Rabin şifreleme sistemi

Rabin şifreleme sistemi, Rabin kriptoloji veya Rabin kriptosistemi, güvenliği RSA'daki gibi tam sayı çarpanlarına ayırmanın zorluğu üzerine kurgulanmış olan asimetrik bir kriptografik tekniktir. Bununla birlikte, Rabin kriptosisteminin avantajı, saldırgan tam sayıları verimli bir şekilde çarpanlarına ayıramadığı sürece, seçilmiş bir düz metin saldırısına karşı hesaplama açısından güvenli olduğu matematiksel olarak kanıtlanmıştır, oysa RSA için bilinen böyle bir kanıt yoktur.^[1]Şablon:Rp Rabin fonksiyonunun her çıktısının dört olası girdiden herhangi biri tarafından üretilebilmesi dezavantajı; her çıktı bir şifreli metinse, olası dört girdiden hangisinin gerçek düz metin olduğunu belirlemek için şifre çözmede ekstra karmaşıklık gerekir.

Algoritma Ocak 1979'da Michael O. Rabin tarafından yayınlandı.^[2] Rabin şifreleme sistemi, şifreli metinden düz metni kurtarmanın çarpanlara ayırma kadar zor olduğu kanıtlanabilen ilk asimetrik şifreleme sistemiydi.

Tüm asimetrik şifreleme sistemleri gibi, Rabin şifreleme sistemi de bir anahtar çifti kullanır: şifreleme için genel anahtar ve şifre çözme için özel anahtar. Genel anahtar, herkesin kullanması için yayınlanırken, özel anahtar yalnızca mesajın alıcısı tarafından bilinir.

Rabin şifreleme sisteminin anahtarları şu şekilde oluşturulur:

1. İki tane çok büyük ve farklı ${\displaystyle p}$, ${\displaystyle q}$ asal sayıları seçilir. Kare kökün hesaplanmasını basitleştirmek için bir tanesini ${\displaystyle p\equiv q\equiv 3(\mathrm{mod}4)}$ yöntemi ile seçebiliriz. Fakat yöntem herhangi daha büyük asal sayılarla çalışır.
2. ${\displaystyle n=p\cdot q}$ hesaplanır. Burada ${\displaystyle n}$ açık anahtar, asal sayılardan oluşan ${\displaystyle (p,q)}$ ise özel anahtardır.

Bir ${\displaystyle M}$ mesajı, önce tersine çevrilebilir bir eşleme kullanılarak ${\displaystyle m<n}$ sayısına dönüştürülerek ve ardından ${\displaystyle c=m^2(\mathrm{mod}n)}$ hesaplanarak şifrelenebilir. Şifreli metin, ${\displaystyle c}$'dir.

${\displaystyle m}$ mesajı, şifreli ${\displaystyle c}$ metninden karekök modül ${\displaystyle n}$'si aşağıdaki gibi alınarak elde edilebilir.

1. Aşağıdaki formülleri kullanarak ${\displaystyle c}$ modül ${\displaystyle p}$ ve ${\displaystyle q}$'nun karekökünü hesaplayın;

   ${\displaystyle \begin{array}{cc}{m}_p& =c^{\frac{1}{4}(p+1)}(\mathrm{mod}p)\\ m_q& =c^{\frac{1}{4}(q+1)}(\mathrm{mod}q)\end{array}}$

2. ${\displaystyle y_p\cdot p+y_q\cdot q=1}$ olacak şekilde ${\displaystyle y_p}$ ve ${\displaystyle y_q}$'i bulmak için Genişletilmiş Öklid algoritması kullanın.
3. ${\displaystyle c}$ modül ${\displaystyle n}$'nin dört karekökünü bulmak için Çin kalan teoremi'ni kullanın:

   ${\displaystyle \begin{array}{cc}{r}_1& =(y_p\cdot p\cdot m_q+y_q\cdot q\cdot m_p)(\mathrm{mod}n)\\ r_2& =n-r_1\\ r_3& =(y_p\cdot p\cdot m_q-y_q\cdot q\cdot m_p)(\mathrm{mod}n)\\ r_4& =n-r_3\end{array}}$

Bu dört değerden biri orijinal düz metin ${\displaystyle m}$'dir, ancak dördünden hangisinin doğru olduğu ek bilgi olmadan belirlenemez.

