Идеальная решётка

Идеальная решётка — определённая математическая структура, которая используется для уменьшения числа параметров, необходимых для описания решёток (представляющих собой свободные коммутативные группы конечного ранга). Данный вид решёток часто встречается во многих областях математики, в частности, в разделе теории чисел. Таким образом идеальные решётки более эффективны в применении, чем другие решётки, применяющихся в криптографии. Идеальные решётки используются в криптографических системах с открытым ключом NTRUEncrypt и NTRUSign для построения эффективных криптографических примитивов. Также идеальные решётки составляют фундаментальную основу квантовой криптографии, которая защищает от атак, связанных с квантовыми компьютерами.

Схемы RSA и ECC, основанные либо на сложности факторизации, либо на сложности проблемы дискретного логарифма, являются самыми популярными асимметричными криптосистемами, которые для шифрования информации и её последующего расшифровывания используют различные ключи. Несмотря на преобладание схем RSA и ECC, они, как известно, подвержены атакам с использованием квантовых компьютеров^[1]. Кроме того, RSA и ECC довольно неэффективны на очень небольших и ограниченных устройствах, таких как 8-битные микроконтроллеры AVR, использующиеся по сей день в различных областях, таких как робототехника, энергетика, спутниковые системы связи и многие другие. Возможной альтернативой упомянутых схем являются асимметричные криптосистемы, основанные на жёстких задачах в идеальных решётках^[2]. Специальная алгебраическая структура идеальных решёток позволяет значительно уменьшить размеры ключа и шифротекста, обеспечивая при этом эффективную арифметику с использованием теоретико-числового преобразования. Таким образом благодаря использованию идеальных решёток повышается степень защиты зашифрованной информации^[3].

Теория решёток может быть описана с помощью линейной алгебры. Решётка обычно рассматривается как любая равномерно распределённая сетка точек в n-мерном реальном линейном пространстве ${\displaystyle R^n}$ со всеми координатами, являющимися целыми числами. Это множество образует группу при сложении по координатам и является дискретным, что означает, что для каждой точки в множестве есть открытый шар вокруг неё, который не содержит никакой другой точки множества, таким образом решёткой называется множество всех целочисленных линейных комбинаций заданного набора линейно независимых точек в ${\displaystyle Z^n}$. Решётки — являются группами, а идеальные решётки идеалами^[4].

В частности, идеальные решётки соответствуют кольцам вида ${\displaystyle \mathbb{Z}[x]/⟨f⟩}$ для некоторого неприводимого многочлена ${\displaystyle f}$ степени ${\displaystyle n}$^[5]. Основная операция в идеальной решёточной криптографии — полиномиальное умножение.

Идеальная решётка — это целочисленная решётка ${\displaystyle ℒ(I)\subseteq {\mathbb{Z}}^n}$ такая, что для некоторого заданного базиса ${\displaystyle B\in {\mathbb{Z}}^{(n,n)}}$ такого, что ${\displaystyle B=}$ ${\displaystyle \{(gmodf):g\in \mathbb{Z}[x]\}}$ и для некоторого приведённого многочлена ${\displaystyle f}$ степени ${\displaystyle n}$ существует идеал ${\displaystyle I\subseteq \mathbb{Z}[x]/⟨f⟩}$

Ограничения, накладываемые на ${\displaystyle f}$:

• ${\displaystyle f}$ — должен быть неприводимым
• норма кольца ${\displaystyle \Vert g{\Vert }_f}$ не должна быть больше, чем норма ${\displaystyle \Vert g{\Vert }_{\mathrm{\infty }}}$ для любого многочлена ${\displaystyle g}$

Лемма

Если ${\displaystyle f}$ является нормированным неприводимым целочисленным многочленом степени ${\displaystyle n}$, то любой идеал есть изоморфная решётка полного ранга в ${\displaystyle {\mathbb{Z}}^n}$,то есть базис состоит из ${\displaystyle n}$ линейно независимых векторов, координаты которых и являются коэффициентам многочлена ${\displaystyle f}$ степени ${\displaystyle n}$ Шаблон:Нет ссылок в разделе

Пусть задан базис ${\displaystyle B\in {\mathbb{Z}}^{(n,n)}}$
Условие: если ${\displaystyle B}$ охватывает идеальную решётку относительно параметра ${\displaystyle q}$, тогда правда, иначе ложь

