描述过度扩展的NTRU攻击

定义1

（弱均匀分布）。让单位∈ 𝓞,B类> 0,和𝓣是中的元素序列ℤ^n个.然后𝓣是(B类,单位)-弱Δ-均匀分布模q个如果有一∉ 𝓞单位这样的话||一|| <B类,至少有一个坐标互质q个,序列的差异{[一⋅t吨]_q个/q个}_t吨∈𝓣最多是Δ.

定理1

对于（f）,克∈R（右）_q个让小时=克/英尺.假设𝓜_小时是(B类,（f）)-弱Δ-均匀分布模q个.让𝓛′做一个(n个+d日)-维度格如上所示。那么至少以概率1 – (2B类– 1)^n个((2B类+ 1)/q个+Δ)^d日在𝓜_小时,任意向量(x个,年) ∈ 𝓛′标准时间. ||(x个,年)|| <B类满足(x个, [X小时]_q个) = (αf,αg)对一些人来说α∈ 𝓞.结果如下所示(n个′ +d日)-维子环格𝓛′假设被接管𝓞_L（左）:= 𝓞 ∩L（左）.

证明

假设0≠(x个,年)∈𝓛′和x个∉ 𝓞（f）.让(X小时)_我表示我第个系数[X小时]_q个, 0 ≤我<n个。假设||(x个,年)|| <B类，所以|x个_我| <B类和|(X小时)_我| <B类.让P（P）=优先级[|(X小时)_我| <B类]对一些人来说我.根据以下假设小时,P（P）<2B类+1q个+Δ. Thed日≤n个𝓛′中最右边的列对应于乘以的系数小时，所以Pr[|(X小时)_我| <B类对于𝓛′]中的所有相应列=P（P）^d日< ((2B类+ 1)/q个+Δ)^d日，用于d日独立选择的列。有（2个B类– 1)^n个不同的可能性x个这样的话|x个_我| <B类，0≤我<n个因此，所选列的概率为𝓜_小时存在一个点阵点||(x个,年)|| <B类具有x个∉ 𝓞（f）最多为（2B类– 1)^n个P（P）^d日< (2B类– 1)^n个((2B类+ 1)/q个+Δ)^d日.□

假设1

列集合𝓜_小时是(B类,（f）)-弱O（运行）(q个^–1)-均匀分布模q个对于B类≪q个.

推论1

让（f）,克∈R（右）_q个和小时=克/英尺为NTRU私钥和公钥。让𝓛′是n维的投影NTRU晶格+d日,哪里d日≥ (n个日志（2B类+1）+1）/log(q个/(2B类+ 1)).低于假设1,任意向量(x个,年) ∈ 𝓛′标准时间. ||(x个,年)|| <B类满足(x个, [X小时]_q个) = (αf,αg)对一些人来说α∈ 𝓞至少有可能1/2 +O（运行）(q个^–1)在选定的列上𝓜_小时.结果如下所示(n个′ +d日)-维子环格𝓛′假设被接管𝓞_L（左）:= 𝓞 ∩L（左）.

证明

使用来自的符号定理1，存在格点的概率||(x个,年)|| <B类具有x个∉ 𝓞（f）最多是(2B类+1)n个+d日q个d日+O（运行）(q个−1)=2(n个+d日)(日志⁡(2B类+1))2d日日志⁡(q个)+O（运行）(q个−1).设置d日≥ (n个日志（2B类+1）+1）/log(q个/(2B类+1））给出结果。□

定理2

（改编自[12]).让（f）,克∈R（右）_q个和小时=克/（f）满足NTRU私钥和公钥假设1.让B类= ||v（v）||哪里v（v）= (（f）,克)在全场,v（v）= (N个_{K（K）/L（左）}(（f）),N个_{K（K）/L（左）}(克))在子字段中v（v）= (N个_{K（K）/L（左）}(（f）),N个_{K（K）/L（左）}(（f）)小时)在子环中。然后β日志⁡β=2n个′日志⁡q个日志⁡(q个/B类)2一个人可以找到一个倍数αv对于非-零α∈ 𝓞至少有可能1/2 +O（运行）(q个^–1)在选定的列上𝓜.

