ =(3,c,c^{2}-2c^{p})$ - $S_{1}(c)\!\ =(3,c,c^{2}-2c^{p})$ $S_{1}(c)\!\ =(3,c,c^{2}-2c^{p})$ ) ${\displaystyle S_{1}(c)\\\$ = $(3,c,c^{2-c^{p$ .
If $n=2$ , use the computation of $c_{n+2}=c_{n+1}\cdot c-c^{p}\cdot c_{n}+c_{n-1}$ and $S_{1}(c)$ to find $c_{3}$ and thereby $S_{2}(c)$ $S_{2}(c)$ .
$n>2$ > $n>2$ ${\displaystyle n>2$ }이 $n>2$ 가) $S_{n}(c)$ $S_{n}(c)$ ( $S_{n}(c)$ $S_{n}(c)$ $S_{n}(c)$ 을 $S_{n}(c)$ (를) 계산하는 경우

{\bar{S}_{i}(c)=S_{2i+1}(c)

및

{\bar {m}}=n

=

{\bar {m}}=n

이 홀수인 경우

{\bar {m}}=n

n

{\displaystyle {\m}=n

{\bar {m}}=n-1

m

{\bar {m}}=n-1

=

{\bar {m}}=n-1

- 1

{\displaystyle {\m}=n-1},

그렇지

{\bar {m}}=n-1

않은 경우.Let

{\bar {m}}=2m+1,k=1

=

{\bar {m}}=2m+1,k=1

+ 1,

{\bar {m}}=2m+1,k=1

k

{\bar {m}}=2m+1,k=1

=

{\bar {m}}=2m+1,k=1

{\m}=2m+1,k=1

및 계산

{\bar {m}}=2m+1,k=1

S(

{\bar {S}}_{k}(c)=S_{3}(c)

){\displaystyle {\S}_{k}(c)=

위의

S_{2}(c)

와

S_{2}(c)

(c

S_{2}(c)

)를

{\bar {S}}_{k}(c)=S_{3}(c)

사용하는 S_{3

}(c

)}

S_{2}(c)

. 더 멀리 두십시오.

m=\sum _{j=0}^{r}m_{j}2^{j}}}}

m_{j}\in {0,1}

m_{j}\in {0,1}

j=r-1,r-2,...,0

m_{j}\in {0,1}

m_{j}\in {0,1}

{\

}

m_{r}=1

m

m_{j}\in {0,1}

m_{r}=1

=

m_{r}=1

{\displaystyle m_{r}=1}.

j=r-1,r-2,...,0

= r

j=r-1,r-2,...,0

- 1,

j=r-1,r-2,...,0

r

j=r-1,r-2,...,0

-

j=r-1,r-2,...,0

,

j=r-1,r-2,...,0

.

j=r-1,r-2,...,0

. . . .

j=r-1,r-2,...,0

{\

displaystyle j=r-1,r-2,

...,

0}

을

j=r-1,r-2,...,0

연속으로 사용하여 다음을 수행하십시오.

$m_{j}=0$ $m_{j}=0$ = $m_{j}=0$ ${\displaystyle m_{j}=0$ 인 경우 ${\bar {S}}_{k}(c)$ 의 ${\bar {S}}_{k}(c)$ ( ${\bar {S}}_{k}(c)$ ) ${\displaystyle {\s}_{k}(c)$ 를 사용하여 ${\bar {S}}_{k}(c)$ ${\bar {S}}_{2k}(c)$ 의 ${\bar {S}}_{2k}(c)$ ) ${\displaystyle {\s}_{2k}(c)$ 를 계산하십시오 ${\bar {S}}_{2k}(c)$
$m_{j}=1$ $m_{j}=1$ = $m_{j}=1$ $m_{j}=1$ 인 경우 $m_{j}=1$ ${\bar {S}}_{k}(c)$ 의 ${\bar {S}}_{k}(c)$ ( $){\displaystyle {\s}_{k}(c)$ 를 사용하여 ${\bar {S}}_{k}(c)$ ${\bar {S}}_{2k+1}(c)$ 의 ${\bar {S}}_{2k+1}(c)$ + $){\displaystyle {\s}_{2k+1}(c)$ 을 계산하십시오 ${\bar {S}}_{2k+1}(c)$
$k$ $k$ 을(를) $2k+m_{j}$ + m $2k+m_{j}$ ${\$ 로 $k$ 교체하십시오 $2k+m_{j}$

When these iterations finish, $k=m$ and $S_{\bar {m}}(c)={\bar {S}}_{m}(c)$ . If n is even use $S_{\bar {m}}(c)$ to compute ${\bar {S}}_{m+1}(c)$ .

파라미터 선택

한정된 필드 및 부분군 크기 선택

위에서 설명한 요소들의 표현을 추적하고 충분한 보안을 확보하기 위해 아래에서 논의될 p{\ $displaystyle p}$ 와 $p$ $q$ $q$ 를 찾아야 하며, $p$ 서 p $p$ 은 $GF(p^{6})$ G F $GF(p^{6})$ ( $GF(p^{6})$ 6 $GF(p^{6})$ )의 $p$ 특성을 나타낸다 $q$ $p$ $p\equiv 2\ {\text{mod}}\ 3$ $p\equiv 2\ {\text{mod}}\ 3$ $p\equiv 2\ {\text{mod}}\ 3$ $[\displaystyle p\equiv$ 2 $\\\text{mod}\$ 3 $}$ 을 $p\equiv 2\ {\text{mod}}\ 3$ (를 $)$ 사용하는 $GF(p^{6})$ ${\$ $displaystyle q}$ 은(는 $)$ p $p^{2}-p+1$ - $p^{2}-p+1$ + $p^{2}-p+1$ 을(를 $)$ 나누는 $q$ 부분군 $크기$ 입니다 $q$ $p^{2}-p+1$

$P$ ${\$ $displaystyle P$ $}$ 과 $P$ $Q$ ${\$ $displaystyle Q}$ 의 $Q$ $p$ 크기를 비트로 $q$ 표시한다 $.$ 1024비트 RSA에 필적하는 보안을 얻으려면 약 $6P$ $6P(P$ )를 선택해야 한다. 즉, $P\approx 170$ 170 $(P\style$ P\ 약 $170)$ 및 $P\approx 170$ $Q$ ${\displaysty Q}$ 는 약 160이 될 수 있다 $Q$ .

이러한 프리타임 $p$ {\ $displaystyle p}$ 및 $q$ $q$ 을 $p$ (를) 계산하기 위한 첫 번째 쉬운 알고리즘은 $q$ 다음 알고리즘 A:

알고리즘 A

$q=r^{2}-r+1$ = $q=r^{2}-r+1$ $q=r^{2}-r+1$ - $q=r^{2}-r+1$ + $q=r^{2}-r+1$ ${\displaystyle q=r^{2}-r+1$ }이 $r\in {\mathbb {Z}}$ $q=r^{2}-r+1$ $($ 가) $Q$ $Q$ -bit $Q$ prime인 $r\in \mathbb {Z}$ r $r\in \mathbb {Z}$ ${\displaystyle$ r $\in$ { $Z}$ 을(를 $)$ 찾으십시오.
$p=r+k\cdot q$ = $p=r+k\cdot q$ + $p=r+k\cdot q$ $p=r+k\cdot q$ $q$ {\ $displaystyle p=r+k\cdot$ q $k\in \mathbb {Z}$ }이 $($ $p\equiv 2\ {\text{mod}}\ 3$ ) p $p\equiv 2\ {\text{mod}}\ 3$ $p\equiv 2\ {\text{mod}}\ 3$ 3 {\displaystyle $p\equiv 2\\\text{mod}}$ 3 $}$ 인 P ${\$ $displaystystyle$ $P}$ -b $P$ p} -bit prime}을 $($ 으) 찾으십시오 $p\equiv 2\ {\text{mod}}\ 3$

알고리즘 A의 정확성:

It remains to check that

q\mid p^{2}-p+1

because all the other necessary properties are obviously satisfied per definition of

p

and

q

. We easily see that

p^{2}-p+1=r^{2}+2rkq+k^{2}q^{2}-r-kq+1=r^{2}-r+1+q(2rk+k^{2}q-k)=q(1+2rk+k^{2}q-k)

p^{2}-p+1=r^{2}+2rkq+k^{2}q^{2}-r-kq+1=r^{2}-r+1+q(2rk+k^{2}q-k)=q(1+2rk+k^{2}q-k)

which implies that

q\mid p^{2}-p+1

.

알고리즘 A는 매우 빠르고 계수가 작은 도 2 다항식을 만족시키는 $p$ primes $p$ $p$ 을(를) 찾는 데 사용할 수 있다.이러한 $p$ $p$ 은(는) $GF(p)$ ) $GF(p)$ 의 빠른 산술 연산을 유도한다 $p$ $k=1$ 특히 $k$ ${\displaystyle$ $k$ $}$ 검색이 $k=1$ = 1 ${\$ $displaystyle$ k $=$ $1}$ 로 제한되는 $k$ 경우 $r^{2}-r+1{\text{ and }}r^{2}+1$ - $r^{2}-r+1{\text{ and }}r^{2}+1$ - r $r^{2}-r+1{\text{ and }}r^{2}+1$ + $r^{2}-r+1{\text{ and }}r^{2}+1$ 과 $r^{2}-r+1{\text{ and }}r^{2}+1$ + $r^{2}-r+1{\text{ and }}r^{2}+1$ 을 $모두$ 찾는 $r$ $r$ 을 의미한다. $r^{2}-r+1{\text$ {\text ${}$ 및 $}}$ $r^{2}+1\equiv 2{\text{ mod }}3$ $^{2}+1$ }{} $r^{2}+1\equiv$ 2 ${\text{}}}$ 이 $r^{2}+1\equiv 2{\text{ mod }}3$ 가) 프라임 $^{\displaystyp p}$ 이(가) 이러한 멋진 형태를 갖도록 $p$ 한다 $r^{2}-r+1{\text{ and }}r^{2}+1$ .이 경우 $r$ $r$ 은(는) 짝수여야 하며 $r$ r $r\equiv 1{\text{ mod }}4$ $r\equiv 1{\text{ mod }}4$ $r\equiv 1{\text{ mod }}4$ $r\equiv 1{\text{ mod }}4$ $r\equiv 1{\text{mod} }$ 이어야 한다는 점에 유의하십시오 $r\equiv 1{\text{ mod }}4$

반면에 그러한 $p$ $p$ 은(는) 숫자 필드 체의 이산 로그 변종(Intertain Logarithm)으로 공격을 쉽게 할 수 있기 때문에 보안 관점에서 바람직하지 않을 $p$ 수 있다.

다음의 알고리즘 B는 이러한 단점을 가지고 있지 않지만, 그 경우에 있어서 A 알고리즘이 가지고 있는 빠른 $p$ 로 p $p$ 알고리즘도 $p$ 가지고 있지 않다.

