Poly-Dragon: An efficient Multivariate Public Key Cryptosystem

In this paper we propose an efficient multivariate public key cryptosystem. Public key of our cryptosystem contains polynomials of total degree three in plaintext and ciphertext variables, two in plaintext variables and one in ciphertext variables. However, it is possible to reduce the public key size by writing it as two sets of quadratic multivariate polynomials. The complexity of encryption in our public key cryptosystem is $O(n^{3})$, where $n$ is bit size, which is equivalent to other multivariate public key cryptosystems. For decryption we need only four exponentiations in the binary field. Our Public key algorithm is bijective and can be used for encryption as well as for signatures

Key-Recovery Attack on the ASASA Cryptosystem with Expanding S-boxes

We present a cryptanalysis of the ASASA public key cipher introduced at Asiacrypt 2014. This scheme alternates three layers of affine transformations A with two layers of quadratic substitutions S. We show that the partial derivatives of the public key polynomials contain information about the intermediate layer. This enables us to present a very simple distinguisher between an ASASA public key and random polynomials. We then expand upon the ideas of the distinguisher to achieve a full secret key recovery. This method uses only linear algebra and has a complexity dominated by the cost of computing the kernels of $2^{26}$ small matrices with entries in $\mathbb F_{16}$

TOT, a Fast Multivariate Public Key Cryptosystem with Basic Secure Trapdoor

In this paper, we design a novel one-way trapdoor function, and then propose a new multivariate public key cryptosystem called $\rm TOT$, which can be used for encryption, signature and authentication. Through analysis, we declare that $\rm TOT$ is secure, because it can resist current known algebraic attacks if its parameters are properly chosen. Some practical implementations for $\rm TOT$ are also given, and whose security level is at least $2^{90}$. The comparison shows that $\rm TOT$ is more secure than $\rm HFE$, $\rm HFEv$ and $\rm Quartz$ (when $n \ge 81$ and $D_{HFE} \ge 129$, $\rm HFE$ is still secure), and it can reach almost the same speed of computing the secret map by $\rm C^\ast$ and $\rm Sflash^{v2}$ (even though $\rm C^\ast$ was broken, its high speed has been affirmed)

Total Break of the l-IC Signature Scheme

The original publication is available at www.springerlink.comInternational audienceIn this paper, we describe efficient forgery and full-key recovery attacks on the l-IC- signature scheme recently proposed at PKC 2007. This cryptosystem is a multivariate scheme based on a new internal quadratic primitive which avoids some drawbacks of previous multivariate schemes: the scheme is extremely fast since it requires one exponentiation in a finite field of medium size and the public key is shorter than in many multivariate signature schemes. Our attacks rely on the recent cryptanalytic tool developed by Dubois et al. against the SFLASH signature scheme. However, the final stage of the attacks require the use of Grobner basis techniques to conclude to actually forge a signature (resp. to recover the secret key). For the forgery attack, this is due to the fact that Patarin's attack is much more difficult to mount against l-IC. The key recovery attack is also very efficient since it is faster to recover equivalent secret keys than to forge

On semigroups of multivariate transformations constructed in terms of time dependent linguistic graphs and solutions of Post Quantum Multivariate Cryptography.

Time dependent linguistic graphs over abelian group H are introduced. In the case $H=K*$ such bipartite graph with point set $P=H^n$ can be used for generation of Eulerian transformation of $(K*)^n$, i.e. the endomorphism of $K[x_1, x_2,… , x_n]$ sending each variable to a monomial term. Subsemigroups of such endomorphisms together with their special homomorphic images are used as platforms of cryptographic protocols of noncommutative cryptography. The security of these protocol is evaluated via complexity of hard problem of decomposition of Eulerian transformation into the product of known generators of the semigroup. Nowadays the problem is intractable one in the Postquantum setting. The symbiotic combination of such protocols with special graph based stream ciphers working with plaintext space of kind $K^m$ where $m=n^t$ for arbitrarily chosen parameter $t$ is proposed. This way we obtained a cryptosystem with encryption/decryption procedure of complexity $O(m^{1+2/t})$

