הצפנת בלום-גולדווסר

סכימת בלום-גולדווסר (Blum-Goldwasser) היא סכימת הצפנה אסימטרית הסתברותית שהוצעה על ידי מנואל בלום ושפי גולדווסר ב-1984. היא יעילה מבין סכימות ההצפנה ההסתברויות הידועות ויעילה יותר בהשוואה ל-RSA מהיבט של מהירות והתנפחות הצופן וכן נחשבת לבטוחה סמנטית בהנחה שבעיית פירוק לגורמים קשה. סכימת בלום גולדווסר מנצלת את רעיון המחולל הפסאודו אקראי Blum-Blum-Shub (בקיצור BBS), כדי ליצור רצף סיביות פסאודו אקראי, המשמש לאחר מכן לחיבור ב-XOR עם המסר בדומה לפנקס חד פעמי. התוצאה ביחד עם הגרעין ההתחלתי כשהוא מוצפן מועברים למקבל שמשתמש במידע הסודי המצוי ברשותו הנקרא דלת צונחת (Trapdoor), כדי לחלץ את הגרעין ההתחלתי שהוזן למחולל ומשם הדרך לשחזור המסר קלה. אפשר לראות בשיטה זו מעין שילוב של צופן זרם עם מפתח פומבי. בדומה להצפנת רבין, הצפנת בלום-גולדווסר פגיעה להתקפת טקסט מוצפן נבחר.

בוחרים שני שלמים ראשוניים גדולים $\ p$ ו- $\ q$ השקולים ל- $\ 3$ מודולו $\ 4$ .
מחשבים את $\ n=pq$
בעזרת אלגוריתם אוקלידס המורחב מוצאים שלמים $\ a$ ו- $\ b$ המקיימים את $\ ap+bq=1$ .
המפתח הפומבי הוא $\ n$ והמפתח הפרטי הוא $\ (p,q,a,b)$ .

הצפנה

להצפנת המסר $\ m$ המצפין משיג לידיו עותק של המפתח הפומבי ופועל כדלהלן:

מחלק את המסר ל- $\ t$ לבלוקים, כל אחד בגודל $\ h$ סיביות, כאשר $\ h={\mbox{lg lg }}n$ (הלוגריתם בבסיס 2 של מספר סיביות המודולוס בקירוב).
בוחר גרעין אקראי סודי $\ x_{0}$ , שהוא שארית ריבועית מודולו $\ n$ (אפשר להשיג זאת על ידי בחירת שלם אקראי $\ r\in \mathbb {Z} _{n}^{*}$ וחישוב $\ x_{0}=r^{2}{\mbox{ mod }}n$ ).
ההצפנה מבוצעת באופן רקורסיבי ב- $\ t$ סבבים כאשר בכל סבב: א. הוא מחשב את $\ x_{i}=x_{i-1}^{2}{\mbox{ mod }}n$ , ב. מצפין את בלוק המסר $\ m_{i}$ כדלהלן: $\ c_{i}=p_{i}\oplus m_{i}$ , כאשר ערכו של $\ p_{i}$ הוא $\ h$ הסיביות הנמוכות של $\ x_{i}$ .
מחשב את $\ x_{t+1}=x_{t}^{2}{\mbox{ mod }}n$ .
הטקסט המוצפן הוא $\ (c_{1},c_{2},...,c_{t},x_{t+1})$ .

פענוח

המקבל משתמש במפתח הפרטי שבידיו כדי לחשב את $\ d_{1}=((p+1)/4)^{t+1}{\mbox{ mod }}(p-1)$
ואת $\ d_{2}=((q+1)/4)^{t+1}{\mbox{ mod }}(q-1)$
ואז מחשב את $\ u=x_{t+1}^{d_{1}}{\mbox{ mod }}p$
ואת $\ v=x_{t+1}^{d_{2}}{\mbox{ mod }}q$
ואז מחלץ את הגרעין ההתחלתי $\ x_{0}=vap+ubq{\mbox{ mod }}n$ .
הוא מפענח את המסר באותה הדרך בה הוצפן, עבור כל בלוק מוצפן $\ c_{i}$ מחשב את $\ x_{i}=x_{t-1}^{2}{\mbox{ mod }}n$ ואז משתמש ב- $\ h$ הסיביות הנמוכות כדי לחבר ב-XOR עם בלוק הטקסט המוצפן: $\ m_{i}=p_{i}\oplus c_{i}$ כדי לקבל את $\ m_{i}$ .

