Sistema de cifragem de Merkle-Hellman

Consideremos uma mensagem M representada na forma bin´aria por M = x1x2. . . xn, em

que xj ∈ {0, 1} e 1 ≤ j ≤ n. A ideia consiste em usar um conjunto p´ublico de “pesos”

CP = (c1, c2, . . . , cn) gerados pelo Pedro. Com este conjunto podemos cifrar a mensagem

M calculando m = n X j1 xjcj.

A mensagem cifrada m ´e a mensagem a transmitir ao Pedro.

Se a mensagem m for intersectada pelo Jo˜ao, para recuperar a mensagem original M , este ter´a que resolver o problema geral da soma de subconjuntos, um problema aparente- mente intrat´avel!

Por´em, se o Jo˜ao tem de resolver o problema da soma de subconjuntos, tamb´em o Pedro o ter´a de resolver ao receber a mensagem m! Isto torna o esquema impratic´avel a menos que o Pedro possua um poder de c´alculo muito superior ao normal, o que n˜ao ´

e aceit´avel pois este esquema deveria permitir ao Pedro, o leg´ıtimo destinat´ario, decifrar facilmente a mensagem m. Existem alguns tipos de problemas de soma de subconjuntos que s˜ao f´aceis de resolver e que v˜ao servir de “al¸cap˜ao” para o nosso esquema.

Conjuntos supercrescentes: Se cj = 2j−1 em que 1 ≤ j ≤ n, ent˜ao

m =

n

X

j=1

xj2j−1,

em que os xj representam os d´ıgitos bin´arios de m. De uma forma mais geral, um conjunto

(ci)i=1,...,n diz-se supercrescente se

cj > j−1

X

i=1

ci, 2 ≤ j ≤ n. (1.23)

Exemplo 1.3.1 O conjunto (2, 3, 7, 15, 31, 63, 127, 235) ´e um conjunto supercrescente. Neste caso, o problema da soma de subconjuntos ´e f´acil de resolver. Observe que xn = 1 se, e s´o se m > n−1 X j=1 cj,

e que xn= 0 caso contr´ario. Uma vez determinado xn∈ {0, 1}, o problema fica reduzido

a determinar x1, x2, . . . , xn−1 tal que

m − xncn= n−1

X

j=1

xjcj, em que xj ∈ {0, 1}, e 1 ≤ j ≤ n − 1.

Isto permite calcular recursivamente M = x1x2. . . xn. O uso de um n–uplo ordenado

supercrescente (c1, c2, . . . , cn) permitiria ao Pedro recuperar a mensagem original a partir

de m, mas tamb´em o possibilitaria igualmente a terceiros.

O sistema de cifragem Merkle-Hellman combina estes dois tipos de conjuntos, geral e supercrescente, para obter um criptossistema de chave p´ublica. Come¸camos por gerar um conjunto supercrescente D = (d1, d2, . . . , dn) que ´e f´acil de resolver. Dissimulamos o con-

junto D num conjunto geral C = (c1, c2, . . . , cn), preservando a estrutura de D, de modo

que os “pesos” p´ublicos c1, . . . , cn escondam essa estrutura. Contudo, devemos conseguir

inverter o processo para resolver apenas o problema de subconjuntos supercrescentes. A transforma¸c˜ao usada por Merkle para dissimular o conjunto D ´e uma multiplica¸c˜ao modular.

Gera¸c˜ao das chaves p´ublica e privada : Suponhamos que o Pedro pretende receber mensagens cifradas com o sistema de cifragem de Merkle-Hellman. Vamos primeiro gerar as chaves p´ublica e privada.

• Come¸camos por gerar um n–uplo ordenado supercrescente DP = (d1, d2, . . . , dn), em

que se verifica: d1 ≈ 2n+1; dj > j−1 X i=1 dj, para 2 ≤ j ≤ n; dn≈ 22n. (1.24)

(Discutiremos adiante a escolha do conjunto supercrescente) • Escolhemos aleatoriamente dois inteiros positivos N e W tais que:

2 · n X j=1 dj > N > n X j=1 dj, e (N, W ) = 1. • Calculamos c0_j ≡ dj· W (mod N ). (1.25)

Visto que (N, W ) = 1 e N > dj, os valores c0j nunca se anulam, para todo o j entre 1

e n. De facto, suponhamos que existe um j para o qual c0_j = 0. Ent˜ao N | dj · W . Como

(N, W ) = 1, pela proposi¸c˜ao 1.2.1 obtemos que N | dj. Isto contradiz o facto de N > dj.

Podemos concluir que cada c0_j est´a estritamente entre 0 e N .

Talvez alguma informa¸c˜ao seja facultada caso seja conhecido que o “peso” p´ublico c0_j foi calculado a partir do “peso” privado dj. Isto pode ser remediado permutando os

elementos do conjunto C.

• Escolhemos uma permuta¸c˜ao π no conjunto de ´ındices {1,. . . ,n} e definimos

cj = c0π(j), 1 ≤ j ≤ n. (1.26)

O conjunto CP = (c1, c2, . . . , cn) ´e a chave p´ublica do Pedro, enquanto que a chave

privada consiste do conjunto DP = (d1, . . . , dn), dos parˆametros N e W e da permuta¸c˜ao

π. Os parˆametros (DP, N, W, π) devem ser mantidos secretos (a chave privada).

