Идеальная решётка

Идеальная решётка — определённая математическая структура, которая используется для уменьшения числа параметров, необходимых для описания решёток (представляющих собой свободные коммутативные группы конечного ранга). Данный вид решёток часто встречается во многих областях математики, в частности, в разделе теории чисел. Таким образом идеальные решётки более эффективны в применении, чем другие решётки, применяющихся в криптографии. Идеальные решётки используются в криптографических системах с открытым ключом NTRUEncrypt и NTRUSign для построения эффективных криптографических примитивов. Также идеальные решётки составляют фундаментальную основу квантовой криптографии, которая защищает от атак, связанных с квантовыми компьютерами.

Введение

Схемы RSA и ECC, основанные либо на сложности факторизации, либо на сложности проблемы дискретного логарифма, являются самыми популярными асимметричными криптосистемами, которые для шифрования информации и её последующего расшифровывания используют различные ключи. Несмотря на преобладание схем RSA и ECC, они, как известно, подвержены атакам с использованием квантовых компьютеров[1]. Кроме того, RSA и ECC довольно неэффективны на очень небольших и ограниченных устройствах, таких как 8-битные микроконтроллеры AVR, использующиеся по сей день в различных областях, таких как робототехника, энергетика, спутниковые системы связи и многие другие. Возможной альтернативой упомянутых схем являются асимметричные криптосистемы, основанные на жёстких задачах в идеальных решётках[2]. Специальная алгебраическая структура идеальных решёток позволяет значительно уменьшить размеры ключа и шифротекста, обеспечивая при этом эффективную арифметику с использованием теоретико-числового преобразования. Таким образом благодаря использованию идеальных решёток повышается степень защиты зашифрованной информации[3].

Базовые понятия

Решётка для двух разных норм квадратичной формы

Теория решёток может быть описана с помощью линейной алгебры. Решётка обычно рассматривается как любая равномерно распределённая сетка точек в n-мерном реальном линейном пространстве со всеми координатами, являющимися целыми числами. Это множество образует группу при сложении по координатам и является дискретным, что означает, что для каждой точки в множестве есть открытый шар вокруг неё, который не содержит никакой другой точки множества, таким образом решёткой называется множество всех целочисленных линейных комбинаций заданного набора линейно независимых точек в . Решётки — являются группами, а идеальные решётки идеалами[4].

Двумерная решётка с двумя базисами

В частности, идеальные решётки соответствуют кольцам вида для некоторого неприводимого многочлена степени [5]. Основная операция в идеальной решёточной криптографии — полиномиальное умножение.

Математическое определение идеальной решётки

Идеальная решётка — это целочисленная решётка такая, что для некоторого заданного базиса такого, что и для некоторого приведённого многочлена степени существует идеал

Ограничения, накладываемые на :

  •  — должен быть неприводимым
  • норма кольца не должна быть больше, чем норма для любого многочлена
Лемма

Если является нормированным неприводимым целочисленным многочленом степени , то любой идеал есть изоморфная решётка полного ранга в ,то есть базис состоит из линейно независимых векторов, координаты которых и являются коэффициентам многочлена степени

Алгоритм идентификации идеальных решёток с базисами полного ранга

Алгоритм идентификации идеальных решёток с базисами полного

Пусть задан базис
Условие: если охватывает идеальную решётку относительно параметра , тогда правда, иначе ложь

  1. привести к эрмитовой форме
  2. , то есть  — присоединённая матрица,  — детерминант и
  3. если все столбцы кроме последнего нулевые тогда
  4. положить в ненулевой столбец (а именно, последний столбец )
  5. иначе вернуть ложь
  6. если , то есть множество элементов z, удовлетворяющих для всех тогда
  7. применить китайскую теорему об остатках для нахождения и
  8. иначе вернуть ложь
  9. если тогда
  10. вернуть правду,
  11. иначе вернуть ложь

Дополнение: матрица принимает вид

Пример использования алгоритма идентификации идеальных решёток с базисами полного ранга

Используя данный алгоритм[6], можно убедиться в том, что немногие решётки являются идеальными решётками[6].
Рассмотрим пример: Пусть и , тогда

является идеальной, в отличие от


с пример, придуманным Любашевским В. и Миссиансио Д.[7]

Для использования данного алгоритма, матрица обязана являться эрмитовой нормальной формой, таким образом первый шаг алгоритма обязателен к выполнению. Детерминант равен, а присоединённая матрица

и наконец, произведение матриц есть

На этом этапе алгоритм останавливается, потому что все столбцы кроме последнего, должны быть равны нулю, если является идеальной решёткой.

