Решеточная криптография

Криптография на основе решеток — это общий термин для конструкций криптографических примитивов , в которых используются решетки либо в самой конструкции, либо в доказательстве безопасности. Решеточные конструкции поддерживают важные стандарты постквантовой криптографии . ^[1] В отличие от более широко используемых и известных схем с открытым ключом, таких как RSA , криптосистемы Диффи-Хеллмана или криптосистемы с эллиптической кривой , которые теоретически можно победить с помощью алгоритма Шора на квантовом компьютере , некоторые конструкции на основе решетки кажутся устойчивыми к атакам. как классическими, так и квантовыми компьютерами. Более того, многие конструкции на основе решеток считаются безопасными при условии , что некоторые хорошо изученные вычислительные задачи на решетках не могут быть решены эффективно.

История [ править ]

В 1996 году Миклош Айтай представил первую криптографическую конструкцию на основе решеток, безопасность которой могла быть основана на сложности хорошо изученных решеточных задач. ^[2] и Синтия Дворк показали, что определенную решеточную задачу среднего случая, известную как короткие целочисленные решения (SIS), по крайней мере так же сложно решить, как и решеточную задачу наихудшего случая . ^[3] Затем она продемонстрировала криптографическую хэш-функцию , безопасность которой эквивалентна вычислительной сложности SIS.

В 1998 году Джеффри Хоффштейн , Джилл Пайфер и Джозеф Х. Сильверман на основе решетки представили схему шифрования с открытым ключом , известную как NTRU . ^[4] Однако неизвестно, что их схема так же сложна, как решение наихудшей решеточной задачи.

Первая схема шифрования с открытым ключом на основе решетки, безопасность которой была доказана при предположениях о стойкости в наихудшем случае, была представлена ​​Одедом Регевом в 2005 году. ^[5] вместе с проблемой обучения с ошибками (LWE). С тех пор большая часть последующей работы была сосредоточена на улучшении защиты безопасности Регева. ^{[6] [7]} и повышение эффективности исходной схемы. ^{[8] [9] [10] [11]} Гораздо больше работ было посвящено построению дополнительных криптографических примитивов на основе LWE и связанных с ним проблем. Например, в 2009 году Крейг Джентри представил первую полностью гомоморфную схему шифрования, основанную на задаче решетки. ^[12]

Математическая основа [ править ]

В линейной решетка алгебре ${\displaystyle L\subset \mathbb {R} ^{n}}$ — множество всех целочисленных линейных комбинаций векторов из базиса ${\displaystyle \{\mathbf {b} _{1},\ldots ,\mathbf {b} _{n}\}}$ из ${\displaystyle \mathbb {R} ^{n}}$. Другими словами, ${\displaystyle L={\Big \{}\sum a_{i}\mathbf {b} _{i}:a_{i}\in \mathbb {Z} {\Big \}}.}$Например, ${\displaystyle \mathbb {Z} ^{n}}$ представляет собой решетку, порожденную стандартным базисом для ${\displaystyle \mathbb {R} ^{n}}$. Важно отметить, что основа решетки не уникальна. Например, векторы ${\displaystyle (3,1,4)}$, ${\displaystyle (1,5,9)}$, и ${\displaystyle (2,-1,0)}$ создать альтернативную основу для ${\displaystyle \mathbb {Z} ^{3}}$.

Наиболее важной вычислительной задачей на основе решетки является задача о кратчайшем векторе (SVP или иногда GapSVP), которая требует от нас аппроксимировать минимальную евклидову длину ненулевого вектора решетки. Считается, что эту проблему трудно решить эффективно, даже если коэффициенты аппроксимации являются полиномиальными по величине. ${\displaystyle n}$и даже с квантовым компьютером. Известно, что многие (хотя и не все) криптографические конструкции на основе решеток безопасны, если SVP действительно труден в этом режиме.

Избранные решетчатые схемы [ править ]

В этом разделе представлены избранные решетчатые схемы, сгруппированные по примитивам.

Шифрование [ править ]

Выбранные схемы с целью шифрования:

• Схема шифрования GGH , основанная на проблеме ближайшего вектора (CVP). В 1999 году Нгуен опубликовал критическую ошибку в конструкции схемы. ^[13]
• NTRUEncrypt .

Гомоморфное шифрование [ править ]

Избранные схемы для целей гомоморфного шифрования :

• Оригинальная схема Джентри. ^[12]
• Бракерски и Вайкунтанатан. ^{[14] [15]}

Хэш-функции [ править ]

Избранные криптографические схемы на основе решеток для целей хеширования:

• СВИФФТ .
• Решетчатая хеш-функция (LASH). ^{[16] [17]}

Обмен ключами [ править ]

Отдельные схемы обмена ключами, также называемые установлением ключей, инкапсуляцией ключей и механизмом инкапсуляции ключей (KEM):

• КРИСТАЛЛЫ-Кибер , ^[18] который построен на модульном обучении с ошибками (модуль-LWE). Kyber был выбран NIST для стандартизации в 2023 году. ^[1] В августе 2023 года NIST опубликовал FIPS 203 (первоначальный общедоступный проект) и начал называть свою версию Kyber механизмом инкапсуляции ключей на основе модульной решетки (ML-KEM). ^[19]
• ФродоКЭМ, ^{[20] [21]} схема, основанная на проблеме обучения с ошибками (LWE). FrodoKEM присоединилась к конкурсу по стандартизации, проведенному Национальным институтом стандартов и технологий (NIST) . ^[1] и дожил до 3-го раунда процесса. Затем от него отказались из-за низкой производительности. В октябре 2022 года в аккаунте в Твиттере, связанном с криптологом Дэниелом Дж. Бернстайном, были опубликованы сообщения о проблемах безопасности в frodokem640. ^[22]
• NewHope основан на проблеме кольцевого обучения с ошибками (RLWE). ^[23]
• НТРУ Прайм. ^[24]
• Работа Пейкерта , в основе которой лежит проблема кольцевого обучения с ошибками (RLWE). ^[9]
• Чтобы знать, ^[25] который основан на проблеме обучения модуля с округлением (модуль-LWR).