알고리즘 B

$q\equiv 7\ {\text{mod}}\ 12$ $Q$ -bit $Q$ prime $q$ $q$ 을(를) 선택하여 $q$ $q\equiv 7\ {\text{mod}}\ 12$ $q\equiv 7\ {\text{mod}}\ 12$ 7 $q\equiv 7\ {\text{mod}}\ 12$ $q\equiv 7\ {\text{mod}}\ 12$ ${\displaysty q\equiv$ 7 $\{\text}\12$ .
$X^{2}-X+1\ {\text{mod}}\ q$ $X^{2}-X+1\ {\text{mod}}\ q$ - $X^{2}-X+1\ {\text{mod}}\ q$ + $X^{2}-X+1\ {\text{mod}}\ q$ $q$ {\displaystyle $r_{1$ }, R $r_{2}$ ${\$ $displaystyle$ $r_{2$ $}}-displaystyle$ X^{2}-X $+1\\\text{mod}\ q}$ 의 루트 $r_{2}$ $r_{2}$ 1 ${\\$ r_{{1}}}을 $r_{1}$ 찾으십시오 $X^{2}-X+1\ {\text{mod}}\ q$
Find a $k\in \mathbb {Z}$ such that $p=r_{i}+k\cdot q$ is a $P$ -bit prime with $p\equiv 2\ {\text{mod}}\ 3$ for $i\in \{1,2\}$

알고리즘 B의 정확성:

q

7\equiv 1\ {\text{mod}}\ 3

7

q\equiv 7\ {\text{mod}}\ 12

q\equiv 7\ {\text{mod}}\ 12

{\displaystyle q\equiv 7\{\text}\

12}

을

q\equiv 7\ {\text{mod}}\ 12

(를) 선택했으므로

q\equiv 1\ {\text{mod}}\ 3

q

q\equiv 1\ {\text{mod}}\ 3

7\equiv 1\ {\text{mod}}\ 3

q\equiv 1\ {\text{mod}}\ 3

7\equiv 1\ {\text{mod}}\ 3

7\equiv 1\ {\text{mod}}\ 3

q\equiv 1\ {\text{mod}}\ 3

{\displaysty q

\equiv 1

\\\\\text{mod}

및

7\equiv 1\ {\text{mod}}\ 3

3

3\mid 12

3\mid 12

{\displaystystyledyledyledayste

3

\}을 즉시

따라간다.

3\mid 12

그것과 이차적 상호주의로부터 우리는 r

r_{1}

{\

}와

r_{1}

r_{2}

r_{2}

{\

}}개가 존재한다고

r_{2}

추론할 수 있다.

To check that

q\mid p^{2}-p+1

we consider again

p^{2}-p+1

for

r_{i}\in \{1,2\}

and get that

p^{2}-p+1=r_{i}^{2}+2r_{i}kq+k^{2}q^{2}-r_{i}-kq+1=r_{i}^{2}-r_{i}+1+q(2rk+k^{2}q-k)=q(2rk+k^{2}q-k)

p^{2}-p+1=r_{i}^{2}+2r_{i}kq+k^{2}q^{2}-r_{i}-kq+1=r_{i}^{2}-r_{i}+1+q(2rk+k^{2}q-k)=q(2rk+k^{2}q-k)

, since

r_{1}

and

r_{2}

are roots of

X^{2}-X+1

and hence

q\mid p^{2}-p+1

{\

displaystyle

q\mid p^{2}-p+1

q\

displaystyle q\mid p^{2}-p+1}.

부분군 선택

In the last paragraph we have chosen the sizes $p$ and $q$ of the finite field $GF(p^{6})$ and the multiplicative subgroup of $GF(p^{6})^{*}$ , now we have to find a subgroup $\langle g\rangle$ $\langle g\rangle$ $GF\!\ (p^{6})^{*}$ $g\in GF(p^{6})$ $GF\!\ (p^{6})^{*}$ $\mid \!\!\langle g\rangle \!\!\mid =q$ G $g\in GF(p^{6})$ ( $g\in GF(p^{6})$ $GF\!\ (p^{6})^{*}$ ) $GF\!\ (p^{6})^{*}$ ${\$ $g\in GF(p^{6})$ $\mid \!\!\langle g\rangle \!\!\mid =q$ ( $\mid \!\!\langle g\rangle \!\!\mid =q$ $^{6}}}}$ 에 $g\in GF(p^{6})$ 대해 $GF\!\ (p^{6})^{*}$ ${\displaystyle$ $g\$ $mid \\}!$ $\langle g\angle \!\!$ $\mid =q}$ .

However, we do not need to find an explicit $g\in GF(p^{6})$ , it suffices to find an element $c\in GF(p^{2})$ such that $c=Tr(g)$ for an element $g\in GF(p^{6})$ of order ${\display$ $style$ $Tr(g)$ $q$ 그러나 $Tr(g)$ r $Tr(g)$ ( $Tr(g)$ ) $Tr(g)$ 이 $Tr(g)$ 가) 주어진 경우 위에서 $F(Tr(g),\ X)$ 한 $F(Tr(g),\ X)$ F ( T r $F(Tr(g),\ X)$ ( $F(Tr(g),\ X)$ ) $F(Tr(g),\ X)$ , $F(Tr(g),\ X)$ ) ${\displaystyle$ F $(Tr(g),\ X)$ 의 루트를 결정하여 XTR(sub) 그룹의 $g$ $g$ {\displaystystyle g}을 찾을 수 있다.To find such a $c$ we can take a look at property 5 of $F(c,\ X)$ here stating that the roots of $F(c,\ X)$ have an order dividing $p^{2}-p+1$ if and only if $F(c,\ X)$ is irreducible. 그러한 $c$ ${\$ $displaystyle$ $c}$ 을(를) 찾은 후 실제로 $c$ $q$ ${\$ $displaystyle$ $q$ $c\in GF(p^{2})$ 이(가) 순서인지 확인할 필요가 있지만, 먼저 $F(c,\ X)$ $F(c,\ X)$ $)$ 가 풀릴 $F(c,\ X)$ 수 없도록 $c\in GF(p^{2})$ c $c\in GF(p^{2})$ $($ $p$ $^{2})$ 를 선택하는 방법에 초점을 맞춘다.

