C519etukansi.fm Page 1 Wednesday, February 11, 2015 11:15 AM C 519 OULU 2015 C 519 UNIVERSITY OF OULU P.O. Box 8000 FI-90014 UNIVERSITY OF OULU FINLAND ACTA UNIVERSITATISUNIVERSITATIS OULUENSISOULUENSIS ACTA UNIVERSITATIS OULUENSIS ACTAACTA TECHNICATECHNICACC Juha Partala Juha Partala Professor Esa Hohtola ALGEBRAIC METHODS University Lecturer Santeri Palviainen FOR CRYPTOGRAPHIC Postdoctoral research fellow Sanna Taskila KEY EXCHANGE Professor Olli Vuolteenaho University Lecturer Veli-Matti Ulvinen Director Sinikka Eskelinen Professor Jari Juga University Lecturer Anu Soikkeli Professor Olli Vuolteenaho UNIVERSITY OF OULU GRADUATE SCHOOL; UNIVERSITY OF OULU, FACULTY OF INFORMATION TECHNOLOGY AND ELECTRICAL ENGINEERING, Publications Editor Kirsti Nurkkala DEPARTMENT OF COMPUTER SCIENCE AND ENGINEERING; INFOTECH OULU ISBN 978-952-62-0743-8 (Paperback) ISBN 978-952-62-0744-5 (PDF) ISSN 0355-3213 (Print) ISSN 1796-2226 (Online) ACTA UNIVERSITATIS OULUENSIS C Technica 519 JUHA PARTALA ALGEBRAIC METHODS FOR CRYPTOGRAPHIC KEY EXCHANGE Academic dissertation to be presented with the assent of the Doctoral Training Committee of Technology and Natural Sciences of the University of Oulu for public defence in Auditorium IT116, Linnanmaa, on 13 March 2015, at 12 noon UNIVERSITY OF OULU, OULU 2015 Copyright © 2015 Acta Univ. Oul. C 519, 2015 Supervised by Professor Tapio Seppänen Reviewed by Professor Aleš Drápal Professor Danilo Gligoroski Opponent Professor Valtteri Niemi ISBN 978-952-62-0743-8 (Paperback) ISBN 978-952-62-0744-5 (PDF) ISSN 0355-3213 (Printed) ISSN 1796-2226 (Online) Cover Design Raimo Ahonen JUVENES PRINT TAMPERE 2015 Partala, Juha, Algebraic methods for cryptographic key exchange. University of Oulu Graduate School; University of Oulu, Faculty of Information Technology and Electrical Engineering, Department of Computer Science and Engineering; Infotech Oulu Acta Univ. Oul. C 519, 2015 University of Oulu, P.O. Box 8000, FI-90014 University of Oulu, Finland Abstract Cryptographic key exchange is an integral part of modern cryptography. Such schemes allow two parties to derive a common secret key over a public channel without a priori shared information. One of the most successful key agreement schemes is the one suggested by Diffie and Hellman in their seminal work on public key cryptography. In this thesis, we give an algebraic generalization of the Diffie-Hellman scheme called AGDH utilizing its implicit algebraic properties. The generalization is based on the problem of computing homomorphic images from an algebra to another. Appropriately, we call this problem the homomorphic image problem (HIP). We also devise an authenticated key exchange protocol that is secure in the Canetti-Krawczyk model assuming the infeasibility of the decision HIP (DHIP). For the secure instantiation of the scheme, we consider symmetric encryption schemes that are homomorphic over an algebraic operation. We derive a condition for the encryption scheme to be homomorphic key agreement capable. We show that whenever this condition is satisfied, the induced DHIP is computationally infeasible based on the security of the encryption scheme. To show that there are such schemes, we give a description of one such that the infeasibility of the DHIP follows from a weaker version of the McEliece generator matrix pseudorandomness assumption and the learning parity with noise (LPN) problem. We also study algebraic methods for generating suitable structures for the devised scheme. Since the platform structure requires a large set of homomorphisms, we consider classes of algebras for which this is the case. In particular, we concentrate on a class of algebras satisfying the left distributivity (LD) property. We formulate a non-associative generalization of the conjugacy search problem (CSP) called partial CSP (PCSP) for left conjugacy closed left quasigroups. We show that the feasibility of the HIP on LD left quasigroups depends on the PCSP. Application of this problem leads to a non-associative variant of the Anshel-Anshel-Goldfeld key agreement scheme. We also formulate different versions of the PCSP and show several relative hardness results related to them. Finally, we study more closely the PCSP for a class of conjugacy closed loops of order p2, where p is a prime. We show that the hardness of the PCSP depends on the number of generators for the conjugator and on that of conjugacy equation pairs. Based on the weakest variant of the PCSP, we devise a symmetric blind decryption scheme on these loops and show that it satisfies perfect secrecy against passive adversaries. Keywords: computer science, cryptography, encryption, information security, non- associative, universal algebra Partala, Juha, Algebrallisia menetelmiä kryptografiseen