Round5: различия между версиями

Эту статью Инкубатора предлагается удалить. Причина: П2: межпространственное перенаправление. Если Вы являетесь автором этой статьи и не согласны с её удалением, то уберите со страницы этот шаблон и дайте объяснение на странице обсуждения, почему статью нужно оставить. Страница сохранена 2375533 минуты назад.  Удалить per nom. Опытным участникам: ссылки сюда, история (посл. правка), проверить копивио, проверить удаления, журналы; удалить как: О1, О2, О3, О4, О5, О8, О9, О11, С1, С2, С3, С5.

Система шифрования Round5 — это пост-квантовая криптография с открытым ключом, основанная на задаче General Learning with Rounding (GLWR)^[1]. Данная система является альтернативой для алгоритма RSA и эллиптических кривых и предназначена для защиты от квантовых компьютеров^[2].

Пусть ${\displaystyle a}$ — целое положительное число, тогда за ${\displaystyle \mathbb {Z} _{a}}$ обозначим набор чисел ${\displaystyle \{0,1,\cdots ,a-1\}}$. Для набора ${\displaystyle A}$ через ${\displaystyle a{\xleftarrow[{}]{\$}}A}$ обозначим случайный и равновероятный выбор ${\displaystyle a}$ из ${\displaystyle A}$. Для рационального числа ${\displaystyle x}$ обозначим: ${\displaystyle \lfloor x\rfloor }$— округление вниз до целого, а ${\displaystyle \lfloor x\rceil }$ — округление до ближайшего целого^[3]. ${\displaystyle <x>_{a}=x{\bmod {a}}}$^[4]. Пусть ${\displaystyle n+1}$ — простое число. ${\displaystyle {\mathit {\Phi }}_{n+1}(x)}$ — циклотомический полином равный ${\displaystyle x^{n}+x^{n-1}+\cdots +x+1}$. Кольцо многочленов${\displaystyle \mathbb {Z} _{q}[x]/{\mathit {\Phi }}_{n+1}(x)}$ обозначим ${\displaystyle {\mathcal {R}}_{n}}$. Многочлен ${\displaystyle N_{n+1}(x)}$ равен ${\displaystyle x^{n+1}-1=}$${\displaystyle {\mathit {\Phi }}_{n+1}(x)}$${\displaystyle (x-1)}$. ${\displaystyle {\mathcal {R}}_{n,a}}$ — это набор многочленов степени меньших ${\displaystyle n}$ с коэффициентами из ${\displaystyle \mathbb {Z} _{a}}$. ${\displaystyle {\mathcal {R}}_{n}}$ называется троичным(ternary), если все его коэффициенты равны ${\displaystyle 0,1}$ или ${\displaystyle -1}$. Для любого элемента ${\displaystyle \upsilon \in {\mathcal {R}}_{n}}$ вес Хемминга определяется как число ненулевых коэффициентов. ${\displaystyle {\mathcal {H}}_{n}(h)}$ определяется как множество троичных полиномов степени меньше ${\displaystyle n}$ с весом Хемминга ${\displaystyle h}$^[5].

Ядром Round5 является шифр r5_cpa_pke, надежный в смысле IND-CPA. Шифр r5_cpa_pke похож на схему шифрования Эль-Гамаля.

Параметры шифра r5_cpa_pke: ${\displaystyle n,h,p,q,t,\mu ,f,\tau }$ – целые положительные числа, ${\displaystyle k}$ – параметр безопасности (длина сообщения в битах), ${\displaystyle m(x)}$ - многочлен, коэффициенты которого являются сообщением и равны ${\displaystyle 0}$ или ${\displaystyle 1}$ (${\displaystyle m(x)=m_{0}+m_{1}x+\cdots +m_{k-1}x^{k-1}}$). Модули ${\displaystyle p,q,t}$ являются степенями двойки, так что ${\displaystyle t}$ делит ${\displaystyle p}$ и ${\displaystyle p}$ делит ${\displaystyle q}$. Требуется, чтобы ${\displaystyle p^{2}>qt}$, ${\displaystyle \mu \leq n}$ и ${\displaystyle \mu \geq k}$. ${\displaystyle h}$ – вес Хемминга многочленов, являющихся секретными. ${\displaystyle \xi (x)}$ – многочлен ${\displaystyle {\mathit {\Phi }}_{n+1}(x)}$ или ${\displaystyle N_{n+1}(x)}$.

