Rabin şifreleme sistemi

Rabin şifreleme sistemi, Rabin kriptoloji veya Rabin kriptosistemi, güvenliği RSA'daki gibi tam sayı çarpanlarına ayırmanın zorluğu üzerine kurgulanmış olan asimetrik bir kriptografik tekniktir. Bununla birlikte, Rabin kriptosisteminin avantajı, saldırgan tam sayıları verimli bir şekilde çarpanlarına ayıramadığı sürece, seçilmiş bir düz metin saldırısına karşı hesaplama açısından güvenli olduğu matematiksel olarak kanıtlanmıştır, oysa RSA için bilinen böyle bir kanıt yoktur.^[1]:145 Rabin fonksiyonunun her çıktısının dört olası girdiden herhangi biri tarafından üretilebilmesi dezavantajı; her çıktı bir şifreli metinse, olası dört girdiden hangisinin gerçek düz metin olduğunu belirlemek için şifre çözmede ekstra karmaşıklık gerekir.

Algoritma Ocak 1979'da Michael O. Rabin tarafından yayınlandı.^[2] Rabin şifreleme sistemi, şifreli metinden düz metni kurtarmanın çarpanlara ayırma kadar zor olduğu kanıtlanabilen ilk asimetrik şifreleme sistemiydi.

Tüm asimetrik şifreleme sistemleri gibi, Rabin şifreleme sistemi de bir anahtar çifti kullanır: şifreleme için genel anahtar ve şifre çözme için özel anahtar. Genel anahtar, herkesin kullanması için yayınlanırken, özel anahtar yalnızca mesajın alıcısı tarafından bilinir.

Rabin şifreleme sisteminin anahtarları şu şekilde oluşturulur:

1. İki tane çok büyük ve farklı ${\displaystyle p}$, ${\displaystyle q}$ asal sayıları seçilir. Kare kökün hesaplanmasını basitleştirmek için bir tanesini ${\displaystyle p\equiv q\equiv 3{\pmod {4}}}$ yöntemi ile seçebiliriz. Fakat yöntem herhangi daha büyük asal sayılarla çalışır.
2. ${\displaystyle n=p\cdot q}$ hesaplanır. Burada ${\displaystyle n}$ açık anahtar, asal sayılardan oluşan ${\displaystyle (p,q)}$ ise özel anahtardır.

Bir ${\displaystyle M}$ mesajı, önce tersine çevrilebilir bir eşleme kullanılarak ${\displaystyle m<n}$ sayısına dönüştürülerek ve ardından ${\displaystyle c=m^{2}{\pmod {n}}}$ hesaplanarak şifrelenebilir. Şifreli metin, ${\displaystyle c}$'dir.

${\displaystyle m}$ mesajı, şifreli ${\displaystyle c}$ metninden karekök modül ${\displaystyle n}$'si aşağıdaki gibi alınarak elde edilebilir.

1. Aşağıdaki formülleri kullanarak ${\displaystyle c}$ modül ${\displaystyle p}$ ve ${\displaystyle q}$'nun karekökünü hesaplayın;

   ${\displaystyle {\begin{aligned}m_{p}&=c^{{\frac {1}{4}}(p+1)}{\pmod {p}}\\m_{q}&=c^{{\frac {1}{4}}(q+1)}{\pmod {q}}\end{aligned}}}$

2. ${\displaystyle y_{p}\cdot p+y_{q}\cdot q=1}$ olacak şekilde ${\displaystyle y_{p}}$ ve ${\displaystyle y_{q}}$'i bulmak için Genişletilmiş Öklid algoritması kullanın.
3. ${\displaystyle c}$ modül ${\displaystyle n}$'nin dört karekökünü bulmak için Çin kalan teoremi'ni kullanın:

   ${\displaystyle {\begin{aligned}r_{1}&=\left(y_{p}\cdot p\cdot m_{q}+y_{q}\cdot q\cdot m_{p}\right){\pmod {n}}\\r_{2}&=n-r_{1}\\r_{3}&=\left(y_{p}\cdot p\cdot m_{q}-y_{q}\cdot q\cdot m_{p}\right){\pmod {n}}\\r_{4}&=n-r_{3}\end{aligned}}}$

Bu dört değerden biri orijinal düz metin ${\displaystyle m}$'dir, ancak dördünden hangisinin doğru olduğu ek bilgi olmadan belirlenemez.

