Алгоритм Блюма — Микали

Алгоритм Блюма — Микали (англ. Blum-Micali algorithm) — это криптографически стойкий алогоритм генерации псевдослучайных последовательностей, с использованием сида. Идеи алгоритма были изложены Блюмом и Микали в 1984 году. Алгоритм был разработан на основе алгоритма генератора Шамира, предложенного Ади Шамиром годом ранее^[1]. Алгоритм отличается от предшественника более сильными требованиями к сложности вычисления выходной последовательности. В отличие от генератора Шамира выходом данного алгоритма являются биты, а не числа.

Рассмотрим простейшую идею построения генератора псевдослучайных чисел: мы задаёмся некоторой начальной случайной последовательностью (Seed) и выбираем некоторый алгоритм шифрования. Далее на каждой итерации шифруя текущее состояния и выбирая из полученного результата набор битов, мы можем получать последовательность чисел, которая выглядит довольно случайным образом.

Алгоритм Блюма — Микали использует именно этот процесс, используя «хардкор-биты» (hard-core bit, hard-core predicate).

«Хардкор-битом»(предикатом) B для функции f называют некоторую функцию, такую, что:

1. Выходное значение B — 1 бит.
2. Для неё нет такого полиномиально-временного(Класс BPP — Bounded-error probabilistic polynomial) алгоритма, который может вычислить B(x) из f(x) с вероятностью отличной от 1/2.

${\displaystyle S}$ — Seed ${\displaystyle n}$ — длина аргумента функции ${\displaystyle f}$. Она же — длина ${\displaystyle S}$. ${\displaystyle f}$ - преобразование из ${\displaystyle \{0,1\}^{n}}$ в ${\displaystyle \{0,1\}^{n}}$ , а ${\displaystyle B}$ — из ${\displaystyle \{0,1\}^{n}}$ в {0,1} - сложный бит для ${\displaystyle f}$. ${\displaystyle h_{i}=B(S_{i})}$; ${\displaystyle h_{i}}$ — биты конечной генерируемуой последовательности. ${\displaystyle S_{i}=f(S_{i-1})}$; ${\displaystyle S_{0}=S}$. ${\displaystyle (t,\varepsilon )}$-псевдослучайность - свойство последовательности для которой выполнено ${\displaystyle |P(A(B_{1}..B_{i})==B_{i}+1)-1/2|<\varepsilon }$ ${\displaystyle (t,\varepsilon )}$-сложный бит - свойство функции ${\displaystyle A}$, для которой ${\displaystyle |P(A(B_{1}..B_{i})==0)-1/2|<\varepsilon }$, где ${\displaystyle A()}$ — время нахождения алгоритма криптоаналитиком за время ${\displaystyle t}$.

Определим ${\displaystyle G_{BM}}$ как следующий процесс: Возьмем некоторую случайную последовательность (seed). Если ${\displaystyle B}$ является ${\displaystyle (t,\varepsilon )}$-сложным битом, то ${\displaystyle G_{BM}}$ — ${\displaystyle (t-m*TIME(f),\varepsilon *m)}$-генератор псевдослучайных чисел. ${\displaystyle TIME(f)}$ - время вычисления функции ${\displaystyle f}$.

Теорема доказывается от противного; Предполагается, что существует алгоритм позволяющий найти ${\displaystyle i+1}$ элемент, зная ${\displaystyle i}$ предыдущих^[2].

Реализации данного алгоритма как правило опираются на сложность вычисления обратных функций в поле Галуа, например на сложности вычисления дискретного логарифма. Следовательно, для взлома этого алгоритма необходимо лишь уметь брать дискретный алгоритм за обозримое время. На настоящих реализациях компьютеров для правильно подобранных чисел - это очень ресурсоёмкая операция. Однако, аналогичный алгоритм на квантовом компьютере даёт выигрыш в скорости в квадрате, что делает взлом такого генератора весомо более реальным. Атака основана на одном из вариантов квантовых алгоритмов - подскоке амплитуды, более обобщенном варианте Алгоритма Гровера^[3].

Возмём такие простые ${\displaystyle p}$ и ${\displaystyle q}$, что ${\displaystyle N=pq}$ — 1024-битное и ${\displaystyle p=q=3mod4}$. Функция ${\displaystyle f(x)=x^{2}modN}$. В качестве сложного бита берется функция, возвращающая наименьший значимый бит. ${\displaystyle B(x)}$ является таковым в допущении, что не существует алгоритма вычисления дискретного логарифма сложности лучше либо равной ${\displaystyle n^{2}}$.

Пусть ${\displaystyle p}$ — 1024 битное простое число, а ${\displaystyle g}$ принадлежит ${\displaystyle \mathbb {Z} _{p}}$. Определим ${\displaystyle f:\{1,...,p-1\}}$ → ${\displaystyle \{1,...,p-1\}}$, как ${\displaystyle f(x)=g^{x}modp}$.
Сложный бит
${\displaystyle B(x)=\left\{{\begin{matrix}0,&x<p/2\\1,&x\geqslant p/2\end{matrix}}\right.}$

B(x) является таковым в допущении, что не существует алгоритма вычисления дискретного логарифма c функцией сложности ${\displaystyle n^{3}}$ или лучше.

Криптостойкость вышепреведённых генераторов базировалась на сложности нахождения дискретного логарифма. Генератор Калински использует идею эллиптических кривых.

Пусть ${\displaystyle p}$ - простое число, такое что ${\displaystyle p=2mod3}$. Рассмотрим кривую в ${\displaystyle F_{p}}$ x ${\displaystyle F_{p}}$ (поле Галуа) вида: ${\displaystyle y^{2}=x^{3}+c}$. Точки кривой ${\displaystyle (x,y)}$ вместе с точкой на бесконечности ${\displaystyle {\mathcal {O}}}$ образуют циклическую группу порядка ${\displaystyle p+1}$. Пусть ${\displaystyle Q}$ — генератор этой группы. ${\displaystyle P}$ Введём следующую функцию: ${\displaystyle \phi (P)=\left\{{\begin{matrix}y,&P=(x,y)\\p,&P={\mathcal {O}}\end{matrix}}\right.}$
Соответственно, функция, используемая в генераторе имеет вид: ${\displaystyle f(P)=\phi (P)*Q}$
Сложный бит генератора: ${\displaystyle B(P)=\left\{{\begin{matrix}1,&P=\phi (P)\geqslant (p+1)/2\\0,&P=\phi (P)<(p+1)/2\end{matrix}}\right.}$

Seed такого генератора - некоторая точка на кривой.

• Тест на следующий бит

• http://crypto.stanford.edu/pbc/notes/crypto/blummicali.xhtml
• http://www.csee.wvu.edu/~xinl/library/papers/comp/Blum_FOCS1982.pdf