Кольцевое обучение с ошибками - Ring learning with errors
эта статья может быть слишком техническим для большинства читателей, чтобы понять. Пожалуйста помогите улучшить это к сделать понятным для неспециалистов, не снимая технических деталей. (Сентябрь 2015 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
Кольцевое обучение с ошибками (RLWE) это вычислительная проблема который служит основой новых криптографических алгоритмы, такие как Новая надежда, предназначенный для защиты от криптоанализ от квантовые компьютеры а также заложить основу для гомоморфное шифрование. Криптография с открытым ключом основан на построении математических задач, которые, как считается, трудно решить, если нет дополнительной информации, но которые легко решить, если известна некоторая информация, используемая при построении задачи. Некоторые проблемы такого рода, которые в настоящее время используются в криптографии, подвержены риску атаки, если когда-либо будут построены достаточно большие квантовые компьютеры, поэтому ищутся устойчивые проблемы. Гомоморфное шифрование - это форма шифрования, которая позволяет выполнять вычисления с зашифрованным текстом, например арифметические операции с числовыми значениями, хранящимися в зашифрованной базе данных.
RLWE правильнее называть обучением с ошибками по кольцам, и это просто больший обучение с ошибками (LWE) проблема, специализированная на кольца многочленов над конечными полями.[1] Из-за предполагаемой сложности решения проблемы RLWE даже на квантовом компьютере криптография на основе RLWE может сформировать фундаментальную основу для криптография с открытым ключом в будущем так же, как целочисленная факторизация и дискретный логарифм Проблема послужила основой для криптографии с открытым ключом с начала 1980-х годов.[2] Важной особенностью криптографии, основанной на проблеме кольцевого обучения с ошибками, является тот факт, что решение проблемы RLWE может быть использовано для решения NP-жесткий кратчайшая векторная задача (SVP) в решетке (была представлена сведение за полиномиальное время от задачи SVP к проблеме RLWE[1]).
Задний план
Безопасность современной криптографии, в частности криптография с открытым ключом, основан на предполагаемой неразрешимости решения определенных вычислительных задач, если размер проблемы достаточно велик, а экземпляр решаемой проблемы выбран случайным образом. Классическим примером, который используется с 1970-х годов, является целочисленная факторизация проблема. Считается, что с вычислительной точки зрения сложно разложить на множители произведение двух простых чисел, если эти простые числа достаточно велики и выбраны случайным образом.[3] По состоянию на 2015 год исследования привели к факторизации произведения двух 384-битных простых чисел, но не произведения двух 512-битных простых чисел. Целочисленная факторизация лежит в основе широко используемых ЮАР криптографический алгоритм.
Задача кольцевого обучения с ошибками (RLWE) построена на арифметике многочлены с коэффициентами из конечное поле.[1] Типичный полином выражается как:
Многочлены можно складывать и умножать обычным способом. В контексте RLWE коэффициенты многочленов и все операции с этими коэффициентами будут выполняться в конечном поле, обычно в поле для простого целого числа . Набор многочленов над конечным полем с операциями сложения и умножения образует бесконечную кольцо многочленов (). Контекст RLWE работает с конечным кольцом частных этого бесконечного кольца. Фактор-кольцо обычно является конечным кольцо частных (факторных) образованный сокращением всех многочленов от по модулю неприводимый многочлен . Это конечное факторкольцо можно записать как хотя многие авторы пишут .[1]
Если степень полинома является подкольцо становится кольцом многочленов степени меньше по модулю с коэффициентами из . Ценности , , вместе с многочленом частично определяют математический контекст проблемы RLWE.
Еще одна концепция, необходимая для задачи RLWE, - это идея «малых» многочленов относительно некоторой нормы. Типичная норма, используемая в задаче RLWE, известна как норма бесконечности (также называемая нормой бесконечности). единая норма ). Бесконечная норма полинома - это просто наибольший коэффициент полинома, когда эти коэффициенты рассматриваются как целые числа. Следовательно, утверждает, что бесконечная норма многочлена является . Таким образом - наибольший коэффициент .
