Схема шифрування Голдрайха — Голдвассера — Галеві

Схе́ма шифрува́ння Го́лдрайха — Голдва́ссера — Галеві́, або скорочено ГГГ (Шаблон:Lang-en) — асиметрична криптосистема на основі ґраток. Існує також схема підпису Голдрайха — Гольдвассера — Галеві.

Криптосистема Голдрайха — Гольдвассера — Галеві використовує той факт, що найближча векторна проблема може бути важкою проблемою. Ця система була опублікована в 1997 році Одедом Голдрайхом, Шафі Голдвассер та Шаєм Галеві, і використовує односторонню функцію з секретом, яка спирається на складність зменшення ґратки. Ідея, закладена в цю функцію, полягає в тому, що, враховуючи будь-яку основу для ґратки, легко сформувати вектор, який знаходиться близько до точки ґратки, наприклад, взяти точку ґратки і додати невеликий вектор помилки. Але для повернення від цього помилкового вектору до вихідної точки ґратки потрібна спеціальна основа.

Схема шифрування ГГГ була криптоаналізована в 1999 році Фонгом Нгуєном.

ГГГ передбачає приватний та відкритий ключі.

Приватний ключ є основою ${\displaystyle B}$ ґратки ${\displaystyle L}$ з хорошими властивостями (наприклад, короткими майже ортогональними векторами) та одномодульною матрицею ${\displaystyle U}$.

Відкритий ключ — це ще одна основа ґратки ${\displaystyle L}$ форми ${\displaystyle B^{\prime }=UB}$.

Для деяких обраних ${\displaystyle M}$ простір повідомлень складається з вектору ${\displaystyle (m_1,...,m_n)}$ в діапазоні ${\displaystyle -M<m_i<M}$.

Дано повідомлення ${\displaystyle m=(m_1,...,m_n)}$, помилка ${\displaystyle e}$ та відкритий ключ ${\displaystyle B^{\prime }}$ обчислити:

${\displaystyle v=\sum m_i{b_i}^{\prime }}$,

У матричних позначеннях це:

${\displaystyle v=m\cdot B^{\prime }}$.

Запам'ятайте ${\displaystyle m}$ складається з цілих значень, і ${\displaystyle b^{\prime }}$ — точка ґратки, отже, ${\displaystyle v}$ — це також точка ґратки. Тоді зашифрований текст:

${\displaystyle c=v+e=m\cdot B^{\prime }+e}$.

Для розшифровки кіфертекту обчислюється:

${\displaystyle c\cdot B^{-1}=(m\cdot B^{\prime }+e)B^{-1}=m\cdot U\cdot B\cdot B^{-1}+e\cdot B^{-1}=m\cdot U+e\cdot B^{-1}}$,

Для вилучення терміну буде використана техніка Бабаї округлення ${\displaystyle e\cdot B^{-1}}$ поки він досить малий. Зрештою обчислити:

${\displaystyle m=m\cdot U\cdot U^{-1}}$,

щоб отримати текст повідомлення.

Дозволяти ${\displaystyle L\subset {ℝ}^2}$ бути ґраткою з основою ${\displaystyle B}$ і його обернено ${\displaystyle B^{-1}}$:

${\displaystyle B=\left(\begin{array}{cc}7& 0\\ 0& 3\end{array}\right)}$ і ${\displaystyle B^{-1}=\left(\begin{array}{cc}\frac{1}{7}& 0\\ 0& \frac{1}{3}\end{array}\right)}$

з

${\displaystyle U=\left(\begin{array}{cc}2& 3\\ 3& 5\end{array}\right)}$ і

${\displaystyle U^{-1}=\left(\begin{array}{cc}5& -3\\ -3& 2\end{array}\right)}$,

це дає:

${\displaystyle B^{\prime }=UB=\left(\begin{array}{cc}14& 9\\ 21& 15\end{array}\right)}$.

Нехай буде повідомлення ${\displaystyle m=(3,-7)}$ і вектор помилки ${\displaystyle e=(1,-1)}$. Тоді зашифрований текст:

${\displaystyle c=m{B}^{\prime }+e=(-104,-79).}$

Для розшифровки потрібно обчислити:

${\displaystyle c{B}^{-1}=(\frac{-104}{7},\frac{-79}{3}).}$

Це округляється до ${\displaystyle (-15,-26)}$ і повідомлення відновлюється за допомогою:

${\displaystyle m=(-15,-26)U^{-1}=(3,-7).}$

У 1999 році Нгуєн на криптоконференції показав, що схема шифрування ГГГ має недолік у розробці схем. Нгуєн показав, що кожен зашифрований текст розкриває інформацію про відкритий текст і що проблема розшифровки може бути перетворена на спеціальну найближчу векторну задачу (НВЗ), набагато простішу для вирішення, ніж загальну НВЗ.

• Криптосистема Міччанчо

• Шаблон:Cite book

• Шаблон:Cite book
• Шаблон:Cite book