צופן אל-גמאל

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

הצפנת אל גמאל (ElGamal encryption) היא שיטת הצפנה אסימטרית אקראית שהומצאה ב-1984 על ידי טאהר אל-גמאל, קריפטוגרף אמריקאי ממוצא מצרי[1]. בדומה לפרוטוקול דיפי-הלמן, ביטחונה מסתמך על הקושי המשוער שבבעיית לוגריתם דיסקרטי ובעיית דיפי-הלמן. והיא יכולה לשמש הן להצפנה והן לחתימה דיגיטלית. צופן אל-גמאל היה בשימוש בתוכנות חופשיות GPG וכן PGP ומערכות אחרות. אלגוריתם חתימה דיגיטלית DSA הוא וריאציה של חתימה דיגיטלית של אל-גמאל.

אף על פי ש-RSA קדמה לה, להצפנת אל-גמאל חשיבות היסטורית מאחר שהיא הצפנת מפתח-ציבורי הנחשבת המשך ישיר למאמר המפורסם של דיפי והלמן מ-1979 "כיוונים חדשים בהצפנה"[2] שהעלה לראשונה את ההצפנה האסימטרית וחתימה דיגיטלית על המפה. אפשר ליישם את הצפנת אל-גמאל מעל שדה סופי או מעל חבורת עקום אליפטי. וכן זוהי ההצפנה הראשונה שיישמה הצפנה הסתברותית, כלומר מוכחת כבטוחה סמנטית תחת מודל התקפת מוצפן-נבחר, בהנחה שבעיית דיפי-הלמן היא בעיה קשה.

תיאור האלגוריתם[עריכת קוד מקור | עריכה]

תיאור הצופן מהספר An Introduction to Mathematical Cryptography[3]. בהצפנת אל-גמאל המקבלת אליס מכינה לעצמה שני מפתחות, מפתח סודי שנשאר אצלה ומיועד לפענוח ומפתח ציבורי שאותו היא שולחת לבוב, או מפרסמת אותו לכל דורש. תחילה עליה לבחור מספר ראשוני אקראי גדול. היות שביטחון ההצפנה מסתמך על בעיית הלוגריתם הדיסקרטי בשדה הראשוני אליס צריכה לבחור ראשוני מספיק גדול כך שפתרון הבעיה יהיה "קשה". בביטוי קשה מתכוונים שהניסיון לנחש את המפתח הסודי השקול לפתרון הלוגריתם הדיסקרטי, עם מיטב האלגוריתמים הידועים נחשב באופן אסימפטוטי בסיבוכיות מעריכית, כלומר אינו מעשי. וכן צריכה לבחור אלמנט מסדר ראשוני גבוה שנקרא יוצר. שני המספרים הללו נבחרים על ידה או נקבעים על ידי צד שלישי נאמן. כעת כמו בפרוטוקול דיפי-הלמן היא בוחרת מספר אקראי המשמש כמפתח פרטי ומחשבת את הערך:

.

אליס מפרסמת את המפתח הציבורי לכל דורש ושומרת בסוד את . כעת אם בוב מעוניין להצפין מסר כלשהו עבור אליס, תחילה הוא בוחר מספר חד פעמי (מודולו ) איתו הוא מסתיר את המסר ולאחר מכן משמיד אותו. השלם נקרא מפתח ארעי (ephemeral key) כיוון שנועד אך ורק להצפנת מסר יחיד.

בוב לוקח את המסר עם השלם החד-פעמי והמפתח הציבורי של אליס ומחשב את זוג הערכים:

,
.

כזכור ו- הם פרמטרים ציבוריים כך שלכולם יש נגישות אליהם. הטקסט המוצפן שבוב הכין הוא הזוג אותם הוא שולח לאליס בערוץ ציבורי. אפשר להבחין בחיסרון בולט של הצופן, הטקסט המוצפן הוכפל בנפחו. כעת אם אליס רוצה לפענח את הטקסט המוצפן שקיבלה היא משתמשת במפתח הפרטי שלה כדי לחשב את:

,

וכן מחשבת את שהוא ההופכי הכפלי של מודלו . ואז מכפילה את ב- כדי לקבל את או בניסוח פורמלי.

