Криптография на решётках

Криптография на решётках — подход к построению алгоритмов асимметричного шифрования с использованием задач теории решёток, то есть задач оптимизации на дискретных аддитивных подгруппах, заданных на множестве ${\displaystyle {ℝ}^n}$.

Наряду с другими методами постквантовой криптографии, считается перспективным в связи с возможностями квантового компьютера взламывать широко используемые асимметричные системы шифрования, основанные на двух типах задач теории чисел: задачах факторизации целых чисел и задачах дискретного логарифмирования. Сложность взлома алгоритмов, построенных на решётках, крайне велика, самые лучшие алгоритмы могут решить эту задачу с трудом за экспоненциальное время. По состоянию на середину 2010-х годов неизвестно ни одного квантового алгоритма, способного справиться лучше обычного компьютера.

Шаблон:Чистить раздел В 1995 году Питер Шор продемонстрировал полиномиальный алгоритм для взлома криптографических систем с открытым ключом при использовании квантового компьютера, тем самым определив период существования данных систем до возникновения квантовых вычислителей достаточной размерности.

В 1996 году Лов Гровер продемонстрировал общий метод поиска в базе данных позволяющий производить расшифровку симметричных алгоритмов шифрования, эквивалентную двукратному уменьшению ключа шифра.

В 2001 году группа специалистов IBM продемонстрировала выполнение алгоритма факторизации Шора для числа 15. Число было разложено на множители 3 и 5 при помощи квантового компьютера с 7 кубитами, построенного из 18¹⁰ молекул, состоящих из пяти атомов фтора и двух атомов углерода, с записью информации посредством радиосигналов и считыванием методами ядерного магнитного резонанса^[1].

Начиная со второй половины 1990-х годов возникла необходимость поиска криптостойких к квантовым компьютерам задач для постквантовой эпохи шифрования, в качестве одного из подходов было предложено использовать решётки в ${\displaystyle {ℝ}^n}$ — дискретные подгруппы вещественного векторного пространства, линейные оболочки которых совпадают с ним:

${\displaystyle L=\{{\displaystyle \sum _{i=1}^n}{\lambda }_i{b}_i\mid {\lambda }_i\in \mathbb{Z}\}}$

Задача нахождения кратчайшего вектора (SVP, Шаблон:Lang-en) — найти в заданном базисе решётки ненулевой вектор по отношению к определённой нормали^[2].

Задача нахождения (приблизительно) идеального кратчайшего вектора (ISVP, Шаблон:Lang-en) не считается NP-сложной. Однако, нет известных решёток, основанных на методе редукции, значительно более эффективных на идеальных структурах, чем на общих^[3].

Ещё одна задача — нахождение (приблизительно) кратчайшего независимого вектора (SIVP, Шаблон:Lang-en), в которой дан базис решётки ${\displaystyle B}$ и требуется найти ${\displaystyle n}$ линейно независимых векторов^[4].

Задача нахождения ближайшего вектора (CVP, Шаблон:Lang-en) — нахождение вектора в решётке по заданному базису и некоторому вектору, не принадлежащему решётке, при этом максимально схожего по длине с заданным вектором.

Шаблон:Основная статья

Все эти задачи разрешимы за полиномиальное время с помощью известного LLL-алгоритма изобретённого в 1982 году Арьеном Ленстрой, Хендриком Ленстрой и Ласло Ловасом^[5].

В заданном базисе ${\displaystyle 𝐁=\{{𝐛}_1,{𝐛}_2,\dots ,{𝐛}_d\}}$, с n-мерными целыми координатами, в решётке ${\displaystyle L}$ из ${\displaystyle {ℝ}^n}$, где ${\displaystyle d\le n}$, LLL-алгоритм находит более короткий (примерноШаблон:Уточнить) ортогональный базис за время:

${\displaystyle O(d^{5}n{\log }^{3}B)}$,

где ${\displaystyle B}$ — это максимальная длина вектора ${\displaystyle b_i}$ в этом пространстве.

Шаблон:Нп3 — криптосистема основанная на CVP, а именно на односторонней функции с потайным входом опирающуюся на сложность редукции решётки. Была опубликована в 1997 году. Зная базис, можно сгенерировать вектор близкий к заданной точке, но зная это вектор нам необходим исходный базис, чтобы найти исходную точку. Алгоритм был проверен в 1999 году.