초기 접근방식은 $c\in GF(p^{2})\backslash GF(p)$ 보조정리기로 정당화되는 c $c\in GF(p^{2})\backslash GF(p)$ $c\in GF(p^{2})\backslash GF(p)$ $c\in GF(p^{2})\backslash GF(p)$ ( $c\in GF(p^{2})\backslash GF(p)$ 2 $c\in GF(p^{2})\backslash GF(p)$ ) $c\in GF(p^{2})\backslash GF(p)$ G $c\in GF(p^{2})\backslash GF(p)$ ( $c\in GF(p^{2})\backslash GF(p)$ $c\in GF(p^{2})\backslash GF(p)$ $c\in GF(p^{2})\백슬래시 GF(p)$ 를 무작위로 $c\in GF(p^{2})\backslash GF(p)$ 선택하는 것이다.

보조정리: For a randomly selected $c\in GF(p^{2})$ the probability that $F(c,\ X)=X^{3}-cX^{2}+c^{p}X-1\in GF(p^{2})[X]$ is irreducible is about one third.

이제 적합한 $Tr(g)$ $Tr(g)$ ( g $Tr(g)$ ) $Tr(g)$ 을(를) 찾기 위한 기본 알고리즘은 다음과 $Tr(g)$ 같다.

알고리즘 개요

임의 $c\in GF(p^{2})\backslash GF(p)$ $c\in GF(p^{2})\backslash GF(p)$ $c\in GF(p^{2})\backslash GF(p)$ $c\in GF(p^{2})\backslash GF(p)$ ( $c\in GF(p^{2})\backslash GF(p)$ p $c\in GF(p^{2})\backslash GF(p)$ ) $c\in GF(p^{2})\backslash GF(p)$ $c\in GF(p^{2})\backslash GF(p)$ $c\in GF(p^{2})\backslash GF(p)$ ( $c\in GF(p^{2})\backslash GF(p)$ ) $c\in GF(p^{2})\backslash GF(p)$ { G F ( ) $c\in GF(p^{2})\백슬래시 GF(p)$ 를 선택하십시오 $c\in GF(p^{2})\backslash GF(p)$
$F(c,\ X)$ , $F(c,\ X)$ ) $F(c,\ X)$ 이 $F(c,\ X)$ (가) 축소 가능한 경우 1단계로 돌아가십시오.
알고리즘 1을 사용하여 $d=c_{(p^{2}-p+1)/q}$ = $d=c_{(p^{2}-p+1)/q}$ 2 $d=c_{(p^{2}-p+1)/q}$ - $d=c_{(p^{2}-p+1)/q}$ + $d=c_{(p^{2}-p+1)/q}$ ) $d=c_{(p^{2}-p+1)/q}$ / $d=c_{(p^{2}-p+1)/q}$ ${\$ 을(를) 계산하십시오 $d=c_{(p^{2}-p+1)/q}$
$d$ $d$ 이(가) 순서 $q$ $q$ 이 $q$ 가) 아닌 $d$ 경우 1단계로 돌아가십시오.
$Tr(g)=d$ T $Tr(g)=d$ ( $Tr(g)=d$ ) $Tr(g)=d$ = $Tr(g)=d$ ${\displaystyle Tr(g)=d$

이 알고리즘이 $q$ $q$ 의 $g\in GF(p^{6})$ G $g\in GF(p^{6})$ ∈ $g\in GF(p^{6})$ F $g\in GF(p^{6})$ ( $g\in GF(p^{6})$ $g\in GF(p^{6})$ ) ${\displaystyle Tr($ $g$ )}에 $Tr(g)$ T $Tr(g)$ ( $Tr(g)$ g $Tr(g)$ ) ${\displaystyle$ Tr(g $)}$ 과 $GF(p^{2})$ 같은 $GF$ $GF(p^{2})$ ( $p^{6})$ 의 요소를 실제로 계산하는 것으로 나타났다 $q$

알고리즘, 정확성, 런타임 및 Lemma 증명에 대한 자세한 내용은 의 "XTR 공개 키 시스템의 개요"에서 확인할 수 있다.^[1]

암호 체계

이 절에서는 원소의 흔적을 이용한 위의 개념이 암호학에 어떻게 적용될 수 있는지 설명한다.일반적으로 XTR은 (하위 그룹) 이산 로그 문제에 의존하는 모든 암호 시스템에서 사용될 수 있다.XTR의 두 가지 중요한 애플리케이션은 Diffie이다.Hellman 키 계약과 ElGamal 암호화.디피부터 시작하자.헬먼

XTR-DH 키 계약

Alice와 Bob 모두 XTR 공개 키 데이터 $\left(p,q,Tr(g)\right)$ , $\left(p,q,Tr(g)\right)$ , $\left(p,q,Tr(g)\right)$ r ( $\left(p,q,Tr(g)\right)$ ) ${\$ 에 액세스할 수 있으며 공유 $\left(p,q,Tr(g)\right)$ 비밀 키 $K$ ${\displaystyty K}$ 에 동의하려고 한다 $K$ 다음 XTR 버전을 사용하여 이 작업을 수행할 수 있다.Hellman 키 교환:

Alice picks $a\in \mathbb {Z}$ randomly with $1<a<q-2$ , computes with Algorithm 1 ${\displaystyle S_{a}(Tr(g))$ $=\left(Tr(g^{a-1}),Tr(g^{a}),Tr(g^{a+1})\right)\in GF(p^{2})^{3}}$ and sends $Tr(g^{a})\in GF(p^{2})$ to Bob.
밥은 앨리스한테서, 임의의 b에 ∈ Z{\displaystyleb\in \mathbb{Z}선택하는}1<>와 q − 2{1<, b<, q-2\displaystyle}, Sb(Tr(g)))(Tr(gb− 1), Tr(gb), Tr(gb+1)를 계산하기 위해)알고리즘 1적용된다 ∈ GF(p2Tr(를 입수){Tr(g^{})\displaystyle}b<>를 받는다. =3{) $디스플레이 스타일 S_{b}(Tr(g))$ $=\left(Tr(g^{b-1}),Tr(g^{b}),Tr(g^{b+1})\right)\in GF(p^{2})^{3}}$ and sends $Tr(g^{b})\in GF(p^{2})$ to Alice.
Alice receives $Tr(g^{b})$ from Bob, computes with Algorithm 1 ${\displaystyle S_{a}(Tr(g^{b}))$ $=\좌측(Tr(g^{(a-1)b}),Tr(g^{ab}),Tr(g^{(a+1)b}}$ $\right)\in GF(p^{2}}^{3}}}$ 에 $S_{a}(Tr(g^{b}))=\left(Tr(g^{{(a-1)b}}),Tr(g^{{ab}}),Tr(g^{{(a+1)b}})\right)\in GF(p^{2})^{3}$ 있는 $Tr(g^{ab})\in GF(p^{2})$ (g a ) $Tr(g^{ab})\in GF(p^{2})$ G $Tr(g^{ab})\in GF(p^{2})$ $Tr(g^{ab})\in GF(p^{2})$ ) ${\displaystyle Tr(g^{ab})\in GF(p^{2})$ 에 기반하여 $K$ $K$ ${\\displaysty K}$ 를 결정한다 $Tr(g^{ab})\in GF(p^{2})$
Bob은 알고리즘 1을 $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ r $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ( g $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ) $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ = $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ( T $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ( g $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ a ( $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ - $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ r ( $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ) , $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ r $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ( $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ a $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ( $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ + 1 $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ) $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ) 계산에 유사하게 적용한다. $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ( $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ) $S_{b}(Tr(g^{a}))=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}$ ${\$ $=\left(Tr(g^{a(b-1)}),Tr(g^{ab}),Tr(g^{a(b+1)})\right)\in GF(p^{2})^{3}}$ and also determines $K$ based on $Tr(g^{ab})\in GF(p^{2})$ .

XTR ElGamal 암호화

ElGamal 암호화의 경우, 이제 Alice가 XTR 공개 키 데이터 $, q$ , $(p,q,Tr(g))$ $(p,q,Tr(g))$ ( $(p,q,Tr(g))$ ) ${\displaystyle$ $k$ 계산된 $Tr(g^{k})$ $Tr(g^{k})$ ( g k $Tr(g^{k})$ ) ${\$ $displaystyle$ $k$ }, 계산된 T r ( $Tr(g^{k})$ $Tr(g^{k})$ ){ $displaystyTr(g^{k})$ 의 소유자라고 $(p,q,Tr(g))$ 가정하고 $Tr(g^{k})$ 있다.앨리스의 XTR 공개 키 데이터 $\left(p,q,Tr(g),Tr(g^{k})\right)$ , $\left(p,q,Tr(g),Tr(g^{k})\right)$ , $\left(p,q,Tr(g),Tr(g^{k})\right)$ r $\left(p,q,Tr(g),Tr(g^{k})\right)$ ( $\left(p,q,Tr(g),Tr(g^{k})\right)$ g ) $\left(p,q,Tr(g),Tr(g^{k})\right)$ , $\left(p,q,Tr(g),Tr(g^{k})\right)$ $\left(p,q,Tr(g),Tr(g^{k})\right)$ ( $\left(p,q,Tr(g),Tr(g^{k})\right)$ $\left(p,q,Tr(g),Tr(g^{k})\right)$ ) ${\$ (Tr $(g^{k}\rig)}})$ 를 감안할 때 $\left(p,q,Tr(g),Tr(g^{k})\right)$ Bob은 다음과 같은 XTR 버전의 엘가말 암호화를 사용하여 앨리스용 메시지 ${\displaystytype$ M}을 암호화할 수 있다 $M$

Bob selects randomly a $b\in \mathbb {Z}$ with $1<b<q-2$ and computes with Algorithm 1 ${\displaystyle S_{b}(Tr(g))$ $=\\좌측(G^{b-1}),Tr(g^{b}),Tr(g^{b+1}}\우측)\in GF($ p^{ $2})^{3$
다음으로 Bob은 알고리즘 1을 $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ r $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ( $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ) $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ = $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ( $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ r $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ( $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ - 1 $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ) $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ) $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ , $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ( $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ) $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ , $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ( g b k ) , T $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ( g ( $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ + $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ) $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ) $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ G $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ( p $S_{b}(Tr(g^{k}))=\left(Tr(g^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k})\right)\in GF(p^{2})^{3}$ ) 3 ${\$ S_ ${b}(Tr(g^{k)})$ 에 적용한다. $=\\좌측(G^{(b-1)k}),Tr(g^{bk}),Tr(g^{(b+1)k}\우측)\in GF(p^{2}^{3$
Bob은 $(p^{2})$ 에서 $Tr(g^{bk})\in GF(p^{2})$ r $Tr(g^{bk})\in GF(p^{2})$ $Tr(g^{bk})\in GF(p^{2})$ k $Tr(g^{bk})\in GF(p^{2})$ ) $Tr(g^{bk})\in GF(p^{2})$ G $Tr(g^{bk})\in GF(p^{2})$ $Tr(g^{bk})\in GF(p^{2})$ ) ${\displaystyle Tr(g^{bk})\$ in $GF$ (p^{2})에 기반하여 $K$ 대칭 암호화 키 $K$ {\ $displaysty K}$ 를 결정한다 $Tr(g^{bk})\in GF(p^{2})$
Bob은 $M$ 의 메시지 $M$ ${\displaystyle$ M}을(를) 암호화하기 위해 $K$ 키 $K$ {\ $displaystyle$ $K}$ 과(와) 대칭 암호화 방법에 합의하여 E $M$ ${\displaystyle$ E $}$ 을(를) 사용한다 $E$
밥은 앨리스에게 $(Tr(g^{b}),\ E)$ $(Tr(g^{b}),\ E)$ ( $(Tr(g^{b}),\ E)$ $(Tr(g^{b}),\ E)$ ( $(Tr(g^{b}),\ E)$ b $(Tr(g^{b}),\ E)$ ) $(Tr(g^{b}),\ E)$ , E $(Tr(g^{b}),\ E)$ ) $(Tr(g^{b}),\ E)$ 을 보낸다.

