Криптосистема Міччанчо

Криптосистема Міччанчо — криптографічна система, заснована на схемі шифрування GGH, запропонована 2001 року професором Університету Каліфорнії в Сан-Дієго Данієлем Міччанчо.

Схема шифрування GGH спирається на криптографію на ґратках, яку вважають перспективною для використання в постквантових системах (оскільки криптосистеми, що використовують факторизацію цілих чисел, дискретне логарифмування, дискретне логарифмування на еліптичних кривих можуть бути ефективно зламані квантовим комп'ютером). Криптосистема Міччанчо, фактично, є покращенням схеми шифрування GGH, зі зменшенням вимог до розміру ключа та шифротексту в ${\displaystyle N}$ разів без погіршення безпеки системи, де ${\displaystyle N}$ — розмірність ґратки (для типових криптосистем становить кілька сотень). 2004 року Крістоф Людвіг емпірично показав, що для безпечного використання потрібно $N\ge 782$, до того ж, створення ключа і його дешифрування займає багато часу, а сам розмір ключа має бути більшим від 1 МБ. Тому ця криптосистема не може бути використана на практиці^[1][2][3][4].

Нехай ${\displaystyle \mathrm{B}=\{{𝐛}_1,...,{𝐛}_N\}}$, де ${\displaystyle {𝐛}_i\in {ℝ}^M,i=\overline{1,N}}$ — набір з ${\displaystyle N}$ лінійно незалежних векторів, і компоненти кожного з векторів є цілими числами, а ${\displaystyle B}$ — матриця з цих векторів розміру ${\displaystyle M\times N}$. Далі теорія будується для ${\displaystyle M=N}$. Ґраткою будемо називати множину ${\displaystyle ℒ(\mathrm{B})=\{\mathrm{B}x\mid x\in {\mathbb{Z}}^M\}}$^[5].

Через те, що базис ${\displaystyle \mathrm{B}}$ може бути не унікальним, прийнято вибирати як базис ермітову нормальну форму, яка для кожної окремо взятої решітки унікальна. Це означає, що матриця, складена з векторів базису, є верхня трикутна, всі діагональні елементи строго додатні, інші елементи задовольняють ${\displaystyle 0\le b_{ij}<b_{ii}}$. Цей вид матриць має такі корисні властивості. По-перше, через ортогоналізацію Грама — Шмідта така матриця зводиться до діагонального вигляду з елементами ${\displaystyle b_{ii}}$ на діагоналі. По-друге, визначник такої матриці дорівнює добутку її діагональних елементів, тобто $\det (\mathrm{B})={\prod }_{i=1}^n{b}_{ii}$^[5].

З останнього також випливає важлива властивість цілих ґраток:

Нехай довільні вектори ${\displaystyle v}$ і ${\displaystyle w}$ такі, що ${\displaystyle v_i\equiv w_{i}mod\det (\mathrm{B})}$. В цьому випадку ${\displaystyle v\in ℒ(\mathrm{B})}$ тоді й лише тоді, коли ${\displaystyle w\in ℒ(\mathrm{B})}$.

Нехай $𝒫({\mathrm{B}}^{*})=\{\sum _i{x}_i{b}_{𝐢}^{\mathbf{*}}|0\le x_i<1\}$ — прямий паралелепіпед, де ${\displaystyle x_i}$ — цілочисельні координати, ${\displaystyle b_{𝐢}^{\mathbf{*}}}$ — ортогоналізовані за процесом Грама — Шмідта базисні вектори, ${\displaystyle i=\overline{1,N}}$. Простір ${\displaystyle {ℝ}^N}$ можна замостити такими паралелепіпедами. Тоді для будь-якого ${\displaystyle v\in {\mathbb{Z}}^N}$ існує унікальний вектор ${\displaystyle w\in 𝒫({\mathrm{B}}^{*})}$. Такий вектор називають редукованим для вектора ${\displaystyle v\in {\mathbb{Z}}^N}$ за модулем ${\displaystyle \mathrm{B}}$. Його отримують знаходженням відносної позиції ${\displaystyle v}$ в ${\displaystyle z+𝒫({\mathrm{B}}^{*})}$, де ${\displaystyle z\in ℒ(\mathrm{B})}$^[5].