Kesin anahtar üretimi süreci aşağıdaki gibidir:

Yukarıdaki 1. adımdaki formüllerin aslında ${\displaystyle c}$'in kareköklerini aşağıdaki gibi ürettiğini gösterebiliriz. İlk formül için, ${\displaystyle m_{p}^{2}\equiv c{\pmod {p}}}$ olduğunu kanıtlamak istiyoruz. ${\displaystyle p\equiv 3{\pmod {4}}}$ olduğundan, ${\textstyle {\frac {1}{4}}(p+1)}$ üssü bir tam sayıdır. ${\displaystyle c\equiv 0{\pmod {p}}}$ ise ispat önemsizdir, bu nedenle ${\displaystyle p}$'nin ${\displaystyle c}$'yi bölmediğini varsayabiliriz. ${\displaystyle c\equiv m^{2}{\pmod {pq}}}$ ögesinin ${\displaystyle c\equiv m^{2}{\pmod {p}}}$ anlamına geldiğini unutmayın, dolayısıyla ${\displaystyle c}$ modül ${\displaystyle p}$'ye göre bir kuadratik kalıntıdır (rezidü). Buradan;

${\displaystyle m_{p}^{2}\equiv c^{{\frac {1}{2}}(p+1)}\equiv c\cdot c^{{\frac {1}{2}}(p-1)}\equiv c\cdot 1{\pmod {p}}}$

yazılabilir. Son adım Euler ölçütü tarafından doğrulanır.

Deşifreleme şifreli metninin kare köklerini hesaplamak için ${\displaystyle c}$ mod asal sayı ${\displaystyle p}$ ve ${\displaystyle q}$'yu gerektirir.

${\displaystyle m_{p}=c^{\frac {(p+1)}{4}}\,{\pmod {p}}}$ ve

${\displaystyle m_{q}=c^{\frac {(q+1)}{4}}\,{\pmod {q}}}$ olur.

Biz bu metodun ${\displaystyle p}$ için çalışmasını aşağıdaki gibi gösterebiliriz. İlk ${\displaystyle {\frac {(p+1)}{4}}}$'ün, ${\displaystyle p\equiv 3\!\!\!{\pmod {4}}}$ bir tam sayı olduğunu gösterir. ${\displaystyle c\equiv 0{\pmod {p}}}$ için varsayım basittir. Bu yüzden biz ${\displaystyle p}$'nin ${\displaystyle c}$'ye bölünmediğini varsayabiliriz. O zaman:

${\displaystyle m_{p}^{2}\equiv c^{\frac {(p+1)}{2}}\equiv c\cdot c^{\frac {(p-1)}{2}}\equiv c\cdot \left({c \over p}\right){\pmod {p}},}$

${\displaystyle \left({c \over p}\right)}$ Legendre sembolüdür.

${\displaystyle c\equiv m^{2}{\pmod {pq}}}$'dan aşağıdaki gibi

${\displaystyle c\equiv m^{2}{\pmod {p}}}$ olarak hesaplanır.

Bu yüzden ${\displaystyle x}$, modül ${\displaystyle p}$'nin kuadratik kalanıdır. Buradan;

${\displaystyle \left({c \over p}\right)=1}$ ve

${\displaystyle m_{p}^{2}\equiv c{\pmod {p}}}$ elde edilir.

${\displaystyle p\equiv 3{\pmod {4}}}$ ilişkisi bir gereksinim değildir. Çünkü kare kökler in diğer asal sayılarla modülü de hesaplanabilir.