Kesin anahtar üretimi süreci aşağıdaki gibidir:

Yukarıdaki 1. adımdaki formüllerin aslında ${\displaystyle c}$'in kareköklerini aşağıdaki gibi ürettiğini gösterebiliriz. İlk formül için, ${\displaystyle m_p^2\equiv c(\mathrm{mod}p)}$ olduğunu kanıtlamak istiyoruz. ${\displaystyle p\equiv 3(\mathrm{mod}4)}$ olduğundan, $\frac{1}{4}(p+1)$ üssü bir tam sayıdır. ${\displaystyle c\equiv 0(\mathrm{mod}p)}$ ise ispat önemsizdir, bu nedenle ${\displaystyle p}$'nin ${\displaystyle c}$'yi bölmediğini varsayabiliriz. ${\displaystyle c\equiv m^2(\mathrm{mod}pq)}$ ögesinin ${\displaystyle c\equiv m^2(\mathrm{mod}p)}$ anlamına geldiğini unutmayın, dolayısıyla ${\displaystyle c}$ modül ${\displaystyle p}$'ye göre bir kuadratik kalıntıdır (rezidü). Buradan;

${\displaystyle m_p^2\equiv c^{\frac{1}{2}(p+1)}\equiv c\cdot c^{\frac{1}{2}(p-1)}\equiv c\cdot 1(\mathrm{mod}p)}$

yazılabilir. Son adım Euler ölçütü tarafından doğrulanır.

Deşifreleme şifreli metninin kare köklerini hesaplamak için ${\displaystyle c}$ mod asal sayı ${\displaystyle p}$ ve ${\displaystyle q}$'yu gerektirir.

${\displaystyle m_p=c^{\frac{(p+1)}{4}}(\mathrm{mod}p)}$ ve

${\displaystyle m_q=c^{\frac{(q+1)}{4}}(\mathrm{mod}q)}$ olur.

Biz bu metodun ${\displaystyle p}$ için çalışmasını aşağıdaki gibi gösterebiliriz. İlk ${\displaystyle \frac{(p+1)}{4}}$'ün, ${\displaystyle p\equiv 3(\mathrm{mod}4)}$ bir tam sayı olduğunu gösterir. ${\displaystyle c\equiv 0(\mathrm{mod}p)}$ için varsayım basittir. Bu yüzden biz ${\displaystyle p}$'nin ${\displaystyle c}$'ye bölünmediğini varsayabiliriz. O zaman:

${\displaystyle m_p^2\equiv c^{\frac{(p+1)}{2}}\equiv c\cdot c^{\frac{(p-1)}{2}}\equiv c\cdot \left(\frac{c}{p}\right)(\mathrm{mod}p),}$

${\displaystyle \left(\frac{c}{p}\right)}$ Legendre sembolüdür.

${\displaystyle c\equiv m^2(\mathrm{mod}pq)}$'dan aşağıdaki gibi

${\displaystyle c\equiv m^2(\mathrm{mod}p)}$ olarak hesaplanır.

Bu yüzden ${\displaystyle x}$, modül ${\displaystyle p}$'nin kuadratik kalanıdır. Buradan;

${\displaystyle \left(\frac{c}{p}\right)=1}$ ve

${\displaystyle m_p^2\equiv c(\mathrm{mod}p)}$ elde edilir.

${\displaystyle p\equiv 3(\mathrm{mod}4)}$ ilişkisi bir gereksinim değildir. Çünkü kare kökler in diğer asal sayılarla modülü de hesaplanabilir.

Rabin kare köklerin asal sayılarla modlarını bulmak için Berlekamp algoritmasının özel bir durumunu kullanmayı önerir.

Örnek olarak, ${\displaystyle p=7}$ ve ${\displaystyle q=11}$ olarak alalım, ardından ${\displaystyle n=77}$ olur (Elbette burada anahtarların seçimi kötüdür. 77'nin çarpanlarına ayrılması basittir gerçek örneklerde çok çok daha büyük sayılar kullanılır). Düz metnimiz olarak ${\displaystyle m=20}$ alalım. Şifreli metin bu şekilde

${\displaystyle c=m^2(\mathrm{mod}n)=400(\mathrm{mod}77)=15}$ olarak elde edilir.

Bizim basit örneğimizde ${\displaystyle P=\{0,\dots ,76\}}$ bizim düz metin uzayımızdır. Biz ${\displaystyle m=20}$'yi bizim düz metnimiz olarak alacağız. Bu yüzden şifreli metin, ${\displaystyle c=m^2(\mathrm{mod}n)=400(\mathrm{mod}77)=15}$'dir. Açıkça ${\displaystyle m}$'nin 4 farklı değeri ${\displaystyle m\in \{13,20,57,64\}}$ için, şifreli metin 15 üretilir. Bu Rabin algoritması tarafından üretilen çoğu şifreli metinler için geçerlidir.