avaintenvaihtoon. Oulun yliopiston tutkijakoulu; Oulun yliopisto, Tieto- ja sähkötekniikan tiedekunta, Tietotekniikan osasto; Infotech Oulu Acta Univ. Oul. C 519, 2015 Oulun yliopisto, PL 8000, 90014 Oulun yliopisto Tiivistelmä Kryptografiset avaintenvaihtomenetelmät ovat eräs modernin kryptografian tärkeimmistä osista. Näiden menetelmien avulla pystytään sopimaan ilman aiempaa tiedonvaihtoa yhteisestä salaises- ta avaimesta käyttämällä julkista kanavaa. Diffie-Hellman -avaintenvaihto on yksi parhaiten tun- netuista ja eniten käytetyistä menetelmistä. Tässä työssä tarkastellaan kyseisen menetelmän yleistämistä perustuen sen algebrallisiin ominaisuuksiin. Johdettu yleistys perustuu vaikeuteen löytää annetun alkion homomorfinen kuva, jota työssä kutsutaan homomorfisen kuvan ongel- maksi (HIP). Lisäksi suunnitellaan autentikoitu avaintenvaihtoprotokolla, joka on turvallinen Canetti-Krawczyk -mallissa olettaen että homomorfisen kuvan ongelman päätösversio (DHIP) on laskennallisesti vaikea. Menetelmän turvallista toteuttamista varten tarkastellaan symmetrisen avaimen salausmene- telmiä, jotka ovat homomorfisia joidenkin algebrallisten operaatioiden yli. Työssä johdetaan symmetrisen avaimen salainten ominaisuus, kyvykkyys homomorfiseen avaintenvaihtoon, joka takaa että aikaansaatu DHIP on laskennallisesti vaikea. Lisäksi rakennetaan symmetrinen mene- telmä, joka toteuttaa kyseisen ehdon. Menetelmän turvallisuus perustuu tavallista heikompaan oletukseen McEliece-generaattorimatriisin pseudosatunnaisuudesta sekä pariteetin oppimison- gelman häiriölliseen versioon (LPN). Työssä tarkastellaan lisäksi menetelmiä soveltuvien algebrallisten rakenteiden generointiin. Koska menetelmä vaatii suuren joukon homomorfismeja, tarkastellaan rakenteita, joille tämä ehto pätee. Erityisesti keskitytään ns. vasemmalta distributiivisiin (LD) rakenteisiin. Työssä määritellään epäassosiatiivinen yleistys konjugointiongelman hakuversiolle (CSP) konjugoinnin suhteen suljettuille vasemmille kvasiryhmille. Tätä yleistystä kutsutaan osittaiseksi CSP:ksi (PCSP). Työssä osoitetaan, että vasemmalta distributiivisissa vasemmissa kvasiryhmissä homo- morfisen kuvan ongelman vaikeus liittyy läheisesti PCSP:hen. Lisäksi tätä ongelmaa sovelle- taan määrittämään epäassosiatiivinen variantti Anshel-Anshel-Goldfeld -avaintenvaihtomenetel- mästä. Lisäksi tarkastellaan PCSP:n erilaisia versioita ja niiden suhteellista laskennallista komp- leksisuutta. PCSP:tä tarkastellaan tarkemmin konjugoinnin suhteen suljetuissa luupeissa, joiden kertaluku on p2, missä p on alkuluku. Työssä osoitetaan, että PCSP:n vaikeus riippuu konjugoi- jan generaattoreiden sekä konjugaatioyhtälöiden lukumäärästä. Käyttämällä hyväksi näitä tulok- sia ja erityisesti PCSP:n helpointa versiota, laaditaan symmetrisen avaimen salausmenetelmä, joka tukee ns. sokeaa salauksenpurkua. Lisäksi osoitetaan, että menetelmä takaa täydellisen salassapidon passiivisia hyökkäyksiä vastaan. Asiasanat: epäassosiatiivisuus, kryptografia, salaus, tietojenkäsittelytieteet, tietoturva, universaali algebra Acknowledgements This work was carried out at the Department of Computer Science and Engineering, University of Oulu, Finland. First of all, I would like to express my sincerest thanks to my supervisor, Professor Tapio Seppänen. I am very grateful to Professor Seppänen for enabling me to work on my research topic. I am also very grateful for the encouragement he has given me throughout this work. I wish to also thank Dr. Juha Kortelainen for the valuable comments and suggestions regarding my work, as well as for all the discussions regarding cryptology. I would also like to thank Professor Markku Niemenmaa for introducing me to non-associative structures and their possible application to cryptography. I would also like to thank the official reviewers, Professor Danilo Gligoroski and Professor Aleš Drápal for their valuable comments and suggestions regarding my thesis. I wish to also thank all of my colleagues (and former colleagues) from the Biosignal Processing team. Thank you for the inspiring and positive work environment, as well as for all the coffee breaks we have had together. For the financial support, I am very grateful to Infotech Oulu Graduate School, Finnish Foundation of Technology Promotion, Nokia Foundation, Tauno Tönning Foundation, Walter Ahsltröm Foundation and The Finnish Foundation for Economic and Technology Sciences – KAUTE. I am very grateful to my parents and sisters for all their encouragement and support during the years. I am also grateful to my friends for the escape from research occasionally. Finally, I address my special gratitude to those that are dearest to me: my family. Thank you Sanna, Aava and Hilla for home. Juha Partala Oulu, 2014 7 8 Abbreviations N the set of natural numbers