Algorithm 1: r5_cpa_pke_keygen()
1. ${\displaystyle a{\xleftarrow[{}]{\$}}{\mathcal {R}}_{n,q}}$
2. ${\displaystyle s{\xleftarrow[{}]{\$}}{\mathcal {H}}_{n}(h)}$
3. ${\displaystyle b=\left\langle \left\lfloor {\frac {p}{q}}(\langle as\rangle _{{\mathit {\Phi }}_{n+1}(x)}+h_{1})\right\rfloor \right\rangle _{p}}$
4. return ${\displaystyle (pk=(a,b),sk=s)}$

Для создания ключа равновероятно выбираются открытый многочлен ${\displaystyle a(x)}$ из множества многочленов степени не выше ${\displaystyle n}$ с коэффициентами из ${\displaystyle \mathbb {Z} _{q}}$ и многочлен ${\displaystyle s(x)}$, являющийся закрытым ключом, также равновероятно из множества ${\displaystyle {\mathcal {H}}_{n}(h)}$. Затем вычисляется многочлен ${\displaystyle b(x)}$, являющийся закрытым ключом, следующим образом: вычисляется произведение ${\displaystyle a(x)}$ и ${\displaystyle s(x)}$ по модулю ${\displaystyle {\mathit {\Phi }}_{n+1}(x)}$, к этому прибавляется число ${\displaystyle h_{1}={\frac {q}{2p}}}$, затем эта сумма умножается на ${\displaystyle {\frac {p}{q}}}$, у полученного многочлена коэффициенты округляют к меньшим целым числам и уже округленные коэффициенты вычисляются по модулю ${\displaystyle p}$.

Algorithm 2: r5_cpa_pke_encrypt${\displaystyle (pk,m)}$
1. ${\displaystyle r{\xleftarrow[{}]{\$}}{\mathcal {H}}_{n}(h)}$
2. ${\displaystyle u=\left\langle \left\lfloor {\frac {p}{q}}(\langle ar\rangle _{{\mathit {\Phi }}_{n+1}(x)}+h_{1})\right\rfloor \right\rangle _{p}}$
3. ${\displaystyle \upsilon =\left\langle \left\lfloor {\frac {t}{p}}({\text{Sample}}_{\mu }\langle br\rangle _{\xi (x)}+h_{1})\right\rfloor +{\frac {t}{2}}{\text{xefcompute}}_{k,f}(m)\right\rangle _{t}}$
4. return ${\displaystyle (pk=(a,b),sk=s)}$

Для создания шифра необходимо выбрать случайно многочлен ${\displaystyle r(x)}$, являющийся секретным, из множества ${\displaystyle {\mathcal {H}}_{n}(h)}$. Используя его и ${\displaystyle a(x)}$, вычисляется первая компонента шифротекста ${\displaystyle u(x)}$ таким же образом как ${\displaystyle b(x)}$. Поскольку не все коэффициенты ${\displaystyle \upsilon (x)}$ необходимы для шифрования ${\displaystyle k}$-битового сообщения ${\displaystyle m(x)}$, для вычисления второй компоненты шифротекста ${\displaystyle \upsilon (x)}$ используется функция Sample${\displaystyle _{\mu }}$, которая принимает на вход многочлен и на выходе выдает набор всех коэффициентов, соответствующих членам со степенью меньших ${\displaystyle \mu }$ :${\displaystyle c_{0}+c_{1}x+\cdots +c_{\mu -1}x^{\mu -1}+c_{\mu }x^{\mu }+\cdots +c_{n}x^{n}\rightarrow (c_{0},c_{1},\cdots ,c_{\mu -1})}$. Использование Sample${\displaystyle _{\mu }}$ делает шифрование и дешифрование более эффективными, поскольку в зашифрованном тексте необходимо вычислять только коэффициенты ${\displaystyle \mu }$ вместо всех ${\displaystyle n}$.

Так же для уменьшение вероятности ошибок применяются функции кодирования xef_compute${\displaystyle _{k,f}}$${\displaystyle (m(x))}$ при шифровании и декодирования xef_correct${\displaystyle _{k,f}}$ при дешифровании . Функция xef_compute_κ,f${\displaystyle (m(x))}$ преобразует многочлен ${\displaystyle m(x)}$ в набор двоичных коэффициентов размера ${\displaystyle \mu }$. Затем этот набор складывается с набором ошибок ${\displaystyle e=(e_{0},\cdots ,e_{\mu -1})}$, где каждый ${\displaystyle e_{i}}$ равен ${\displaystyle 0}$ или ${\displaystyle 1}$, причем количество единиц в наборе ошибок не должно быть больше чем ${\displaystyle f}$ для однозначного декодирования xef correct

κ,f(xef computeκ,f(m) + e) = m.

• example.com