Криптосистема Міччанчо

Криптосистема Міччанчо — криптографічна система, заснована на схемі шифрування GGH, запропонована 2001 року професором Університету Каліфорнії в Сан-Дієго Данієлем Міччанчо.

Схема шифрування GGH спирається на криптографію на ґратках, яку вважають перспективною для використання в постквантових системах (оскільки криптосистеми, що використовують факторизацію цілих чисел, дискретне логарифмування, дискретне логарифмування на еліптичних кривих можуть бути ефективно зламані квантовим комп'ютером). Криптосистема Міччанчо, фактично, є покращенням схеми шифрування GGH, зі зменшенням вимог до розміру ключа та шифротексту в ${\displaystyle N}$ разів без погіршення безпеки системи, де ${\displaystyle N}$ — розмірність ґратки (для типових криптосистем становить кілька сотень). 2004 року Крістоф Людвіг емпірично показав, що для безпечного використання потрібно ${\textstyle N\geq 782}$, до того ж, створення ключа і його дешифрування займає багато часу, а сам розмір ключа має бути більшим від 1 МБ. Тому ця криптосистема не може бути використана на практиці^[1][2][3][4].

Основні поняття та позначення[ред. | ред. код]

Нехай ${\displaystyle \mathrm {B} =\{\mathbf {b} _{1},...,\mathbf {b} _{N}\}}$, де ${\displaystyle \mathbf {b} _{i}\in \mathbb {R} ^{M},i={\overline {1,N}}}$ — набір з ${\displaystyle N}$ лінійно незалежних векторів, і компоненти кожного з векторів є цілими числами, а ${\displaystyle B}$ — матриця з цих векторів розміру ${\displaystyle M\times N}$. Далі теорія будується для ${\displaystyle M=N}$. Ґраткою будемо називати множину ${\displaystyle {\mathcal {L}}(\mathrm {B} )=\{\mathrm {B} x\mid x\in \mathbb {Z} ^{M}\}}$^[5].

Через те, що базис ${\displaystyle \mathrm {B} }$ може бути не унікальним, прийнято вибирати як базис ермітову нормальну форму, яка для кожної окремо взятої решітки унікальна. Це означає, що матриця, складена з векторів базису, є верхня трикутна, всі діагональні елементи строго додатні, інші елементи задовольняють ${\displaystyle 0\leq b_{ij}<b_{ii}}$. Цей вид матриць має такі корисні властивості. По-перше, через ортогоналізацію Грама — Шмідта така матриця зводиться до діагонального вигляду з елементами ${\displaystyle b_{ii}}$ на діагоналі. По-друге, визначник такої матриці дорівнює добутку її діагональних елементів, тобто ${\textstyle \det(\mathrm {B} )=\prod _{i=1}^{n}b_{ii}}$^[5].

З останнього також випливає важлива властивість цілих ґраток:

Нехай довільні вектори ${\displaystyle v}$ і ${\displaystyle w}$ такі, що ${\displaystyle v_{i}\equiv w_{i}\ \mod \det(\mathrm {B} )}$. В цьому випадку ${\displaystyle v\in {\mathcal {L}}(\mathrm {B} )}$ тоді й лише тоді, коли ${\displaystyle w\in {\mathcal {L}}(\mathrm {B} )}$.

Нехай ${\textstyle {\mathcal {P}}(\mathrm {B} ^{*})=\{\sum _{i}x_{i}\mathbf {b_{i}^{*}} \ |\ 0\leq x_{i}<1\}}$ — прямий паралелепіпед, де ${\displaystyle x_{i}}$ — цілочисельні координати, ${\displaystyle \mathbf {b_{i}^{*}} }$ — ортогоналізовані за процесом Грама — Шмідта базисні вектори, ${\displaystyle i={\overline {1,N}}}$. Простір ${\displaystyle \mathbb {R} ^{N}}$ можна замостити такими паралелепіпедами. Тоді для будь-якого ${\displaystyle v\in \mathbb {Z} ^{N}}$ існує унікальний вектор ${\displaystyle w\in {\mathcal {P}}(\mathrm {B} ^{*})}$. Такий вектор називають редукованим для вектора ${\displaystyle v\in \mathbb {Z} ^{N}}$ за модулем ${\displaystyle \mathrm {B} }$. Його отримують знаходженням відносної позиції ${\displaystyle v}$ в ${\displaystyle z+{\mathcal {P}}(\mathrm {B} ^{*})}$, де ${\displaystyle z\in {\mathcal {L}}(\mathrm {B} )}$^[5].