Şifre çözme işlemi şu şekilde ilerler:

1. ${\displaystyle m_p=c^{\frac{1}{4}(p+1)}(\mathrm{mod}p)=15^2(\mathrm{mod}7)=1}$ ve ${\displaystyle m_q=c^{\frac{1}{4}(q+1)}(\mathrm{mod}q)=15^3(\mathrm{mod}11)=9}$ hesaplanır.
2. ${\displaystyle y_p=-3}$ ve ${\displaystyle y_q=2}$'yi hesaplamak için genişletilmiş Öklid algoritması kullanılır. ${\displaystyle y_p\cdot p+y_q\cdot q=(-3\cdot 7)+(2\cdot 11)=1}$ olduğunu doğrulayabiliriz.
3. Dört düz metin adayını hesaplayın:

   ${\displaystyle \begin{array}{cc}{r}_1& =(-3\cdot 7\cdot 9+2\cdot 11\cdot 1)(\mathrm{mod}77)=64\\ r_2& =77-64=13\\ r_3& =(-3\cdot 7\cdot 9-2\cdot 11\cdot 1)(\mathrm{mod}77)=\mathrm{𝟐}\mathrm{𝟎}\\ r_4& =77-20=57\end{array}}$

ve ${\displaystyle r_3}$'in istenen düz metin olduğunu görüyoruz. Dört adayın hepsinin 15 mod 77'nin karekökleri olduğuna dikkat edin. Yani, her aday için ${\displaystyle r_i^2(\mathrm{mod}77)=15}$, böylece her ${\displaystyle r_i}$ aynı değere (15) şifreler.

Eğer ${\displaystyle c}$ ve ${\displaystyle r}$ bilinirse düz metin ${\displaystyle m^2\equiv c(\mathrm{mod}r)}$ ile ${\displaystyle m\in \{0,\dots ,n-1\}}$ olacaktır. ${\displaystyle r}$ bir kompozit sayıdır kompozit sayı asal olmayan herhangi bir pozitif sayıdan daha büyük pozitif sayı demektir. Eğer ${\displaystyle N>0}$ bir tam sayı ise ve ${\displaystyle N=a\times b}$ gibi ${\displaystyle 1<a,b<N}$ sayısı var ise o zaman ${\displaystyle N}$ kompozit sayı demektir (yani Rabin algoritmasının ${\displaystyle n=p\cdot q}$ formülüne benzer). ${\displaystyle m}$'yi bulmak için bilinen daha etkili bir metot yoktur. Eğer asal ise (Rabin algoritmasındaki ${\displaystyle p}$ ve ${\displaystyle q}$ gibi) Çin kalan teoremi ${\displaystyle m}$'nin çözümü için başvurulabilecek bir metottur. Bu yüzden kare kökler;

${\displaystyle m_p=\sqrt{c}(\mathrm{mod}p)}$ ve

${\displaystyle m_q=\sqrt{c}(\mathrm{mod}q)}$ hesaplanmış olmalıdır.

Bizim örneğimizde ${\displaystyle m_p=1}$ ve ${\displaystyle m_q=9}$ alalım, Genişletilmiş Öklid Algoritması uygulanarak biz ${\displaystyle y_p}$ ve ${\displaystyle y_q}$'yu bulmak isteyelim. ${\displaystyle y_p\cdot p+y_q\cdot q=1}$ ile bulunur. Bizim örneğimizde ${\displaystyle y_p=-3}$ ve ${\displaystyle y_q=2}$ bulunur.

Şimdi, Çin kalan teoremi yardımıyla, ${\displaystyle c+n\mathbb{Z}\in \mathbb{Z}/n\mathbb{Z}}$'nin dört karekökü ${\displaystyle +r}$, ${\displaystyle -r}$, ${\displaystyle +s}$ ve ${\displaystyle -s}$ şeklinde hesaplanır (burada ${\displaystyle \mathbb{Z}/n\mathbb{Z}}$, ${\displaystyle modn}$ uyum sınıfları halkası [ring of congruence classes] anlamına gelir.) 4 kare kök ${\displaystyle \{0,\dots ,n-1\}}$ kümesi içindedir:

${\displaystyle \begin{array}{ccc}r& =& (y_p\cdot p\cdot m_q+y_q\cdot q\cdot m_p)(\mathrm{mod}n)\\ -r& =& n-r\\ s& =& (y_p\cdot p\cdot m_q-y_q\cdot q\cdot m_p)(\mathrm{mod}n)\\ -s& =& n-s\end{array}}$'dir.