GGH состоит из открытого и секретного ключа.

Секретный ключ — это базис ${\displaystyle B}$ решётки ${\displaystyle L}$ и унимодулярная матрица ${\displaystyle U}$.

Открытый ключ — некоторый базис в решётке ${\displaystyle L}$ в виде ${\displaystyle B^{\prime }=UB}$.

Для некоторого ${\displaystyle M}$, пространство сообщения состоит из вектора ${\displaystyle ({\lambda }_1,...,{\lambda }_n)}$, где ${\displaystyle -M<{\lambda }_i<M}$.

Задано сообщение ${\displaystyle m=({\lambda }_1,...,{\lambda }_n)}$, искажение ${\displaystyle e}$, открытый ключ ${\displaystyle B^{\prime }}$:

${\displaystyle v=\sum {\lambda }_i{b_i}^{\prime }}$

В матричном виде:

${\displaystyle v=m\cdot B^{\prime }}$.

${\displaystyle m}$ состоит из целых значений, ${\displaystyle b^{\prime }}$ точка решётки, и v также точка решётки. Тогда шифротекст:

${\displaystyle c=v+e=m\cdot B^{\prime }+e}$

Для расшифрования необходимо вычислить:

${\displaystyle c\cdot B^{-1}=(m\cdot B^{\prime }+e)B^{-1}=m\cdot U\cdot B\cdot B^{-1}+e\cdot B^{-1}=m\cdot U+e\cdot B^{-1}}$

Часть ${\displaystyle e\cdot B^{-1}}$ убирается, из соображений приближения. Сообщение:

${\displaystyle m=m\cdot U\cdot U^{-1}}$

Выберем решётку ${\displaystyle L\subset {ℝ}^2}$ с базисом ${\displaystyle B}$:

${\displaystyle B=\left(\begin{array}{cc}7& 0\\ 0& 3\end{array}\right)}$ и ${\displaystyle B^{-1}=\left(\begin{array}{cc}\frac{1}{7}& 0\\ 0& \frac{1}{3}\end{array}\right)}$

где

${\displaystyle U=\left(\begin{array}{cc}2& 3\\ 3& 5\end{array}\right)}$ и

${\displaystyle U^{-1}=\left(\begin{array}{cc}5& -3\\ -3& 2\end{array}\right)}$

В результате:

${\displaystyle B^{\prime }=UB=\left(\begin{array}{cc}14& 9\\ 21& 15\end{array}\right)}$

Пусть сообщение ${\displaystyle m=(3,-7)}$ и вектор ошибки ${\displaystyle e=(1,-1)}$. Тогда шифротекст:

${\displaystyle c=m{B}^{\prime }+e=(-104,-79)}$.

Для расшифровки необходимо вычислить:

${\displaystyle c{B}^{-1}=(\frac{-104}{7},\frac{-79}{3})}$.

Округление даёт ${\displaystyle (-15,-26)}$ , восстановим сообщение:

${\displaystyle m=(-15,-26)U^{-1}=(3,-7)}$.

NTRUEncrypt — криптосистема основанная на SVP, является альтернативой RSA и ECC. В вычислении используется кольцо многочленов.

Схема подписи GGH впервые предложена 1995 году и опубликована в 1997 году Голдрихом, основана на сложности нахождения ближайшего вектора. Идея заключалась в использовании решёток, для которых «плохой» базис, векторы длинные и почти параллельные, является открытым и «хороший» базис с короткими и почти ортогональными векторами, является закрытым. По их методу, сообщение необходимо хешировать в пространство, натянутое на решётку, а подпись для данного хэша в этом пространстве является ближайшим узлом решётки. Схема не имела формального доказательства безопасности, и её базовый вариант был взломан в 1999 году Нгуэном (Nguyen). В 2006 году модифицированная версия была снова взломана Нгуэном и Реджевом (Regev).

NTRUSign — специальная, более эффективная версия подписи GGH, отличающаяся меньшим ключом и размером подписи. Она использует только решётки подмножества множества всех решёток, связанных с некоторыми полиномиальными кольцами. NTRUSign была предложена на рассмотрение в качестве стандарта IEEE P1363.1.

Шаблон:Примечания

Шаблон:Rq Шаблон:Криптографические алгоритмы с парой открытый/закрытый ключ