×
亚历山大·梅

如何满足三元LWE键。 (英语) Zbl 1486.94131号

Malkin,Tal(编辑)等人,《密码学进展-密码2021》。第41届国际密码学年会,2021年8月16日至20日,CRYPTO 2021,虚拟事件。诉讼程序。第二部分。查姆:斯普林格。莱克特。注释计算。科学。12826, 701-731 (2021).
摘要:LWE及其环变体问题是当今构建高效公钥密码系统的最突出候选,可抵抗量子计算机。NTRU型密码系统使用具有小的最大范数秘密的LWE型变体,通常具有来自集合\(\{-1,0,1 \}\)的三元系数。据推测,对这些方案最好的攻击是一种混合攻击,它将格约简技术与Odlyzko的中间相遇方法相结合。Odlyzko的算法是一种经典的组合攻击,对于密钥空间大小(mathcal{s}),它在时间(mathcal{s}^{0.5})内运行。我们使用为子集和算法开发的表示技术,对这种中间相遇方法进行了实质性改进。渐进地,我们的启发式中间相遇攻击运行时间大致为(mathcal{S}^{0.25}),这也超过了最著名的量子算法的复杂性。
对于第3轮NIST后量子加密NTRU和NTRU Prime,我们获得了攻击的非渐近实例化,其复杂性大致为(mathcal{S}^{0.3})。与其他组合攻击不同,我们的攻击得益于较大的LWE字段大小(q),因为它们通常用于现代基于格的签名。例如,对于BLISS和GLP签名,我们获得了围绕\(mathcal{S}^{0.28}\)的非渐近组合攻击。
我们的攻击不会使上述方案的安全声明无效。然而,它们为其安全性建立了改进的组合上限。我们留下的是一个悬而未决的问题,即我们的新中间相遇攻击与格减少是否可以用于加快混合攻击。
关于整个系列,请参见[Zbl 1484.94001号].

引用于1审查
引用于5文件

MSC公司:

94A60型 密码学
81页94 量子密码术(量子理论方面)
81页68 量子计算

关键词:

在中间相遇;表示技术;NTRU/BLISS/GLP公司

软件:

BLISS公司;NTRU公司
PDF格式BibTeX公司 XML格式引用
\发短信{A.May},Lect。注释计算。科学。12826、701--731(2021;Zbl 1486.94131)
全文: 内政部

参考文献:

[1] 阿尔布雷希特,M。;白,S。;杜卡斯,L。;Robshaw,M。;Katz,J.,《对过度扩展的NTRU假设的子域格攻击》,《密码学进展-密码2016》,153-178(2016),海德堡:斯普林格,海德伯格·Zbl 1351.94019号 ·doi:10.1007/978-3-662-53018-46
[2] Albrecht,M.,Cid,C.,Faugere,J.C.,Fitzpatrick,R.,Perret,L.:LWE问题的代数算法(2014)
[3] 阿尔布雷希特,MR;球员,R。;Scott,S.,《关于错误学习的具体困难》,J.Math。加密。,9, 3, 169-203 (2015) ·Zbl 1352.94023号 ·doi:10.1515/jmc-2015-0016
[4] Babai,L.,关于lovász的格约简和最近格点问题,组合数学,6,1,1-13(1986)·Zbl 0593.68030号 ·doi:10.1007/BF02579403
[5] 博内坦,X。;布里科特,R。;Schrottenloher,A。;沈毅。;Moriai,S。;Wang,H.,《亚微米改进经典和量子算法》,《密码学进展——ASIACRYPT 2020》,633-666(2020),查姆:斯普林格,查姆·Zbl 1521.81056号 ·doi:10.1007/978-3-030-64834-322
[6] 贝克尔,A。;科隆,J-S;Joux,A。;Paterson,KG,《硬背包的改进通用算法》,密码学进展-EUROCRYPT 2011,364-385(2011),海德堡:施普林格,海德伯格·Zbl 1281.94014号 ·doi:10.1007/978-3-642-20465-4-21
[7] Bernstein,D.J.,Chuengsatiansup,C.,Lange,T.,van Vredendal,C.:NTRU prime:第2轮规范(2019年)·Zbl 1384.94034号
[8] DJ伯恩斯坦;Chuengsatiansup,C。;兰格,T。;van Vredendaal,C。;亚当斯,C。;Camenisch,J.,《NTRU prime:以低成本减少攻击面》,《密码学选定领域》,SAC 2017,235-260(2018),Cham:Springer,Cham·Zbl 1384.94034号 ·doi:10.1007/978-3-319-722565-9_12
[9] Becker,A.,Ducas,L.,Gama,N.,Laarhoven,T.:最近邻搜索的新方向及其在晶格筛分中的应用。收录人:Krauthgamer,R.(编辑)第27届SODA,ACM-SIAM,第10-24页,2016年1月·Zbl 1410.68093号
[10] Bos,J.W.,et al.:CRYSTALS-Kyber:一种基于CCA-secure模块格的KEM。加密电子打印档案(20180716:135545)(2017)
[11] 白,S。;加尔布雷思,SD;苏西洛,W。;Mu,Y.,二进制LWE的莱迪思解码攻击,信息安全与隐私,322-337(2014),查姆:斯普林格,查姆·Zbl 1337.94020号 ·数字对象标识代码:10.1007/978-3-319-08344-5_21
[12] Buchmann,J。;Göpfert,F。;球员,R。;Wunder,T。;Pointcheval,D。;Nitaj,A。;Rachidi,T.,《关于具有二进制错误的LWE的硬度:重温混合格约简和中间相遇攻击》,《密码学进展——AFRICACRYPT 2016,24-43(2016)》,查姆:斯普林格,查姆·Zbl 1345.94045号 ·doi:10.1007/978-3-319-31517-1_2
[13] 贝克尔,A。;Joux,A。;A月。;默勒,A。;Pointcheval,D。;Johansson,T.,《(2^n/20)中随机二进制线性码的解码:(1+1=0)如何改进信息集解码》,《密码学进展-EUROCRYPT 2012》,520-536(2012),海德堡:斯普林格,海德伯格·Zbl 1291.94206号 ·数字对象标识代码:10.1007/978-3-642-29011-431
[14] Brakerski,Z。、Langlois,A。、Peikert,C。、Regev,O。、Stehlé,D。:带错误学习的经典困难。收录人:Boneh,D.,Roughgarden,T.,Feigenbaum,J.(编辑)第45届ACM STOC,第575-584页。ACM出版社,2013年6月·Zbl 1293.68159号
[15] Chen,C.等人:NTRU-算法规范和支持文件(2019)