Последняя концепция, необходимая для понимания проблемы RLWE, - это генерация случайных многочленов от и порождение «малых» многочленов. Случайный многочлен легко сгенерировать простым случайным отбором коэффициенты полинома из , где обычно представляется как набор .
Случайное создание «малого» полинома осуществляется путем генерации коэффициентов полинома из таким образом, который либо гарантирует, либо делает очень вероятные малые коэффициенты. Это можно сделать двумя распространенными способами:
- Использование равномерной выборки - коэффициенты малого полинома равномерно выбираются из набора малых коэффициентов. Позволять быть целым числом, которое намного меньше, чем . Если случайным образом выбрать коэффициенты из набора: многочлен будет мал относительно оценки ().
- С помощью дискретная гауссова выборка - Для нечетного значения для , коэффициенты полинома выбираются случайным образом путем выборки из множества согласно дискретному распределению Гаусса со средним и параметр распределения . Ссылки подробно описывают, как это можно сделать. Это сложнее, чем единообразная выборка, но позволяет подтвердить безопасность алгоритма. В статье Двараканата и Гэлбрейта «Выборка из дискретных гауссианов для криптографии на основе решеток на устройстве с ограничениями» представлен обзор этой проблемы.[4]
Проблема RLWE
Проблема RLWE может быть сформулирована двумя разными способами: «поисковая» версия и «решающая» версия. Оба начинаются с одной и той же конструкции. Позволять
- быть набором случайных, но известный многочлены от с коэффициентами из всех .
- быть набором небольших случайных и неизвестно многочлены относительно границы в ринге .
- быть маленьким неизвестно полином относительно границы в ринге .
- .
Версия поиска предполагает нахождение неизвестного многочлена учитывая список пар полиномов .
Вариант Решения задачи можно сформулировать следующим образом. Учитывая список пар полиномов , определить, многочлены были построены как или были сгенерированы случайным образом из с коэффициентами из всех .
Сложность этой задачи параметризуется выбором фактор-полинома (), его степень (), поле (), а оценка малости (). Во многих алгоритмах открытого ключа на основе RLWE закрытый ключ будет парой небольших полиномов. и . Соответствующий открытый ключ будет парой многочленов , выбранный случайным образом из , а полином . Данный и , должно быть вычислительно невозможно восстановить полином .
Снижение безопасности
В случаях, когда многочлен это круговой полином, трудность решения поискового варианта задачи RLWE эквивалентна нахождению короткого вектора (но не обязательно кратчайшего вектора) в идеальной решетке, образованной из элементов представлены как целые векторы.[1] Эта проблема широко известна как Приближенная задача наикратчайшего вектора (α-SVP) и это проблема поиска вектора короче, чем кратчайший вектор в α. Авторы доказательства этой эквивалентности пишут:
- «... мы даем квантовую редукцию из приближенной SVP (в худшем случае) на идеальных решетках в в поисковую версию ring-LWE, где цель - восстановить секрет (с большой вероятностью для любого ) от сколь угодно шумных продуктов ".[1]
В этой цитате кольцо является и кольцо является .
Известно, что α-SVP в регулярных решетках NP-жесткий благодаря работе Даниэле Миччиансио в 2001 году, хотя и не для значений α, необходимых для сведения к общей проблеме обучения с ошибками.[5] Однако пока нет доказательства, что сложность α-SVP для идеальных решеток эквивалентна средней сложности α-SVP. Скорее у нас есть доказательство того, что если есть Любые α-SVP, которые трудно решить в идеальных решетках, тогда проблема RLWE будет сложной в случайных случаях.[1]
Что касается сложности задач наикратчайших векторов в идеальных решетках, исследователь Майкл Шнайдер пишет: «Пока нет алгоритма SVP, использующего особую структуру идеальных решеток. Широко распространено мнение, что решение SVP (и всех других решеточных задач) в идеальных решетках так же сложно, как и в обычных решетках».[6] Трудность этих задач на регулярных решетках доказуемо NP-жесткий.[5] Однако есть меньшинство исследователей, которые не верят, что идеальные решетки обладают теми же свойствами безопасности, что и обычные решетки.[7]
Пайкерт считает, что эти эквиваленты безопасности делают проблему RLWE хорошей основой для будущей криптографии. Он написал: "Есть математическое доказательство того, что только способ взломать криптосистему (в рамках некоторой формальной модели атаки) на ее случайных экземплярах заключается в том, чтобы решить основную проблему решетки в худший случай" (курсив в оригинале).[8]
RLWE Криптография
Основное преимущество криптографии на основе RLWE по сравнению с исходной криптографией на основе обучения с ошибками (LWE) заключается в размере открытого и закрытого ключей. Ключи RLWE - это примерно квадратный корень ключей в LWE.[1] Для 128 бит безопасности криптографический алгоритм RLWE будет использовать открытые ключи длиной около 7000 бит.[9] Соответствующая схема LWE потребует открытых ключей размером 49 миллионов бит для того же уровня безопасности.[1][неудачная проверка ] С другой стороны, ключи RLWE больше, чем размеры ключей для используемых в настоящее время алгоритмов открытых ключей, таких как RSA и Elliptic Curve Diffie-Hellman, которые требуют общедоступных ключевые размеры 3072 бит и 256 бит соответственно для достижения уровня безопасности 128 бит. Однако с вычислительной точки зрения алгоритмы RLWE оказались равными или лучше существующих систем с открытым ключом.[10]
Существуют три группы криптографических алгоритмов RLWE:
Кольцевое обучение с ошибками обмена ключами (RLWE-KEX)
Фундаментальная идея использования LWE и Ring LWE для обмена ключами была предложена и подана в Университет Цинциннати в 2011 году Джинтаем Дингом. Основная идея исходит из ассоциативности умножения матриц, а ошибки используются для обеспечения безопасности. Бумага[11] появился в 2012 г. после подачи предварительной заявки на патент в 2012 г.
В 2014 году Пайкерт[12] представил ключевую транспортную схему, следуя той же базовой идее Динга, где также используется новая идея отправки дополнительного однобитового сигнала для округления в конструкции Динга. Версия RLWE классического варианта MQV обмена ключами Диффи-Хеллмана была позже опубликована Zhang et al.[13] Безопасность обоих обменов ключами напрямую связана с проблемой поиска приближенных коротких векторов в идеальной решетке.
Кольцевое обучение с сигнатурой ошибок (RLWE-SIG)
RLWE версия классического Протокол идентификации Фейге – Фиат – Шамир была создана и преобразована в цифровую подпись Любашевским в 2011 году.[14] Детали этой подписи были расширены в 2012 году Гунесю, Любашевским и Попплеманом в 2012 году и опубликованы в их статье «Практическая криптография на основе решеток - схема подписи для встроенных систем».[15] Эти статьи заложили основу для множества недавних алгоритмов подписи, некоторые из которых основаны непосредственно на проблеме кольцевого обучения с ошибками, а некоторые не связаны с теми же сложными проблемами RLWE.[16]
Кольцевое обучение с ошибками гомоморфного шифрования (RLWE-HOM)
Цель гомоморфное шифрование заключается в том, чтобы позволить вычислениям над конфиденциальными данными выполняться на вычислительных устройствах, которым не следует доверять данные. Этим вычислительным устройствам разрешено обрабатывать зашифрованный текст, который выводится в результате гомоморфного шифрования. В 2011 году Бракерски и Вайкунтанатан опубликовали книгу «Полностью гомоморфное шифрование с помощью Ring-LWE и безопасность для ключевых зависимых сообщений», в которой построена гомоморфная схема шифрования непосредственно на проблеме RLWE.[17]
использованная литература
- ^ а б c d е ж г час я Любашевский, Вадим; Пайкерт, Крис; Регев, Одед (2012). «Об идеальных решетках и обучении с ошибками над кольцами». Цитировать журнал требует
| журнал =
(Помогите) - ^ Пайкерт, Крис (2014). «Решеточная криптография для Интернета». В Моска, Микеле (ред.). Постквантовая криптография. Конспект лекций по информатике. 8772. Издательство Springer International. С. 197–219. CiteSeerX 10.1.1.800.4743. Дои:10.1007/978-3-319-11659-4_12. ISBN 978-3-319-11658-7.
- ^ Шор, Питер (20 ноября 1994). Алгоритмы квантовых вычислений: дискретные логарифмы и факторизация. 35-й ежегодный симпозиум по основам компьютерных наук. Санта-Фе: IEEE. Дои:10.1109 / SFCS.1994.365700. ISBN 0-8186-6580-7.
В этой статье представлены алгоритмы Лас-Вегаса для нахождения дискретных логарифмов и факторизации целых чисел на квантовом компьютере, которые выполняют несколько шагов, полиномиальных по размеру входных данных, например, количество разрядов целого числа, которое нужно разложить на множители. Эти две проблемы обычно считаются сложными на классическом компьютере и были использованы в качестве основы для нескольких предложенных криптосистем.
- ^ Двараканатх, Нагарджун Ч .; Гэлбрейт, Стивен Д. (18 марта 2014 г.). «Выборка из дискретных гауссианов для криптографии на основе решетки на устройстве с ограничениями». Применимая алгебра в инженерии, коммуникации и вычислениях. 25 (3): 159–180. Дои:10.1007 / s00200-014-0218-3. ISSN 0938-1279.
- ^ а б Миччиансио, Д. (1 января 2001 г.). «Кратчайший вектор в решетке трудно аппроксимировать с точностью до некоторой константы». SIAM Журнал по вычислениям. 30 (6): 2008–2035. CiteSeerX 10.1.1.93.6646. Дои:10.1137 / S0097539700373039. ISSN 0097-5397.
- ^ Шнайдер, Майкл (2011). «Просеивание кратчайших векторов в идеальных решетках». Цитировать журнал требует
| журнал =
(Помогите) - ^ "cr.yp.to: 2014.02.13: Атака подполевого логарифма на идеальные решетки". blog.cr.yp.to. Получено 2015-07-03.
- ^ «Что« поучительная история »GCHQ означает для решетчатой криптографии?». www.eecs.umich.edu. Архивировано из оригинал на 2016-03-17. Получено 2016-01-05.
- ^ Сингх, Викрам (2015). «Практический обмен ключами для Интернета с использованием решетчатой криптографии». Цитировать журнал требует
| журнал =
(Помогите) - ^ Verbauwhede, Руан де Клерк, Суджой Синха Рой, Фредерик Веркаутерен, Ингрид (2014). «Эффективная программная реализация шифрования Ring-LWE». Цитировать журнал требует
| журнал =
(Помогите) - ^ Дин, Цзиньтай; Се, Сян; Линь Сяодун (01.01.2012). «Простая и надежно защищенная схема обмена ключами, основанная на проблеме обучения с ошибками». Цитировать журнал требует
| журнал =
(Помогите) - ^ Пайкерт, Крис (01.01.2014). «Решеточная криптография для Интернета». Цитировать журнал требует
| журнал =
(Помогите) - ^ Чжан, Цзян; Чжан, Чжэньфэн; Дин, Цзиньтай; Снук, Майкл; Дагделен, Озгюр (2014). «Обмен ключами с аутентификацией из идеальных решеток». Цитировать журнал требует
| журнал =
(Помогите) - ^ Любашевский, Вадим (2011). "Решетчатые подписи без лазеек". Цитировать журнал требует
| журнал =
(Помогите) - ^ Гюнесу, Тим; Любашевский, Вадим; Пёппельманн, Томас (2012). Проуф, Эммануэль; Шаумон, Патрик (ред.). Практическая криптография на основе решеток: схема подписи для встроенных систем. Конспект лекций по информатике. Springer Berlin Heidelberg. С. 530–547. Дои:10.1007/978-3-642-33027-8_31. ISBN 978-3-642-33026-1.
- ^ «Схема подписи BLISS». bliss.di.ens.fr. Получено 2015-07-04.
- ^ Бракерски, Цвика; Вайкунтанатан, Винод (2011). Rogaway, Филипп (ред.). Полностью гомоморфное шифрование от Ring-LWE и безопасность ключевых зависимых сообщений. Конспект лекций по информатике. Springer Berlin Heidelberg. С. 505–524. Дои:10.1007/978-3-642-22792-9_29. ISBN 978-3-642-22791-2.