权利要求1

让（f）,克是从同一集合中随机选择系数的两个多项式。让（f）= (单位₁, …,单位_米)和克= (w个₁, …,w个_n个).然后，E[||（f）||²]=E[||克||²]当且仅当系数平方的期望满足E类⁡[单位我2]=n个米E类⁡[w个我2].

定理3

让（f）,克∈R（右）_q个是两个多项式，其系数是从{–1, 0, 1}.让N个_{K（K）/L（左）}(克) = (单位₁, …,单位_n个)和克σ₂(（f）) = (w个₁, …,w个_n个).然后电子[单位我2|单位_我≠ 0] = 8n个/9 – 4/9和E类[w个我2] = 4n个/9.因此,作为n个将非-零系数N个_{K（K）/L（左）}(克)和克σ₂(（f）)倾向于2绝对值和预期欧几里德范数平方比E类[||N个_{K（K）/L（左）}(克)||²]/E类[||克σ₂(（f）)||²]趋于1.

证明

我们首先比较N个_{K（K）/L（左）}(克)对那些克σ₂(（f）). 让一_我∈{-1，0，1}一致且独立随机，并考虑多项式克=一_n个–1x个^n个–1+一_n个–2x个^n个–2+ … +一₁x个+一₀∈R（右）_q个.然后σ₂(克) = –一_n个–1x个^n个–1+一_n个–2x个^n个–2+ … –一₁x个+一₀.各系数单位_k属于N个_{K（K）/L（左）}(克) =克σ₂(克)是以下各项的总和n个条款。对于k奇数，单位_k=0，因为每个术语一_我一_j个在这个和中出现两次，符号相反。对于k甚至，单位k=2∑我<j个,我+j个≡k 国防部 n个±一我一j个+一k/22+一(n个+k)/22,自每学期起一_我一_j个具有我≠j个出现两次类似的符号。然后，我们有E类⁡[一我一j个∣我≠j个]=0,E类⁡[一我2]=E类⁡[一我4]=2/三,和E[(一_我一_j个)²]=4/9和k即使

现在，让我们重复一个非常相似的论点克σ₂(（f）)，其中σ₂(（f）)是形式的多项式σ₂(（f）) =b条_n个–1x个^n个–1+b条_n个–2x个^n个–2+ … +b条₁x个+b条₀，使用b条_我∈{-1，0，1}随机一致独立。同样，每个系数w个_k属于克σ₂(（f）)是以下各项的总和n个条款。然而，与上面的情况不同，这个和中没有类似的项，我们有E[一_我b条_j个]=0和E[(一_我b条_j个)²] = 4/9. 如上所述，我们计算

因此，欧几里德范数的期望平方E类⁡[||N个K（K）/L（左）(克)||2]=E类⁡[∑我单位我2]=∑我E类⁡[单位我2]=4n个2/9−2n个/9和E[||克σ₂(（f）)||²]=E[∑_我w个我2] = 4n个²/9.□

假设2

对于第页> 1,的系数N个_{K（K）/L（左）}(克),N个_{K（K）/L（左）}(（f）)和N个_{K（K）/L（左）}(（f）)小时表现得好像它们是从高斯分布中独立选择的.

定理4

让（f）,克∈R（右）_q个和小时=克/（f）满足NTRU私钥和公钥假设2。对于子字段L（左）⊆K（K）,让N个_{K（K）/L（左）}(克) = (单位₁, …,单位_n个)和N个_{K（K）/L（左）}(（f）)小时= (w个₁, …,w个_n个).然后,作为n个将非-零系数N个_{K（K）/L（左）}(克)和N个_{K（K）/L（左）}(（f）)小时倾向于第页绝对值。此外，期望平方欧几里德范数的比率E类[||N个_{K（K）/L（左）}(克)||²]/E类[||N个_{K（K）/L（左）}(（f）)小时||²]倾向于1为n个到无穷大.