Цей вектор можна знайти за таким алгоритмом:

1. Знайти ${\textstyle \alpha _{i}={\frac {\langle v,b_{i}^{*}\rangle }{\langle b_{i}^{*},b_{i}^{*}\rangle }}}$
2. Обчислити вектор за формулою ${\displaystyle w=v-\lfloor \alpha _{i}\rfloor \mathbf {b_{i}} \in {\mathcal {P}}(\mathrm {B} ^{*})}$^[6].

Методологія[ред. | ред. код]

У криптосистемах на ґратках ключами є базиси. Нехай ${\displaystyle \mathrm {B} }$ і ${\displaystyle \mathrm {R} }$ — публічний і приватний базиси однієї й тієї ж ґратки ${\displaystyle {\mathcal {L}}={\mathcal {L}}(\mathrm {B} )={\mathcal {L}}\mathrm {(} R)}$. Відмінність цієї криптосистеми від системи шифрування GGH полягає в оптимальному виборі односторонньої функції. Важливою особливістю функції в криптосистемі Міччанчо є детермінованість. У цьому розділі будується загальний клас функцій вигляду GGH^[7].

Клас односторонніх функцій вигляду GGH[ред. | ред. код]

Для схеми шифрування GGH одностороння функція набуває вигляду ${\displaystyle c=\mathrm {B} x+\epsilon }$, де ${\displaystyle c}$ — шифротекст, ${\displaystyle x}$ — цілочисельний вектор і ${\displaystyle \epsilon }$ — вектор помилки, завдовжки не більше ${\displaystyle \rho }$, ${\displaystyle {\frac {1}{2}}\min _{i}(\mathbf {b_{i}^{*}} )\ll \rho ={\frac {1}{2}}\min _{i}(\mathbf {r_{i}^{*}} )}$. Останнє необхідне для того, щоб помилка не створювала сильних спотворень під час обчислення з приватним базисом і, навпаки, для обчислень із публічним. Тут повідомлення ${\displaystyle m}$ кодується в ${\displaystyle \epsilon }$, а ${\displaystyle x}$ вибирається випадково^[5].

Сімейство односторонніх функцій GGH-виду ${\displaystyle f_{\beta ,\gamma }}$, параметризоване алгоритмами ${\displaystyle \gamma }$ і ${\displaystyle \beta }$, задовольняє:

1. ${\displaystyle \beta }$ приймає на вхід приватний базис ${\displaystyle \mathrm {R} }$, а виводить публічний базис ${\displaystyle \mathrm {B} }$ для тієї ж ґратки.
2. ${\displaystyle \gamma }$ отримує ${\displaystyle \mathrm {B} }$ і ${\displaystyle \epsilon }$, а повертає коефіцієнти точки ґратки ${\displaystyle x}$
3. Тоді ${\displaystyle f_{\beta ,\gamma }}$ відображає множину векторів, коротших від ${\displaystyle \rho }$ так: ${\displaystyle f_{\beta ,\gamma }(\epsilon )=\beta ({\mathsf {R}})\gamma ({\mathsf {R}},\epsilon )+\epsilon }$^[5].

Якщо вектор помилки має довжину менше ${\displaystyle \rho }$ тоді приватний базис ${\displaystyle \mathrm {R} }$ можна використати для знаходження точки ${\displaystyle \mathrm {B} x}$, найближчою до ${\displaystyle f_{\beta ,\gamma }(\epsilon )}$, і, відповідно, відновлення ${\displaystyle \epsilon }$ (задача знаходження найближчого вектора)^[5].

Вибір публічного базису[ред. | ред. код]

Нехай відомий «хороший» приватний базис ${\displaystyle \mathrm {R} }$, тобто за допомогою нього можна розв'язати задачу знаходження найближчого вектора в ${\displaystyle {\mathcal {L}}\mathrm {(} R)}$, що те саме — розшифрувати шифротекст. Задача — згенерувати з ${\displaystyle \mathrm {R} }$ такий публічний базис ${\displaystyle \mathrm {B} }$, щоб мінімізувати в ньому інформацію про ${\displaystyle \mathrm {R} }$. У звичайній схемі шифрування GGH для знаходження ${\displaystyle \mathrm {B} }$ застосовують набір випадкових перетворень до ${\displaystyle \mathrm {R} }$. Криптосистема Міччанчо використовує як публічний базис ${\displaystyle \mathrm {B} }$ ермітову нормальну форму, тобто ${\displaystyle \mathrm {B} =HNF(\mathrm {R} )}$ (HNF — Hermite Normal Form). Вона унікальна для конкретно заданої ґратки, як сказано вище. Це веде до того, що якщо є якийсь інший базис для цієї ґратки ${\displaystyle \mathrm {B} '}$, то ${\displaystyle \mathrm {B} =HNF(\mathrm {R} )=HNF(\mathrm {\mathrm {B} '} )}$. Отже, ${\displaystyle \mathrm {B} }$ містить про ${\displaystyle \mathrm {R} }$ не більше інформації, ніж про ${\displaystyle \mathrm {B} '}$, на чому й ґрунтується безпека цієї криптосистеми^[5].

