Эту статью Инкубатора предлагается удалить. Причина: П2: межпространственное перенаправление. Если Вы являетесь автором этой статьи и не согласны с её удалением, то уберите со страницы этот шаблон и дайте объяснение на странице обсуждения, почему статью нужно оставить. Страница сохранена 2370129 минут назад.  Удалить per nom. Опытным участникам: ссылки сюда, история (посл. правка), проверить копивио, проверить удаления, журналы; удалить как: О1, О2, О3, О4, О5, О8, О9, О11, С1, С2, С3, С5.

Подпись при обучении с ошибками в кольце

Электронная подпись является средством защиты цифровой информации от преднамеренного изменения и проверки подлинности источника цифровой информации. Криптография с открытым ключом предоставляет богатый набор различных криптографических алгоритмов для создания цифровых подписей. Тем не менее, подписи с открытым ключом, используемые в настоящее время (RSA, ECDSA), станут совершенно небезопасными, если ученым когда-либо удастся создать квантовый компьютер^[1]. Постквантовая криптография - это класс криптографических алгоритмов, разработанных для обеспечения устойчивости к атакам квантовой криптографии. На сегодняшний день созданы постквантовые алгоритмы цифровой подписи, основанные на на проблеме, известной как Обучение с ошибками в кольце, которые заменяют обычно используемые алгоритмы подписи RSA и ECDSA. Подпись при обучении с ошибками в кольце относится к числу постквантовых подписей с наименьшим открытым ключом и размерами подписи.

Истоки

Разработки в области квантовых компьютеров за последние десятилетия и оптимистичные перспективы для реальных квантовых компьютеров в течение ближайших 20 лет начали угрожать базовой криптографии, обеспечивающей безопасность Интернета сегодня.^[2][3] Относительно небольшой квантовый компьютер, способный обрабатывать только десять тысяч битов информации, легко взломает все широко используемые алгоритмы шифрования с открытым ключом, используемые для защиты конфиденциальности и цифровой подписи информации в Интернете. ^[1][4]

Один из наиболее широко используемых алгоритмов открытых ключей, используемых для создания цифровых подписей, известен как RSA. Его безопасность основана на классической сложности разделения произведения двух больших простых чисел на множители. Целочисленная задача факторизации считается неразрешимой на любом обычном компьютере, если простые числа выбираются случайным образом и достаточно велики.Однако, чтобы вычислить произведение двух n-разрядных простых чисел, квантовый компьютер с примерно 6n битами логической qubit памяти и способный выполнять программу, известную как алгоритм Шора, легко выполнит задачу. ^[5] Алгоритм Шора также может быстро разбивать цифровые подписи на основе так называемой проблемы дискретный логарифм и более эзотерической проблемы дискретный логарифм эллиптической кривой. По сути, относительно небольшой квантовый компьютер с алгоритмом Шора может быстро сломать все цифровые подписи, используемые для обеспечения конфиденциальности и целостности информации в Интернете сегодня.

Несмотря на то, что мы не знаем, когда будет существовать квантовый компьютер для взлома RSA и других алгоритмов цифровой подписи, в течение последнего десятилетия проводились активные исследования по созданию криптографических алгоритмов, которые остаются безопасными, даже если у злоумышленника есть ресурсы квантового компьютера. удаление.^[1][6]. Эта новая область криптографии называется Пост-квантовая или Квантовая безопасная криптография^[1][6] . Эта статья посвящена одному классу этих алгоритмов: цифровым подписям, основанным на задаче обучении с ошибками в кольце. Использование общей проблемы Обучение с ошибками в криптографии было введено Одедом Регевым в 2005 году и послужило источником нескольких криптографических разработок.^[7]

Создатели основы криптографии «Обучение с ошибками», основанной на кольце (RLWE), считают, что важной особенностью этих алгоритмов, основанных на обучении с ошибками, является доказуемое сокращение известных трудных задач.^[8][9]. Описанная ниже сигнатура имеет доказуемое сокращение до Задача наименьшего вектора в Идеальная решетка.^[10] Это означает, что если можно обнаружить атаку на криптосистему Ring-LWE, то целый класс предполагаемых сложных вычислительных проблем будет иметь решение.^[11]

Первая подпись на основе RLWE была разработана Любашевским в его статье «Fiat-Shamir с абортами: приложения к решетке и факторинг-сигнатурам»^[12] и уточнено в «Решетчатые подписи без люков» в 2011 ^[13]. Ряд уточнений и вариантов последовали. Эта статья освещает фундаментальную математическую структуру сигнатур RLWE и следует оригинальной работе Любашевского и работам Гунейсу, Любашевского и Попплеманна(GLP).^[10] Эта презентация основана на обновлении схемы GLP в 2017 году под названием GLYPH. ^[14]

${\displaystyle a(x)=a_{0}+a_{1}x+a_{2}x^{2}+\ldots +a_{n-3}x^{n-3}+a_{n-2}x^{n-2}+a_{n-1}x^{n-1}}$

Поле ${\displaystyle Z_{q}}$ имеет свои репрезентативные элементы в наборе ${\displaystyle \{-(q-1)/2,...-1,0,1,...(q-1)/2\}}$ Когда ${\displaystyle n}$- степень 2, многочлен ${\displaystyle \Phi (x)}$ будет циклотомическим многочленом ${\displaystyle x^{n}+1}$. Возможны другие варианты выбора ${\displaystyle n}$, но соответствующие циклотомические многочлены являются более сложными или их безопасность не так хорошо изучен.

