Схема шифрования GGH

Криптосистема Гольдрайха-Гольдвассера-Халеви (GGH) на основе решетки представляет собой асимметричную криптосистему, основанную на решетках . Существует также схема подписи GGH .

Криптосистема Гольдрайха-Гольдвассера-Халеви (GGH) использует тот факт, что задача ближайшего вектора может быть сложной задачей. Эта система была опубликована в 1997 году Одедом Гольдрейхом , Шафи Голдвассером и Шаем Халеви и использует одностороннюю функцию с люком , которая зависит от сложности сокращения решетки . Идея, заложенная в эту функцию-лазейку, заключается в том, что, имея любой базис решетки, легко сгенерировать вектор, близкий к точке решетки, например, взяв точку решетки и добавив небольшой вектор ошибок. Но чтобы вернуться от этого ошибочного вектора к исходной точке решетки, нужен специальный базис.

Схема шифрования GGH была криптоанализирована (взломана) в 1999 году Фонгом К. Нгуеном [ fr ] . Нгуен и Одед Регев провели криптоанализ соответствующей схемы подписи GGH в 2006 году.

GGH включает в себя закрытый ключ и открытый ключ .

Закрытый ключ является основой ${\displaystyle B}$ решетки ${\displaystyle L}$ с хорошими свойствами (такими как короткие почти ортогональные векторы) и унимодулярной матрицей ${\displaystyle U}$.

Открытый ключ — еще одна основа решетки. ${\displaystyle L}$ формы ${\displaystyle B'=UB}$.

Для некоторого выбранного M пространство сообщений состоит из вектора ${\displaystyle (m_{1},...,m_{n})}$ в диапазоне ${\displaystyle -M<m_{i}<M}$.

Учитывая сообщение ${\displaystyle m=(m_{1},...,m_{n})}$, ошибка ${\displaystyle e}$и открытый ключ ${\displaystyle B'}$ вычислить

${\displaystyle v=\sum m_{i}b_{i}'}$

В матричной записи это

${\displaystyle v=m\cdot B'}$.

Помнить ${\displaystyle m}$ состоит из целочисленных значений, а ${\displaystyle b'}$ является точкой решетки, поэтому v также является точкой решетки. Тогда зашифрованный текст

${\displaystyle c=v+e=m\cdot B'+e}$

Для расшифровки зашифрованного текста вычисляется

${\displaystyle c\cdot B^{-1}=(m\cdot B^{\prime }+e)B^{-1}=m\cdot U\cdot B\cdot B^{-1}+e\cdot B^{-1}=m\cdot U+e\cdot B^{-1}}$

Для удаления члена будет использован метод округления Бабая. ${\displaystyle e\cdot B^{-1}}$ пока он достаточно мал. Наконец вычислите

${\displaystyle m=m\cdot U\cdot U^{-1}}$

чтобы получить текст сообщения.

Позволять ${\displaystyle L\subset \mathbb {R} ^{2}}$ быть решеткой с основанием ${\displaystyle B}$ и его инверсия ${\displaystyle B^{-1}}$

${\displaystyle B={\begin{pmatrix}7&0\\0&3\\\end{pmatrix}}}$ и ${\displaystyle B^{-1}={\begin{pmatrix}{\frac {1}{7}}&0\\0&{\frac {1}{3}}\\\end{pmatrix}}}$

С

${\displaystyle U={\begin{pmatrix}2&3\\3&5\\\end{pmatrix}}}$ и

${\displaystyle U^{-1}={\begin{pmatrix}5&-3\\-3&2\\\end{pmatrix}}}$

это дает

${\displaystyle B'=UB={\begin{pmatrix}14&9\\21&15\\\end{pmatrix}}}$

Пусть сообщение будет ${\displaystyle m=(3,-7)}$ и вектор ошибки ${\displaystyle e=(1,-1)}$. Тогда зашифрованный текст

${\displaystyle c=mB'+e=(-104,-79).\,}$

Для расшифровки необходимо вычислить

${\displaystyle cB^{-1}=\left({\frac {-104}{7}},{\frac {-79}{3}}\right).}$

Это округляется до ${\displaystyle (-15,-26)}$ и сообщение восстанавливается с помощью

${\displaystyle m=(-15,-26)U^{-1}=(3,-7).\,}$

В 1999 году Нгуен ^{[ 1 ]} показал, что схема шифрования GGH имеет конструктивный недостаток. Он показал, что каждый зашифрованный текст раскрывает информацию об открытом тексте и что проблему дешифрования можно превратить в специальную задачу ближайшего вектора, которую гораздо легче решить, чем общую CVP.

• Гольдрейх, Одед; Гольдвассер, Шафи; Халеви, Шай (1997). «Криптосистемы с открытым ключом из задач редукции решетки». CRYPTO '97: Материалы 17-й ежегодной международной конференции по криптологии, посвящённой достижениям в криптологии . Лондон: Springer-Verlag. стр. 112–131.
• Нгуен, Фонг К. (1999). «Криптоанализ криптосистемы Гольдрайха – Гольдвассера – Халеви из Crypto '97» . CRYPTO '99: Материалы 19-й ежегодной международной конференции по криптологии, посвящённой достижениям в криптологии . Лондон: Springer-Verlag. стр. 288–304.
• Нгуен, Фонг К.; Регев, Одед (11 ноября 2008 г.). «Изучение параллелепипеда: криптоанализ подписей GGH и NTRU» (PDF) . Журнал криптологии . 22 (2): 139–160. дои : 10.1007/s00145-008-9031-0 . eISSN   1432-1378 . ISSN   0933-2790 . S2CID   2164840 . Предварительная версия в EUROCRYPT 2006.