Damgård–Jurik kryptosystem

Damgård –Jurik-kryptosystemet är en generalisering av Paillier-kryptosystemet . Den använder beräkningar modulo ${\displaystyle n^{s+1}}$ där ${\displaystyle n}$ är en RSA- modul och ${\displaystyle s}$ ett (positivt) naturligt tal . Pailliers schema är specialfallet med ${\displaystyle s=1}$ . Ordningen ${\displaystyle \varphi (n^{s+1})}$ ( Eulers totientfunktion ) av ${\displaystyle Z_{n^{s+1}}^ {*}}$ kan delas med ${\displaystyle n^{s}}$ . Dessutom ${\displaystyle Z_{n^{s+1}}^{*}}$ skrivas som den direkta produkten av ${\displaystyle G\times H}$ . ${\displaystyle G}$ är cyklisk och av ordningen ${\displaystyle n^{s}}$ , medan ${\displaystyle H}$ är isomorf till ${\displaystyle Z_{n}^{*}}$ . För kryptering omvandlas meddelandet till motsvarande coset av faktorgruppen ${\displaystyle G\times H/H}$ och schemats säkerhet beror på svårigheten att särskilja slumpmässiga element i olika coset av ${ \displaystyle H}$ . Det är semantiskt säkert om det är svårt att avgöra om två givna element är i samma coset. Liksom Paillier kan säkerheten för Damgård–Jurik bevisas under beslutssammansatta residuositetsantaganden .

Nyckelgenerering

1. Välj två stora primtal p och q slumpmässigt och oberoende av varandra.
2. Beräkna ${\displaystyle n=pq}$ och ${\displaystyle \lambda =\operatörsnamn {lcm} (p-1,q-1)}$ .
3. Välj ett element ${\displaystyle g\in \mathbb {Z} _{n^{s+1}}^{*}}$ så att ${\displaystyle g=(1+n)^{j}x\mod n^{s+1}}$ för ett känt ${\displaystyle j}$ relativt primtal till ${\displaystyle n}$ och ${\displaystyle x\in H}$ .
4. Använd den kinesiska restsatsen , välj ${\displaystyle d}$ så att ${\displaystyle d\mod n\in \mathbb {Z} _{n}^{*}}$ och ${\displaystyle d=0\mod \lambda }$ . Till exempel ${\displaystyle d}$ vara ${\displaystyle \lambda }$ som i Pailliers ursprungliga schema.

• Den offentliga (krypterings-) nyckeln är ${\displaystyle (n,g)}$ .
• Den privata (dekrypterings-) nyckeln är ${\displaystyle d}$ .

Kryptering

1. Låt ${\displaystyle m}$ vara ett meddelande som ska krypteras där ${\displaystyle m\in \mathbb {Z} _{n^{s}}}$ .
2. Välj slumpmässigt ${\displaystyle r}$ där ${\displaystyle r\in \mathbb {Z} _{n}^{*}}$ .
3. Beräkna chiffertext som: ${\displaystyle c=g^{m}\cdot r^{n^{s}}\mod n^{s+1}}$ .

Dekryptering

1. Chiffertext ${\displaystyle c\in \mathbb {Z} _{n^{s+1}}^{*}}$
2. Beräkna ${\displaystyle c^{d}\;mod\;n^{s+1}}$ . Om c är en giltig chiffertext då ${\displaystyle c^{d}=(g^{m}r^{n^{s}})^ {d}=((1+n)^{jm}x^{m}r^{n^{s}})^{d}=(1+n)^{jmd\;mod\;n^{ s}}(x^{m}r^{n^{s}})^{d\;mod\;\lambda }=(1+n)^{jmd\;mod\;n^{s}} }$ .
3. Använd en rekursiv version av Pailliers dekrypteringsmekanism för att få ${\displaystyle jmd}$ . Eftersom ${\displaystyle jd}$ är känd är det möjligt att beräkna ${\displaystyle m=(jmd)\cdot (jd)^{ -1}\;mod\;n^{s}}$ .

Förenkling

Till priset av att inte längre innehålla det klassiska Paillier-krypteringssystemet som instans kan Damgård–Jurik förenklas på följande sätt:

• Basen g är fixerad som ${\displaystyle g=n+1}$ .
• Dekrypteringsexponenten d beräknas så att ${\displaystyle d=1\;mod\;n^{s}}$ och ${\displaystyle d=0\;mod\ ;\lambda }$ .

I detta fall ger dekryptering ${\displaystyle c^{d}=(1+n)^{m}\;mod\;n^{s+1 }}$ . Genom att använda rekursiv Paillier-dekryptering ger detta oss direkt klartexten m .

Se även

• Den interaktiva simulatorn Damgård–Jurik kryptosystem demonstrerar en röstningsapplikation.