הוכחה לנכונות האלגוריתם

ראשית ממשפט השאריות הסיני נובע, היות ש- $\ x_{t}$ הוא שארית ריבועית מודולו $\ n$ , הוא שארית ריבועית מודולו הגורמים הראשוניים של $\ n$ . ולפי תכונות סימן לז'נדר $\ x_{t}^{(p-1)/2}\equiv 1\ ({\mbox{mod }}p)$ .

שנית, ניתן לראות ש-

\ x_{t}^{(p+1)/4}\equiv (x_{t}^{2})^{(p+1)/4}\equiv x_{t}^{(p+1)/2}\equiv x_{t}^{(p-1)/2}x_{t}\equiv x_{t}{\mbox{ mod }}p

באופן דומה $\ x_{t}^{(p+1)/4}\equiv x_{t-1}\ ({\mbox{mod }}p)$ וכן $\ x_{t+1}^{((p+1)/4)^{2}}\equiv x_{t-1}\ ({\mbox{mod }}p)$ וכן הלאה.

מזה נובע ש:

\ u\equiv x_{t+1}^{d_{1}}\equiv x_{t+1}^{((p+1)/4)^{t+1}}\equiv x_{0}\ ({\mbox{mod }}p)

וגם $\ v\equiv x_{t+1}^{d_{2}}\equiv x_{0}\ ({\mbox{mod }}q)$

ולבסוף כיוון ש- $\ ap+bq=1$ לכן $\ vap+ubq\equiv x_{0}\ ({\mbox{mod }}p)$ כנ"ל לגבי $\ q$ . לכן אם מחשבים את $\ vap+ubq{\mbox{ mod }}n$ מתקבל הגרעין ההתחלתי $\ x_{0}$ . אם הגרעין ההתחלתי ידוע הפענוח טריוויאלי, כיוון שכל מה שנדרש הוא פעולת XOR חוזרת על הטקסט המוצפן בדיוק כפי שנעשה עם המקור.

דוגמה להמחשה

לצורך הכנת מפתחות המקבל בוחר ראשוניים מתאימים נניח $\ p=643$ ו- $\ q=859$ ומחשב את $\ n=pq=552337$ ואז מחשב את משוואת אוקלידס $\ 171\cdot 643+-128\cdot 859=1$ כך ש- $\ a=171,b=-128$ . המפתח הפומבי הוא אם כן $\ 552337$ והמפתח הפרטי הוא $\ (643,859,171,-128)$ .

כעת אם השולח מעוניין להצפין את המסר $\ m={\mbox{9C5B82}}$ (בייצוג הקסדצימלי, בסה"כ 24 סיביות). הוא מחשב תחילה את $\ \left\lfloor \log _{2}(552337)\right\rfloor =19$ ואז $\ h=\left\lfloor \log _{2}(19)\right\rfloor =4$ ואז מחלק את סיביות המסר לשישה בלוקים בני ארבע סיביות כל אחד ומתקבל:

\ m_{1}=1001,m_{2}=1100,m_{3}=0101,m_{4}=1011,m_{5}=1000,m_{6}=0010

כעת בוחר גרעין התחלתי אקראי, נניח $\ x=201036$ (שהוא $\ 21403^{2}{\mbox{ mod }}552337$ ). הצפנת המסר $\ m$ מוצגת בטבלה הבאה, כאשר $\ p_{i}$ מייצג את ארבע הסיביות הנמוכות של $\ x_{i}$ , בכל שלב לאחר העלאת $\ x_{i}$ בריבוע מחשבים את $\ c_{i}=p_{i}\oplus m_{i}$ :

מידע נוסף

,

...