Подписание [ править ]

В этом разделе перечислены некоторые решетчатые схемы для цифровых подписей.

• КРИСТАЛЛЫ-Дилития, ^{[26] [27]} который построен на модульном обучении с ошибками (модуль-LWE) и модульном решении для коротких целых чисел (модуль-SIS). Дилитий был выбран для стандартизации NIST. ^[1] Согласно сообщению Рэя Перлнера, написанному от имени команды NIST PQC, стандарт подписи модуля NIST-LWE должен быть основан на версии 3.1 спецификации Dilithium.

• Falcon , основанный на решении коротких целых чисел (SIS) поверх NTRU. Falcon был выбран для стандартизации NIST. ^{[28] [1]}
• Схема подписи GGH .
• Работа Гюнейсу, Любашевского и Пёппельмана, основанная на кольцевом обучении с ошибками (RLWE). ^[29]

• МИТАКА, вариант Сокола. ^[30]
• НТРУСигн .
• qTESLA, основанный на кольцевом обучении с ошибками (RLWE). Схема qTESLA присоединилась к конкурсу по стандартизации, проведенному Национальным институтом стандартов и технологий (NIST) . ^{[31] [1]}

КРИСТАЛЛЫ-Дилития [ править ]

КРИСТАЛЛЫ-Дилития или просто Дилития ^{[26] [27]} построен на модуле LWE и модуле SIS. Дилитий был выбран NIST в качестве основы для стандарта цифровой подписи. ^[1] Согласно сообщению Рэя Перлнера, написанному от имени команды NIST PQC, стандарт подписи модуля NIST-LWE должен быть основан на версии 3.1 спецификации Dilithium. Изменения NIST в Dilithium 3.1 направлены на поддержку дополнительной случайности при подписании (хеджированная подпись) и других улучшений. ^[32]

Дилитиум был одной из двух схем цифровой подписи, первоначально выбранных NIST для процесса постквантовой криптографии, вторая — SPHINCS⁺, основанная не на решетках, а на хэшах.

В августе 2023 года NIST опубликовал FIPS 204 (первоначальный общедоступный проект) и начал называть дилитий алгоритмом цифровой подписи на основе модульной решетки (ML-DSA). ^[33]

По словам Фалько Стренцке, по состоянию на октябрь 2023 года ML-DSA внедрялся как часть Libgcrypt . ^[34]

Безопасность [ править ]

Криптографические конструкции на основе решеток открывают большие перспективы для с открытым ключом постквантовой криптографии . ^[35] Действительно, основными альтернативными формами криптографии с открытым ключом являются схемы, основанные на сложности факторизации и связанных с ней проблемах , а также схемы, основанные на сложности дискретного логарифма и связанных с ними проблемах . Однако известно, что и факторинг, и дискретный логарифм можно решить за полиномиальное время на квантовом компьютере . ^[36] Более того, алгоритмы факторизации имеют тенденцию давать алгоритмы дискретного логарифма, и наоборот. Это дополнительно мотивирует изучение конструкций, основанных на альтернативных предположениях, таких как сложность решеточных задач.

Известно, что многие криптографические схемы на основе решеток безопасны, предполагая в наихудшем случае . сложность определенных решеточных задач ^{[2] [5] [6]} Т.е. если существует алгоритм, который может эффективно взломать криптографическую схему с немалой вероятностью, то существует эффективный алгоритм, который решает определенную решеточную задачу на любом входе. Однако для практических решетчатых конструкций (таких как схемы на основе NTRU и даже схемы на основе LWE с эффективными параметрами) значимые гарантии безопасности на основе редукции неизвестны.

Оценки уровней безопасности, обеспечиваемые аргументами редукции из сложных задач, основанные на рекомендуемых размерах параметров, стандартных оценках вычислительной сложности сложных задач и подробном рассмотрении этапов редукции, называются конкретной безопасностью и иногда практически доказуемыми. безопасность . ^[37] Авторы, исследовавшие конкретную безопасность криптосистем на основе решетки, обнаружили, что доказуемые результаты безопасности для таких систем не обеспечивают какой-либо значимой конкретной безопасности для практических значений параметров. ^{[38] [39]}

Функциональность [ править ]

Для многих криптографических примитивов единственные известные конструкции основаны на решетках или тесно связанных объектах. Эти примитивы включают полностью гомоморфное шифрование , ^[12] неразличимость , запутывание, ^[40] криптографические многолинейные карты и функциональное шифрование . ^[40]

См. также [ править ]

• Проблемы с решеткой
• Обучение с ошибками
• Гомоморфное шифрование
• Постквантовая криптография
• Кольцевое обучение с ошибками
• Кольцевое обучение с обменом ключами ошибок

Ссылки [ править ]

Библиография [ править ]

• Одед Гольдрейх, Шафи Гольдвассер и Шай Халеви. «Криптосистемы с открытым ключом из задач редукции решетки». В Crypto '97: материалы 17-й ежегодной международной конференции по криптологии, посвященной достижениям в криптологии , страницы 112–131, Лондон, Великобритания, 1997. Springer-Verlag.
• Одед Регев. Решётчатая криптография. В «Достижениях в криптологии» (CRYPTO) , страницы 131–141, 2006 г.