1. привести ${\displaystyle B}$ к эрмитовой форме
2. ${\displaystyle A=\mathrm{a}\mathrm{d}\mathrm{j}(B)}$, то есть ${\displaystyle B}$ — присоединённая матрица, ${\displaystyle d=\det (B)}$ — детерминант и ${\displaystyle z=B_{(n,n)}}$
3. ${\displaystyle P=AMBmodd}$
4. если все столбцы ${\displaystyle P}$ кроме последнего нулевые тогда
5. положить в ${\displaystyle c=P_{(\cdot ,n)}}$ ненулевой столбец (а именно, последний столбец ${\displaystyle P}$)
6. иначе вернуть ложь
7. если ${\displaystyle z\mid c_i}$, то есть множество элементов z, удовлетворяющих ${\displaystyle c_i}$ для всех ${\displaystyle i=1,\dots ,n}$ тогда
8. применить китайскую теорему об остатках для нахождения ${\displaystyle q^{\ast }\equiv (c/z)mod(d/z)}$ и ${\displaystyle q^{\ast }\equiv 0modz}$
9. иначе вернуть ложь
10. если ${\displaystyle B{q}^{\ast }\equiv 0mod(d/z)}$ тогда
11. вернуть правду, ${\displaystyle q=B{q}^{\ast }/d}$
12. иначе вернуть ложь

Дополнение: матрица ${\displaystyle M}$ принимает вид

${\displaystyle M=\left(\begin{array}{ccccc}0& .& .& .& 0\\ & & & & .\\ & & & & .\\ I_{n-1}& & & & .\\ & & & & 0\end{array}\right)}$

Шаблон:Нет ссылок в разделе

Используя данный алгоритм^[6], можно убедиться в том, что немногие решётки являются идеальными решётками^[6].
Рассмотрим пример: Пусть ${\displaystyle n=2}$ и ${\displaystyle k\in \mathbb{Z}\setminus \{0,\pm 1\}}$, тогда

${\displaystyle B_1=\left(\begin{array}{cc}k& 0\\ 0& 1\end{array}\right)}$

является идеальной, в отличие от

${\displaystyle B_2=\left(\begin{array}{cc}1& 0\\ 0& k\end{array}\right)}$

${\displaystyle B_2}$ с ${\displaystyle k=2}$ пример, придуманным Любашевским В. и Миссиансио Д.^[7]

Для использования данного алгоритма, матрица ${\displaystyle B}$ обязана являться эрмитовой нормальной формой, таким образом первый шаг алгоритма обязателен к выполнению. Детерминант равен${\displaystyle d=2}$, а присоединённая матрица

${\displaystyle A=\left(\begin{array}{cc}2& 0\\ 0& 1\end{array}\right)}$

${\displaystyle M=\left(\begin{array}{cc}0& 0\\ 1& 0\end{array}\right)}$

и наконец, произведение матриц ${\displaystyle P=AMBmodd}$ есть

${\displaystyle P=\left(\begin{array}{cc}0& 0\\ 1& 0\end{array}\right).}$

На этом этапе алгоритм останавливается, потому что все столбцы ${\displaystyle P}$ кроме последнего, должны быть равны нулю, если ${\displaystyle B}$ является идеальной решёткой.

Шаблон:Основная статья

• поиск кратчайшего вектора — поиск кратчайшего ненулевого вектора, по представленной произвольными базисными векторами решётке. В действительности, обычно рассматривается приближённый вариант задачи поиска кратчайшего вектора, целью которой — получение вектора в решётке, длина которого не превосходит длину кратчайшего ненулевого вектора в μ(n)-раз, где μ(n)- коэффициент приближения, а ${\displaystyle n}$- размерность решётки.^[8]
• поиск ближайшего вектора — обобщение задачи поиска кратчайшего вектора^[9]
• поиск кратчайших независимых векторов^[10].

Устойчивая к коллизиям хеш-функция — это функция заданная отображением ${\displaystyle h_k}$${\displaystyle :D\to R}$ так, что мощность множества (области некоторого числового пространства) ${\displaystyle D}$ больше мощности множества ${\displaystyle R}$, ${\displaystyle |R|}$${\displaystyle \ll }$${\displaystyle |D|}$, тем самым затрудняя нахождение коллизии, то есть пару ${\displaystyle x_1,x_2\in D,h(x_1)=h(x_2)}$. Таким образом, по случайно выбранному ${\displaystyle k}$ ни один злоумышленник не сможет эффективно (за разумное время) найти коллизии в ${\displaystyle h_k}$, даже несмотря на тот факт, что коллизии присутствуют^[11]. Основное использование идеальных решёток в криптографии связано с тем, что достаточно эффективные и практичные коллизионные хэш-функции могут быть построены на основе твёрдости нахождения приближённого кратчайшего вектора в таких решётках^[5]. Группы учёных, изучающие идеальные криптографические решётки, исследовали коллизионные устойчивые хэш-функции, построенные на основе идеальных решёток, а именно Пейкрет К. и Розен С.^[12]. Эти результаты проложили путь для других эффективных криптографических конструкций, включая схемы идентификации и подписи.

Лобашевский В. и Миссиансио Д.^[7] предложили конструкции эффективных и устойчивых к коллизиям хэш-функций, которые могут быть доказаны на основе наихудшей жёсткости задачи о кратчайшем векторе для идеальных решёток. Тем самым были определены рассматриваемые семейства хэш-функции для элементов:

${\displaystyle h(b)={\displaystyle \sum _{i=1}^m}{\alpha }_i\cdot b_i}$, где ${\displaystyle m}$ есть выборка случайных элементов из ${\displaystyle a_1,\dots ,a_m\in R={\mathbb{Z}}_p[x]/⟨f⟩}$, ${\displaystyle b=(b_1,...,b_m)\in D^m}$ .