Додання «випадкової» точки ґратки[ред. | ред. код]

Далі, потрібно зімітувати додання випадкової точки ґратки ${\displaystyle \mathrm {B} x}$. В ідеалі, ця точка повинна вибиратися рівномірно довільно серед усіх точок ґратки. Однак це неможливо ні з практичної, ні з теоретичної точки зору. Майже такий самий результат виходить при використанні редукованого вектора. Вектор помилки ${\displaystyle \epsilon }$ зменшується за модулем публічного базису ${\displaystyle \mathrm {B} }$, щоб отримати шифротекст ${\displaystyle c\in {\mathcal {P}}(\mathrm {B} ^{*})}$, замість додавання випадкового вектора. В результаті одностороння функція задається як ${\displaystyle f(\epsilon )=\epsilon {\pmod {\mathrm {B} }}}$, де ${\displaystyle \mathrm {B} =HNF(\mathrm {R} )}$. Завдяки верхній трикутній формі матриці ${\displaystyle \mathrm {B} }$ ця функція дуже проста з обчислювальної точки зору. Застосовуючи міркування для обчислення редукованого вектора можна знайти формулу ${\displaystyle x_{i}=\lfloor {\frac {\epsilon _{i}-\sum _{j>i}b_{ij}x_{j}}{b_{ii}}}\rfloor }$, починаючи з ${\displaystyle x_{N}}$, що дає унікальну точку в паралелепіпеді ${\displaystyle {\mathcal {P}}(\mathrm {B} ^{*})}$^[5].

Резюме[ред. | ред. код]

Нехай ${\displaystyle \mathrm {R} }$ — приватний базис, причому ${\displaystyle \rho ={\frac {1}{2}}\min _{i}(\mathbf {r_{i}^{*}} )}$ є відносно великим, ${\displaystyle \mathrm {B} }$ — публічний базис і ${\displaystyle \mathrm {B} =HNF(\mathrm {R} )}$. Базис ${\displaystyle \mathrm {B} }$ породжує функцію ${\displaystyle f(\epsilon )=\epsilon {\pmod {\mathrm {B} }}}$, яка переводить вектор довжини менше ${\displaystyle \rho }$ у відповідний ${\displaystyle \mathrm {B} }$ прямий паралелепіпед ${\displaystyle {\mathcal {P}}(\mathrm {B} ^{*})}$. Ключові моменти:

1. Навіть якщо спочатку ${\displaystyle f(\epsilon )}$ близька до точки ${\displaystyle \epsilon }$, після операції редукції виходить вектор, близький до інших точок ґратки.
2. Щоб відновити ${\displaystyle \epsilon }$ за ${\displaystyle f(\epsilon )}$, необхідно розв'язати задачу знаходження найближчого вектора, для якої доведено NP-складність. Тому відновити ${\displaystyle \epsilon }$, маючи тільки ${\displaystyle \mathrm {B} }$, майже неможливо, навіть для квантових комп'ютерів. Однак вона ефективно розв'язується, якщо відомий базис ${\displaystyle \mathrm {R} }$.
3. Найближча точка до ${\displaystyle f(\epsilon )}$ — центр паралелепіпеда, в якому міститься ${\displaystyle f(\epsilon )}$, а його знайти легко, знаючи базис ${\displaystyle \mathrm {R} }$^[5].

Теоретичний аналіз[ред. | ред. код]

Безпека[ред. | ред. код]

Нова функція цієї криптосистеми настільки ж безпечна, як функція в схемі шифрування GGH. Така теорема стверджує, що наведена вище функція, як мінімум, не гірша від будь-якої іншої функції вигляду GGH^[5]:

Для будь-яких функцій ${\displaystyle \beta ,\gamma }$ і для будь-якого алгоритму, який для ${\displaystyle f(\epsilon )}$ знаходить про ${\displaystyle \epsilon }$ якусь часткову інформацію з ненульовою ймовірністю, існує ефективний алгоритм зі входом ${\displaystyle f_{\beta ,\gamma }(\epsilon )}$, здатний відновити таку ж інформацію з такою ж імовірністю успіху^[5].