Cifragem: Seja agora M a mensagem num´erica, ou parte da mensagem num´erica a ser cifrada para enviar ao Pedro.

(i) Consideremos M = x1x2. . . xn representado na base bin´aria cujo comprimento deve

ser igual ao n´umero de elementos do conjunto DP.

(ii) Calculamos: m = n X j=1 xjcj.

Podemos enviar ao Pedro a mensagem cifrada m atrav´es de um canal p´ublico. Mesmo que a mensagem cifrada m seja interceptada, aparentemente n˜ao seria poss´ıvel decifra-la sem conhecer (DP, N, W, π), a chave privada do Pedro.

Decifragem: Para recuperar a mensagem original M a partir da mensagem cifrada m, o Pedro vai come¸car por calcular

y ≡ m · W−1 (mod N ), onde W−1 denota o inverso de W m´odulo N .

Observe que pelas equa¸c˜oes 1.25 e 1.26, temos que y ≡ m · W−1 ≡ n X j=1 xj · cj · W−1 ≡ n X j=1 xj · c0π(j) · W −1 _≡ n X j=1 xj · dπ(j) (mod N ).

Uma vez que N foi escolhido satisfazendo a condi¸c˜ao N >

n X j=1 dj, temos for¸cosamente y = n X j=1 xj · dπ(j). (1.27)

Para finalizar o processo de decifragem:

• Resolvemos o problema da soma de subconjuntos 1.27 cuja solu¸c˜ao (x0₁, . . . , x0_n) ´e f´acil calcular visto que DP = (d1, d2, . . . , dn) ´e um conjunto supercrescente.

• Como na equa¸c˜ao 1.27 o d´ıgito xj ´e multiplicado pelo “peso” dπ(j), aplicamos a

permuta¸c˜ao π a (x0₁, . . . , x0_n) para restaurar a posi¸c˜ao original dos d´ıgitos bin´arios de M .

O Pedro ´e a ´unica pessoa que conhece a sua chave privada (DP, N, W, π), portanto s´o

ele consegue restaurar a mensagem M .

Exemplo 1.3.2 Vamos primeiramente gerar a chave privada e p´ublica de cifragem. Es- colhemos um conjunto supercrescente de 8 elementos que verifica as condi¸c˜oes 1.24:

D = (2, 3, 7, 15, 31, 63, 127, 235).

A soma de todos os elementos de D ´e 483. Escolhemos N = 500 > 483 e o n´umero inteiro W = 23 primo com N .

Calculamos c0₁ = 46 ≡ 2 · 23 (mod 500). Efectuando o mesmo c´alculo para os outros elementos do conjunto D obtemos

C0 = (46, 69, 161, 213, 345, 405, 421, 449).

Constru´ımos o conjunto C aplicando aos elementos de C0a permuta¸c˜ao π = (2 1 5 4 6 8 7 3), C = (69, 161, 421, 345, 46, 213, 449, 405).

A chave p´ublica consiste do conjunto C = (69, 161, 421, 345, 46, 213, 449, 405) e a chave privada consiste de D = (2, 3, 7, 15, 31, 63, 127, 235), N = 500, W = 23, π = (2 1 5 4 6 8 7 3).

Suponhamos que algu´em pretende cifrar a mensagem: ‘‘knapsack’’.

O computador converte todas as letras em n´umeros. Recorrendo ao padr˜ao ASCII, a mensagem ´e dada na base bin´aria pela seguinte sequˆencia de conjuntos de 8 bits:

M = (01101011, 01101110, 01100001, 01110000, 01110011, 01100001, 01100011, 01101011). Note-se que o conjunto p´ublico C tem 8 elementos, tanto quanto os bits de uma letra. Para cifrar a primeira letra da mensagem, calculamos

8

X

i=1

xici = 161 + 421 + 46 + 449 + 405 = 1482.

Repetindo o c´alculo anterior para os 7 blocos restantes, obtemos a mensagem cifrada: m = 1482, 1290, 987, 927, 1781, 987, 1436, 1482.

Quem interceptar esta mensagem ter´a de resolver o problema geral da soma de subcon- junto para reaver a mensagem original. ´E claro que este caso ´e f´acil pois ter´ıamos de, apenas, testar 28 _somas.

O inverso de W m´odulo N ´e U = 87 pois 87 × 23 ≡ 1 (mod 500). Para decifrar o bloco m1, calculamos 1482 · 87 ≡ 434 (mod 500). Resolvemos o problema da soma de subcon-

juntos supercrescente, que ´e f´acil de solucionar conhecendo o conjunto D, constituinte da chave privada. Um subconjunto de D = (2, 3, 7, 15, 31, 63, 127, 235), com soma dos seus elementos 434, ´e 2 + 7 + 63 + 127 + 235 = 434, ou seja, M₁0 = 10100111. Finalmente, para restaurar a ordem dos d´ıgitos aplicamos a permuta¸c˜ao π = (2 1 5 4 6 8 7 3) aos elementos de M₁0 para obter: M1 = 01101011.

Podemos recuperar a mensagem inteira aplicando o c´alculo anterior aos restantes blo- cos.