Rabin kare köklerin asal sayılarla modlarını bulmak için Berlekamp algoritmasının özel bir durumunu kullanmayı önerir.

Örnek olarak, ${\displaystyle p=7}$ ve ${\displaystyle q=11}$ olarak alalım, ardından ${\displaystyle n=77}$ olur (Elbette burada anahtarların seçimi kötüdür. 77'nin çarpanlarına ayrılması basittir gerçek örneklerde çok çok daha büyük sayılar kullanılır). Düz metnimiz olarak ${\displaystyle m=20}$ alalım. Şifreli metin bu şekilde

${\displaystyle c=m^{2}{\pmod {n}}=400{\pmod {77}}=15}$ olarak elde edilir.

Bizim basit örneğimizde ${\displaystyle P=\{0,\dots ,76\}}$ bizim düz metin uzayımızdır. Biz ${\displaystyle m=20}$'yi bizim düz metnimiz olarak alacağız. Bu yüzden şifreli metin, ${\displaystyle c=m^{2}\,{\pmod {n}}=400\,{\pmod {77}}=15}$'dir. Açıkça ${\displaystyle m}$'nin 4 farklı değeri ${\displaystyle m\in \{13,20,57,64\}}$ için, şifreli metin 15 üretilir. Bu Rabin algoritması tarafından üretilen çoğu şifreli metinler için geçerlidir.

Şifre çözme işlemi şu şekilde ilerler:

1. ${\displaystyle m_{p}=c^{{\frac {1}{4}}(p+1)}{\pmod {p}}=15^{2}{\pmod {7}}=1}$ ve ${\displaystyle m_{q}=c^{{\frac {1}{4}}(q+1)}{\pmod {q}}=15^{3}{\pmod {11}}=9}$ hesaplanır.
2. ${\displaystyle y_{p}=-3}$ ve ${\displaystyle y_{q}=2}$'yi hesaplamak için genişletilmiş Öklid algoritması kullanılır. ${\displaystyle y_{p}\cdot p+y_{q}\cdot q=(-3\cdot 7)+(2\cdot 11)=1}$ olduğunu doğrulayabiliriz.
3. Dört düz metin adayını hesaplayın:

   ${\displaystyle {\begin{aligned}r_{1}&=(-3\cdot 7\cdot 9+2\cdot 11\cdot 1){\pmod {77}}=64\\r_{2}&=77-64=13\\r_{3}&=(-3\cdot 7\cdot 9-2\cdot 11\cdot 1){\pmod {77}}=\mathbf {20} \\r_{4}&=77-20=57\end{aligned}}}$

ve ${\displaystyle r_{3}}$'in istenen düz metin olduğunu görüyoruz. Dört adayın hepsinin 15 mod 77'nin karekökleri olduğuna dikkat edin. Yani, her aday için ${\displaystyle r_{i}^{2}{\pmod {77}}=15}$, böylece her ${\displaystyle r_{i}}$ aynı değere (15) şifreler.

Eğer ${\displaystyle c}$ ve ${\displaystyle r}$ bilinirse düz metin ${\displaystyle m^{2}\equiv c{\pmod {r}}}$ ile ${\displaystyle m\in \{0,\dots ,n-1\}}$ olacaktır. ${\displaystyle r}$ bir kompozit sayıdır kompozit sayı asal olmayan herhangi bir pozitif sayıdan daha büyük pozitif sayı demektir. Eğer ${\displaystyle N>0}$ bir tam sayı ise ve ${\displaystyle N=a\times b}$ gibi ${\displaystyle 1<a,b<N}$ sayısı var ise o zaman ${\displaystyle N}$ kompozit sayı demektir (yani Rabin algoritmasının ${\displaystyle n=p\cdot q}$ formülüne benzer). ${\displaystyle m}$'yi bulmak için bilinen daha etkili bir metot yoktur. Eğer asal ise (Rabin algoritmasındaki ${\displaystyle p}$ ve ${\displaystyle q}$ gibi) Çin kalan teoremi ${\displaystyle m}$'nin çözümü için başvurulabilecek bir metottur. Bu yüzden kare kökler;

${\displaystyle m_{p}={\sqrt {c}}\,{\pmod {p}}}$ ve

${\displaystyle m_{q}={\sqrt {c}}\,{\pmod {q}}}$ hesaplanmış olmalıdır.