$(Tr(g^{b}),\ E)$ $(Tr(g^{b}),\ E)$ ( $(Tr(g^{b}),\ E)$ b $(Tr(g^{b}),\ E)$ ) $(Tr(g^{b}),\ E)$ , $(Tr(g^{b}),\ E)$ ) $(Tr(g^{b}),\ E)$ 을 받은 앨리스는 다음과 같은 방법으로 메시지를 해독한다.

앨리스는 $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ( $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ( g $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ) $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ = $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ( T $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ( $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ( k $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ - $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ) $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ , T $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ( $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ k $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ) $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ , T r ( $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ b $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ) , $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ( g b $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ + $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ) $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ F $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ( $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ 2 $S_{k}(Tr(g^{b}))=\left(Tr(g^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)})\right)\in GF(p^{2})^{3}$ ) 3 ${\$ 를 계산한다. $=\\좌측(G^{b(k-1)}),Tr(g^{bk}),Tr(g^{b(k+1)}\우측)\in GF(p^{2}^{3$
앨리스는 $GF(p^{$ 2})에서 T $Tr(g^{bk})\in GF(p^{2})$ $Tr(g^{bk})\in GF(p^{2})$ $Tr(g^{bk})\in GF(p^{2})$ ) $Tr(g^{bk})\in GF(p^{2})$ G $Tr(g^{bk})\in GF(p^{2})$ 2 $Tr(g^{bk})\in GF(p^{2})$ ) ${\displaystyle Tr(g^{bk})\$ in GF(p^{ $2})$ 를 $K$ 기준으로 대칭 $키$ K ${\displaystystyle K}$ 를 결정한다 $Tr(g^{bk})\in GF(p^{2})$
앨리스는 키 $K$ ${\displaystyle K$ $}$ 과(와) 합의된 대칭 $E$ 방법을 사용하여E {\ $displaystyle$ E}을(를) 해독하고 $E$ 원본 메시지 $M$ $M$ 을(를) 생성한다 $M$

여기서 설명한 암호화 체계는 ElGamal 암호화의 일반적인 하이브리드 버전을 기반으로 하며, $K$ 서 암호키 K $K$ 를 비대칭 공개 키 시스템에 의해 얻은 다음 $K$ 앨리스와 밥이 동의한 대칭 키 암호화 방법으로 암호화한다.

In the more traditional ElGamal encryption the message is restricted to the key space, which would here be $GF(p^{2})$ , because $Tr(g)\in GF(p^{2})\ \forall p\in GF(p^{6})^{*}$ . The encryption in this case is the multiplication of t키 공간 $GF(p^{2})$ $GF(p^{2})$ $GF(p^{2})$ ) ${\displaystyle GF(p^{2})$ 에서 되돌릴 수 없는 작업인 키를 가진 메시지 $GF(p^{2})$

Concretely this means if Bob wants to encrypt a message $M\!\ '$ , first he has to convert it into an element $M$ of $GF(p^{2})$ and then compute the encrypted message $E$ as ${\displaystyle E=K\cdot M$ $\in GF(p^{2})}$ . Upon receipt of the encrypted message $E$ Alice can recover the original message $M$ by computing $M=E\cdot K^{-1}$ , where $K^{-1}$ is the inverse of $K$ in ${\display$ $스타일 GF(p^{2})$ .

보안

위에서 설명한 XTR 암호화 체계의 보안 속성에 대해 뭐라고 말하려면 먼저 XTR 그룹의 보안을 확인하는 것이 중요하며, 이는 그곳에서 이산 로그 문제를 해결하는 것이 얼마나 어려운가를 의미한다.그런 다음 다음 파트에서는 XTR 그룹의 이산 로그 문제와 이산 로그 문제의 XTR 버전 사이의 동등성을 요소의 트레이스만 사용하여 기술한다.

일반 $GF\left(p^{t}\right)$ $GF\left(p^{t}\right)$ $GF\left(p^{t}\right)$ ) ${\$ 의 이산 로그