Цей вектор можна знайти за таким алгоритмом:

1. Знайти ${\alpha }_i=\frac{⟨v,b_i^{*}⟩}{⟨b_i^{*},b_i^{*}⟩}$
2. Обчислити вектор за формулою ${\displaystyle w=v-\lfloor {\alpha }_i\rfloor {𝐛}_{𝐢}\in 𝒫({\mathrm{B}}^{*})}$^[6].

У криптосистемах на ґратках ключами є базиси. Нехай ${\displaystyle \mathrm{B}}$ і ${\displaystyle \mathrm{R}}$ — публічний і приватний базиси однієї й тієї ж ґратки ${\displaystyle ℒ=ℒ(\mathrm{B})=ℒ\mathrm{(}R)}$. Відмінність цієї криптосистеми від системи шифрування GGH полягає в оптимальному виборі односторонньої функції. Важливою особливістю функції в криптосистемі Міччанчо є детермінованість. У цьому розділі будується загальний клас функцій вигляду GGH^[7].

Для схеми шифрування GGH одностороння функція набуває вигляду ${\displaystyle c=\mathrm{B}x+ϵ}$, де ${\displaystyle c}$ — шифротекст, ${\displaystyle x}$ — цілочисельний вектор і ${\displaystyle ϵ}$ — вектор помилки, завдовжки не більше ${\displaystyle \rho }$, ${\displaystyle \frac{1}{2}\underset{i}{\min }(b_{𝐢}^{\mathbf{*}})\ll \rho =\frac{1}{2}\underset{i}{\min }(r_{𝐢}^{\mathbf{*}})}$. Останнє необхідне для того, щоб помилка не створювала сильних спотворень під час обчислення з приватним базисом і, навпаки, для обчислень із публічним. Тут повідомлення ${\displaystyle m}$ кодується в ${\displaystyle ϵ}$, а ${\displaystyle x}$ вибирається випадково^[5].

Сімейство односторонніх функцій GGH-виду ${\displaystyle f_{\beta ,\gamma }}$, параметризоване алгоритмами ${\displaystyle \gamma }$ і ${\displaystyle \beta }$, задовольняє:

1. ${\displaystyle \beta }$ приймає на вхід приватний базис ${\displaystyle \mathrm{R}}$, а виводить публічний базис ${\displaystyle \mathrm{B}}$ для тієї ж ґратки.
2. ${\displaystyle \gamma }$ отримує ${\displaystyle \mathrm{B}}$ і ${\displaystyle ϵ}$, а повертає коефіцієнти точки ґратки ${\displaystyle x}$
3. Тоді ${\displaystyle f_{\beta ,\gamma }}$ відображає множину векторів, коротших від ${\displaystyle \rho }$ так: ${\displaystyle f_{\beta ,\gamma }(ϵ)=\beta (𝖱)\gamma (𝖱,ϵ)+ϵ}$^[5].

Якщо вектор помилки має довжину менше ${\displaystyle \rho }$ тоді приватний базис ${\displaystyle \mathrm{R}}$ можна використати для знаходження точки ${\displaystyle \mathrm{B}x}$, найближчою до ${\displaystyle f_{\beta ,\gamma }(ϵ)}$, і, відповідно, відновлення ${\displaystyle ϵ}$ (задача знаходження найближчого вектора)^[5].

