Криптосистема Джентри

Криптосистема Джентри (от фамилии создателя Крейга Джентри) — первая возможная конструкция для полностью гомоморфной криптосистемы, основанная на криптографии на решетках. Впервые была предложена Крейгом Джентри в 2009 году^[1] и являлась темой его докторской диссертации. Схема Джентри поддерживает операции сложения и умножения над шифротекстом, что позволяет построить кольца для реализации любых произвольных вычислений. Впоследствии имела множество доработок и модификаций с целью улучшения её производительности.

Для схемы используются^[2] идеальные решётки J в цепочках многочленов по модулю ${\displaystyle f_n(x)=x^n+1}$. Эрмитова нормальная форма идеальной решётки имеет вид^[2]:

${\displaystyle HNF(J)=\left[\begin{array}{ccccc}d& 0& 0& 0& 0\\ -r& 1& 0& 0& 0\\ -[r^2{]}_d& 0& 1& 0& 0\\ -[r^2{]}_d& 0& 0& 0& 0\\ ⋮& & & \ddots & \\ -[r^{n-1}{]}_d& 0& 0& 0& 1\end{array}\right]}$, где ${\displaystyle d=det(J)}$ и r — корень для ${\displaystyle f_n(x)}$ по модулю d.

Генерация ключей^[2]

1. Выбирается произвольная n-мерная целочисленная решётка v, где каждый вход ${\displaystyle v_i}$ выбирается наугад, как t-разрядное число. С помощью этого вектора v формально определяется многочлен ${\displaystyle v(x)={\displaystyle \sum _{i=0}^{n-1}}{v}_i{x}^i}$, а также соответствующая матрица поворота:

${\displaystyle V=\left[\begin{array}{ccccc}{v}_0& v_1& v_2& & v_{n-1}\\ -v_{n-1}& v_0& v_1& & v_{n-2}\\ -v_{n-2}& v_{n-1}& v_0& & v_{n-3}\\ & & & \ddots & \\ -v_1& -v_2& -v_3& & v_0\end{array}\right]}$

1. Вычисляется инверсия для ${\displaystyle v(x)}$ по модулю ${\displaystyle f_n(x)}$, то есть многочлен ${\displaystyle w(x)}$ степени не более n-1, что ${\displaystyle v(x)*w(x)=const{modf}_n(x)}$. Тогда матрица

${\displaystyle W=\left[\begin{array}{ccccc}{w}_0& w_1& w_2& & w_{n-1}\\ -w_{n-1}& w_0& w_1& & w_{n-2}\\ -w_{n-2}& w_{n-1}& w_0& & w_{n-3}\\ & & & \ddots & \\ -w_1& -w_2& -w_3& & w_0\end{array}\right]}$

является инверсией для ${\displaystyle V}$, то есть ${\displaystyle V*W=const*I}$, где ${\displaystyle I}$ — единичная матрица.

1. Также проверяется, что Эрмитова нормальная форма для ${\displaystyle V}$ имеет вид, указанный выше, а именно все столбцы, кроме левого, образуют единичную матрицу. В таком случае вся матрица ${\displaystyle V}$ может быть получена с помощью элементов r и d.

Открытым ключом будет являться матрица ${\displaystyle V}$, заданная числами r и d. Закрытым ключом будут являться два многочлена ${\displaystyle (v,w)}$.

Шифрование^[2]

Пусть требуется зашифровать бит ${\displaystyle m\in (0,1)}$

На входе имеется бит b и открытый ключ V. Выбирается шумовой вектор ${\displaystyle u}$, компоненты которого принимают значения 0,1,-1. Затем вычисляется вектор ${\displaystyle a=2*u+b*e_1}$, а шифротекст вычисляется по формуле^[2] ${\displaystyle c=amodV=a-([a*V^{-1}]*V)}$

Здесь для базиса V пространства L и данного вектора c выражение ${\displaystyle cmodV}$ используется для обозначения вектора ${\displaystyle c^{\prime }\in P(V)}$ такого, что ${\displaystyle c-c^{\prime }\in L}$^[2]

Расшифровывание^[2]

На входе имеется вектор С и матрицы V и W. Исходный бит b получается в результате операции:

${\displaystyle b=amod2=(cmodV)mod2=(c*(W/d))mod2}$

Гомоморфность^[2]

Шифрование является гомоморфным относительно операций сложения и умножения. Для того, чтобы выполнить сложение или умножение шифротекстов, необходимо выполнить эти операции в базисе V

Стойкость^[3]

Защищенность своей схемы Джентри обосновал двумя проблемами: проблемой сложности худшего случая криптографии на идеальных решетках и задачей о сумме подмножеств. Обе задачи являются ${\displaystyle NP}$-сложными, поэтому стойкость системы сводится к ${\displaystyle NP}$-сложной задаче.