Bu kare köklerin bir tanesi ${\displaystyle modn}$ orijinal düz metin ${\displaystyle m}$'dir. Bizim örneğimizde ${\displaystyle m\in \{64,\mathrm{𝟐}\mathrm{𝟎},13,57\}}$'dir.

Rabin kendi makalesinde eğer bir kişi hem ${\displaystyle r}$ hem de ${\displaystyle s}$'yi hesaplayabilirse o zaman ${\displaystyle n}$'nin çarpanlarını da hesaplayabileceğini bize şöyle gösteriyor;

ya ${\displaystyle \gcd (|r-s|,n)=p}$ ya ${\displaystyle \gcd (|r-s|,n)=q}$, burada ${\displaystyle \gcd }$ (Greatest Common Divisor) yani en büyük ortak bölen (EBOB) anlamına gelir.

Çünkü eğer bir kişi ${\displaystyle r}$ ve ${\displaystyle s}$'yi biliyorsa, en büyük ortak bölen ${\displaystyle n}$'nin çarpanlarını bulmak için etkili bir hesaplama yöntemidir bizim örneğimizde (${\displaystyle 57}$ ve ${\displaystyle 13}$'ü ${\displaystyle r}$ ve ${\displaystyle s}$ olarak alalım):

${\displaystyle \gcd (57-13,77)=\gcd (44,77)=11=q}$ bulunur.

Rabin şifreleme sistemi, dijital imza'lar oluşturmak ve doğrulamak için kullanılabilir. İmza oluşturmak için ${\displaystyle (p,q)}$ özel anahtarı gerekir. Bir imzanın doğrulanması için ${\displaystyle n}$ ortak anahtarı gerekir.

Bir ${\displaystyle m<n}$ mesajı, bir özel anahtar ${\displaystyle (p,q)}$ ile aşağıdaki gibi imzalanabilir.

1. Rastgele bir ${\displaystyle u}$ değeri oluşturun.
2. ${\displaystyle c=H(m|u)}$'i hesaplamak için bir ${\displaystyle H}$ kriptografik özet fonksiyonunu kullanın, buradaki | notasyonu birleştirmeyi (Şablon:Dil) gösterir. ${\displaystyle c}$, ${\displaystyle n}$ değerinden küçük bir tam sayı olmalıdır.
3. ${\displaystyle c}$'yi Rabin tarafından şifrelenmiş bir değer olarak ele alın ve özel anahtarı ${\displaystyle (p,q)}$ kullanarak şifresini çözmeye çalışın. Bu, olağan şekilde dört ${\displaystyle r_1,r_2,r_3,r_4}$ sonucunu üretecektir.
4. Her bir ${\displaystyle r_i}$ şifrelemenin ${\displaystyle c}$ üreteceği beklenebilir. Ancak, bu yalnızca ${\displaystyle c}$ bir kuadratik kalıntı mod ${\displaystyle p}$ ve ${\displaystyle q}$ olursa doğru olacaktır. Durumun böyle olup olmadığını belirlemek için, ilk şifre çözme sonucunu ${\displaystyle r_1}$ şifreleyin. ${\displaystyle c}$ olarak şifrelemezse, bu algoritmayı yeni bir rastgele ${\displaystyle u}$ ile tekrarlayın. Uygun bir ${\displaystyle c}$ bulmadan önce bu algoritmanın tekrarlanması gereken beklenen tekrar sayısı 4'tür.
5. ${\displaystyle c}$ olarak şifreleyen bir ${\displaystyle r_1}$ bulduktan sonra, imza ${\displaystyle (r_1,u)}$ olur.

${\displaystyle m}$ mesajı için bir ${\displaystyle (r,u)}$ imzası, ${\displaystyle n}$ genel anahtarı kullanılarak aşağıdaki gibi doğrulanabilir.

1. ${\displaystyle c=H(m|u)}$'yi hesapla.
2. ${\displaystyle r}$'yi ${\displaystyle n}$ ortak/açık anahtarını kullanarak şifrele.
3. İmza, ancak ve ancak ${\displaystyle r}$ şifrelemesinin ${\displaystyle c}$'ye eşit olması durumunda geçerlidir.

