Round5: различия между версиями

Эту статью Инкубатора предлагается удалить. Причина: П2: межпространственное перенаправление. Если Вы являетесь автором этой статьи и не согласны с её удалением, то уберите со страницы этот шаблон и дайте объяснение на странице обсуждения, почему статью нужно оставить. Страница сохранена 2378549 минут назад.  Удалить per nom. Опытным участникам: ссылки сюда, история (посл. правка), проверить копивио, проверить удаления, журналы; удалить как: О1, О2, О3, О4, О5, О8, О9, О11, С1, С2, С3, С5.

Система шифрования Round5 — это пост-квантовая криптография с открытым ключом, основанная на задаче General Learning with Rounding (GLWR)^[1]. Данная система является альтернативой для алгоритма RSA и эллиптических кривых и предназначена для защиты от квантовых компьютеров^[2]. Round5 состоит из алгоритмов для реализации механизма инкапсуляции ключей (KEM) и схемы шифрования с открытым ключом (PKE). Данные алгоритмы попадают под категорию криптография на решётках.

Round5 представляет собой слияние двух систем Round2^[3], основанная также на задаче GLWR, и HILA5^[4], имеющая код исправления ошибок^[1].

Ключевой особенностью Round5 является то, что её можно реализовать на основе таких задач как Learning with Rounding (LWR),так и Ring Learning with Rounding (RLWR) единым способом, что приводит к уменьшению анализа и обслуживания кода.

Алгоритмы на основе LWR требуются в средах, где производительность не так важна по сравнению с безопасностью.

С другой стороны, алгоритмы на основе RLWR достигают лучшей производительности с точки зрения полосы пропускания и вычислений, поэтому они лучше подходят для ограниченных сред с более строгими требованиями к полосе пропускания, например, из-за сложности фрагментации сообщений или небольших MTU^[1].

Пусть ${\displaystyle a}$ — целое положительное число, тогда за ${\displaystyle \mathbb {Z} _{a}}$ обозначим набор чисел ${\displaystyle \{0,1,\cdots ,a-1\}}$. Для набора ${\displaystyle A}$ через ${\displaystyle a{\xleftarrow[{}]{\$}}A}$ обозначим случайный и равновероятный выбор ${\displaystyle a}$ из ${\displaystyle A}$. Для рационального числа ${\displaystyle x}$ обозначим: ${\displaystyle \lfloor x\rfloor }$— округление вниз до целого, а ${\displaystyle \lfloor x\rceil }$ — округление до ближайшего целого^[5]. ${\displaystyle \langle x\rangle _{a}=x{\bmod {a}}}$. Пусть ${\displaystyle n+1}$ — простое число. ${\displaystyle {\mathit {\Phi }}_{n+1}(x)}$ — циклотомический полином равный ${\displaystyle x^{n}+x^{n-1}+\cdots +x+1}$. Кольцо многочленов${\displaystyle \mathbb {Z} _{q}[x]/{\mathit {\Phi }}_{n+1}(x)}$ обозначим ${\displaystyle {\mathcal {R}}_{n}}$. Многочлен ${\displaystyle N_{n+1}(x)}$ равен ${\displaystyle x^{n+1}-1=}$${\displaystyle {\mathit {\Phi }}_{n+1}(x)}$${\displaystyle (x-1)}$. ${\displaystyle {\mathcal {R}}_{n,a}}$ — это набор многочленов степени меньших ${\displaystyle n}$ с коэффициентами из ${\displaystyle \mathbb {Z} _{a}}$. ${\displaystyle {\mathcal {R}}_{n}}$ называется троичным(ternary), если все его коэффициенты равны ${\displaystyle 0,1}$ или ${\displaystyle -1}$. Для любого элемента ${\displaystyle \upsilon \in {\mathcal {R}}_{n}}$ вес Хемминга определяется как число ненулевых коэффициентов. ${\displaystyle {\mathcal {H}}_{n}(h)}$ определяется как множество троичных полиномов степени меньше ${\displaystyle n}$ с весом Хемминга ${\displaystyle h}$. В Round5 такие многочлены к тому же еще являются сбалансированными и редкими(sparse), то есть имеют ровно ${\displaystyle {\frac {h}{2}}}$ коэффициентов равных ${\displaystyle +1}$ и столько же равных ${\displaystyle -1}$ (сбалансированные). При этом ${\displaystyle h}$ принимает фиксированное значение (редкие).^[6]

Основой Round5 является схема шифрования r5_cpa_pke, надежная в смысле IND-CPA. r5_cpa_pke похож на схему шифрования Эль-Гамаля.