Генерация открытого ключа

Открытый ключ для подписи сообщения генерируется посредством следующих шагов:

1. Генерация двух небольших полиномов ${\displaystyle s(x)}$ и ${\displaystyle e(x)}$ с коэффициентами, выбранными случайно с равномерным распределением из множества ${\displaystyle \{-b,...-1,0,1,...,b\}}$
2. Вычисление ${\displaystyle t(x)=a(x)s(x)+e(x)}$
3. Распределить ${\displaystyle t(x)}$ как открытый ключ объекта

Полиномы ${\displaystyle s(x)}$ и ${\displaystyle e(x)}$ служат закрытым ключом, а ${\displaystyle t(x)}$ - соответствующим открытым ключом. Безопасность этой схемы подписи основана на следующей проблеме. Для заданного полинома ${\displaystyle t(x)}$ найдите малые полиномы ${\displaystyle f_{1}(x)}$ и ${\displaystyle f_{1}(x)}$, такие что: ${\displaystyle a(x)f_{1}(x)+f_{1}(x)=t(x)}$ Если эту задчу трудно решить, то схему подписи будет трудно подделать. [См. cтатьи в Википедии Обучение с ошибками или Идеальная решетчатая криптография^[англ.] для более подробной информации о теоретической сложности этой проблемы]

Генерация подписи

Согласно GLYPH,^[14] чтобы подписать сообщение ${\displaystyle M}$, выраженное в виде битовой строки, автору необходимо проделать следующие шаги:

1. Сгенерировать два небольших полинома ${\displaystyle y_{1}(x)}$ и ${\displaystyle y_{2}(x)}$ с коэффициентами из множества ${\displaystyle \{-b,...-1,0,1,...,b\}}$
2. Вычислить ${\displaystyle w(x)=a(x)y_{1}(x)+y_{2}(x)}$
3. Отобразить ${\displaystyle w(x)}$ в битовую строку ${\displaystyle \omega }$
4. Вычислить ${\displaystyle c(x)={\mathsf {POLYHASH}}(\omega |M)}$ (Это многочлен с k ненулевыми коэффициентами. Символ "|" обозначает конкатенацию строк)
5. Вычислить ${\displaystyle z_{1}(x)=s(x)c(x)+y_{1}(x)}$
6. Вычислить ${\displaystyle z_{2}(x)=e(x)c(x)+y_{2}(x)}$
7. Пока ${\displaystyle ||z_{1}(x)||}$, и ${\displaystyle ||z_{2}(x)||\leqslant \beta =(b-k)}$ повторять пункты 1-6 (Норма ${\displaystyle ||\cdot ||}$ - равномерная норма)
8. Подпись - это тройка полиномов ${\displaystyle c(x),z_{1}(x)}$ и ${\displaystyle z_{2}(x)}$

Проверка подписи

Согласно GLYPH,^[1] чтобы проверить сообщение ${\displaystyle M}$, выраженное в виде битовой строки, используя публичный ключ автора ${\displaystyle t(x)}$ и электронную подпись ( ${\displaystyle c(x),z_{1}(x),z_{2}(x)}$) необходимо провести следующие шаги:

1. Удостовериться, что ${\displaystyle ||z_{1}(x)||}$, и ${\displaystyle ||z_{2}(x)||\leqslant \beta }$, иначе подпись не принята
2. Вычислить ${\displaystyle w'(x)=a(x)z_{1}(x)+z_{2}(x)-t(x)c(x)}$
3. Отобразить ${\displaystyle w'(x)}$ в битовую строку ${\displaystyle \omega '}$
4. Вычислить ${\displaystyle c'(x)={\mathsf {POLYHASH}}(\omega '|M)}$
5. Если ${\displaystyle c'(x)=c(x)}$, подпись считается действительной

Не сложно показать корректность проверки:
${\displaystyle a(x)z_{1}(x)+z_{2}(x)-t(x)c(x)=}$
${\displaystyle =a(x)[s(x)c(x)+y_{1}(x)]+z_{2}(x)-[a(x)s(x)+e(x)]c(x)=}$
${\displaystyle =a(x)y_{1}(x)+z_{2}(x)-e(x)c(x)=}$
${\displaystyle =a(x)y_{1}(x)+e(x)c(x)+y_{2}(x)-e(x)c(x)=}$
${\displaystyle =a(x)y_{1}(x)+y_{2}(x)=w(x)}$

Примечания

Ссылки

• example.com