.

הוכחת נכונות[עריכת קוד מקור | עריכה]

כדי לראות מדוע זה עובד מתבוננים בביטוי , לאחר הרחבה מתקבל:

,
,
,
היות ש-.
כי לפי תיאור ההצפנה (מודולו ).
בגלל ש- בתהליך ההכנה.
כי .

כדי להבין מדוע חייב להיות חד-פעמי ואין להשתמש בו להצפנת שני מסרים עם אותו מפתח. נניח שבוב הצפין את ו- עם זהה. לאחר הצפנה מתקבל:

עבור המסר הראשון,
עבור המסר השני ( נשאר זהה בשתי ההצפנות).

נניח שהמצותתת איב משיגה את שני זוגות הטקסטים המוצפנים שנשלחו על ידי בוב , שים לב שמתקיים:

מזה נובע ש- (מודולו ).

כעת אם איב גילתה את בדרך כלשהי (למשל אם הוא קבוע כלשהו שידוע מראש) היא יכולה בעזרת מידע זה לחשב את . מסיבה זו אסור להצפין שני מסרים עם אותו .

ביטחון[עריכת קוד מקור | עריכה]

המשימה של איב (המצותתת) היא לנסות לפענח את המסר המוצפן שבוב שלח לאליס. היא יודעת מה הם ו- וכן מהו המפתח הציבורי של אליס כי הם נתונים ציבוריים. אם איב מסוגלת לפתור את בעיית דיפי הלמן (או בעיית הלוגריתם הדיסקרטי) בקלות, היא יכולה פשוט לחלץ את המפתח הפרטי של אליס מתוך המפתח הציבורי (לחשב את מתוך ) ולפענח את המסר בדיוק כמו שאליס עושה. השאלה היא האם הצפנת אל-גמאל קשה לפיצוח לפחות כפתרון בעיית דיפי-הלמן או שהיא מכילה פגם ניסתר המאפשר לפצח אותה בקלות ללא צורך בפתרון בעיית דיפי-הלמן. ההוכחה לכך מבוססת על דרך המשל, נניח שישנו "אורקל אל-גמאל" ממנו יכולה איב לבקש פענוח באמצעות אלגוריתם אל-גמאל כל טקסט מוצפן שתבחר. אפשר לראות שבעזרתו היא יכולה לפתור את בעיית דיפי-הלמן כדלהלן: כאשר איב מגישה לאורקל את הזוג יחד עם מפתח ציבורי כלשהו היא מקבלת בחזרה את שזהו כביכול הפענוח המבוקש של הטקסט המוצפן עם המפתח הפרטי המתאים ל-. כזכור בעיית דיפי-הלמן היא למצוא את מתוך ו- (כאשר ו- סודיים). עם האורקל האמור איב יכולה לבצע את הטריק הבא: היא בוחרת ו- אקראי כלשהו והמפתח ציבורי הוא , היא שולחת אותם לאורקל ומבקשת ממנו להחזיר את תוצאת הפענוח שלהם. מה שהיא מקבלת בחזרה הוא כביכול את שהוא פענוח הטקסט המוצפן המקיים

.

כעת כדי לקבל את היא יכולה לחשב את:

הרי שלכאורה עם מידע שהתקבל מאורקל אל-גמאל היא "פתרה" את בעיית דיפי-הלמן. זוהי הוכחה שמי שיכול לפצח את הצפנת אל-גמאל יכול גם לפתור את בעיית דיפי הלמן כך שהצפנת אל-גמאל בטוחה לפחות כבעיית דיפי-הלמן. כל עוד בעיה זו קשה לפתרון בכלים הקיימים ההצפנה תיוותר בטוחה. יש לשים לב שבהתקפה המתוארת איב לא פתרה את בעיית הלוגריתם הדיסקרטי כלומר לא הצליחה לגלות מה הם או אלא רק את . כלומר השאלה נותרה פתוחה האם בעיית דיפי-הלמן קשה כמו בעיית הלוגריתם הדיסקרטי.

ההתקפה המתוארת נקראת התקפת מוצפן-נבחר, מזה נובע שהצפנת אל-גמאל עמידה במודל ביטחון המחמיר ביותר בתנאי שפתרון בעיית דיפי-הלמן יהיה קשה בשדה הנבחר. מסיבה זו רצוי שסדר השדה יהיה גדול, כלומר יש לבחור מספר ראשוני כזה שניסיון לנחש את המפתח הסודי בכוח גס או באמצעות האלגוריתם הטוב ביותר הידוע כיום לפתרון הבעיה, יהיה מעבר ליכולת המחשוב הנוכחית. ידוע שאלגוריתם תחשיב אינדקסים פותר את בעיית הלוגריתם הדיסקרטי (ומכאן גם את בעיית דיפי-הלמן) בזמן תת-מעריכי. כלומר היכן שהוא באמצע הדרך בין זמן פולינומי לזמן מעריכי. אלגוריתם נפת שדה המספרים יכול גם הוא להתאים לפתרון בעיית הלוגריתם הדיסקרטי ונחשב כיום כאלגוריתם הטוב ביותר למטרה זו. אלגוריתמים אילו מציגים זמן ביצוע טוב בהרבה מכוח גס. לאור עובדה זו בהערכה גסה רצוי שגודל הסדר הראשוני יהיה לפחות כ-2000 ספרות בינאריות (שזה בערך מספר בן 600 ספרות עשרוניות).

ראוי להזכיר שבאם מחשב קוונטי סקלאבילי יהיה מעשי, ניתן יהיה לפתור את בעיית הלוגריתם הדיסקרטי או בעיית דיפי הלמן בזמן פולינומי באמצעות אלגוריתם שור, מה שגורם לכך שהצפנת אל-גמאל לא תהיה בטוחה יותר לשימוש במקרה כזה.

דוגמה במספרים קטנים[עריכת קוד מקור | עריכה]

לצורך ההדגמה ולמען הפשטות נניח שאליס בוחרת את הראשוני ואיבר פרימיטיבי . למפתח פרטי היא בוחרת את ומחשבת את המפתח הציבורי שלה

.

בוב מקבל את המפתח הציבורי והוא מעוניין להצפין את המסר נניח . תחילה הוא בוחר מספר חד-פעמי ומחשב את הערכים הבאים:

,

ואת

את הזוג הוא שולח לאליס.

אליס משתמשת במפתח הפרטי שלה כדי לחשב את הערכים הבאים:

,
.

ואז המסר מתקבל על ידי חישוב:

.
.

הצפנה היסתברותית וביטחון סמנטי[עריכת קוד מקור | עריכה]

היסטורית אל-גמאל היה הצופן הראשון שיישם הצפנה היסתברותית. בניגוד לשיטות הצפנה דטרמיניסטיות צופן אל-גמאל מוסיף מספר אקראי בתהליך ההצפנה ולכן בכל הצפנה של אותו מסר יתקבל טקסט מוצפן אחר גם אם מפתח ההצפנה זהה. אלגוריתם שעונה להגדרה זו מספק ביטחון סמנטי, שפירושו שהטקסט המוצפן אינו מדליף שום מידע אודות טקסט המקור שתוקף פוטנציאלי המוגבל בזמן ומקום לא היה יכול להשיג בדרך אחרת. ביטחון סמנטי ניתן לפירוש כגרסה מרוככת של ביטחון מושלם. ההבדל ביניהם הוא שביטחון מושלם בהגדרה הוא כזה שגם תוקף בעל עצמת חישוב בלתי מוגבלת לא ילמד מאומה מהטקסט המוצפן אודות טקסט המקור. למשל RSA הבסיסי הוא דטרמיניסטי ולכן בכל הצפנה של אותו מסר עם אותו מפתח הצפנה יתקבל תמיד טקסט מוצפן זהה. בדרך זו המתקיף יכול לזהות הצפנה חוזרת של מסר מסוים גם אם הוא לא יודע מהו ולכן אינו מוגדר כבטוח סמנטית. אפשר להפוך כל הצפנה דטרמיניסטית לבטוחה סמנטית על ידי ריפוד המסר לפני ההצפנה.