Распространённые задачи теории решёток

  • поиск кратчайшего вектора — поиск кратчайшего ненулевого вектора, по представленной произвольными базисными векторами решётке. В действительности, обычно рассматривается приближённый вариант задачи поиска кратчайшего вектора, целью которой — получение вектора в решётке, длина которого не превосходит длину кратчайшего ненулевого вектора в μ(n)-раз, где μ(n)- коэффициент приближения, а - размерность решётки.[8]
  • поиск ближайшего вектора — обобщение задачи поиска кратчайшего вектора[9]
  • поиск кратчайших независимых векторов[10].

Применение идеальных решёток

Хэш-функции, устойчивые к коллизиям

Устойчивая к коллизиям хеш-функция — это функция заданная отображением так, что мощность множества (области некоторого числового пространства) больше мощности множества , , тем самым затрудняя нахождение коллизии, то есть пару . Таким образом, по случайно выбранному ни один злоумышленник не сможет эффективно (за разумное время) найти коллизии в , даже несмотря на тот факт, что коллизии присутствуют[11]. Основное использование идеальных решёток в криптографии связано с тем, что достаточно эффективные и практичные коллизионные хэш-функции могут быть построены на основе твёрдости нахождения приближённого кратчайшего вектора в таких решётках[5]. Группы учёных, изучающие идеальные криптографические решётки, исследовали коллизионные устойчивые хэш-функции, построенные на основе идеальных решёток, а именно Пейкрет К. и Розен С.[12]. Эти результаты проложили путь для других эффективных криптографических конструкций, включая схемы идентификации и подписи.

Лобашевский В. и Миссиансио Д.[7] предложили конструкции эффективных и устойчивых к коллизиям хэш-функций, которые могут быть доказаны на основе наихудшей жёсткости задачи о кратчайшем векторе для идеальных решёток. Тем самым были определены рассматриваемые семейства хэш-функции для элементов:

, где есть выборка случайных элементов из , .

В данном случае размер ключа, то есть хэш-функции определяется как [13], используя алгоритм быстрого преобразования Фурье, для подходящего , операция может быть выполнена за время . Поскольку есть константой, то для хеширования требуется конечное время .

Цифровые подписи

Схемы цифровых подписей относятся к числу наиболее важных криптографических примитивов. Они могут быть получены с помощью односторонних функций, основанных на наихудшей жёсткости решёточных задач, однако являются непрактичными. С момента использования проблемы обучения с ошибками в криптографическом контексте был разработан ряд новых схем цифровой подписи, основанных на обучении с ошибками и кольцевом обучении с ошибками.[14]

Прямое построение цифровых подписей основано на сложности аппроксимации кратчайшего вектора в идеальных решётках.[15] Схема Любашёвского В. и Миссиансио Д.[15], основанная на идеальных решётках, имеет гарантии безопасности даже в худшем случае и является наиболее асимптотически эффективной конструкцией, известной на сегодняшний день, также позволяющей генерировать сигнатуры и проверять алгоритмы, работающие за почти линейное время[16].

Одна из главных открытых проблем, которые были подняты в описанных выше работах, заключается в создании одноразовой подписи с аналогичной эффективностью, но основанной на более слабом допущении твёрдости. Например, было бы здорово обеспечить однократную подпись с защитой, основанную на сложности аппроксимации задачи кротчайшего вектора (SVP) (в идеальных решётках) с точностью до .[17]

Построение таких цифровых подписей основано на стандартном преобразовании одноразовых подписей (то есть подписей, которые позволяют надёжно подписывать одно сообщение) в общие схемы подписи вместе с новой конструкцией одноразовой подписи на основе решётки, безопасность которой, в конечном счёте, основана на наихудшей жёсткости аппроксимации кратчайшего вектора во всех решётках, соответствующий идеалам в кольце для любого неприводимого многочлена [16].