[16] 德波尔,K。;杜卡斯,L。;Jeffery,S。;de Wolf,R。;兰格,T。;Steinwandt,R.,《对基于AJPS Mersenne的密码系统的攻击》,《后量子密码术》,101-120(2018),查姆:斯普林格,查姆·Zbl 1425.94054号 ·doi:10.1007/978-3-319-79063-3_5
[17] 杜卡斯,L。;Durmus,A。;Lepoint,T。;柳巴舍夫斯基,V。;卡内蒂,R。;Garay,JA,《格点签名和双模高斯人》,《密码学进展-密码学》2013,40-56(2013),海德堡:斯普林格,海德伯格·Zbl 1310.94141号 ·doi:10.1007/978-3642-40041-43
[18] 杜卡斯,L。;Nguyen,PQ;王,X。;Sako,K.,《使用惰性浮点算法的快速高斯晶格采样》,《密码学进展-ASIACRYPT 2012》,415-432(2012),海德堡:斯普林格,海德伯格·Zbl 1292.94058号 ·doi:10.1007/978-3-642-34961-4_26
[19] D'Anvers,J-P;罗西,M。;维迪亚,F。;Canteaut,A。;Ishai,Y.,(一)失败不是一种选择:引导基于格的加密方案中的失败搜索,《密码学进展——EUROCRYPT 2020,3-33(2020)》,查姆:Springer,查姆·Zbl 1479.94152号 ·doi:10.1007/978-3-030-45727-3_1
[20] Gentry,C.:使用理想格的完全同态加密。收录:Mitzenmacher,M.(编辑)第41届ACM STOC,第169-178页。ACM出版社,2009年5月/6月·Zbl 1304.94059号
[21] 郭,Q。;约翰逊,T。;斯坦科夫斯基,P。;Gennaro,R。;Robshaw,M.,Coded-BKW:使用格码求解LWE,《密码学进展-密码2015》,23-42(2015),海德堡:斯普林格,海德伯格·Zbl 1336.94051号 ·doi:10.1007/978-3-662-47989-62
[22] Güneysu,T。;柳巴舍夫斯基,V。;Pöppelmann,T。;普罗夫·E。;Schaumont,P.,《实用基于格的加密:嵌入式系统的签名方案》,《加密硬件和嵌入式系统-CHES 2012》,530-547(2012),海德堡:斯普林格·Zbl 1294.94050号 ·doi:10.1007/978-3-642-33027-8_31
[23] Gentry,C.、Peikert,C.、Vaikuntanathan,V.:硬格子和新密码构造的陷阱门。收录人:Ladner,R.E.,Dwork,C.(编辑)第40届ACM STOC,第197-206页。ACM出版社,2008年5月·兹比尔1231.68124
[24] Howgrave-Graham,N.,Silverman,J.H.,Whyte,W.:对NTRU私钥的一次跨平台攻击。技术报告,NTRU加密系统,2003年6月
[25] Howgrave-Graham,N。;Joux,A。;Gilbert,H.,硬背包的新通用算法,密码学进展-EUROCRYPT 2010,235-256(2010),海德堡:施普林格·Zbl 1280.94069号 ·doi:10.1007/978-3642-13190-5_12
[26] Herold,G。;Kirshanova,E。;Laarhoven,T。;阿卜杜拉,M。;Dahab,R.,元组格筛选的加速和时间记忆权衡,公钥密码术-PKC 2018,407-436(2018),Cham:Springer,Cham·Zbl 1439.94033号 ·doi:10.1007/978-3-319-76578-5_14
[27] Howgrave-Graham,N。;Boneh,D.,《解密失败对NTRU加密安全性的影响》,《密码学进展-2003》,226-246(2003),海德堡:斯普林格·Zbl 1122.94377号 ·数字对象标识代码:10.1007/978-3-540-45146-4_14
[28] Howgrave-Graham,N。;Menezes,A.,《针对NTRU的混合格约简和中间相遇攻击》,《密码学进展——2007年密码体制》,150-169(2007),海德堡:斯普林格,海德伯格·兹比尔1215.94053 ·doi:10.1007/978-3-540-74143-59
[29] 霍夫斯坦,J。;Pipher,J。;希尔弗曼,JH;Buhler,JP,NTRU:一种基于环的公钥密码系统,算法数论,267-288(1998),海德堡:Springer,Heidelberg·Zbl 1067.94538号 ·doi:10.1007/BFb0054868
[30] Kirchner,P。;犯规,P-A;Gennaro,R。;Robshaw,M.,《用于LWE的改进BKW算法及其在密码学和格中的应用》,《密码学进展-密码学》2015,43-62(2015),海德堡:斯普林格·Zbl 1336.94058号 ·doi:10.1007/978-3-662-47989-63