Bizim örneğimizde ${\displaystyle m_{p}=1}$ ve ${\displaystyle m_{q}=9}$ alalım, Genişletilmiş Öklid Algoritması uygulanarak biz ${\displaystyle y_{p}}$ ve ${\displaystyle y_{q}}$'yu bulmak isteyelim. ${\displaystyle y_{p}\cdot p+y_{q}\cdot q=1}$ ile bulunur. Bizim örneğimizde ${\displaystyle y_{p}=-3}$ ve ${\displaystyle y_{q}=2}$ bulunur.

Şimdi, Çin kalan teoremi yardımıyla, ${\displaystyle c+n\mathbb {Z} \in \mathbb {Z} /n\mathbb {Z} }$'nin dört karekökü ${\displaystyle +r}$, ${\displaystyle -r}$, ${\displaystyle +s}$ ve ${\displaystyle -s}$ şeklinde hesaplanır (burada ${\displaystyle \mathbb {Z} /n\mathbb {Z} }$, ${\displaystyle {\bmod {n}}}$ uyum sınıfları halkası [ring of congruence classes] anlamına gelir.) 4 kare kök ${\displaystyle \{0,\dots ,n-1\}}$ kümesi içindedir:

${\displaystyle {\begin{matrix}r&=&(y_{p}\cdot p\cdot m_{q}+y_{q}\cdot q\cdot m_{p})\,{\pmod {n}}\\-r&=&n-r\\s&=&(y_{p}\cdot p\cdot m_{q}-y_{q}\cdot q\cdot m_{p})\,{\pmod {n}}\\-s&=&n-s\end{matrix}}}$'dir.

Bu kare köklerin bir tanesi ${\displaystyle {\bmod {n}}}$ orijinal düz metin ${\displaystyle m}$'dir. Bizim örneğimizde ${\displaystyle m\in \{64,\mathbf {20} ,13,57\}}$'dir.

Rabin kendi makalesinde eğer bir kişi hem ${\displaystyle r}$ hem de ${\displaystyle s}$'yi hesaplayabilirse o zaman ${\displaystyle n}$'nin çarpanlarını da hesaplayabileceğini bize şöyle gösteriyor;

ya ${\displaystyle \gcd(|r-s|,n)=p}$ ya ${\displaystyle \gcd(|r-s|,n)=q}$, burada ${\displaystyle \gcd }$ (Greatest Common Divisor) yani en büyük ortak bölen (EBOB) anlamına gelir.

Çünkü eğer bir kişi ${\displaystyle r}$ ve ${\displaystyle s}$'yi biliyorsa, en büyük ortak bölen ${\displaystyle n}$'nin çarpanlarını bulmak için etkili bir hesaplama yöntemidir bizim örneğimizde (${\displaystyle 57}$ ve ${\displaystyle 13}$'ü ${\displaystyle r}$ ve ${\displaystyle s}$ olarak alalım):

${\displaystyle \gcd(57-13,77)=\gcd(44,77)=11=q}$ bulunur.

Rabin şifreleme sistemi, dijital imza'lar oluşturmak ve doğrulamak için kullanılabilir. İmza oluşturmak için ${\displaystyle (p,q)}$ özel anahtarı gerekir. Bir imzanın doğrulanması için ${\displaystyle n}$ ortak anahtarı gerekir.

Bir ${\displaystyle m<n}$ mesajı, bir özel anahtar ${\displaystyle (p,q)}$ ile aşağıdaki gibi imzalanabilir.