이제 $\langle \gamma \rangle$ $\langle \gamma \rangle$ {\ $displaystyle \langle$ \langle $\gamma$ $\$ $rangele}}$ 을(를 $)$ Ω {\ $displaystyle \$ omega}의 다중 순서 그룹으로 $\langle \gamma \rangle$ 합시다. $\omega$ Diffie–의 보안. $\langle \gamma \rangle$ $\langle \gamma \rangle$ $\langle \gamma \rangle$ $\langle \gamma \rangle$ 의 Hellman 프로토콜은 Diffie–에 의존한다 $\langle \gamma \rangle$ .Hellman (DH) problem of computing $\gamma ^{xy}{\text{ given }}\gamma ,\gamma ^{x}{\text{ and }}\gamma ^{y}$ . We write $DH(\gamma ^{x},\ \gamma ^{y})=\gamma ^{xy}$ .DH 문제와 관련된 다른 두 가지 문제가 있다.첫 번째는 디피-헬먼 결정 만약 c=DH{\displaystyle c=DH(a,b)}(a, b)을 결정하기 위해서 문제(DHD)된, b, c∈ ⟨γ ⟩{\displaystyle a,b,c\in \langle \gamma \rangle}, 다른 하나는 이산 로그(DL)문제에 찾xxDL(를){\displaystyle x=DL(를)}에 주어진 a=γ)∈⟨ γ ⟩과 0≤)<>.;ω $\displaystyle a=\cHB ^{x}\in \langle \langle {\text{{}}, }0\leq$ x $<\omega$ $a=\gamma ^{x}\in \langle \gamma \rangle {\text{ with }}0\leq x<\omega$

DL 문제는 적어도 DH 문제만큼 어려우며 일반적으로 $\langle \gamma \rangle$ $\langle \gamma \rangle$ { ${ \$ {\ $displaystyle$ \ $langle \gamma \angle$ }의 DL 문제가 다루기 어려운 경우 $\langle \gamma \rangle$ 나머지 두 가지 문제도 다루기 어렵다고 가정한다.

$\omega$ $\omega$ 의 $\omega$ primary factorization을 고려할 때, Pohlig–로 인해 프라임 순서와 함께 $\langle \gamma \rangle$ $\langle \gamma \rangle$ γ $\langle \gamma \rangle$ $\$ $\langle \gamma \rangle$ \ $langle$ $\angle }$ 의 모든 하위 그룹에서 DL 문제로 축소할 $\langle \gamma \rangle$ 수 있다 $\langle \gamma \rangle$ .헬만 알고리즘.따라서 $\omega$ $\omega$ 은(는) 안전하게 프라임으로 가정할 수 있다 $\omega$ .

부분군 $\langle \gamma \rangle$ $\langle \gamma \rangle$ {\ $displaystyle \langle$ \langle \ $gamma \rangle$ $\omega$ $}$ 의 $\langle \gamma \rangle$ 경우, 승수 그룹 $GF\left(p^{t}\right)^{*}$ $GF\left(p^{t}\right)^{*}$ ) $GF\left(p^{t}\right)^{*}$ $\omega$ ${\$ 의 $\omega$ 프라임 순서 Ω ${\\\\\\\\\displaystydisplaysty$ }일부 $t$ $t$ 에 $GF(p)$ $GF(p)$ $GF(p)$ F $GF(p)$ ${\displaystyle GF(p$ $^{t$ $})}$ 의 $GF(p^{t})$ 확장 필드 $GF(p^{t})$ ({*}) 중 $GF\left(p^{t}\right)^{*}$ $^{}}},$ 이제 시스템을 공격하는 두 가지 방법이 있다 $t$ 사람은 전체 승수 그룹에 초점을 맞출 수도 있고 하위 그룹에 초점을 맞출 수도 있다.To attack the multiplicative group the best known method is the Discrete Logarithm variant of the Number Field Sieve or alternatively in the subgroup one can use one of several methods that take ${\mathcal {O}}({\sqrt {\omega }})$ operations in $\langle \gamma \rangle$ , such as Pol라드의 rho 방식

For both approaches the difficulty of the DL problem in $\langle \gamma \rangle$ depends on the size of the minimal surrounding subfield of $\langle \gamma \rangle$ and on the size of its prime order $\omega$ . If ${\displaystyle GF\left(p^{t}\r$ $ight)}$ itself is the minimal surrounding subfield of $\langle \gamma \rangle$ and $\omega$ is sufficiently large, then the DL problem in $\langle \gamma \rangle$ is as hard as the general DL problem in $GF\left(p^{t}\right)$ .

The XTR parameters are now chosen in such a way that $p$ is not small, $q$ is sufficiently large and $\langle g\rangle$ cannot be embedded in a true subfield of $GF(p^{6})$ , since ${\displaystyle q\mid p^{2}-p+$ $1}$ 및 $q\mid p^{2}-p+1$ $p^{2}-p+1$ $p^{2}-p+1$ - $p^{2}-p+1$ + $p^{2}-p+1$ ${\displaystyle$ p $^{2}-p+1$ }은 $($ 는) $\mid \!GF(p^{6})^{*}\!\mid =p^{6}-1$ G F( $\mid \!GF(p^{6})^{*}\!\mid =p^{6}-1$ 6 $\mid \!GF(p^{6})^{*}\!\mid =p^{6}-1$ ) $\mid \!GF(p^{6})^{*}\!\mid =p^{6}-1$ $\mid \!GF(p^{6})^{*}\!\mid =p^{6}-1$ $\mid \!GF(p^{6})^{*}\!\mid =p^{6}-1$ - $\mid \!GF(p^{6})^{*}\!\mid =p^{6}-1$ ${\displaysty \mid \!$ 의 구분자임 $p^{2}-p+1$ $GF(p^{6})^{*}\!\mid =p^{6}-1}$ , but it does not divide $p^{s}-1{\text{ for }}s\in \{1,2,3\}$ and thus $\langle g\rangle$ cannot be a subgroup of ${\displaystyle GF\!\ (p^{s})$ $^*}{{*}$ $s\in \{1,2,3\}$ , $s\in \{1,2,3\}$ , $s\in \{1,2,3\}$ $s\in \{1,2,3\}$ $s\in \{1,2,3\}$ 에 대해 $GF\!\ (p^{s})^{*}$ $s\in \{1,2,3\}$ XTR 그룹의 DL 문제는 $GF(p^{6})$ ( $GF(p^{6})$ $GF(p^{6})$ ) ${\displaystyle GF(p^{6})$ 의 DL 문제만큼 단단하다고 가정할 수 있다 $GF(p^{6})$