יעילות ויתרונות[עריכת קוד מקור | עריכה]

החסרון העיקרי של צופן אל-גמאל הוא שהטקסט המוצפן כפול בנפחו מהמסר המקורי. בנוסף צופן אל-גמאל מצריך שתי העלאות בחזקה מודולרית. לא כל הפעולות תלויות לגמרי במסר כך שניתן לחשב לפחות אחת מהן מראש. בניגוד לשיטות הצפנה אחרות לא ניתן להאיץ את צופן אל-גמאל באמצעות CRT. לייעול הצופן אפשר לשתף מספר ראשוני ויוצר בין מספר משתתפים כפרמטרים ציבוריים משותפים לכולם. לשיטה זו יתרון כיוון שאפשר לנצל זאת כדי להאיץ את תהליך ההצפנה בעזרת טכניקות לחישוב העלאה בחזקה המנצלות את העובדה שבסיס החזקה קבוע.

הצפנת אל-גמאל אינה נפוצה בשימוש מעשי מהסיבה שישנן שיטות יעילות יותר. למשל פרוטוקול דיפי-הלמן בשילוב עם צופן סימטרי מהיר כמו AES מציעים פתרון טוב יותר. אולם להצפנת אל-גמאל תכונות חשובות שאין בפרוטוקול דיפי הלמן. היא מאפשרת הצפנה הומומורפית חלקית וכן הצפנת סף.

דוגמה להצפנת סף עם צופן אל-גמאל[עריכת קוד מקור | עריכה]

נתון הסוד . כל משתתף מחזיק בסוד שנוצר לפי שיטת שמיר (ראה חלוקת סוד). כל המשתתף מתחייב לסוד על ידי פרסום המפתח הציבורי . ממשפט לגראנז' נובע שהיות ש- עבור כלשהו לכן ניתן לחישוב מהמידע הציבורי על ידי כאשר הוא תת-קבוצה של לפחות רשאים. כעת היות שמתקיים לפענוח המשתתפים מחשבים כדלהלן:

  1. כל אחד משדר את ומוכיח באמצעות פרוטוקול אפס ידיעה שמתקיים .
  2. תהי תת-קבוצה של משתתפים הטקסט המוצפן ניתן לפענוח על ידי:
.

זה נכון כי לכן .

הכללות[עריכת קוד מקור | עריכה]

אף על פי שצופן אל-גמאל ניתן ליישום מעל כל חבורה ציקלית סופית , בתנאי שפעולות אריתמטיות בחבורה זו קלות יחסית בעוד שפתרון בעיית לוגריתם דיסקרטי בה קשה מאוד. לא כל חבורה בטוחה ליישום צופן אל-גמאל, החבורה תהיה בטוחה רק אם היא עומדת בהגבלות מסוימות. למשל החבורה אינה בטוחה אם אינו מספר ראשוני בטוח. מספר ראשוני יקרא בטוח רק אם ל- יש לפחות גורם ראשוני אחד גדול. להלן מספר חבורות המתאימות ליישום אלגוריתם אל-גמאל:

  1. חבורה כפלית של השלמים מודולו ראשוני בטוח.
  2. חבורה כפלית של שדה סופי עם מציין 2.
  3. קבוצת הנקודות בעקום אליפטי מעל שדה סופי.

האחרונה נחשבת לדרך עדיפה גם ליישום DSA ואלגוריתמים נוספים. יתרונה הוא מפתח קטן יחסית ועמידות גבוהה.

זכויות[עריכת קוד מקור | עריכה]

צופן אל-גמאל אינו מוגן בפטנט כלשהו כיום. גם שיטת דיפי-הלמן אינה מוגנת כיום בפטנט (תוקפו פג ב-1997). כך שלמעשה צופן אל-גמאל ניתן לשימוש חופשי הן לצורך הצפנה והן לצורך חתימה דיגיטלית.

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms, Taher Elgamal, 1984
  2. ^ New Directions in Cryptography, Whitfield Diffie and Martin E. Hellman, IEEE
  3. ^ An Introduction to Mathematical Cryptography, Jeffrey Hoffstein, Jill Pipher, Joseph H. Silverman, Springer 2008