Доведення: нехай ${\displaystyle A}$ — алгоритм здатний зламати ${\displaystyle f}$. Дано публічний базис ${\displaystyle \mathrm {B} }$ = ${\displaystyle \beta (\epsilon )}$ та шифротекст ${\displaystyle c=\mathrm {B} \gamma +\epsilon }$. Алгоритм злому повинен спробувати знайти якусь інформацію про ${\displaystyle \epsilon }$. По перше, ${\displaystyle \mathrm {B} '=HNF(\mathrm {B} )}$ і ${\displaystyle c'=c{\pmod {B'}}}$. З теоретичних результатів у попередньому розділі випливає, що ${\displaystyle \mathrm {B} '=HNF(\mathrm {R} )}$ і ${\displaystyle c'=\mathrm {B} \gamma +\epsilon {\pmod {B'}}=\epsilon {\pmod {B'}}}$. Тому ${\displaystyle B'}$ і ${\displaystyle c'}$ мають правильний розподіл. Застосовуючи до них алгоритм ${\displaystyle A}$, отримуємо твердження теореми^[5].

Асимптотичні оцінки пам'яті[ред. | ред. код]

Нехай для приватного ключа виконується ${\displaystyle |r_{ij}|<poly(N)}$, тоді розмір, займаний ключем, оцінюється ${\displaystyle O(N^{2}\ \lg N^{2})}$. Використовуючи нерівність Адамара, а також те, що для публічного базису та шифротексту GGH системи виконуються оцінки ${\displaystyle O(N^{2}\ \lg(\det({\mathcal {L}})))=O(N^{2}\ \lg(N))}$ і ${\displaystyle O(N\ \lg(\det({\mathcal {L}})))=O(N\ \lg(N))}$, випливає, що оцінки для публічного базису й шифротексту нашої системи ${\displaystyle O(N^{2}\ \lg(N))}$ і ${\displaystyle O(N\ \lg(N))}$^[5][7].

Асимптотичні оцінки часу виконання[ред. | ред. код]

Теоретично, очікується прискорення роботи алгоритму порівняно з GGH із двох причин (емпіричні результати наведено нижче). По-перше, час шифрування для GGH систем залежить від розміру публічного ключа. Теоретичні оцінки на займану ключем пам'ять свідчать про її зменшення, отже й про прискорення шифрування. При цьому час роботи GGH можна порівняти з часом роботи схеми RSA. По-друге, для генерування ключа початковий алгоритм застосовує алгоритм Ленстри — Ленстри — Ловаса до матриць великої розмірності з великими значеннями елементів, тоді як система Міччанчо використовує досить простий алгоритм знаходження ермітової нормальної форми. Для дешифрування використовується алгоритм Бабая^[8], з деякими втратами пам'яті та точності, але поліпшенням за часом його можна замінити простішим алгоритмом округлення^[9], проте в цій частині прискорення за часом виконання не очікується.

Емпірична оцінка безпеки системи[ред. | ред. код]

На практиці для безпеки цієї системи потрібно ${\displaystyle N\geq 782}$. За припущення, що покращення часу досягає максимальних асимптотичних оцінок, найменше необхідне ${\displaystyle N}$ має бути більше ${\displaystyle 2093}$. Далі було показано, що публічний ключ має бути не менше ніж 1 МБ. Більш того, час створення ключа займає порядку доби. Процедура шифрування справді досить швидка. Однак дешифрування нестабільне через алгоритм Бабая^[8]. Це можна подолати, але тоді вона займатиме 73 хвилини для ${\displaystyle N=800}$ не включаючи ортогоналізації. Якщо виконати цей крок заздалегідь, то до витрат пам'яті додається 4.8 МБ для тієї ж розмірності. З цих результатів випливає, що криптосистема Міччанчо незастосовна на практиці^[1][2][3][4].

Примітки[ред. | ред. код]

Література[ред. | ред. код]

• Daniele Micciancio, Oded Regev Lattice-основана криптографія // Post Quantum Cryptography. — 2009.
• Daniele Micciancio Improving lattice-базовані cryptosystems з використанням Hermite normal form // Lecture notes in Computer Science. — 2001.
• Christoph Ludwig The Security and Efficiency of Micciancio's Cryptosystem // IACR Cryptology. — 2004.