[31] Laarhoven,T。;Gennaro,R。;Robshaw,M.,使用角位置敏感散列筛选格中的最短向量,密码学进展-CRYPTO 2015,3-22(2015),海德堡:Springer,Heidelberg·Zbl 1336.94060号 ·doi:10.1007/978-3-662-47989-6_1
[32] 柳巴舍夫斯基,V。;佩克特,C。;Regev,O。;Gilbert,H.,《理想格与环上错误的学习》,《密码学进展-EUROCRYPT 2010》,1-23(2010),海德堡:斯普林格·Zbl 1279.94099号 ·doi:10.1007/978-3642-13190-51
[33] 柳巴舍夫斯基,V。;Pointcheval,D。;Johansson,T.,《无活门的格点签名》,《密码学进展-EUROCRYPT 2012》,738-755(2012),海德堡:斯普林格,海德伯格·Zbl 1295.94111号 ·doi:10.1007/978-3642-29011-443
[34] May,A.:如何满足三元LWE键。《加密电子打印档案》,报告2021/216(2021)。https://eprint.iacr.org/2021/216
[35] A月。;Ozerov,I。;奥斯瓦尔德,E。;Fischlin,M.,《计算最近邻及其在二进制线性码解码中的应用》,《密码学进展-EUROCRYPT 2015,203-228(2015)》,海德堡:斯普林格·Zbl 1365.94597号 ·doi:10.1007/978-3-662-46800-5_9
[36] Micciancio,D。;佩克特,C。;卡内蒂,R。;JA Garay,《小参数SIS和LWE的硬度》,《密码学进展-密码学》2013,21-39(2013),海德堡:斯普林格,海德伯格·Zbl 1310.94161号 ·doi:10.1007/978-3642-40041-42
[37] A月。;希尔弗曼,JH;Silverman,JH,卷积模格的降维方法,密码学和格,110-125(2001),海德堡:施普林格,海德堡·Zbl 1006.11033号 ·doi:10.1007/3-540-44670-2-10
[38] Mitzenmacher,M。;Upfal,E.,《概率与计算:算法与数据分析中的随机化与概率技术》(2017),剑桥:剑桥大学出版社,剑桥·Zbl 1368.60002号
[39] Nguyen,P.Q.:加强对NTRU的混合攻击:环形LSH、置换HNF和盒装球体。In:NIST第三届PQC标准化会议(2021年)
[40] 1-2008:基于格上硬问题的公钥加密技术IEEE标准规范(2008)
[41] 阮,资格预审官;Vidick,T.,最短向量问题的筛选算法是实用的,J.Math。加密。,2, 2, 181-207 (2008) ·Zbl 1193.11117号 ·doi:10.1515/JMC.2008.009
[42] Regev,O.:新的基于格的密码构造。收录于:第35届ACM STOC,第407-416页。ACM出版社,2003年6月·Zbl 1192.94105号
[43] Stehlé,D。;斯坦菲尔德,R。;KG Paterson,Making NTRU as security as worst-case problems over ideal lattices,Advances in Cryptology-EUROCRYPT 2011,27-47(2011),海德堡:斯普林格·Zbl 1281.94057号 ·doi:10.1007/978-3-642-20465-44
[44] van Vredendal,C.,针对NTRU私钥的减少内存攻击,LMS J.Compute。数学。,19,A,43-57(2016)·Zbl 1391.94827号 ·doi:10.1112/S14615701600206
[45] PC公司van Oorschot;Wiener,MJ,密码分析应用程序的并行碰撞搜索,J.Cryptol。,12, 1, 1-28 (1999) ·Zbl 0992.94028号 ·doi:10.1007/PL00003816
[46] Wang,H。;Ma,Z。;Ma,CG,《针对NTRU-2005的有效量子中观攻击》,Chin。科学。公牛。,58, 28, 3514-3518 (2013) ·doi:10.1007/s11434-013-6020-y
[47] Wunder,T.,《混合格约简和中间相遇攻击的详细分析》,J.Math。加密。,2019年1月13日至26日·Zbl 1415.94466号 ·doi:10.1515/jmc-2016-0044
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。