Хэш-функция SWIFT

Хэш-функция достаточно эффективна и может быть вычислена асимптотически за время с использованием быстрого преобразования Фурье по комплексным числам. Однако на практике это несёт значительные накладные расходы. Набор криптографических хеш-функций с доказанной стойкостью SWIFFT, определённый Миссиансио Д. и Регевом[16], по сути, высоко оптимизированный вариант хэш-функции, описанной выше с использованием быстрого преобразования Фурье в . Вектор f определён в для равного степени 2, так что соответствующий полином является неприводимым многочленом. Обнаружение коллизий функций SWIFFT равносильно нахождению коллизиций в базовой функции идеальной решётки. Заявленное свойство коллизий SWIFFT[18] поддерживается при наихудшем случае в задачах на идеальных решётках.

Алгоритм хэш-функции SWIFFT :

  • Параметры: Натуральные числа такие, что степень двойки, простое, и .
  • Ключ: векторы выбраны независимо и случайным образом в .
  • Вход: вектора .
  • Выход: вектор , где  — компонентное векторное произведение, а  — обратимой матрицей над

См. также

Примечания

  1. Shah, Agam Quantum computing breakthrough claim from IBM. Дата обращения: 1 июня 2015.
  2. Nicolas Gama, Phong Q. Nguyen Lattice-Based Identification Schemes Secure Under Active Attacks. Predicting Lattice Reduction, 1995.
  3. Daniele Micciancio,Oded Regev Lattice-based Cryptography, 2008.
  4. Vadim Lyubashevsky, Chris Peikert,Oded Regev On Ideal Lattices and Learning with Errors Over Rings, 2013.
  5. Vadim Lyubashevsky. Lattice-Based Identification Schemes Secure Under Active Attacks. In Proceedings of the Practice and theory in public key cryptography , 11th international conference on Public key cryptography, 2008.
  6. Jintai Ding and Richard Lindner. Identifying Ideal Lattices. In Cryptology ePrint Archive, Report 2007/322, 2007.
  7. Lyubashevsky, V., Micciancio, D. Generalized compact knapsacks are collision resistant.. In CBugliesi, M., Preneel, B., Sassone, V., Wegener, I. (eds.) ICALP 2006. LNCS, vol. 4052, pp. 144—155. Springer, Heidelberg (2006).
  8. Lenstra A., Lenstra H., Lovasz L. Factoring polynomials with rational coefficients, 1982.
  9. V.Lyubashevsky, Daniele Micciancio Generalized compact knapsacks are collision resistant. In International colloquium on automata, languages and programming, 2008.
  10. Complexity of lattice problems: a cryptographic perspective. The Kluwer international series in engineering and computer science, <http://cseweb.ucsd.edu/~daniele/papers/book.bib>
  11. O. Goldreich, S. Goldwasser, S. Halevi. Collision-Free Hashing from Lattice Problems, 1996.
  12. Vadim Lyubashevsky, Chris Peikert and Oded Regev. On Ideal Lattices and Learning with Errors over Rings (недоступная ссылка). In Eurocrypt 2010, Lecture Notes in Computer Science, 2010.
  13. Mikl´os Ajtai Representing Hard Lattices with O(n log n) Bits, 2005.
  14. Lyubashevsky, Vadim; Peikert, Chris; Regev, Oded. On ideal lattices and learning with errors over rings (англ.) // In Proc. Of EUROCRYPT, Volume 6110 of LNCS : journal. — 2010. P. 1—23.
  15. Vadim Lyubashevsky and Daniele Micciancio. Asymptotically efficient lattice-based digital signatures. In Proceedings of the 5th conference on Theory of cryptography, 2008.
  16. Daniele Micciancio, Oded Regev Lattice-based Cryptography. In POST-QUANTUM CRYPTOGRAPHY, 2009.
  17. Vadim Lyubashevsky, Daniele Micciancio. Asymptotically efficient lattice-based digital signatures. In Proceedings of the 5th conference on Theory of cryptography, 2008.
  18. Vadim Lyubashevsky, Daniele Micciancio, Chris Peikert,Alon Rosen [https://link.springer.com/chapter/10.1007%2F978-3-540-71039-4_4: A Modest Proposal for FFT Hashing, 2008.

Литература

Ссылки

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.