$\ i$	$\ x_{i}=x_{i-1}^{2}{\mbox{ mod }}n$	$\ m_{i}$ בסיביות	$\ p_{i}$ בסיביות	$\ c_{i}$ בסיביות
1	$\ 422669$	$\ 1001=9$	$\ 1101={\mbox{D}}$	$\ 0100=4$
2	$\ 99607$	$\ 1100={\mbox{C}}$	$\ 0111=7$	$\ 1011={\mbox{B}}$
3	$\ 477255$	$\ 0101=5$	$\ 0111=7$	$\ 0010=2$
4	$\ 155302$	$\ 1011={\mbox{B}}$	$\ 0110=6$	$\ 1101={\mbox{D}}$
5	$\ 363762$	$\ 1000=8$	$\ 0010=2$	$\ 1010={\mbox{A}}$
6	$\ 522228$	$\ 0010=2$	$\ 0100=4$	$\ 0110=6$

סגירה

לסיום מחשב גם את

\ x_{7}=166864

ואת הטקסט המוצפן

\ (c={\mbox{4B2DA6}},x_{7}=166864)

הוא שולח למקבל.

כדי לפענח את הטקסט המוצפן המקבל מחשב תחילה את הערכים:

\ d_{1}=(644/4)^{7}{\mbox{ mod }}642=479

ואת

\ d_{2}=(860/4)^{7}{\mbox{ mod }}858=305

ואז

\ v=166864^{305}{\mbox{ mod }}859=30

וכן

\ u=166864^{479}{\mbox{ mod }}643=420

ואז משחזר את הגרעין ההתחלתי כך: $\ x_{0}=30\cdot 171\cdot 643+420\cdot -128\cdot 859{\mbox{ mod }}552337(=-351301)=201036$ . בעזרת הגרעין ההתחלתי הוא משחזר את הרצף הפסאודו אקראי, בדיוק כפי שעשה זאת המצפין ומכאן שחזור המסר קל כיוון ש- $\ m_{i}=c_{i}\oplus p_{i}$ לכן $\ m={\mbox{4B2DA6}}\oplus {\mbox{D77624}}={\mbox{9C5B82}}$ .

ערך מורחב – ביטחון סמנטי

הצפנת בלום-גולדווסר ידועה כהצפנה אסימטרית בטוחה סמנטית בניגוד לשיטות אחרות כמו RSA ורבין. ההגדרה של ביטחון סמנטי היא שכל מה שניתן ללמוד בזמן ריצה פולינומי מהתבוננות בטקסט המוצפן בהינתן טקסט המקור, ניתן ללמוד גם ללא הטקסט המוצפן. במילים אחרות הסכימה תקרא בטוחה סמנטית אם אינה חושפת כל מידע ולו הקל ביותר אודות טקסט המקור שניתן לגלות בזמן פולינומי. למעשה זוהי גרסה חלשה של סודיות מושלמת, לפי שאנון שיטת הצפנה תקרא מושלמת אם יריב פסיבי אפילו בעל עצמת חישוב בלתי מוגבלת, לא יוכל ללמוד מאומה אודות טקסט המקור בהינתן טקסט-מוצפן בלבד, כיוון שכל טקסט יכול להיות המקור במידה שווה. ביטחון סמנטי לעומת זאת מוגבל ליריב בעל עצמת חישוב מוגבלת בזמן ומקום.

שיטת הצפנה דטרמיניסטית כמו RSA מכילה מטבעה מספר חולשות מהותיות:

היא אינה בטוחה עבור כל מסר במידה שווה (למשל במסרים קטנים מאוד, הצפנת הערך 0 או 1 תניב תוצאה זהה, כך שקל לזהות זאת).
קל לעיתים לחשב מידע חלקי אודות מקור הצופן מתוך הטקסט המוצפן. למשל ב-RSA ניתן לחשב את הסיבית הנמוכה ביותר של המסר על ידי חישוב סימן יעקובי.
הצפנה חוזרת של אותו המסר תניב תמיד תוצאה זהה. אפשר לזהות בקלות תעבורה של מסרים תדירים בעלי אופי מיוחד גם אם לא ניתן לקרוא את תוכנם.

