Post-kwantowy algorytm podpisu cyfrowego Kryptosystem NTRU

Transkrypt

1 Post-kwantowy algorytm podpisu cyfrowego Kryptosystem NTRU Janusz Szmidt, Marcin Barański Wojskowy Instytut Łączności 13 XII 2018

2

3

4 NTRU - abstract We describe NTRU, a new public key cryptosystem. NTRU features resonably short, easly created keys, high speed, and low memory requirements. NTRU encryption and decryption use a mixed system suggested by polynomial algebra combined with a clustering principle based on elementary probability theory. The security of the NTRU cryptosysyem comes from the iteraction of the polynomisl mixing system with the independence of reduction modulo two relatively prime integers p and q.

5 Pierścienie wielomianów Z - pierścień liczb całkowitych Z[x] - pierścień wielomianów o współczynnikach całkowitych q - liczba pierwsza - zbiór reszt modulo q Z q = {0,..., q 1} - ciało q-elementowe Z q Z q [x] - pierścień wielomianów o współczynnikach z ciała Z q N - liczna naturalna R = Z[x]/(x N 1) - pierścień ilorazory wielomianów splotowych rzędu N (convolution polynomials of rank N) R q = Z q [x]/(x N 1) - pierścień ilorazory wielomianów splotowych rzędu N modulo q (convolution polynomials of rank N modulo q)

6 Pierścienie wielomianów Wielomian a(x) = a 0 + a 1 x + a 2 x a N 1 x N 1 R będziemy identyfikowali z wektorem współczynników (a 0, a 1, a 2,..., a N 1 ) Z N Dodawaniu wielomianów odpowiada dodawanie wektorów a(x) + b(x) (a 0 + b 0, a 1 + b 1, a 2 + b 2,..., a N 1 + b N 1 ) Iloczyn dwóch wielomianów jest dany wzorem a(x) b(x) = c(x) gdzie c k = a i b k i, i+j=k mod N

7 Pierścienie wielomianów Definicja 1 Niech a(x) R q. Centrycznym podniesieniem (centered lift) wielomianu a(x) do R jest jedyny wielomian a (x) R spełniający: a (x) mod q = a(x) którego współczynniki wybrane są z przedziału q 2 < a i q 2 Np. Jeśli q = 2 to centered lift a (x) wielomianu a(x) jest wielomianem binarnym.

8 Pierścienie wielomianów Definicja 2 Niech a(x) R q. Multiplikatywną odwrotnością wielomianu a(x) nazywamy wielomian a 1 (x) R q taki, że x(x) a 1 (x) = 1 w pierścieniu R q, tzn. a(x)a 1 (x) = 1 mod (x N 1). Stwierdzenie 1 Niech q będzie liczbą pierwszą. Wielomian a(x) R q ma multiplikatywną odwrotność w pierścieniu R q wtedy i tylko wtedy gdy gcd(a(x), x N 1) = 1 w R q.

9 Kryptosystem NTRU - Jaffrey Hoffstein, Jill Pipher, Joseph Silverman Definicja 3 Dla liczb naturalnych d 1, d 2 definiujemy zbiór wielomianów a(x) R, które spełniają: a(x) ma d 1 współczynników równych 1, T (d 1, d 2 ) = a(x) ma d 2 współczynników równych 1, a(x) ma pozostałe współczynniki równe 0. Wielomiany te nazywamy trójkowymi, w analogii do wiemianów binarnych.

10 Kryptosystem NTRU - specyfikacja Generacja kluczy: Zaufana trzecia strona wybiera zestaw parametrów (N, p, q, d), gdzie N, p są liczbami pierwszymi, gcd(p, q) = gcd(n, q) = 1 oraz q > (6d + 1)p. Niech R, R p, R q oznaczają wprowadzone powyżej pierścienie wielomianów. Klucz prywatny Alicji to dwa losowo wybrane wielomiany: f (x) T (d + 1, d), g(x) T (d, d). Alicja oblicza odwrotności wielomianów: F q (x) = f 1 (x) mod q R q oraz F p (x) = f 1 (x) mod p R p.

11 Kryptosystem NTRU - specyfikacja Jeśli któraś z odwrotności nie istnieje, to Alicja wybiera inne f (x) T (d + 1, d) i sprawdza istnieie odwrotności. Żaden element z T (d, d) nie ma odwrotności (dowód!), stąd wybierane jest f (x) T (d + 1, d). Kluczem prywatnym Alicji potrzebnym do deszyfrowania jest para (f (x), F p (x)). Alicja może zachować tylko f (x) i obliczać F p (x) kiedy potrzebuje. Kluczem publicznym Alicji jest wielomian h(x) = F q (x) g(x) w R q.

12 Kryptosystem NTRU - specyfikacja Szyfrowanie: Tekstem jawnym Boba jest wielomian m(x) R, którego współczynniki są zawarte miądzy p 2 a p 2. Czyli m(x) jest wielomianem w R, który jest central lift wielomianu z R p. Bob wybiera losowo wielomian (klucz ulotny - ephemeral key) r(x) T (d, d) i oblicza szyfrogram e(x) = ph(x) r(x) + m(x) mod q, który jest elementem pierścienia R q.

13 Kryptosystem NTRU - specyfikacja Deszyfrowanie: Alicja zaczyna proces deszyfrowania obliczając a(x) = f (x) e(x) mod q. Następnie podnosi centrycznie a(x) do elementu z R i oblicza b(x) = F p (x) a(x) mod p. Stwierdzenie 2 Jeśli parametry (N, p, q, d) kryptosystemu NTRU spełniają warunek q > (6d + 1)p to wielomian b(x) równy jest tekstowi jawnemu m(x).

14

15 NTRU - przykład Parametry publiczne (N, p, q, d) = (7, 3, 41, 2). Spełniony jest warunek 41 = q > (6d + 1)p = 39, co zapewnia poprawność deszyfrowania. Alicja wybiera f (x) = x 6 x 4 + x 3 + x 2 1 T (3, 2), g(x) = x 6 + x 4 x 2 x T (2, 2).

16 NTRU - przykład Następnie oblicza odwrotności w R q i w R p : F q (x) = f 1 (x) mod q = 8x 6 +26x 5 +31x 4 +21x 3 +40x 2 +2x+37, F p (x) = f 1 (x) mod p = x 6 + 2x 5 + x 3 + x 2 + x + 1. Alicja zachowuje (f (x), F p (x)) jako swój klucz prywatny. Alicja oblicza swój klucz publiczny jako element R q h(x) = F q (x) g(x) = 20x 6 +40x 5 +2x 4 +38x 3 +8x 2 +26x+30. Bob decyduje się wysłać Alicji wiadomość m(x) = x 5 + x 3 + x 2 x + 1. Bob wybiera losowo klucz ulotny r(x) = x 6 x 5 + x 1.

17 NTRU - przykład Bob szyfruje wiadomość m(x) : e(x) = pr(x) h(x) + m(x) = 31x x 5 + 4x 4 + 2x x 2 + 3x + 25 mod q. W procesie deszyfrowania Alicja oblicza: f (x) e(x) = x x x x x 2 + x + 40 mod q. Następnie stosuje opercję center lift modulo q otrzymując: a(x) = x x 5 8x 4 x 3 x 2 + x 1 R.

18 NTRU - przykład Z kolei Alicja redukuje a(x) modulo p i oblicza F p (x) a(x) = 2x 5 + x 3 + x x + 1 mod p). W końcu stosuje operację center lift modulo p w celu odzyskania tekstu jawnego m(x) = x 5 + x 3 + x 2 x + 1.

19 NTRU - kryptoanaliza Odzyskanie klucza w kryptosystemie NTRU można sformułować jako problem znalezienia najkrótszego wektora w kratach specjalnego typu. Odzyskanie tekstu jawnego w NTRU można sformułować jako problem znalezienia najbliższego wektora w pewnego typu kratach. Niech h(x) = h 0 + h 1 x + + h N 1 x N 1 będzie kluczem publicznym systemu NTRU. Tworzymy macierz M h wymiaru 2N 2N. Z macierzy M h budujemy 2N-wymiarową kratę L h rozpiętą na wierszach tej macierzy.

20 NTRU - macierz Mh

21 NTRU - kryptoanaliza Macierz M h zapisujemy w skrócie jako M h = ( 1 h 0 qi ) gdzie h jest macierzą N N cyklicznych permutacji współczynników wielomianu h(x). M h rozpatrujemy jako macierz wymiaru 2 2 o elementach z pierścienia R. Parę wielomianów a(x) = a 0 +a 1 x+ +a N 1 x N 1, b(x) = b 0 +b 1 x+ +b N 1 x 1 utożsamiamy z 2N-wektorem (a, b) = (a 0, a 1,..., a N 1, b 0, b 1,..., b N 1 ) Z 2N.

22 NTRU - kryptoanaliza Przypominamy, że klucz publiczny h(x) był wygenerowany z wielomianów prywatnych f (x), g(x). Stwierdzenie 3 Załóżmy, że f (x) h(x) = g(x) mod q. Niech u(x) R będzie wielomianem, który spełnia Wtedy f (x) h(x) = g(x) + qu(x). (f, u)m h = (f, g), tzn. wektor (f, g) należy do NTRU kraty L h. Dowód ( ) 1 h (f, u) = (f, f h qu) = (f, g). 0 qi

23 NTRU - kryptoanaliza Stwierdzenie 4 Niech (N, p, q, d) będą parametrami NTRU, które spełniają d N/3, q 6d 2N. Niech L h będzie NTRU kratą związaną z kluczem prywatnym (f, g). Wtedy 1. det(l h ) = q N. 2. (f, g) 4d 4N/ N. 3. Heurystyka Gaussa przepowiada, że najkrótszy wektor w NTRU kracie L h ma długość σ(l h ) Nq/πe 0.484N. Zatem, jeśli N jest duże to jest znaczące prawdopodobieństwo, że najkrótszym wektorem w kracie L h jest wektor (f, g) lub jego rotacje x k f (x), x k g(x), 0 < k < N.

24 NTRU - kryptoanaliza Stwierdzenie 4 mówi, że kryptoanalityk Ewa może znaleźć klucz prywatny Alicji jeśli znajdzie najkrótszy wektor w NTRU kracie L h. Ogólniej, jeśli Ewa potrafi rozwiązać apprsvp w kracie L h z dokładnością do czynnika aproksymacyjnego N ɛ dla pewnego ɛ < 1 2, wtedy najkrótszy wektor, który ona znajdzie, jest prawdopodobnie kluczen deszyfrującym. W celu znalezienia najkrótszych wektorów w kracie mamy do dyspozycji algorytm LLL i jego uogólnienie algorytm BKZ-LLL. Badania i eksperymenty przeprowadzone do roku 2003 stwierdzają, że wartości N w zakresie od 250 do 1000 odpowiadają poziomowi bezpieczeństwa algorytmów RSA, ElGamal i ECC.

25 Podpis cyfrowy NTRU W pierwszej kolejności Zaufana Trzecia Strona lub Samanta (podpisujący) wybierają odpowiednie parametry (N, q, d) dla systemu NTRU. Wybór oparty jest na teorii krat. Samanta wybiera losowo tajne wielomiany trójkowe f (x), g(x) T (d + 1, d) i oblicza jej klucz publiczny (sprawdzający) h(x) = f 1 (x) g(x) mod q. Konstrukcja ta podobna jest do szyfrowania w kryptosystemie NTRU.

26 Podpis cyfrowy NTRU W celu podpisania dokumentu D = (D 1, D 2 ), gdzie D 1, D 2 R, potrzebujemy wybranej wyżej pary f, g oraz obliczonej drugiej pary (F, G) spełniającej warunek f (x) G(x) g(x) F (x) = q oraz F = O(N), G = O(N). Dowodzi się, że taka para F, G istnieje. Samanta oblicza dwa wielomiany v 1 (x) = (D 1 (x) G(x) D 2 (x) F (x))/q v 2 (x) = ( D 1 (x)g(x) + D 2 (x) f (x))/q gdzie p(x) oznacza wielomian p(x), którego wszystkie współczyniki zostały zaokrąglone do najbliższych liczb całkowitych.

27 Podpis cyfrowy NTRU Podpisem dokumentu D(x) jest wielomian s(x) = v 1 (x) f (x) + v 2 (x) F (x). Weryfikacja podpisu: Victor bierze klucz publiczny Samanty h(x) i oblicza t(x) = h(x) s(x) mod q. Następnie Victor sprawdza, że wektor (s, t) jest dostatecznie blisko wektora D = (D 1, D 2 ).

28

29