XTR의 보안

이산 로그에 기반한 암호화 프로토콜은 타원 곡선 지점의 그룹이나 XTR 그룹과 같은 유한 분야의 승수 그룹의 하위 그룹과 같은 여러 가지 종류의 하위 그룹을 사용할 수 있다.XTR 버전의 Diffie-에서 살펴본 바와 같이.Hellman 및 ElGamal 암호화 프로토콜은 XTR 그룹의 요소를 트레이스를 사용하여 대체한다.이는 이러한 암호화 체계의 XTR 버전의 보안이 더 이상 원래의 DH, DHD 또는 DL 문제에 기초하지 않는다는 것을 의미한다.따라서 이러한 문제의 XTR 버전은 정의되어야 하며 우리는 그것들이 원래의 문제와 동등하다는 것을 알게 될 것이다.

정의:

We define the XTR-DH problem as the problem of computing $Tr(g^{xy})$ given $Tr(g^{x})$ and $Tr(g^{y})$ and we write $XDH(g^{x},\ g^{y})=g^{xy}$ .
$XTR-DHD$ 문제는 $XDH(a,b)=c$ H $XDH(a,b)=c$ ( a , $XDH(a,b)=c$ ) $XDH(a,b)=c$ = $a,b,c\in Tr(\langle g\rangle )$ , $a,b,c\in Tr(\langle g\rangle )$ , $a,b,c\in Tr(\langle g\rangle )$ , c $a,b,c\in Tr(\langle g\rangle )$ $a,b,c\in Tr(\langle g\rangle )$ $r$ ( $a,b,c\in Tr(\langle g\rangle )$ $a,b,c\in Tr(\langle g\rangle )$ ⟩ $a,b,c\in Tr(\langle g\rangle )$ ) ${\displaystyle$ $XDH(a$ $,b)=$ $c}$ 의 여부를 $XDH(a,b)=c$ 결정하는 $문제다.$
Given $a\in Tr(\langle g\rangle )$ , the XTR-DL problem is to find $x=XDL(a)$ , i.e. $0\leq x<q$ such that $a=Tr(g^{x})$ .
We say that problem ${\mathcal {A}}$ is (a,b)-equivalent to problem ${\mathcal {B}}$ , if any instance of problem ${\mathcal {A}}$ (or ${\mathcal {B}}$ ) can be solved by at most a (or b) calls to an algorithm solving problem ${$ $\displaystyle {\mathcal{B}($ ${\mathcal {A}}$ A ${\$ ${\mathcal {A}}$ .

이러한 문제의 XTR 버전을 도입한 후 다음 정리는 XTR과 사실상 동등한 XTR 문제 사이의 연관성을 알려주는 중요한 결과물이다.이는 위에서 볼 수 있듯이, 보안에 영향을 주지 않으면서 일반적인 표현보다 3배 빠른 추적을 가진 요소들의 XTR 표현이라는 것을 의미한다.

정리 다음과 같은 동등성은 유지된다.

i. XTR-DL 문제는 (1,1)- $\langle g\rangle$ $\langle g\rangle$ \ $\langle g\angle$ 의 DL 문제와 동일하다 $\langle g\rangle$

ii. XTR-DH 문제는 (1,2)- $\langle g\rangle$ $\langle g\rangle$ \ $\langle g\angle$ 의 DH 문제와 동일하다 $\langle g\rangle$

iii. XTR-DHD 문제는 (3,2)- $\langle g\rangle$ $\langle g\rangle$ ⟩ $\langle g\angle$ 의 DHD 문제와 동일하다 $\langle g\rangle$

즉, XTR-DL, XTR-DH 또는 XTR-DHD 중 하나를 불가해한 확률로 해결하는 알고리즘을 해당 비-XTR 문제 DL, DH 또는 DHD를 불가해한 알고리즘으로 변환할 수 있으며 그 반대의 경우도 마찬가지다.In particular part ii. implies that determining the small XTR-DH key (being an element of $GF(p^{2})$ ) is as hard as determining the whole DH key (being an element of $GF(p^{6})$ ) in the representation group $\langle g\rangle$ .

참조

^ ^a ^b ^c Lenstra, Arjen K.; Verheul, Eric R. "An overview of the XTR public key system" (PDF). CiteSeerX 10.1.1.104.2847. Archived from the original (PDF) on April 15, 2006. Retrieved 2008-03-22. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
^ Lenstra, Arjen K.; Verheul, Eric R. "The XTR public key system". CiteSeerX 10.1.1.95.4291. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)

[XTR-1-1] Lenstra, Arjen K.; Verheul, Eric R. "An overview of the XTR public key system" (PDF). CiteSeerX 10.1.1.104.2847. Archived from the original (PDF) on April 15, 2006. Retrieved 2008-03-22. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)

[XTR-2-2] Lenstra, Arjen K.; Verheul, Eric R. "The XTR public key system". CiteSeerX 10.1.1.95.4291. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)

[1]

[2]

Search

XTR

네임스페이스

더

목차

XTR의 기본 원리

$GF(p^{2})$ $GF(p^{2})$ $GF(p^{2})$ ) $GF(p^{2})$ 의 산술 연산

$GF(p^{2})$ $GF(p^{2})$ $GF(p^{2})$ ) ${\displaystyle GF(p^{2})$ 에 대한 추적

$Tr(g)$ $Tr(g)$ ( $Tr(g^{n})$ n $Tr(g^{n})$ ) ${\displaystyle Tr($ $Tr(g)$ $^{n})$ $Tr(g)$ 의 빠른 계산 알고리즘