Схема шифрования GGH

Схема шифрования GGH (Шаблон:Lang-en) — асимметричная криптографическая система, основанная на решётках. Также существует схема подписи GGH.

Криптосистема опирается на решения задачи нахождения кратчайшего вектора и задачи нахождения ближайшего вектора. Схема шифрования GGH, опубликованная в 1997 году учёными Oded Goldreich, Shafi Goldwasser и Shai Halevi, использует одностороннюю функцию с потайным входом, ведь учитывая любой базис решётки, легко генерировать вектор, близкий к точке решётки. Например, взяв точку решётки и добавив небольшой вектор ошибки. Для возвращения из вектора ошибки в исходную точку решетки необходим специальный базис. В 1999 году Phong Q. Nguyen^[1] сделал уточнение к оригинальной схеме шифрования GGH, что позволило решить четыре из пяти задачи GGH и получить частичную информацию о последней. Хотя GGH может быть безопасным при определенном выборе параметров, его эффективность по сравнению с традиционными криптосистемами с открытым ключом остается спорной^[2]. Зачастую при шифровании требуется высокая размерность решётки, в то время как размер ключа растет примерно квадратично относительно размера решётки^[2].

Единственной решётчатой схемой, которая справляется с высокими размерностями, является NTRU^[3].

GGH включает в себя открытый ключ и закрытый ключ^[4]. Закрытым ключом является основание ${\displaystyle B}$ решетки ${\displaystyle L}$ с унимодулярной матрицей ${\displaystyle U}$.

Открытый ключ является ещё одним основанием решётки ${\displaystyle L}$ вида ${\displaystyle B^{\prime }=UB}$.

Пусть пространство сообщений М состоит из векторов ${\displaystyle (m_1,...,m_n)}$, принадлежащих интервалу ${\displaystyle -M<m_i<M}$.

Дано сообщение ${\displaystyle m=(m_1,...,m_n)}$, ошибка ${\displaystyle e}$ и открытый ключ ${\displaystyle B^{\prime }}$:

${\displaystyle v=\sum m_i{b_i}^{\prime }}$

В матричной записи:

${\displaystyle v=m\cdot B^{\prime }}$

Нужно помнить, что ${\displaystyle m}$ состоит из целочисленных значений, ${\displaystyle b^{\prime }}$ является точкой решётки, поэтому ${\displaystyle v}$ также является точкой решётки. Тогда зашифрованный текст:

${\displaystyle c=v+e=m\cdot B^{\prime }+e}$

Для расшифровки шифротекста вычисляется:

${\displaystyle c\cdot B^{-1}=(m\cdot B^{\prime }+e)B^{-1}=m\cdot U\cdot B\cdot B^{-1}+e\cdot B^{-1}=m\cdot U+e\cdot B^{-1}}$

Для удаления ${\displaystyle e\cdot B^{-1}}$, если он достаточно мал, используется метод округления Бабая^[5] .

Тогда, чтобы получить текст:

${\displaystyle m=m\cdot U\cdot U^{-1}}$

В этом разделе рассматривается несколько способов атаки криптосистемы^[6].

Атака округлением — наиболее очевидная атака данной криптографической системы, кроме атаки грубой силы — поиска вектора ошибки ${\displaystyle e.}$Ее суть заключается в использовании открытого ключа B для инвертирования функции таким же образом, как и при использовании закрытого ключа R. А именно, зная ${\displaystyle c=B\cdot v+e}$, можно вычислить ${\displaystyle B^{-1}\cdot c=v+B^{-1}\cdot e}$. Таким образом, можно найти вектор ${\displaystyle d=B^{-1}\cdot e}$. При размерности ниже 80 LLL алгоритм способен правильно определять основание, однако начиная с размерности 100 и выше, данная атака хуже, чем тривиальный перебор вектора ошибок.

Данный алгоритм — очевидное уточнение атаки округлением. Здесь используется лучший алгоритм аппроксимации задачи кратчайших векторов. В частности, вместо алгоритма округления Babai используется алгоритм ближайшей плоскости. Он работает следующим образом. Дана точка ${\displaystyle c}$ и уменьшенный базиc ${\displaystyle B}$ = {${\displaystyle b_1,\dots b_n}$} для LLL. Рассматриваются все аффинные пространства ${\displaystyle H_k}$ = {${\displaystyle k\cdot b_n}$+${\displaystyle {\displaystyle \sum _{i=0}^{n-1}}{a}_i\cdot b_i}$} : ${\displaystyle a_i\in ℛ}$} . Для всех ${\displaystyle k\in 𝒵}$ находится гиперплоскость ${\displaystyle H_k}$, ближайшая к точке ${\displaystyle c}$. Далее на (n - 1)-мерное пространство, которое охватывается ${\displaystyle B}$ = {${\displaystyle b_1,\dots b_n}$}, проектируется точка ${\displaystyle c-k\cdot b_n}$. Это дает новую точку ${\displaystyle c^{\prime }}$и новый базис ${\displaystyle B^{\prime }}$ = {${\displaystyle b_1,\dots b_n}$}. Теперь алгоритм рекурсивно переходит к поиску точки ${\displaystyle p^{\prime }}$ в этой (n - 1)-мерной решетки, близкой к ${\displaystyle c^{\prime }}$. Наконец, алгоритм устанавливает ${\displaystyle p=p^{\prime }+k\cdot b_n}$. Данный метод работает гораздо быстрее предыдущего. Тем не менее, его рабочая нагрузка также растет экспоненциально с размерностью решетки. Эксперименты показывают, что при использовании LLL в качестве алгоритма сокращения решетки требуется некоторое время на поиск, начиная с размеров 110-120. Атака становится неосуществимой, начиная с размеров 140-150.

