×
莱奥·多卡斯;余、杨

学习再次打击:DRS签名方案的案例。 (英语) Zbl 1466.94045号

J.密码学 34,第1期,第1号论文,24页(2021年).
摘要:格型签名方案在防止秘密信息通过签名笔录泄漏时通常需要特别小心。例如,Goldreich-Goldwasser-Halevi(GGH)签名方案和NTRUSign方案被P.Q.Nguyen先生O.雷格夫[法学注释计算科学4004,271–288(2006;兹比尔1140.94365)]. 一些启发式对策也容易受到类似的统计攻击。在PKC 2008,T.普兰塔德等[同上,4939,288–307(2008年;Zbl 1162.94398号)]提出了GGH的新变体,非正式地论证了对此类攻击的抵制。基于此变体,T.普兰塔德等人[“DRS:基于格的签名版本2的对角占优约简”,Preprint]提出了一个具体的签名方案,称为DRS,这是NIST后量子密码项目的第一轮。在这项工作中,我们提出了另一种统计攻击,并证明了DRS方案的一个弱点:可以从足够多的签名中恢复密钥的部分信息。一个困难是,由于DRS简化算法,统计泄漏和机密之间的关系似乎更加复杂。我们通过训练一个统计模型来解决这个困难,使用一些我们根据简单的启发式分析设计的特性。虽然我们只恢复部分秘密系数,但这种信息很容易被格攻击利用,大大降低了其复杂性。具体地说,我们声称,如果(10万)个签名可用,则可以使用BKZ-138为提交给NIST的第一组DRS参数恢复密钥。这使得该参数集的安全级别低于80位(甚至可能是70位),与最初的128位声明相比。此外,我们还回顾了DRS v2方案,该方案旨在抵抗上述统计攻击。对于这种对策,虽然通过学习可能无法准确地恢复部分秘密系数,但获得一些关于秘密密钥的信息似乎是可行的。利用这些信息,我们仍然可以有效地降低晶格攻击的成本。

引用于1文件

MSC公司:

94A62型 身份验证、数字签名和秘密共享
94A60 密码学

关键词:

密码分析;基于格的签名;统计攻击;学习;BDD公司

引文:

Zbl 1140.94365号;Zbl 1162.94398号

软件:

NTRU公司;G6K公司;NTRU签名;随机森林;BKZ公司;BLISS公司
PDF格式BibTeX公司 XML格式引用
\textit{L.Ducas}和\textit{Y.Yu},《密码学杂志》34,第1期,第1号论文,第24页(2021;Zbl 1466.94045)
全文: 内政部 链接

参考文献:

[1] Albrecht,M.R.:关于对小秘密LWE的双格攻击以及HElib和SEAL中的参数选择。摘自:密码技术理论和应用年度国际会议,第103-129页。柏林施普林格出版社(2017)·Zbl 1415.94402号
[2] Albrecht,M.R.,Ducas,L.,Herold,G.,Kirshanova,E.,Postlethwaite,E.W.,Stevens,M.:一般筛核和晶格还原的新记录。摘自:密码技术理论与应用年度国际会议,第717-746页。柏林施普林格(2019)·Zbl 1509.94054号
[3] Albrecht,M.R.、Göpfert,F.、Virdia,F.和Wunder,T.:重新审视解决uSVP和LWE应用的预期成本。摘自:《密码学和信息安全理论与应用国际会议》,第297-322页。柏林施普林格出版社(2017)·兹比尔1420.94034
[4] 阿尔布雷希特,MR;球员,R。;Scott,S.,《关于错误学习的具体困难》,J.Math。加密。,9, 3, 169-203 (2015) ·Zbl 1352.94023号 ·文件编号:10.1515/jmc-2015-0016
[5] Alkim,E.,Ducas,L.,Pöppelmann,T.,Schwabe,P.:后量子密钥交换——一个新的希望。摘自:第25届USENIX安全研讨会(USENIX-Security 16),第327-343页(2016)
[6] Aono,Y.,Nguyen,P.Q.:重新访问随机抽样:离散修剪的晶格枚举。摘自:密码技术理论和应用年度国际会议,第65-102页。柏林施普林格出版社(2017)·Zbl 1415.94404号
[7] Bai,S。;Lepoint,T。;Roux-Langlois,A。;Sakzad,A。;Stehlé,D。;Steinfeld,R.,《改进基于格的密码学中的安全证明:使用Rényi发散而非统计距离》,J.Cryptol。,31, 2, 610-640 (2018) ·Zbl 1444.94043号 ·doi:10.1007/s00145-017-9265-9
[8] 巴萨克,D。;Pal,S。;Patranabis,DC,支持向量回归,神经信息处理。莱特。修订版,11、10、203-224(2007)
[9] Chen,Y.:Réduction de Réseau and sécuritéconcrète du chiffrement complètement homomorpe的研究和安全结论。博士论文(2013)
[10] Chen,Y.,Nguyen,P.Q:BKZ 2.0:更好的晶格安全评估(完整版)。网址:http://www.di.ens.fr/ychen/research/Full_BKZ.pdf·Zbl 1227.94037号
[11] Chen,Y.,Nguyen,P.Q:BKZ 2.0:更好的晶格安全评估。摘自:《密码学和信息安全理论与应用国际会议》,第1-20页。柏林施普林格出版社(2011)·Zbl 1227.94037号
[12] Ding,J.,Chen,M.S.,Petzoldt,A.,Schmidt,D.,Yang,B.Y.,Kannwischer,M.,Patarin,J.:Rainbow:提交给美国国家标准与技术研究院的量子密码后标准化过程。https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-提交
[13] Ducas,L.:晶格筛分的最短矢量:免费提供几个维度。摘自:密码技术理论和应用年度国际会议,第125-145页。柏林施普林格(2018)·Zbl 1423.94069号
[14] Ducas,L.,Durmus,A.,Lepoint,T.,Lyubashevsky,V.:格点签名和双峰高斯。摘自:年度密码会议,第40-56页。柏林施普林格出版社(2013)·Zbl 1310.94141号
[15] Ducas,L.,Nguyen,P.Q.:学习宗谱和更多:NTRUSign对策的密码分析。摘自:《密码学和信息安全理论与应用国际会议》,第433-450页。柏林施普林格出版社(2012)·Zbl 1292.94059号
[16] Fukase,M。;Kashiwabara,K.,基于统计分析的SVP求解加速算法,J.Inf.Process。,23, 1, 67-80 (2015)
[17] Gama,N.,Nguyen,P.Q.:预测晶格减少。摘自:密码技术理论和应用年度国际会议,第31-51页。施普林格,柏林(2008)·Zbl 1149.94314号
[18] Gentry,C.、Peikert,C.、Vaikuntanathan,V.:硬格子和新密码构造的陷阱门。摘自:《第四十届ACM计算机理论研讨会论文集》,第197-206页。ACM(2008)·Zbl 1231.68124号
[19] Goldreich,O.,Goldwasser,S.,Halevi,S.:格约简问题中的公钥密码系统。摘自:年度国际密码学会议,第112-131页。施普林格,柏林(1997)·Zbl 0889.94011号
[20] Hanrot,G.,Pujol,X.,Stehlé,D.:使用动力学系统分析分块格算法。摘自:年度密码会议,第447-464页。柏林施普林格出版社(2011)·Zbl 1287.94072号
[21] Hoffstein,J.、Howgrave-Graham,N.、Pipher,J.,Silverman,J.H.、Whyte,W.:NTRUSIGN:使用NTRU格的数字签名。收录于:RSA大会上的密码学家跟踪,第122-140页。柏林施普林格出版社(2003)·Zbl 1039.94525号
