NTRUSign

NTRUSign, также известный как NTRU Signature Algorithm, является ключевым алгоритмом шифрования с открытым ключом цифровой подписи на основе схемы подписи GGH.

Впервые алгоритм был представлен на сессии en:Asiacrypt 2001 года и опубликован в рецензируемой форме на конференции RSA 2003 года^[1]. Издание 2003 года включало рекомендации параметров для уровня безопасности 80 бит. В следующей публикации 2005 года были пересмотрены рекомендации для уровня безопасности 80 бит, а также представлены параметры востребованных уровней безопасности 112, 128, 160, 192 и 256 бит и описаны алгоритмы для получения наборов параметров для любого желаемого уровня безопасности. NTRU Cryptosystems, Inc. подали заявку на патент на данный алгоритм.Шаблон:Когда?

NTRUSign включает в себя отображение сообщения для случайной точки в 2N-мерном пространстве, где N является одним из параметров NTRUSign, и решение проблемы нахождения ближайшего вектора в решётке, тесно связанной с решёткой NTRUEncrypt. Данная решётка обладает свойством: частный 2N-мерный базис для решётки можно описать с помощью 2-х векторов, каждый из которых состоит из N коэффициентов и базиса, который может быть определён отдельным N-размерным вектором. Это позволяет представлять открытые ключи в ${\displaystyle O(N)}$ пространстве, а не ${\displaystyle O(N^2)}$, как и в случае с другими схемами подписи на основе решёток. Операции занимают ${\displaystyle O(N^2)}$ времени, в отличие от ${\displaystyle O(N^3)}$ для криптографии на эллиптических кривых и RSA. Поэтому NTRUSign быстрее данных алгоритмов при низких уровнях безопасности и значительно быстрее при высоких уровнях безопасности.

NTRUSign находится в стадии рассмотрения по стандартизации рабочей группой IEEE P1363.

Так же как и в NTRUEncrypt, в NTRUSign вычисления производятся в кольце ${\displaystyle R={\mathbb{Z}}_q[X]/(X^N-1)}$, где умножение „${\displaystyle *}$“ является циклической сверткой по модулю ${\displaystyle q}$. Произведением двух полиномов ${\displaystyle f=[f_0,f_1,\dots ,f_{N-1}]}$ и ${\displaystyle g=[g_0,g_1,\dots ,g_{N-1}]}$ является ${\displaystyle f*g=\sum _{i+j\equiv kmodN}{f}_i\cdot g_{j}modq}$.

За основу NTRUSign могут быть взяты стандартные или транспонированные решетки. Основное преимущество транспонированной решетки заключается в том, что коэффициенты многочлена принадлежат {-1,0,1}. Это увеличивает скорость умножения.

• Входные данные: целые ${\displaystyle N,q,d_f,d_g,B>0}$, строка ${\displaystyle t=standard}$ или ${\displaystyle transpose}$.
• Генерация ${\displaystyle B}$ закрытых решёточных базисов и один открытый решеточный базис

Установить ${\displaystyle i=B}$. До тех пор, пока ${\displaystyle i>0}$:

1. Произвольно выбрать ${\displaystyle f}$, ${\displaystyle g}$ ∈ ${\displaystyle ℝ}$, взаимно простые с ${\displaystyle d_f}$, ${\displaystyle d_g}$ соответственно.
2. Найти малые ${\displaystyle F,G\in R}$ такие, что ${\displaystyle f*G-F*g=q}$.
3. Если ${\displaystyle t=standard}$, установить ${\displaystyle f_i=f}$ и ${\displaystyle f{\text{'}}_i=F}$.

Если ${\displaystyle t=transpose}$, установить ${\displaystyle f_i=f}$ и ${\displaystyle f{\text{'}}_i=g}$.

Вычислить ${\displaystyle h_i=f_i^{-1}*f{\text{'}}_{i}modq}$. Установить ${\displaystyle i=i-1}$.

• Публичный ключ: входные параметры и ${\displaystyle h=ho=f_0^{-1}*f{\text{'}}_0\mathrm{mod}q}$.
• Закрытый ключ: ${\displaystyle \{f_i,f{\text{'}}_i,h_i\}}$ для ${\displaystyle i=0...B}$.

Подпись требует хеш-функцию ${\displaystyle H:𝒟\to R}$ на цифровом пространстве документа ${\displaystyle 𝒟}$.

• Входные данные: цифровой документ ${\displaystyle D\in 𝒟}$ и закрытый ключ ${\displaystyle \{f_i,f{\text{'}}_i,h_i\}}$ для ${\displaystyle i=0...B}$.
• Установить ${\displaystyle r=0}$.
• Установить ${\displaystyle s=0}$ и ${\displaystyle i=B}$. Представить ${\displaystyle r}$ как строку бит. Установить ${\displaystyle m_o=H(D||r)}$, где ${\displaystyle ||}$ обозначает конкатенацию. Установить ${\displaystyle m=m_o}$.

1. ${\displaystyle \{f_i,f{\text{'}}_i,h_i\}}$ - ${\displaystyle i}$-е основание
2. Вычислить ${\displaystyle x=\lfloor -\frac{1}{q}{m}_i*f{\text{'}}_i\rceil }$
3. Вычислить ${\displaystyle y=\lfloor \frac{1}{q}{m}_i*f_i\rceil }$
4. ${\displaystyle s_i=x*f+y*f^{\prime }}$
5. ${\displaystyle m_i=si*(h_i-h_{i-1})modq}$
6. Подпись: ${\displaystyle s=s+s_i}$

Верификация требует такую же хеш-функцию ${\displaystyle H}$, «нормирующую связь» ${\displaystyle 𝒩\in ℝ}$ и норму полинома ${\displaystyle ||.||}$. Норма ${\displaystyle ||t||}$ полинома ${\displaystyle t}$ определяется как ${\displaystyle \underset{0\le k<q}{\inf }||t+kq|{|}_z}$, где ${\displaystyle ||r|{|}_z={\displaystyle \sum _{i=0}^{N-1}}{r}_i^2-\frac{1}{N}{\displaystyle \sum _{i=0}^N}{r}_i}$ (где последнее - евклидова норма).

• Входные данные: Подписанные данные ${\displaystyle (D,r,s)}$ и публичный ключ ${\displaystyle h}$.
• Представить r как строку бит. Установить ${\displaystyle m=H(D||r)}$.
• Вычислить ${\displaystyle b=||(s,s*h-m\mathrm{mod}g))||}$.
• подпись считается верной, если ${\displaystyle b<𝒩}$.

• Рекомендуемые параметры ${\displaystyle (N,q,d_f,d_g,B,t,𝒩)=(251,128,73,71,1,transpose,310)}$

Шаблон:Примечания

• Most recent NTRUSign paper, including parameter sets for multiple security levels
• A Java implementation of NTRUSign Шаблон:Wayback

Шаблон:Rq

Шаблон:Криптосистемы с открытым ключом