В данном случае размер ключа, то есть хэш-функции определяется как ${\displaystyle O(mn\log p)=O(n\log n)}$^[13], используя алгоритм быстрого преобразования Фурье, для подходящего ${\displaystyle f}$, операция ${\displaystyle {\alpha }_i\cdot b_i}$ может быть выполнена за время ${\displaystyle O(n\log n\log \log n)}$. Поскольку ${\displaystyle m}$ есть константой, то для хеширования требуется конечное время ${\displaystyle O(n\log n\log \log n)}$.${\displaystyle }$

Схемы цифровых подписей относятся к числу наиболее важных криптографических примитивов. Они могут быть получены с помощью односторонних функций, основанных на наихудшей жёсткости решёточных задач, однако являются непрактичными. С момента использования проблемы обучения с ошибками в криптографическом контексте был разработан ряд новых схем цифровой подписи, основанных на обучении с ошибками и кольцевом обучении с ошибками.^[14]

Прямое построение цифровых подписей основано на сложности аппроксимации кратчайшего вектора в идеальных решётках.^[15] Схема Любашёвского В. и Миссиансио Д.^[15], основанная на идеальных решётках, имеет гарантии безопасности даже в худшем случае и является наиболее асимптотически эффективной конструкцией, известной на сегодняшний день, также позволяющей генерировать сигнатуры и проверять алгоритмы, работающие за почти линейное время^[16].

Одна из главных открытых проблем, которые были подняты в описанных выше работах, заключается в создании одноразовой подписи с аналогичной эффективностью, но основанной на более слабом допущении твёрдости. Например, было бы здорово обеспечить однократную подпись с защитой, основанную на сложности аппроксимации задачи кротчайшего вектора (SVP) (в идеальных решётках) с точностью до ${\displaystyle \tilde{O}(n)}$.^[17]

Построение таких цифровых подписей основано на стандартном преобразовании одноразовых подписей (то есть подписей, которые позволяют надёжно подписывать одно сообщение) в общие схемы подписи вместе с новой конструкцией одноразовой подписи на основе решётки, безопасность которой, в конечном счёте, основана на наихудшей жёсткости аппроксимации кратчайшего вектора во всех решётках, соответствующий идеалам в кольце ${\displaystyle \mathbb{Z}[x]/⟨f⟩}$ для любого неприводимого многочлена ${\displaystyle f}$^[16].

Хэш-функция достаточно эффективна и может быть вычислена асимптотически за ${\displaystyle \tilde{O}(m)}$ время с использованием быстрого преобразования Фурье по комплексным числам. Однако на практике это несёт значительные накладные расходы. Набор криптографических хеш-функций с доказанной стойкостью SWIFFT, определённый Миссиансио Д. и Регевом^[16], по сути, высоко оптимизированный вариант хэш-функции, описанной выше с использованием быстрого преобразования Фурье в ${\displaystyle {\mathbb{Z}}_q}$. Вектор f определён в ${\displaystyle (1,0,\dots ,0)\in {\mathbb{Z}}^n}$ для ${\displaystyle n}$ равного степени 2, так что соответствующий полином ${\displaystyle x^n+1}$ является неприводимым многочленом. Обнаружение коллизий функций SWIFFT равносильно нахождению коллизиций в базовой функции идеальной решётки${\displaystyle f_A}$. Заявленное свойство коллизий SWIFFT^[18] поддерживается при наихудшем случае в задачах на идеальных решётках.

Алгоритм хэш-функции SWIFFT :

• Параметры: Натуральные числа ${\displaystyle n,m,q,d}$ такие, что ${\displaystyle n}$ степень двойки, ${\displaystyle q}$ простое, ${\displaystyle 2n\mid (q-1)}$ и ${\displaystyle n\mid m}$.
• Ключ: ${\displaystyle m/n}$ векторы ${\displaystyle {\tilde{a}}_1,...,{\tilde{a}}_{m/n}}$ выбраны независимо и случайным образом в ${\displaystyle {\mathbb{Z}}_q^n}$.
• Вход: ${\displaystyle m/n}$ вектора ${\displaystyle y^{(1)},\dots ,y^{(m/n)}\in \{0,\dots ,d-1{\}}^n}$.
• Выход: вектор ${\displaystyle {\displaystyle \sum _{i=1}^{m/n}}{\tilde{a}}^{(i)}\odot (\mathbf{\text{W}}{y}^{(i)})\in {\mathbb{Z}}_q^n}$, где ${\displaystyle \odot }$ — компонентное векторное произведение, а ${\displaystyle \mathbf{\text{W}}\in {\mathbb{Z}}_q^{n\times n}}$ — обратимой матрицей над ${\displaystyle {\mathbb{Z}}_q}$

• Криптография на решётках
• Постквантовая криптография
• Задачи теории решёток

Шаблон:Примечания

• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Книга

• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья