[论文解读] Length-Based Attacks for Certain Group Based Encryption Rewriting Systems
本文提出了一种基于概率的长度攻击方法,针对基于群的公钥密码系统,特别是使用 braid 群的系统,通过利用公钥中共轭的规范长度函数实现攻击。该攻击通过识别长度为 $ k $ 的约化字符串,高效恢复私钥,其复杂度受 $ dn(2n)^k $ 限制,表明需要较大的 $ k $(例如 100)以确保安全,尽管实际优化可显著降低运行时间。
In this note, we describe a probabilistic attack on public key cryptosystems based on the word/conjugacy problems for finitely presented groups of the type proposed recently by Anshel, Anshel and Goldfeld. In such a scheme, one makes use of the property that in the given group the word problem has a polynomial time solution, while the conjugacy problem has no known polynomial solution. An example is the braid group from topology in which the word problem is solvable in polynomial time while the only known solutions to the conjugacy problem are exponential. The attack in this paper is based on having a canonical representative of each string relative to which a length function may be computed. Hence the term length attack. Such canonical representatives are known to exist for the braid group.
研究动机与目标
- 研究基于有限表示群中字问题与共轭问题的公钥密码系统的安全性,特别是 braid 群。
- 分析此类群中是否存在可多项式时间计算的长度函数,是否可被用于破解加密方案。
- 证明基于规范字长的 probabilistic 攻击可高效恢复 Anshel-Anshel-Goldfeld 密钥交换协议中的私钥。
- 为评估基于群的密码系统对长度基密码分析的脆弱性,提供理论与实践框架。
提出的方法
- 该攻击利用 braid 群中字的规范最小长度形式,该形式可多项式时间计算,从而在公钥中的共轭上定义一个长度函数。
- 搜索长度为 $ k $ 的约化字符串,即显著缩短共轭长度的子串,作为私钥组件的潜在线索。
- 该方法涉及对每个公钥共轭 $ a t_r a^{-1 $ $ (2n)^k $ 种可能的长度为 $ k $ 的约化字符串进行测试,其中 $ n $ 为生成元数量,$ d $ 为私钥中因子的数量。
- 通过在 $ n $ 个公钥共轭上重复该过程,并分析长度减少的模式,攻击者可识别出私钥 $ a $ 的可能组件,利用某些因子更有效地被抵消的事实。
- 该攻击为概率性,可通过随机化或遗传算法加速,显著缩小有效搜索空间。
- 该方法类似于离散对数系统中的光滑性攻击,其中 $ q-1 $ 中的小质因子会导致系统易受攻击。
实验结果
研究问题
- RQ1braid 群中的规范长度函数是否可被利用,以对基于群的公钥密码系统实施实际攻击?
- RQ2使用公钥共轭中基于长度的约化模式恢复私钥的计算复杂度是多少?
- RQ3约化字符串的长度 $ k $ 如何影响攻击的成功概率与运行时间?
- RQ4私钥结构(因子数量、生成元长度)在多大程度上影响长度攻击的有效性?
- RQ5该攻击是否可推广至其他具有类似长度函数的 Artin 群或 Coxeter 群?
主要发现
- 该长度攻击可在时间复杂度受 $ dn(2n)^k $ 限制的范围内破解 Anshel-Anshel-Goldfeld 密码系统,该复杂度在密钥因子数量上为多项式,在公钥共轭数量上为线性。
- 当生成元的规范长度较小时,该攻击最为有效;Goldfeld 指出,长度小于 10 的生成元可能使该攻击失效。
- 若存在长度 $ k < d $ 的约化字符串,攻击可显著缩短破解时间,使增加密钥长度的防御措施失效。
- 该攻击并未解决 braid 群中的通用共轭问题,因为它依赖于已知且有界的因子分解,与具有无限可能性的一般情况不同。
- 即使私钥较长,该方法仍具可行性,但前提是 $ k $ 足够大——本文推测 $ k \geq 100 $ 才能确保安全。
- 通过使用随机化或遗传算法,该攻击可实现数量级的加速,显著提升其实际可行性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。