Нехай відомий «хороший» приватний базис ${\displaystyle \mathrm{R}}$, тобто за допомогою нього можна розв'язати задачу знаходження найближчого вектора в ${\displaystyle ℒ\mathrm{(}R)}$, що те саме — розшифрувати шифротекст. Задача — згенерувати з ${\displaystyle \mathrm{R}}$ такий публічний базис ${\displaystyle \mathrm{B}}$, щоб мінімізувати в ньому інформацію про ${\displaystyle \mathrm{R}}$. У звичайній схемі шифрування GGH для знаходження ${\displaystyle \mathrm{B}}$ застосовують набір випадкових перетворень до ${\displaystyle \mathrm{R}}$. Криптосистема Міччанчо використовує як публічний базис ${\displaystyle \mathrm{B}}$ ермітову нормальну форму, тобто ${\displaystyle \mathrm{B}=HNF(\mathrm{R})}$ (HNF — Hermite Normal Form). Вона унікальна для конкретно заданої ґратки, як сказано вище. Це веде до того, що якщо є якийсь інший базис для цієї ґратки ${\displaystyle {\mathrm{B}}^{\prime }}$, то ${\displaystyle \mathrm{B}=HNF(\mathrm{R})=HNF({\mathrm{B}}^{\prime })}$. Отже, ${\displaystyle \mathrm{B}}$ містить про ${\displaystyle \mathrm{R}}$ не більше інформації, ніж про ${\displaystyle {\mathrm{B}}^{\prime }}$, на чому й ґрунтується безпека цієї криптосистеми^[5].

Далі, потрібно зімітувати додання випадкової точки ґратки ${\displaystyle \mathrm{B}x}$. В ідеалі, ця точка повинна вибиратися рівномірно довільно серед усіх точок ґратки. Однак це неможливо ні з практичної, ні з теоретичної точки зору. Майже такий самий результат виходить при використанні редукованого вектора. Вектор помилки ${\displaystyle ϵ}$ зменшується за модулем публічного базису ${\displaystyle \mathrm{B}}$, щоб отримати шифротекст ${\displaystyle c\in 𝒫({\mathrm{B}}^{*})}$, замість додавання випадкового вектора. В результаті одностороння функція задається як ${\displaystyle f(ϵ)=ϵ(\mathrm{mod}\mathrm{B})}$, де ${\displaystyle \mathrm{B}=HNF(\mathrm{R})}$. Завдяки верхній трикутній формі матриці ${\displaystyle \mathrm{B}}$ ця функція дуже проста з обчислювальної точки зору. Застосовуючи міркування для обчислення редукованого вектора можна знайти формулу ${\displaystyle x_i=\lfloor \frac{{ϵ}_i-\sum _{j>i}{b}_{ij}{x}_j}{b_{ii}}\rfloor }$, починаючи з ${\displaystyle x_N}$, що дає унікальну точку в паралелепіпеді ${\displaystyle 𝒫({\mathrm{B}}^{*})}$^[5].

Нехай ${\displaystyle \mathrm{R}}$ — приватний базис, причому ${\displaystyle \rho =\frac{1}{2}\underset{i}{\min }(r_{𝐢}^{\mathbf{*}})}$ є відносно великим, ${\displaystyle \mathrm{B}}$ — публічний базис і ${\displaystyle \mathrm{B}=HNF(\mathrm{R})}$. Базис ${\displaystyle \mathrm{B}}$ породжує функцію ${\displaystyle f(ϵ)=ϵ(\mathrm{mod}\mathrm{B})}$, яка переводить вектор довжини менше ${\displaystyle \rho }$ у відповідний ${\displaystyle \mathrm{B}}$ прямий паралелепіпед ${\displaystyle 𝒫({\mathrm{B}}^{*})}$. Ключові моменти:

1. Навіть якщо спочатку ${\displaystyle f(ϵ)}$ близька до точки ${\displaystyle ϵ}$, після операції редукції виходить вектор, близький до інших точок ґратки.
2. Щоб відновити ${\displaystyle ϵ}$ за ${\displaystyle f(ϵ)}$, необхідно розв'язати задачу знаходження найближчого вектора, для якої доведено NP-складність. Тому відновити ${\displaystyle ϵ}$, маючи тільки ${\displaystyle \mathrm{B}}$, майже неможливо, навіть для квантових комп'ютерів. Однак вона ефективно розв'язується, якщо відомий базис ${\displaystyle \mathrm{R}}$.
3. Найближча точка до ${\displaystyle f(ϵ)}$ — центр паралелепіпеда, в якому міститься ${\displaystyle f(ϵ)}$, а його знайти легко, знаючи базис ${\displaystyle \mathrm{R}}$^[5].