Еще одним способом, который часто используется для аппроксимации задачи нахождения ближайшего вектора, является вложение n базисных векторов и точки ${\displaystyle c}$, для которой необходимо найти близкую точку решетки в (n + 1)-мерной решетке

${\displaystyle B^{\prime }=\left(\begin{array}{ccccc}⋮& ⋮& ⋮& \cdots & ⋮\\ c& b_1& b_2& \cdots & b_n\\ ⋮& ⋮& ⋮& \ddots & ⋮\\ 1& 0& 0& \cdots & 0\end{array}\right)}$

Затем используется алгоритм сокращения решетки для поиска кратчайшего ненулевого вектора в ${\displaystyle L(B^{\prime })}$, в надежде, что первые n элементов в этом векторе будут ближайшими точками к ${\displaystyle c}$. Проведенные над этой атакой эксперименты (используя LLL как инструмент для поиска кратчайших векторов) указывают на то, что она работает до размерностей около 110-120, что лучше, чем атака округлением, которая становится хуже тривиального поиска уже после размерности равной 100.

Пусть в каждом измерении ${\displaystyle n}$ создано пять закрытых базисов. Каждый базис выбирается как ${\displaystyle R_i}$= ${\displaystyle 4\left|\sqrt{n}\right|\cdot I}$+ rand${\displaystyle (\pm 4)}$, где I — тождественная матрица, а rand${\displaystyle (\pm 4)}$— квадратная матрица, члены которой выбираются равномерно из диапазона ${\displaystyle -4,...,4}$. Для каждого базиса ${\displaystyle R_i}$ вычисляется значение ${\displaystyle {\sigma }_i}$ = ${\displaystyle ({\gamma }_i\sqrt{8\ln (2n/\epsilon )}{)}^{-1}}$, где ${\displaystyle {\gamma }_i}$ — евклидова норма наибольшей строки ${\displaystyle {R_i}^{-1}}$, а ${\displaystyle \epsilon =10^{-5}}$. Для каждого закрытого базиса ${\displaystyle R_i}$генерируется пять открытых базисов ${\displaystyle B_{ij}}$

${\displaystyle work-loa{d}_{ij}}$

=

${\displaystyle (\pi e{)}^{n/2}}$${\displaystyle \cdot {\sigma }_i^n}$${\displaystyle \cdot \frac{orth-defec{t}^{*}(B_{ij})}{det|B_{ij}|}}$

, где

${\displaystyle orth-defec{t}^{*}}$

— двойной дефект ортогональности:

${\displaystyle orth-defec{t}^{*}(B)=|det(B)|\cdot \prod _i\Vert \widehat{b_i}\Vert ,}$

где

${\displaystyle \widehat{b_i}}$

обозначает строку матрицы

${\displaystyle B^{-1}}$

.

Для оценки атаки штурмом использовались такие же открытый и закрытый базисы, как и в атаке округлением.

Так как нельзя говорить о «рабочей нагрузке» атаки внедрением, было измерено максимальное значение

${\displaystyle \sigma }$

(связанное с вектором ошибок), для которого эта атака работает. Для этих экспериментов использовались те же закрытые базисы

${\displaystyle R}$

и открытые базисы

${\displaystyle B_{ij}}$

, что и для предыдущих двух атак. Затем использовался каждый открытый базис для оценки функции на нескольких точках, используя несколько различных значений

${\displaystyle \sigma }$

и проверялось, восстанавливает ли атака внедрения зашифрованное сообщение.

Пусть ${\displaystyle L\subset {ℝ}^2}$ решетка с основанием ${\displaystyle B}$ и обратным ему ${\displaystyle B^{-1}}$:

${\displaystyle B=\left(\begin{array}{cc}7& 0\\ 0& 3\end{array}\right)}$ и ${\displaystyle B^{-1}=\left(\begin{array}{cc}\frac{1}{7}& 0\\ 0& \frac{1}{3}\end{array}\right)}$

С унимодулярной матрицей:

${\displaystyle U=\left(\begin{array}{cc}2& 3\\ 3& 5\end{array}\right)}$ и

${\displaystyle U^{-1}=\left(\begin{array}{cc}5& -3\\ -3& 2\end{array}\right)}$

Получаем:

${\displaystyle B^{\prime }=UB=\left(\begin{array}{cc}14& 9\\ 21& 15\end{array}\right)}$

Пусть сообщение ${\displaystyle m=(3,-7)}$и вектор ошибок ${\displaystyle e=(1,-1).}$ Тогда зашифрованный текст:

${\displaystyle c=m{B}^{\prime }+e=(-104,-79)}$

Для расшифровки необходимо:

${\displaystyle c{B}^{-1}=(\frac{-104}{7},\frac{-79}{3})}$

Это округляется до ${\displaystyle (-15,-26).}$

И сообщение восстанавливается с:

${\displaystyle m=(-15,-26)U^{-1}=(3,-7).}$

• Oded Goldreich, Shafi Goldwasser, and Shai Halevi. Public-key cryptosystems from lattice reduction problems. In CRYPTO ’97: Proceedings of the 17th Annual International Cryptology Conference on Advances in Cryptology, pages 112—131, London, UK, 1997. Springer-Verlag.
• Phong Q. Nguyen. Cryptanalysis of the Goldreich-Goldwasser-Halevi Cryptosystem from Crypto ’97. In CRYPTO ’99: Proceedings of the 19th Annual International Cryptology Conference on Advances in Cryptology, pages 288—304, London, UK, 1999. Springer-Verlag.

Шаблон:Примечания