1. Rastgele bir ${\displaystyle u}$ değeri oluşturun.
2. ${\displaystyle c=H(m|u)}$'i hesaplamak için bir ${\displaystyle H}$ kriptografik özet fonksiyonunu kullanın, buradaki | notasyonu birleştirmeyi (İngilizce: concatenation) gösterir. ${\displaystyle c}$, ${\displaystyle n}$ değerinden küçük bir tam sayı olmalıdır.
3. ${\displaystyle c}$'yi Rabin tarafından şifrelenmiş bir değer olarak ele alın ve özel anahtarı ${\displaystyle (p,q)}$ kullanarak şifresini çözmeye çalışın. Bu, olağan şekilde dört ${\displaystyle r_{1},r_{2},r_{3},r_{4}}$ sonucunu üretecektir.
4. Her bir ${\displaystyle r_{i}}$ şifrelemenin ${\displaystyle c}$ üreteceği beklenebilir. Ancak, bu yalnızca ${\displaystyle c}$ bir kuadratik kalıntı mod ${\displaystyle p}$ ve ${\displaystyle q}$ olursa doğru olacaktır. Durumun böyle olup olmadığını belirlemek için, ilk şifre çözme sonucunu ${\displaystyle r_{1}}$ şifreleyin. ${\displaystyle c}$ olarak şifrelemezse, bu algoritmayı yeni bir rastgele ${\displaystyle u}$ ile tekrarlayın. Uygun bir ${\displaystyle c}$ bulmadan önce bu algoritmanın tekrarlanması gereken beklenen tekrar sayısı 4'tür.
5. ${\displaystyle c}$ olarak şifreleyen bir ${\displaystyle r_{1}}$ bulduktan sonra, imza ${\displaystyle (r_{1},u)}$ olur.

${\displaystyle m}$ mesajı için bir ${\displaystyle (r,u)}$ imzası, ${\displaystyle n}$ genel anahtarı kullanılarak aşağıdaki gibi doğrulanabilir.

1. ${\displaystyle c=H(m|u)}$'yi hesapla.
2. ${\displaystyle r}$'yi ${\displaystyle n}$ ortak/açık anahtarını kullanarak şifrele.
3. İmza, ancak ve ancak ${\displaystyle r}$ şifrelemesinin ${\displaystyle c}$'ye eşit olması durumunda geçerlidir.

Şifre çözme, doğru sonuca ek olarak üç yanlış sonuç üretir, böylece doğru sonucun tahmin edilmesi gerekir. Bu, Rabin şifreleme sisteminin en büyük dezavantajıdır ve yaygın pratik kullanım bulmasını engelleyen faktörlerden biridir.

Düz metnin bir metin mesajını temsil etmesi amaçlanıyorsa, tahmin etmek zor değildir; bununla birlikte, eğer düz metin sayısal bir değeri temsil etmeyi amaçlıyorsa, bu konu, bir tür belirsizliği giderme şemasıyla çözülmesi gereken bir problem haline gelir. Bu problemi ortadan kaldırmak için özel yapılara sahip düz metinler seçmek veya dolgu eklemek mümkündür. Tersine çevirmenin belirsizliğini ortadan kaldırmanın bir yolu Blum ve Williams tarafından önerilmiştir: kullanılan iki asal sayı, 3 modül 4 ile uyumlu asal sayılarla sınırlandırılmıştır ve kare alma alanı, ikinci dereceden kalıntılar kümesiyle sınırlandırılmıştır. Bu kısıtlamalar, kare alma fonksiyonunu bir tuzak kapı permütasyonuna dönüştürerek belirsizliği ortadan kaldırır.^[3]

Şifreleme için bir kare modül n hesaplanmalıdır. Bu, en az bir küpün hesaplanmasını gerektiren RSA'dan daha verimlidir.

Şifre çözme için, iki modüler üsle birlikte Çin kalan teoremi uygulanır. Burada verimlilik RSA ile karşılaştırılabilir.

Belirsizliği giderme, ek hesaplama maliyetleri getirir ve Rabin şifreleme sisteminin yaygın pratik kullanım bulmasını engelleyen şeydir.^{[kaynak belirtilmeli]}

Rabin ile şifrelenmiş bir değerin şifresini çözen herhangi bir algoritmanın ${\displaystyle n}$ modülünü çarpanlara ayırmak için kullanılabileceği kanıtlanmıştır. Bu nedenle, Rabin şifre çözme en az tam sayı çarpanlarına ayırma problemi kadar zordur, bu RSA için kanıtlanmamış bir şeydir. Genellikle çarpanlara ayırma için polinom-zaman algoritması olmadığına inanılır, bu da özel anahtar ${\displaystyle (p,q)}$ olmadan Rabin ile şifrelenmiş bir değerin şifresini çözmek için verimli bir algoritma olmadığı anlamına gelir.

Rabin şifreleme sistemi, şifreleme süreci deterministik olduğu için seçilen düz metin saldırılarına karşı ayırt edilemezlik sağlamaz. Bir şifreli metin ve bir aday mesaj verilen bir rakip, şifreli metnin aday mesajı kodlayıp kodlamadığını kolayca belirleyebilir (sadece aday mesajı şifrelemenin verilen şifreli metni verip vermediğini kontrol ederek).

Rabin şifreleme sistemi, seçilen bir şifreli metin saldırısına karşı güvensizdir (sorgulama mesajları, mesaj uzayından homojen bir biçimde rastgele seçilse bile).^[1]:150 Fazlalıklar, örneğin son 64 bitin tekrarı eklenerek, sistem tek bir kök üretmek için yapılmıştır. Bu, seçilen şifreli metin saldırısını engeller, çünkü şifre çözme algoritması yalnızca saldırganın zaten bildiği kökü üretir. Eğer bu teknik uygulanırsa, çarpanlara ayırma problemi ile denkliğin ispatı başarısız olur, bu yüzden bu varyantın güvenli olup olmadığı 2004 itibarıyla belirsizdir. Menezes, Oorschot ve Vanstone tarafından hazırlanan Handbook of Applied Cryptography,^[4] köklerin bulunması iki parçalı bir süreç olduğu sürece (1. ${\displaystyle {\bmod {p}}}$ ve ${\displaystyle {\bmod {q}}}$ kökleri ve 2. Çin kalan teoreminin uygulaması) bu eşdeğerliğin muhtemel olduğunu düşünmektedir.

• Kriptografi konuları
• Blum Blum Shub
• Shanks–Tonelli algoritması
• Schmidt-Samoa şifreleme sistemi
• Blum-Goldwasser şifreleme sistemi

• Buchmann, Johannes (2001), Einführung in die Kryptographie (Almanca) (2. bas.), Berlin: Springer, ISBN 3-540-41283-2 
• Rabin, Michael (Ocak 1979), Digitalized Signatures and Public-Key Functions as Intractable as Factorization (PDF), MIT Bilgisayar Bilimi Laboratuvarı, 12 Temmuz 2010 tarihinde kaynağından arşivlendi (PDF)14 Mart 2020 
• Scott Lindhurst (Ağustos 1999), R. Gupta & K. S. Williams (Ed.), "An analysis of Shank's algorithm for computing square roots in finite fields", CRM Proc. & Lec. Notes, AMS, 19 KB1 bakım: Editörler parametresini kullanan (link)
• R. Kumanduri; C. Romero (1997), Alg 9.2.9"İkinci dereceden bir kalan modülasının kare kökü için bir olasılık", Number Theory w/ Computer Applications, Prentice Hall 

• Alfred J. Menezes; Paul C. van Oorschot; Scott A. Vanstone (Ağustos 2001) [1996], "Bölüm 8", Handbook of Applied Cryptography (PDF) (5. bas.), CRC Press, ISBN 0-8493-8523-7, 3 Şubat 2021 tarihinde kaynağından arşivlendi14 Mart 2020