[22] 胡,Y。;王,B。;他,W.,NTRUSign与一个新的扰动,IEEE Trans。《信息论》,54,7,3216-3221(2008)·Zbl 1329.94064号 ·doi:10.1109/TIT.2008.924662
[23] Li,H.,Liu,R.,Nitaj,A.,Pan,Y.:PKC’08中基于格的签名方案随机版本的密码分析。摘自:澳大利亚信息安全和隐私会议,第455-466页。柏林施普林格(2018)·Zbl 1444.94085号
[24] Liaw,A。;Wiener,M.,《随机森林分类与回归》,R News,2,3,18-22(2002)
[25] Lyubashevsky,V.:Fiat-Shamir with aborts:应用于基于格和因式分解的签名。摘自:《密码学和信息安全理论与应用国际会议》,第598-616页。柏林施普林格出版社(2009)·兹比尔1267.94125
[26] Lyubashevsky,V.:无活板门的格子签名。摘自:密码技术理论与应用年度国际会议,第738-755页(2012年)·Zbl 1295.94111号
[27] Lyubashevsky,V.、Ducas,L.、Kiltz,E.、Lepoint,T.、Schwabe,P.、Seiler,G.、Stehlé,D.、Bai,S.:晶体-帝力:提交NIST的量子密码后标准化过程。https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-提交
[28] Micciancio,D.,Voulgaris,P.:最短向量问题的更快指数时间算法。摘自:第二十一届ACM-SIAM离散算法研讨会论文集,工业和应用数学学会,第1468-1480页(2010)·Zbl 1288.94076号
[29] Nguyen,P.Q.,Regev,O.:学习平行六面体:GGH和NTRU签名的密码分析。摘自:密码技术理论和应用年度国际会议,第271-288页。柏林施普林格出版社(2006)·兹比尔1140.94365
[30] NIST:量子密码后标准化过程的提交要求和评估标准(2016年12月)https://csrc.nist.gov/csrc/media/Projects/Post-Quantum-Cryptography/documents/call-for-proposals-final-dec-2016.pdf
[31] Peikert,C.:格子的高效并行高斯采样器。摘自:年度密码学会议,第80-97页。柏林施普林格出版社(2010年)·Zbl 1280.94091号
[32] Plantard,T.、Sipasseuth,A.、Dumondele,C.、Susilo,W.:DRS:基于格的签名的对角优势约简。提交给NIST后量子密码项目https://csrc.nist.gov/projects/post-quantum-cryptography/round-1-提交
[33] Plantard,T.、Sipasseuth,A.、Dumondele,C.、Susilo,W.:DRS:基于格的签名的对角优势约简第2版。https://documents.uow.edu.au/托马斯普尔/drs/current/specification.pdf
[34] Plantard,T.,Susilo,W.,Win,K.T.:一种基于CVP({}_{infty})的数字签名方案。摘自:公开密钥加密国际研讨会,第288-307页。施普林格,柏林(2008)·Zbl 1162.94398号
[35] Prest,T.、Fouque,P.A.、Hoffstein,J.、Kirchner,P.、Lyubashevsky,V.、Pornin,T.和Ricosset,T.,Seiler,G.、Whyte,W.、Zhang,Z.:Falcon:提交NIST的量子密码后标准化过程。https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-提交
[36] 施诺尔,CP;Euchner,M.,《格基约简:改进的实用算法和解决子集和问题》,数学。程序。,第66页,第1-3页,181-199年(1994年)·Zbl 0829.90099号 ·doi:10.1007/BF01581144
[37] Sipasseuth,A.,Plantard,T.,Susilo,W.:使用均匀选择的随机噪声提高DRS方案的安全性。摘自:澳大利亚信息安全和隐私会议,第119-137页。柏林施普林格(2019)·Zbl 1439.94060号
[38] Teruya,T.,Kashiwabara,K.,Hanaoka,G.:适用于大规模并行化的快速格基约简及其在最短向量问题中的应用。摘自:IACR公钥密码国际研讨会,第437-460页。柏林施普林格(2018)·兹比尔1439.94062
[39] Yu,Y.,Ducas,L.:LLL和BKZ的二阶统计行为。摘自:密码学选定领域国际会议,第3-22页。柏林施普林格出版社(2017)·Zbl 1384.94111号
[40] Yu,Y.,Ducas,L.:学习再次罢工:DRS签名方案的案例。摘自:《密码学和信息安全理论与应用国际会议》,第525-543页。柏林施普林格(2018)·Zbl 1446.94164号
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。