Недостатки

Существенным недостатком данной схемы является то, что выполнение вычислений приводит к накоплению ошибки^[4] и, после того как она превышает ${\displaystyle p}$, расшифровать сообщение становится невозможным. Одним из вариантов решения данной проблемы является повторное шифрование данных после некоторого количества операций, однако такой вариант снижает производительность вычислений и требует постоянного доступа к секретному ключу^[3].

Рассматривается схема, гомоморфная относительно только операции сложения^[4].

Генерация ключей

1. Выбирается число ${\displaystyle n}$, по модулю которого будет работать схема.
2. Выбирается секретный ключ ${\displaystyle sk}$ — случайное число, много большее ${\displaystyle n}$, такое, что НОД${\displaystyle (sk,n)=1}$
3. Выбирается публичный ключ ${\displaystyle pk}$ — набор больших чисел ${\displaystyle [a_1,..a_i]}$, таких, что ${\displaystyle a_i=r*sk+e*n}$, где ${\displaystyle r}$ — небольшое случайное число, ${\displaystyle e}$ — произвольное случайное число.

Шифрование

На входе имеется текст, который нужно зашифровать, и открытый ключ. Шифротекст будет являться суммой произвольного количества элементов открытого ключа и открытого текста.

Расшифровывание

На входе имеется шифротекст и числа ${\displaystyle n}$ и ${\displaystyle sk}$. Вычисляется последовательно остаток от деления шифротекста на ${\displaystyle n}$ и на ${\displaystyle sk}$. Результатом будет являться исходное сообщение.

Гомоморфность

Для того, чтобы получить сумму текстов ${\displaystyle m_1}$ и ${\displaystyle m_2}$, достаточно сложить шифротексты и провести операцию расшифровывания. Действительно: ${\displaystyle D(E(m_1,pk)+E(m_2,pk))=D(m_1+m_2+{\displaystyle \sum _{i=0}^n}{C}_{i}p{k}_i)=D(m_1+m_2+C_1^{\text{'}}sk+C_2^{\text{'}}n)=m_1+m_2}$

Плюсом данной схемы является простота реализации и малая потребность в ресурсах. К минусам можно отнести конечное множество публичных ключей и лишь частичную гомоморфность.

Первая попытка реализовать схему Джентри была сделана в 2010 году на Смартом и Верткаутереном^[5]. Для реализации они выбрали схему с использованием идеальных решеток для простого определителя. Такие структуры представляются с помощью двух целых чисел (вне зависимости от их размера). Смарт и Верткаутерен предложили метод расшифровывания, в котором секретный ключ является одним целым числом. Таким образом, ученым удалось реализовать гомоморфную однородную схему, но они не смогли реализовать технику Джентри в случае достаточно больших параметров, а следовательно, им не удалось получить загружаемую и полностью гомоморфную схему.

Основным препятствием в данной реализации являлась сложность генерации ключей для однородных схем: прежде всего, схемы должны генерировать очень большое количество «кандидатов» для поиска ключа, для которого определитель будет простым — может понадобиться вплоть до ${\displaystyle n^{1,5}}$ кандидатов при работе со структурами размерности ${\displaystyle n}$. Кроме того, даже после нахождения оптимального варианта, сложность вычислений секретного ключа, соответствующего этой структуре равна, по крайней мере, ${\displaystyle \tilde{O}(n^{2,5})}$ для решёток размерности ${\displaystyle n}$. По этим причинам ученым не удалось сгенерировать ключи размерностей ${\displaystyle n>2048}$. Кроме того, Смарт и Веркаутерен оценили, что многочлен расшифровки будет иметь степень в несколько сотен, а это требует для процедуры с их параметрами использования решётки размерностью не менее ${\displaystyle n=2^{27}}$${\displaystyle (\approx 1,3\times 10^8)}$, что значительно превышает вычислительные возможности процедуры генерации ключей^[2].

В 2011 году Крейг Джентри вместе с Шайем Халеви представил^[2] практическую реализацию для полностью гомоморфной схемы шифрования по аналогии с используемой в более ранних работах схемой Смарта и Верткаутерена. Основная оптимизация состоит в методе генерации ключей для основного относительно гомоморфного шифрования, не требующем полной инверсии многочленов. Это снижает асимптотическую сложность от ${\displaystyle \tilde{O}(n^{2,5})}$ до ${\displaystyle \tilde{O}(n^{1,5})}$ при работе с ${\displaystyle n}$ размерными решетками (и на практике сокращает время расчетов от многих часов до нескольких минут).

Шаблон:Примечания