证明

我们通过对索引的归纳给出了一个证明第页其中基本案例在定理3。假设索引的声明成立第页，我们证明它适用于[K（K）:L（左）] = 2第页首先要注意的是，对于田地之塔L（左）⊆E类⊆K（K）我们有N个_{K（K）/L（左）}(一) =N个_{E类/L（左）}(N个_{K（K）/E类}(一))对于每个一∈K（K）（请参见[16，定理2.29]）。考虑一下这个案例[K（K）:E类] =第页, [E类:L（左）]=2，并表示G公司:=N个_{K（K）/E类}(克)和F类:=N个_{K（K）/E类}(（f）). 然后，N个_{K（K）/L（左）}(克) =N个_{E类/L（左）}(G公司) =G公司σ2′(G公司)和N个_{K（K）/L（左）}(（f）)小时=N个_{E类/L（左）}(F类)小时=F类σ2′(F类)小时=G公司′σ2′(F类)，其中σ2′∈女孩(E/L公司)和G’=Fh（飞行高度）=N个_{K（K）/E类}(（f）)小时.之前的施工案例，即[K（K）:E类] =第页，表示每个（非零）系数F类,G公司和G公司'遵循高斯分布。低于假设2可以认为系数是独立的。我们现在可以重复以下过程定理3.同时G公司′ ∈K（K），请注意F类,G公司∈E类所以他们有无/无非零系数。因此，类似于定理3，每个非零系数G公司σ2′(G公司)约为2乘以高斯随机游走n个/2第页步长，而每个系数G公司′σ2′(F类)是随机行走无/无步骤。根据归纳假设G公司预计将大于系数G公司'乘以系数第页足够大的n个系数的结果来自于对随机游动的预期大小的评估，而对规范的要求来自于权利要求1.□

推论2

让B类_子字段= ||(N个_{K（K）/L（左）}(（f）),N个_{K（K）/L（左）}(克))||哪里[K（K）:L（左）] =第页=n个/n个′.让B类秒单位b条第页我n个克第页第页o个j个=||(N个K（K）/L（左）(（f）),N个K（K）/L（左）(（f）)小时¯)||投影保持的位置2n个′协调。低于假设1和2,足够大的n个我们希望B类秒单位b条（f）我e（电子）我d日2B类秒单位b条第页我n个克第页第页o个j个2≈2第页第页+1.此外,假设是这样B类_子字段是子域格中最短向量的范数，表示为q个_子字段和q个_子环子域和子域攻击中的模,分别地,BKZ算法可以求解具有固定块大小的NTRUβ.然后q个秒单位b条（f）我e（电子）我d日q个秒单位b条第页我n个克≥2第页第页+1.

证明

为了简化符号，我们编写了coeff(（f）)表示多项式系数的平均大小（f）.我们有B类秒单位b条（f）我e（电子）我d日2= (n个/第页)（系数(N个_{K（K）/L（左）}(（f）))²+系数(N个_{K（K）/L（左）}(克))²)、和B类秒单位b条第页我n个克第页第页o个j个2= (n个/第页)（系数(N个_{K（K）/L（左）}(（f）))²+系数(N个_{K（K）/L（左）}(（f）)小时)²). 我们知道那个coeff(N个_{K（K）/L（左）}(（f）))²≈系数(N个_{K（K）/L（左）}(克))²和来自定理4，我们也知道coeff(N个_{K（K）/L（左）}(克))²≈第页系数(N个_{K（K）/L（左）}(（f）)小时)².BKZ保证输出以β^2n个′/βλ₁（𝓛）。第二个结果是将该值限定为q个在两个格子中。□

推论3

符号来自定理2和推论2,设置B类:=B类_子字段.低于假设1和2,足够大的n个,我们可以找到倍数αv对于一些非-零α∈ 𝓞使得使用具有块大小的BKZβ在格子上𝓛′尺寸n的′ +d日,我们有以下两种情况。如果𝓛′是子场晶格,然后n个′+d日≥n个′日志⁡(q个)+1日志⁡(q个/(2B类+1)) 一n个d日 β日志⁡β=2n个′日志⁡q个(日志⁡(q个/B类))2,如果𝓛′是子环格,然后n个′+d日≥n个′日志⁡(q个)+1日志⁡(q个第页/(2第页+2B类+第页)和β日志⁡β=2n个′日志⁡q个(日志⁡(2第页q个/第页+1B类)2.