לדלג לתוכן

צופן אל-גמאל

מתוך ויקיפדיה, האנציקלופדיה החופשית

הצפנת אל גמאל (ElGamal encryption) היא שיטת הצפנה אסימטרית אקראית שהומצאה ב-1984 על ידי טאהר אל-גמאל, קריפטוגרף אמריקאי ממוצא מצרי[1]. בדומה לפרוטוקול דיפי-הלמן, ביטחונה מסתמך על הקושי המשוער שבבעיית הלוגריתם הבדיד ובעיית דיפי-הלמן. והיא יכולה לשמש הן להצפנה והן לחתימה דיגיטלית. צופן אל-גמאל היה בשימוש בתוכנות חופשיות GPG וכן PGP ומערכות אחרות. אלגוריתם חתימה דיגיטלית DSA הוא וריאציה של חתימה דיגיטלית של אל-גמאל.

אף על פי ש-RSA קדמה לה, להצפנת אל-גמאל חשיבות היסטורית מאחר שהיא הצפנת מפתח-ציבורי הנחשבת המשך ישיר למאמר המפורסם של דיפי והלמן מ-1979 "כיוונים חדשים בהצפנה"[2] שהעלה לראשונה את ההצפנה האסימטרית וחתימה דיגיטלית על המפה. אפשר ליישם את הצפנת אל-גמאל מעל שדה סופי או מעל חבורת עקום אליפטי. וכן זוהי ההצפנה הראשונה שיישמה הצפנה הסתברותית, כלומר מוכחת כבטוחה סמנטית תחת מודל התקפת מוצפן-נבחר, בהנחה שבעיית דיפי-הלמן היא בעיה קשה.

תיאור האלגוריתם

[עריכת קוד מקור | עריכה]

תיאור הצופן מהספר An Introduction to Mathematical Cryptography[3]. כמו בכל הצפנת מפתח ציבורי, בהצפנת אל-גמאל המקבלת אליס מכינה לעצמה שני מפתחות, מפתח סודי שנשאר אצלה ומיועד לפענוח ומפתח ציבורי שאותו היא שולחת לבוב, או מפרסמת אותו לכל דורש. כדי להכין את המפתחות, תחילה עליה לבחור מספר ראשוני אקראי גדול. היות שביטחון ההצפנה מסתמך על בעיית הלוגריתם הבדיד בשדה הראשוני אליס צריכה לבחור ראשוני מספיק גדול כך שפתרון הבעיה יהיה "קשה". בביטוי קשה מתכוונים שהניסיון לנחש את המפתח הסודי מתוך המפתח הציבורי השקול לפתרון בעיית הלוגריתם הבדיד, עם מיטב האלגוריתמים הידועים יהיה אסימפטוטית בסיבוכיות מעריכית, כלומר אינו מעשי. וכן צריכה לבחור אלמנט מסדר ראשוני גבוה שנקרא יוצר. את שני המספרים הללו היא יכולה להכין ולפרסם בעצמה או להשתמש בסט מספרים קבוע שפורסם על ידי צד שלישי נאמן. כעת כמו בפרוטוקול דיפי-הלמן היא בוחרת מספר אקראי המשמש כמפתח פרטי ומחשבת את הערך:

.

אליס מפרסמת את המפתח הציבורי לכל דורש ושומרת בסוד את . כעת אם בוב מעוניין להצפין מסר כלשהו עבור אליס, תחילה הוא בוחר מספר חד פעמי (מודולו ) איתו הוא מסתיר את המסר ולאחר מכן משמיד אותו. השלם נקרא מפתח ארעי (ephemeral key) כיוון שנועד אך ורק להצפנת מסר יחיד.

בוב לוקח את המסר עם השלם החד-פעמי והמפתח הציבורי של אליס ומחשב את זוג הערכים:

,
.

כזכור ו- הם פרמטרים ציבוריים כך שלכולם יש נגישות אליהם. הטקסט המוצפן שבוב הכין הוא הזוג אותם הוא שולח לאליס בערוץ ציבורי. אפשר להבחין בחיסרון בולט של הצופן: הטקסט המוצפן הוכפל בנפחו. כעת אם אליס רוצה לפענח את הטקסט המוצפן שקיבלה היא משתמשת במפתח הפרטי שלה כדי לחשב את:

,

וכן מחשבת את שהוא ההופכי הכפלי של מודולו . ואז מכפילה את ב- כדי לקבל את או בניסוח פורמלי.

.

הוכחת נכונות

[עריכת קוד מקור | עריכה]

כדי לראות מדוע זה עובד מתבוננים בביטוי , לאחר הרחבה מתקבל:

,
,
,
היות ש-.
כי לפי תיאור ההצפנה (מודולו ).
משום ש- בתהליך ההכנה.
כי .

כדי להבין מדוע חייב להיות חד-פעמי ואין להשתמש בו להצפנת שני מסרים עם אותו מפתח. נניח שבוב הצפין את ו- עם זהה. לאחר הצפנה מתקבל:

עבור המסר הראשון,
עבור המסר השני ( נשאר זהה בשתי ההצפנות).

נניח שהמצותתת איב משיגה את שני זוגות הטקסטים המוצפנים שנשלחו על ידי בוב , שימו לב שמתקיים:

מזה נובע ש- (מודולו ).

כעת אם איב גילתה את בדרך כלשהי (למשל אם הוא קבוע כלשהו שידוע מראש) היא יכולה בעזרת מידע זה לחשב את . מסיבה זו אסור להצפין שני מסרים עם אותו .

המשימה של איב (המצותתת) היא לנסות לפענח את המסר המוצפן שבוב שלח לאליס. היא יודעת מה הם ו- וכן מהו המפתח הציבורי של אליס כי הם נתונים ציבוריים. אם איב מסוגלת לפתור את בעיית דיפי הלמן (או בעיית הלוגריתם הבדיד) בקלות, היא יכולה פשוט לחלץ את המפתח הפרטי של אליס מתוך המפתח הציבורי (לחשב את מתוך ) ולפענח את המסר בדיוק כמו שאליס עושה. השאלה היא האם הצפנת אל-גמאל קשה לפיצוח לפחות כפתרון בעיית דיפי-הלמן או שהיא מכילה פגם ניסתר המאפשר לפצח אותה בקלות ללא צורך בפתרון בעיית דיפי-הלמן. ההוכחה לכך מבוססת על דרך המשל, נניח שישנו "אורקל אל-גמאל" ממנו יכולה איב לבקש פענוח באמצעות אלגוריתם אל-גמאל כל טקסט מוצפן שתבחר. אפשר לראות שבעזרתו היא יכולה לפתור את בעיית דיפי-הלמן כדלהלן: כאשר איב מגישה לאורקל את הזוג יחד עם מפתח ציבורי כלשהו היא מקבלת בחזרה את שזהו כביכול הפענוח המבוקש של הטקסט המוצפן עם המפתח הפרטי המתאים ל-. כזכור בעיית דיפי-הלמן היא למצוא את מתוך ו- (כאשר ו- סודיים). עם האורקל האמור איב יכולה לבצע את הטריק הבא: היא בוחרת ו- אקראי כלשהו והמפתח ציבורי הוא , היא שולחת אותם לאורקל ומבקשת ממנו להחזיר את תוצאת הפענוח שלהם. מה שהיא מקבלת בחזרה הוא כביכול את שהוא פענוח הטקסט המוצפן המקיים

.

כעת כדי לקבל את היא יכולה לחשב את:

הרי שלכאורה עם מידע שהתקבל מאורקל אל-גמאל היא "פתרה" את בעיית דיפי-הלמן. זוהי הוכחה שמי שיכול לפצח את הצפנת אל-גמאל יכול גם לפתור את בעיית דיפי הלמן כך שהצפנת אל-גמאל בטוחה לפחות כבעיית דיפי-הלמן. כל עוד בעיה זו קשה לפתרון בכלים הקיימים ההצפנה תיוותר בטוחה. יש לשים לב שבהתקפה המתוארת איב לא פתרה את בעיית הלוגריתם הבדיד כלומר לא הצליחה לגלות מה הם או אלא רק את . כלומר השאלה נותרה פתוחה האם בעיית דיפי-הלמן קשה כמו בעיית הלוגריתם הבדיד.

ההתקפה המתוארת נקראת התקפת גלוי-נבחר, מזה נובע שהצפנת אל-גמאל עמידה במודל ביטחון מחמיר בתנאי שפתרון בעיית דיפי-הלמן יהיה קשה בשדה הנבחר. מסיבה זו רצוי שסדר השדה יהיה גדול, כלומר יש לבחור מספר ראשוני כזה שניסיון לנחש את המפתח הסודי בכוח גס או באמצעות האלגוריתם הטוב ביותר הידוע כיום לפתרון הבעיה, יהיה מעבר ליכולת המחשוב הנוכחית. ידוע שאלגוריתם תחשיב אינדקסים פותר את בעיית הלוגריתם הבדיד (ומכאן גם את בעיית דיפי-הלמן) בזמן תת-מעריכי. כלומר היכן שהוא באמצע הדרך בין זמן פולינומי לזמן מעריכי. אלגוריתם נפת שדה המספרים יכול גם הוא להתאים לפתרון בעיית הלוגריתם הבדיד ונחשב כיום כאלגוריתם הטוב ביותר למטרה זו. אלגוריתמים אילו מציגים זמן ביצוע טוב בהרבה מכוח גס. לאור עובדה זו בהערכה גסה רצוי שגודל הסדר הראשוני יהיה לפחות כ-2000 ספרות בינאריות (שזה בערך מספר בן 600 ספרות עשרוניות).

ראוי להזכיר שכאשר מחשב קוונטי סקלאבילי יהיה מעשי, ניתן יהיה לפתור את בעיית הלוגריתם הבדיד או בעיית דיפי הלמן בזמן פולינומי באמצעות אלגוריתם שור, מה שגורם לכך שהצפנת אל-גמאל לא תהיה בטוחה יותר לשימוש במקרה כזה.

דוגמה במספרים קטנים

[עריכת קוד מקור | עריכה]

לצורך ההדגמה ולמען הפשטות נניח שאליס בוחרת את הראשוני ואיבר פרימיטיבי . למפתח פרטי היא בוחרת את ומחשבת את המפתח הציבורי שלה

.

בוב מקבל את המפתח הציבורי והוא מעוניין להצפין את המסר נניח . תחילה הוא בוחר מספר חד-פעמי ומחשב את הערכים הבאים:

,

ואת

את הזוג הוא שולח לאליס.

אליס משתמשת במפתח הפרטי שלה כדי לחשב את הערכים הבאים:

,
.

ואז המסר מתקבל על ידי חישוב:

.
.

הצפנה הסתברותית וביטחון סמנטי

[עריכת קוד מקור | עריכה]

היסטורית אל-גמאל היה הצופן הראשון שיישם הצפנה הסתברותית. בניגוד לשיטות הצפנה דטרמיניסטיות צופן אל-גמאל מוסיף מספר אקראי בתהליך ההצפנה ולכן בכל הצפנה של אותו מסר יתקבל טקסט מוצפן אחר גם אם מפתח ההצפנה זהה. אלגוריתם שעונה להגדרה זו מספק ביטחון סמנטי, שפירושו שהטקסט המוצפן אינו מדליף שום מידע אודות טקסט המקור שתוקף פוטנציאלי המוגבל בזמן ומקום לא היה יכול להשיג בדרך אחרת. ביטחון סמנטי ניתן לפירוש כגרסה מרוככת של ביטחון מושלם. ההבדל ביניהם הוא שביטחון מושלם בהגדרה הוא כזה שגם תוקף בעל עצמת חישוב בלתי מוגבלת לא ילמד מאומה מהטקסט המוצפן אודות טקסט המקור. למשל RSA הבסיסי הוא דטרמיניסטי ולכן בכל הצפנה של אותו מסר עם אותו מפתח הצפנה יתקבל תמיד טקסט מוצפן זהה. בדרך זו המתקיף יכול לזהות הצפנה חוזרת של מסר מסוים גם אם הוא לא יודע מהו ולכן אינו מוגדר כבטוח סמנטית. אפשר להפוך כל הצפנה דטרמיניסטית לבטוחה סמנטית על ידי ריפוד המסר לפני ההצפנה.

יעילות ויתרונות

[עריכת קוד מקור | עריכה]

החסרון העיקרי של צופן אל-גמאל הוא שהטקסט המוצפן כפול בנפחו מהמסר המקורי. בנוסף צופן אל-גמאל מצריך שתי העלאות בחזקה מודולרית. לא כל הפעולות תלויות לגמרי במסר כך שניתן לחשב לפחות אחת מהן מראש. בניגוד לשיטות הצפנה אחרות לא ניתן להאיץ את צופן אל-גמאל באמצעות CRT. לייעול הצופן אפשר לשתף מספר ראשוני ויוצר בין מספר משתתפים כפרמטרים ציבוריים משותפים לכולם. לשיטה זו יתרון כיוון שאפשר לנצל זאת כדי להאיץ את תהליך ההצפנה בעזרת טכניקות לחישוב העלאה בחזקה המנצלות את העובדה שבסיס החזקה קבוע.

הצפנת אל-גמאל אינה נפוצה בשימוש מעשי מהסיבה שישנן שיטות יעילות יותר. למשל פרוטוקול דיפי-הלמן בשילוב עם צופן סימטרי מהיר כמו AES מציעים פתרון טוב יותר. אולם להצפנת אל-גמאל תכונות חשובות שאין בפרוטוקול דיפי הלמן. היא מאפשרת הצפנה הומומורפית חלקית וכן הצפנת סף.

דוגמה להצפנת סף עם צופן אל-גמאל

[עריכת קוד מקור | עריכה]

נתון הסוד . כל משתתף מחזיק בסוד שנוצר לפי שיטת שמיר (ראה חלוקת סוד). כל המשתתף מתחייב לסוד על ידי פרסום המפתח הציבורי . ממשפט לגראנז' נובע שהיות ש- עבור כלשהו לכן ניתן לחישוב מהמידע הציבורי על ידי כאשר הוא תת-קבוצה של לפחות רשאים. כעת היות שמתקיים לפענוח המשתתפים מחשבים כדלהלן:

  1. כל אחד משדר את ומוכיח באמצעות פרוטוקול אפס ידיעה שמתקיים .
  2. תהי תת-קבוצה של משתתפים הטקסט המוצפן ניתן לפענוח על ידי:
.

זה נכון כי לכן .

אף על פי שצופן אל-גמאל ניתן ליישום מעל כל חבורה ציקלית סופית , בתנאי שפעולות אריתמטיות בחבורה זו קלות יחסית בעוד שפתרון בעיית הלוגריתם הבדיד בה קשה מאוד. לא כל חבורה בטוחה ליישום צופן אל-גמאל, החבורה תהיה בטוחה רק אם היא עומדת בהגבלות מסוימות. למשל החבורה אינה בטוחה אם אינו מספר ראשוני בטוח. מספר ראשוני יקרא בטוח רק אם ל- יש לפחות גורם ראשוני אחד גדול. להלן מספר חבורות המתאימות ליישום אלגוריתם אל-גמאל:

  1. חבורה כפלית של השלמים מודולו ראשוני בטוח.
  2. חבורה כפלית של שדה סופי עם מציין 2.
  3. קבוצת הנקודות בעקום אליפטי מעל שדה סופי.

האחרונה נחשבת לדרך עדיפה גם ליישום DSA ואלגוריתמים נוספים. יתרונה הוא מפתח קטן יחסית ועמידות גבוהה.

צופן אל-גמאל אינו מוגן בפטנט כלשהו כיום. גם שיטת דיפי-הלמן אינה מוגנת כיום בפטנט (תוקפו פג ב-1997). כך שלמעשה צופן אל-גמאל ניתן לשימוש חופשי הן לצורך הצפנה והן לצורך חתימה דיגיטלית.

הערות שוליים

[עריכת קוד מקור | עריכה]
  1. ^ A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms, Taher Elgamal, 1984
  2. ^ New Directions in Cryptography, Whitfield Diffie and Martin E. Hellman, IEEE
  3. ^ An Introduction to Mathematical Cryptography, Jeffrey Hoffstein, Jill Pipher, Joseph H. Silverman, Springer 2008