Şifre çözme, doğru sonuca ek olarak üç yanlış sonuç üretir, böylece doğru sonucun tahmin edilmesi gerekir. Bu, Rabin şifreleme sisteminin en büyük dezavantajıdır ve yaygın pratik kullanım bulmasını engelleyen faktörlerden biridir.

Düz metnin bir metin mesajını temsil etmesi amaçlanıyorsa, tahmin etmek zor değildir; bununla birlikte, eğer düz metin sayısal bir değeri temsil etmeyi amaçlıyorsa, bu konu, bir tür belirsizliği giderme şemasıyla çözülmesi gereken bir problem haline gelir. Bu problemi ortadan kaldırmak için özel yapılara sahip düz metinler seçmek veya dolgu eklemek mümkündür. Tersine çevirmenin belirsizliğini ortadan kaldırmanın bir yolu Blum ve Williams tarafından önerilmiştir: kullanılan iki asal sayı, 3 modül 4 ile uyumlu asal sayılarla sınırlandırılmıştır ve kare alma alanı, ikinci dereceden kalıntılar kümesiyle sınırlandırılmıştır. Bu kısıtlamalar, kare alma fonksiyonunu bir tuzak kapı permütasyonuna dönüştürerek belirsizliği ortadan kaldırır.^[3]

Şifreleme için bir kare modül n hesaplanmalıdır. Bu, en az bir küpün hesaplanmasını gerektiren RSA'dan daha verimlidir.

Şifre çözme için, iki modüler üsle birlikte Çin kalan teoremi uygulanır. Burada verimlilik RSA ile karşılaştırılabilir.

Belirsizliği giderme, ek hesaplama maliyetleri getirir ve Rabin şifreleme sisteminin yaygın pratik kullanım bulmasını engelleyen şeydir.Şablon:Cn

Rabin ile şifrelenmiş bir değerin şifresini çözen herhangi bir algoritmanın ${\displaystyle n}$ modülünü çarpanlara ayırmak için kullanılabileceği kanıtlanmıştır. Bu nedenle, Rabin şifre çözme en az tam sayı çarpanlarına ayırma problemi kadar zordur, bu RSA için kanıtlanmamış bir şeydir. Genellikle çarpanlara ayırma için polinom-zaman algoritması olmadığına inanılır, bu da özel anahtar ${\displaystyle (p,q)}$ olmadan Rabin ile şifrelenmiş bir değerin şifresini çözmek için verimli bir algoritma olmadığı anlamına gelir.

Rabin şifreleme sistemi, şifreleme süreci deterministik olduğu için seçilen düz metin saldırılarına karşı ayırt edilemezlik sağlamaz. Bir şifreli metin ve bir aday mesaj verilen bir rakip, şifreli metnin aday mesajı kodlayıp kodlamadığını kolayca belirleyebilir (sadece aday mesajı şifrelemenin verilen şifreli metni verip vermediğini kontrol ederek).

Rabin şifreleme sistemi, seçilen bir şifreli metin saldırısına karşı güvensizdir (sorgulama mesajları, mesaj uzayından homojen bir biçimde rastgele seçilse bile).^[1]Şablon:Rp Fazlalıklar, örneğin son 64 bitin tekrarı eklenerek, sistem tek bir kök üretmek için yapılmıştır. Bu, seçilen şifreli metin saldırısını engeller, çünkü şifre çözme algoritması yalnızca saldırganın zaten bildiği kökü üretir. Eğer bu teknik uygulanırsa, çarpanlara ayırma problemi ile denkliğin ispatı başarısız olur, bu yüzden bu varyantın güvenli olup olmadığı 2004 itibarıyla belirsizdir. Menezes, Oorschot ve Vanstone tarafından hazırlanan Handbook of Applied Cryptography,^[4] köklerin bulunması iki parçalı bir süreç olduğu sürece (1. ${\displaystyle modp}$ ve ${\displaystyle modq}$ kökleri ve 2. Çin kalan teoreminin uygulaması) bu eşdeğerliğin muhtemel olduğunu düşünmektedir.

Şablon:Kaynakça

• Kriptografi konuları
• Blum Blum Shub
• Shanks–Tonelli algoritması
• Schmidt-Samoa şifreleme sistemi
• Blum-Goldwasser şifreleme sistemi

• Şablon:Kaynak
• Şablon:Kaynak
• Şablon:Kaynak
• Şablon:Kaynak

• Şablon:Kaynak

Şablon:Açık anahtarlı şifreleme

Şablon:Otorite kontrolü