NTRUSign

Шаблон:Unibox NTRUSign, також відомий як NTRU Signature Algorithm — алгоритм цифрового підпису з відкритим ключем на основі Шаблон:Iw.

Вперше алгоритм був представлений на сесії Asiacrypt 2001 року і опублікований в рецензованій формі на конференції RSA 2003 року^[1]. Видання 2003 року включало рекомендації параметрів для рівня безпеки 80 біт. У наступній публікації 2005 року були переглянуті рекомендації для рівня безпеки 80 біт, а також представлені параметри затребуваних рівнів безпеки 112, 128, 160, 192 і 256 біт і описані алгоритми для отримання наборів параметрів для будь-якого бажаного рівня безпеки. Компанія NTRU Cryptosystems, Inc. подала патентну заявку на даний алгоритм.

NTRUSign включає в себе відображення повідомлення що шифрується у випадкову точку в 2N-мірному просторі, де N є одним з параметрів NTRUSign, і вирішення задачі знаходження найближчого вектора в ґратці, тісно пов'язаної з ґраткою NTRUEncrypt. Дана ґратка має властивість: приватний 2N-мірний базис для ґратки можна описати з допомогою 2-х векторів, кожен з яких складається з N коефіцієнтів і базису, який може бути визначений окремим N-розмірним вектором. Це дозволяє представляти відкриті ключі в ${\displaystyle O(N)}$ просторі, а не ${\displaystyle O(N^2)}$ як і у випадку з іншими схемами підпису на основі ґраток. Операції займають ${\displaystyle O(N^2)}$ часу, на відміну від ${\displaystyle O(N^3)}$ для криптографії на еліптичних кривих та RSA. Тому NTRUSign швидше даних алгоритмів при низьких рівнях безпеки і значно швидше при високих рівнях безпеки.^[2][3]

NTRUSign знаходиться в стадії розгляду по стандартизації робочою групою IEEE P1363.

Так само як і в NTRUEncrypt, в NTRUSign обчислення проводяться в кільці ${\displaystyle R={\mathbb{Z}}_q[X]/(X^N-1)}$, де множення «${\displaystyle *}$» є циклічною згорткою по модулю ${\displaystyle q}$. Добутком двох поліномів ${\displaystyle f=[f_0,f_1,\dots ,f_{N-1}]}$ і ${\displaystyle g=[g_0,g_1,\dots ,g_{N-1}]}$ є ${\displaystyle f*g=\sum _{i+j\equiv kmodN}{f}_i\cdot g_{j}modq}$.

За основу NTRUSign можуть бути взяті стандартні або транспоновані решітки. Основна перевага транспонованої решітки полягає в тому, що коефіцієнти многочлена належать {-1,0,1}. Це збільшує швидкість множення.

• Вхідні дані: цілі ${\displaystyle N,q,d_f,d_g,B>0}$, рядок ${\displaystyle t=standard}$ або ${\displaystyle transpose}$.
• Генерація ${\displaystyle B}$ закритих ґраткових базисів і одиного відкритого ґраткового базису: Встановити ${\displaystyle i=B}$. До тих пір, поки ${\displaystyle i>0}$:

1. Довільно обрати ${\displaystyle f}$, ${\displaystyle g}$ ∈ ${\displaystyle ℝ}$ взаємно прості з ${\displaystyle d_f}$, ${\displaystyle d_g}$ відповідно.
2. Знайти малі ${\displaystyle F,G,E,R}$ такі, що ${\displaystyle f*G-F*g=q}$.
3. Якщо ${\displaystyle t=standard}$, встановити ${\displaystyle f_i=f}$ і ${\displaystyle f{\text{'}}_i=F}$.

Якщо ${\displaystyle t=transpose}$, встановити ${\displaystyle f_i=f}$ і ${\displaystyle f{\text{'}}_i=g}$.

Обчислити ${\displaystyle h_i=f_i^{-1}*f{\text{'}}_{i}modq}$. Встановити ${\displaystyle i=i-1}$.

• Публічний ключ: вхідні параметри і ${\displaystyle h=ho=f_0^{-1}*f{\text{'}}_0\mathrm{mod}q}$.
• Закритий ключ: ${\displaystyle \{f_i,f{\text{'}}_i,h_i\}}$ для ${\displaystyle i=0...B}$.

Підпис вимагає геш-функцію ${\displaystyle H:𝒟\to R}$ на цифровому просторі документу ${\displaystyle 𝒟}$.

• Вхідні данні: цифровий документ ${\displaystyle D\in 𝒟}$ закритий ключ ${\displaystyle \{f_i,f{\text{'}}_i,h_i\}}$ для ${\displaystyle i=0...B}$.
• Встановити ${\displaystyle r=0}$.
• Встановити ${\displaystyle s=0}$${\displaystyle i=B}$. Представити ${\displaystyle r}$як рядок біт. Встановити ${\displaystyle m_o=H(D||r)}$, де ${\displaystyle ||}$ означає конкатенацию. Встановити ${\displaystyle m=m_o}$.

1. ${\displaystyle \{f_i,f{\text{'}}_i,h_i\}}$ — ${\displaystyle i}$-та підстава
2. Обчислити ${\displaystyle x=\lfloor -\frac{1}{q}{m}_i*f{\text{'}}_i\rceil }$
3. Обчислити ${\displaystyle y=\lfloor \frac{1}{q}{m}_i*f_i\rceil }$
4. ${\displaystyle s_i=x*f+y*f^{\prime }}$
5. ${\displaystyle m_i=si*(h_i-h_{i-1})modq}$
6. Пілпис: ${\displaystyle s=s+s_i}$

Верифікація вимагає таку ж геш-функцію ${\displaystyle H}$, «нормуючий зв'язок» ${\displaystyle 𝒩\in ℝ}$ і норму полінома ${\displaystyle ||.||}$. Норма ${\displaystyle ||t||}$ полінома ${\displaystyle t}$ визначається як ${\displaystyle \underset{0\le k<q}{\inf }||t+kq|{|}_z}$, де ${\displaystyle ||r|{|}_z={\displaystyle \sum _{i=0}^{N-1}}{r}_i^2-\frac{1}{N}{\displaystyle \sum _{i=0}^N}{r}_i}$ (де останнє — Евклідова норма).

• Вхідні дані: Підписані дані ${\displaystyle (D,r,s)}$ і публічний ключ ${\displaystyle h}$.
• Уявити r як рядок бітів. Встановити ${\displaystyle m=H(D||r)}$.
• Обчислити ${\displaystyle b=||(s,s*h-m\mathrm{mod}g))||}$.
• підпис вважається вірним, якщо ${\displaystyle b<𝒩}$.

• Рекомендовані параметри ${\displaystyle (N,q,d_f,d_g,B,t,𝒩)=(251,128,73,71,1,transpose,310)}$

• Криптографія на ґратках

Шаблон:Примітки

• Most recent NTRUSign paper, including parameter sets for multiple security levels
• Шаблон:Cite web

Шаблон:Бібліоінформація

Шаблон:Асиметричні криптосистеми