On desynchronised El Gamal algorithm

Families of stable cyclic groups of nonlinear polynomial transformations of affine spaces $K^n$ over general commutative ring $K$ of increasing with $n$ order can be used in the key exchange protocols and related to them El Gamal multivariate cryptosystems. We suggest to use high degree of noncommutativity of affine Cremona group and modify multivariate El Gamal algorithm via the usage of conjugations for two polynomials of kind $g^k$ and $g^{-1}$ given by key holder (Alice) or giving them as elements of different transformation groups. We present key exchange protocols based on twisted discrete logarithms problem which uses noncommutativity of semigroup. Recent results on the existence of families of stable transformations of prescribed degree and density and exponential order over finite fields can be used for the implementation of schemes as above with feasible computational complexity. We introduce an example of a new implemented quadratic multivariate cryptosystem based on the above mentioned ideas

PUBLIC KEY CRYPTOGRAPHY USING PERMUTATION P-POLYNOMIALS OVER FINITE FIELDS

In this paper we propose an efficient multivariate public key cryptosystem based on permutation p-polynomials over finite fields. We first characterize a class of permutation p-polynomials over finite fields $F_{q^{m}}$ and then construct a trapdoor function using this class of permutation p-polynomials. The complexity of encryption in our public key cryptosystem is $O(m^{3})$ multiplication which is equivalent to other multivariate public key cryptosystems. However the decryption is much faster than other multivariate public key cryptosystems. In decryption we need $O(m^{2})$ left cyclic shifts and $O(m^{2})$ xor operations

MQ problem

Cílem této bakalářské práce je popsat obecný MQ problém, především jeho variantu zvanou HFE, nastínit některé útoky na základní schéma založené na HFE a následně popsat nový útok na HFEz, systém vzniklý modifikací HFE, kdy se část výstupů z úvodní transformace opomene. Modifikace HFEz zajistí závislost vstupu do HFE polynomu na větším množství proměnných při zachování velikosti rozšíření tělesa. Útok na tuto modifikaci spočívá v překladu HFEz na HFE s větvením a následné aplikaci algoritmu pro separaci jednotlivých větví navrženého v [Fel06]. Separační algoritmus přes veřejný klíč vytvoří operaci, která společně se sčítáním tvoří komutativní, neasociativní algebru. Následně se aplikací několika poznatků o neasociativních algebrách za pomoci této operace spočte matice, která umožní separovat proměnné do několika sad odpovídajících jednotlivým větvím. Díky tomuto převodu můžeme následně provést útok přímo na HFE polynom neovlivněného modifikací HFEz. Powered by TCPDF (www.tcpdf.org)The aim of this thesis is to describe a general MQ Problem with a focus on its variant called HFE, outline several attacks on a basic scheme based on HFE and describe a new attack on HFEz, a cryptosystem based on special polynomials over finite fields with a modification, which discards a portion of the output from the initial transformation. This ensures a dependency on more variables while keeping the same size of the field. The attack starts with a translation of HFE into HFE with branches, followed by a branch separating algorithm described in [Fel06]. The separation algorithm uses the public key to derive an operation, which induces (with addition) a non-associative algebra. Utilising some properties of non-associative algebras, a matrix, which can separate variables into distinct sets according to branches, is calculated. This leads to stripping off the HFEz modification and thus allowing us to attack directly the HFE polynomial. Powered by TCPDF (www.tcpdf.org)Department of AlgebraKatedra algebryMatematicko-fyzikální fakultaFaculty of Mathematics and Physic

Equivalent Keys in Multivariate Quadratic Public Key Systems

Multivariate Quadratic public key schemes have been suggested back in 1985 by Matsumoto and Imai as an alternative for the RSA scheme. Since then, several other schemes have been proposed, for example Hidden Field Equations, Unbalanced Oil and Vinegar schemes, and Stepwise Triangular Schemes. All these schemes have a rather large key space for a secure choice of parameters. Surprisingly, the question of equivalent keys has not been discussed in the open literature until recently. In this article, we show that for all basic classes mentioned above, it is possible to reduce the private --- and hence the public --- key space by several orders of magnitude. For the Matsumoto-Imai scheme, we are even able to show that the reductions we found are the only ones possible, i.e., that these reductions are tight. While the theorems developed in this article are of independent interest themselves as they broaden our understanding of Multivariate Quadratic public key systems, we see applications of our results both in cryptanalysis and in memory efficient implementations of MQ-schemes

Usean muuttujan julkisen avaimen salausjärjestelmät

Tiivistelmä. Jotkin arkaluonteiset tiedot on tarkoitettu ainoastaan rajatun joukon luettaviksi ja käsiteltäviksi. Salausjärjestelmiä käytetään, jotta tällaisia tietoja pystyvät käyttämään vain ne, joilla on siihen tarvittavat oikeudet. Kvanttitietokoneiden kehittyminen asettaa kuitenkin useat käytössä olevat salausjärjestelmät murtumisuhan alle, joten näiden tilalle on kehitettävä uusia menetelmiä. Usean muuttujan julkisen avaimen salausjärjestelmät ovat yksi tällainen tutkimuskohde, joiden joukosta pyritään löytämään kvanttitietokoneiden suuren laskentakapasiteetin mahdollistamien hyökkäysten kestäviä järjestelmiä. Nämä salausjärjestelmät saavat nimensä siitä, että niiden julkinen avain koostuu usean muuttujan polynomiyhtälöistä jonkin äärellisen kuntalaajennuksen suhteen. Yhtälöt ovat salatun tekstin suhteen lineaarisia, joten viestin lähettäminen on yksinkertaista. Salatun viestin kaapanneen on kuitenkin ratkaistava epälineaarinen yhtälöryhmä saadakseen selville selkokielisen viestin. Viestin salaus on silti helppo purkaa tunnetun salaisen avaimen avulla. Lukijalta edellytetään esitietoina lineaarialgebran, kuntarakenteiden sekä salausmenetelmien perustuntemusta. Tutkielman ensimmäisessä luvussa määritellään tarvittavia käsitteitä sekä todistetaan myöhemmin käytettäviä tuloksia lineaarialgebrasta ja kuntarakenteista, sillä äärellisiä kuntalaajennuksia käsitellään tutkielmassa vektoriavaruuksina kerroinkunnan suhteen. Toinen luku käsittelee Imai-Matsumoto -järjestelmää, joka on ensimmäinen usean muuttujan julkisen avaimen salausjärjestelmä. Se julkaistiin vuonna 1988 ja aloitti näiden järjestelmien historian. Ensin esitetään järjestelmän matemaattinen rakenne, jonka jälkeen sen käyttöä valaistaan esimerkein. Seuraavaksi osoitetaan, miksi järjestelmä on turvaton. Luvun lopuksi esitellään lyhyesti muunnos Imai-Matsumoto -järjestelmästä, joka kuitenkin on myös murrettavissa. Tutkielman seuraavassa luvussa esitellään 1990-luvun puolivälissä julkaistu Patarinin Pieni lohikäärme -järjestelmä, joka perustuu edeltäjäänsä Imai-Matsumotoon. Matematiikka Pienen lohikäärmeen taustalla esitetään ja järjestelmän käytöstä annetaan esimerkkejä. Seuraavaksi perustellaan miksi järjestelmä ei murru samalla menetelmällä kuin Imai-Matsumoto. Järjestelmän rakentamisessa valitaan salainen eksponentti, joka huonosti tehtynä vaarantaa järjestelmän turvallisuuden mikä osoitetaan myös. Lopuksi esitetään Coppersmith-Patarin -menetelmä, jolla Pieni lohikäärme saadaan murrettua yleisessä tapauksessa. Neljäs luku alkaa Ison lohikäärmeen esittelyllä, joka on myös Patarinin ehdotus. Tätä seuraa kappale permutaatiopolynomeista, jossa määritellään tarvittavia käsitteitä ja todistetaan tuloksia. Näitä käytetään seuraavissa kappaleissa, joissa käsitellään 2010-luvun alussa julkaistuja järjestelmiä. Nämä pohjautuvat Pieneen lohikäärmeeseen ja niitä kutsutaankin nimillä Pieni lohikäärme kaksi sekä Poly-Dragon. Molemmista esitetään niiden matemaattinen tausta sekä käyttöön liittyviä esimerkkejä. Järjestelmien turvallisuutta käsitellään myös omissa osioissaan. Tutkielman lopuksi luodaan lyhyt katsaus usean muuttujan julkisen avaimen salausjärjestelmien aiempaan menestykseen sekä niiden nykytilanteeseen