אפשר להפוך כל שיטה דטרמיניסית לבטוחה סמנטית על ידי הוספת אקראיות למסר לפני תהליך ההצפנה. הכנת מסר באופן זה נהוגה למעשה כחלק מתקן מפתח פומבי של RSA ונקראת RSA-OAEP.

מספר בלום; המודולוס ייקרא מספר בלום אם הוא שלם פריק שהוא כפולה של שני ראשוניים שונים השקולים ל-3 מודולו 4. כלומר $\ p\equiv 3\ ({\mbox{mod }}4)$ אם קיים שלם $\ t$ כלשהו המקיים $\ p=4t+3$ . אלגוריתם בלום גולדווסר מיישם גרסה מובנית של המחולל הפסאודו האקראי BBS כאשר הסיביות הנמוכות של השארית הריבועית $\ x_{i}=x_{i-1}^{2}{\mbox{ mod }}n$ בכל סבב, משלימות את הרצף הפסאודו אקראי לצורך הצפנת המסר. השארית הריבועית האחרונה $\ x_{t+1}=x_{t}^{2}{\mbox{ mod }}n$ נשלחת באופן גלוי כאמור אל המקבל לצורך שחזור הגרעין ההתחלתי. בהנחה שפירוק לגורמים היא בעיה קשה, ניתן להוכיח כי $\ h$ הסיביות הנמוכות של $\ x_{t}$ בטוחות סימולטנית, כלומר אין דרך יעילה לחשב אותם מלבד ניחוש, מה שאומר שהמחולל נחשב לבטוח (כל עוד פירוק לגורמים היא בעיה קשה). כמובן הגדרה זו מוגבלת לביטחון חישובי בלבד.

בדומה לשיטת רבין, הצפנת בלום גולדווסר פגיעה להתקפת מוצפן-נבחר שבה תוקף מנסה לגלות את הגורמים הראשוניים של המודולוס ועל כן לגלות את המפתח הפרטי מתוך המפתח הפומבי. במודל זה ההנחה היא שלתוקף גישה למערכת המבצעת הצפנה ופענוח כקופסה שחורה, אין לו גישה למפתח הסודי עצמו אך באפשרותו לבחור מסרים אותם הוא מעוניין שהמערכת תפענח עבורו ולנתח את התוצאה. סיטואציה כזו אינה בלתי אפשרית במערכות מסוימות ולכן מהווה איום בלתי מבוטל.

הצפנת בלום גולדווסר יעילה מבחינה חישובית כיוון שהטקסט המוצפן המתקבל אינו גדול משמעותית מטקסט המקור, אלא במספר קבוע של סיביות (כגודל השלם $\ x_{t+1}$ בסיביות). תהליך ההצפנה יעיל ודורש רק הכפלה מודולרית (מודולו $\ n$ ) אחת כדי להצפין $\ h$ סיביות, כלומר עבור מודולוס בגודל $\ k$ סיביות ומסר בגודל $\ l$ סיביות תהליך ההצפנה לוקח $\textstyle O({\frac {lk^{2}}{{\mbox{log}}\ k}})$ פעולות בסיסיות. לעומת RSA למשל שדורשת העלאה בחזקה מודולרית מלאה במידה והמעריך נבחר אקראית. ללא אופטימיזציה העלאה בחזקה מודולרית מלאה דורשת בממוצע $\ 3k/2$ פעולות כפל מודולריות כאשר $\ k$ שווה ללוגריתם בבסיס 2 של המודולוס. כמו כן תהליך הפענוח של אלגוריתם בלום גולדווסר דורש (בנוסף בשלב ההכנה) רק שלוש העלאות בחזקה מודולריות ללא תלות באורך המסר, יתר הפעולות דומות להצפנה, כלומר בסה"כ $\textstyle O(k^{3})+O({\frac {lk^{2}}{{\mbox{log}}\ k}})$ . מה שאומר שעבור מסרים גדולים, שיטת בלום גולדווסר יעילה יותר מ-RSA.