Нова функція цієї криптосистеми настільки ж безпечна, як функція в схемі шифрування GGH. Така теорема стверджує, що наведена вище функція, як мінімум, не гірша від будь-якої іншої функції вигляду GGH^[5]:

Для будь-яких функцій

${\displaystyle \beta ,\gamma }$

і для будь-якого алгоритму, який для

${\displaystyle f(ϵ)}$

знаходить про

${\displaystyle ϵ}$

якусь часткову інформацію з ненульовою ймовірністю, існує ефективний алгоритм зі входом

${\displaystyle f_{\beta ,\gamma }(ϵ)}$

, здатний відновити таку ж інформацію з такою ж імовірністю успіху^[5].

Доведення: нехай

 — алгоритм здатний зламати

. Дано публічний базис

=

та шифротекст

. Алгоритм злому повинен спробувати знайти якусь інформацію про

. По перше,

і

. З теоретичних результатів у попередньому розділі випливає, що

і

. Тому

і

мають правильний розподіл. Застосовуючи до них алгоритм

, отримуємо твердження теореми^[5].

Нехай для приватного ключа виконується ${\displaystyle |r_{ij}|<poly(N)}$, тоді розмір, займаний ключем, оцінюється ${\displaystyle O(N^2\lg N^2)}$. Використовуючи нерівність Адамара, а також те, що для публічного базису та шифротексту GGH системи виконуються оцінки ${\displaystyle O(N^2\lg (\det (ℒ)))=O(N^2\lg (N))}$ і ${\displaystyle O(N\lg (\det (ℒ)))=O(N\lg (N))}$, випливає, що оцінки для публічного базису й шифротексту нашої системи ${\displaystyle O(N^2\lg (N))}$ і ${\displaystyle O(N\lg (N))}$^[5][7].

Теоретично, очікується прискорення роботи алгоритму порівняно з GGH із двох причин (емпіричні результати наведено нижче). По-перше, час шифрування для GGH систем залежить від розміру публічного ключа. Теоретичні оцінки на займану ключем пам'ять свідчать про її зменшення, отже й про прискорення шифрування. При цьому час роботи GGH можна порівняти з часом роботи схеми RSA. По-друге, для генерування ключа початковий алгоритм застосовує алгоритм Ленстри — Ленстри — Ловаса до матриць великої розмірності з великими значеннями елементів, тоді як система Міччанчо використовує досить простий алгоритм знаходження ермітової нормальної форми. Для дешифрування використовується алгоритм Бабая^[8], з деякими втратами пам'яті та точності, але поліпшенням за часом його можна замінити простішим алгоритмом округлення^[9], проте в цій частині прискорення за часом виконання не очікується.

На практиці для безпеки цієї системи потрібно ${\displaystyle N\ge 782}$. За припущення, що покращення часу досягає максимальних асимптотичних оцінок, найменше необхідне ${\displaystyle N}$ має бути більше ${\displaystyle 2093}$. Далі було показано, що публічний ключ має бути не менше ніж 1 МБ. Більш того, час створення ключа займає порядку доби. Процедура шифрування справді досить швидка. Однак дешифрування нестабільне через алгоритм Бабая^[8]. Це можна подолати, але тоді вона займатиме 73 хвилини для ${\displaystyle N=800}$ не включаючи ортогоналізації. Якщо виконати цей крок заздалегідь, то до витрат пам'яті додається 4.8 МБ для тієї ж розмірності. З цих результатів випливає, що криптосистема Міччанчо незастосовна на практиці^[1][2][3][4].

Шаблон:Примітки

• Daniele Micciancio, Oded Regev Lattice-основана криптографія // Post Quantum Cryptography. — 2009.
• Daniele Micciancio Improving lattice-базовані cryptosystems з використанням Hermite normal form // Lecture notes in Computer Science. — 2001.
• Christoph Ludwig The Security and Efficiency of Micciancio's Cryptosystem // IACR Cryptology. — 2004.