Параметры схемы шифрования r5_cpa_pke: ${\displaystyle n,h,p,q,t,\mu ,f,\tau }$ – целые положительные числа, ${\displaystyle k}$ – параметр безопасности (длина сообщения в битах), ${\displaystyle m(x)}$ - многочлен, коэффициенты которого являются сообщением и равны ${\displaystyle 0}$ или ${\displaystyle 1}$ (${\displaystyle m(x)=m_{0}+m_{1}x+\cdots +m_{k-1}x^{k-1}}$). Модули ${\displaystyle p,q,t}$ являются степенями двойки, так что ${\displaystyle t}$ делит ${\displaystyle p}$ и ${\displaystyle p}$ делит ${\displaystyle q}$. Требуется, чтобы ${\displaystyle p^{2}>qt}$, ${\displaystyle \mu \leq n}$ и ${\displaystyle \mu \geq k}$. ${\displaystyle h}$ – вес Хемминга многочленов, являющихся секретными. ${\displaystyle \xi (x)}$ – многочлен ${\displaystyle {\mathit {\Phi }}_{n+1}(x)}$ или ${\displaystyle N_{n+1}(x)}$.^[7]

Algorithm 1: r5_cpa_pke_keygen()
1. ${\displaystyle a{\xleftarrow[{}]{\$}}{\mathcal {R}}_{n,q}}$
2. ${\displaystyle s{\xleftarrow[{}]{\$}}{\mathcal {H}}_{n}(h)}$
3. ${\displaystyle b=\left\langle \left\lfloor {\frac {p}{q}}(\langle as\rangle _{{\mathit {\Phi }}_{n+1}(x)}+h_{1})\right\rfloor \right\rangle _{p}}$
4. return ${\displaystyle (pk=(a,b),sk=s)}$

Для создания ключа равновероятно выбираются открытый многочлен ${\displaystyle a(x)}$ из множества многочленов степени не выше ${\displaystyle n}$ с коэффициентами из ${\displaystyle \mathbb {Z} _{q}}$ и многочлен ${\displaystyle s(x)}$, являющийся закрытым ключом, также равновероятно из множества ${\displaystyle {\mathcal {H}}_{n}(h)}$. Затем вычисляется многочлен ${\displaystyle b(x)}$, являющийся закрытым ключом, следующим образом: первым этапом вычисляется произведение ${\displaystyle a(x)}$ и ${\displaystyle s(x)}$ по модулю ${\displaystyle {\mathit {\Phi }}_{n+1}(x)}$, после к этому выражению прибавляется число ${\displaystyle h_{1}={\frac {q}{2p}}}$, затем полученная сумма умножается на ${\displaystyle {\frac {p}{q}}}$, в завершающем этапе коэффициенты полученного многочлена округляют к меньшим целым числам и уже округленные коэффициенты вычисляются по модулю ${\displaystyle p}$.^[8]

Algorithm 2: r5_cpa_pke_encrypt${\displaystyle (pk,m)}$
1. ${\displaystyle r{\xleftarrow[{}]{\$}}{\mathcal {H}}_{n}(h)}$
2. ${\displaystyle u=\left\langle \left\lfloor {\frac {p}{q}}(\langle ar\rangle _{{\mathit {\Phi }}_{n+1}(x)}+h_{1})\right\rfloor \right\rangle _{p}}$
3. ${\displaystyle \upsilon =\left\langle \left\lfloor {\frac {t}{p}}({\text{Sample}}_{\mu }\langle br\rangle _{\xi (x)}+h_{1})\right\rfloor +{\frac {t}{2}}{\text{xef}}\_{\text{compute}}_{k,f}(m)\right\rangle _{t}}$
4. return ${\displaystyle ct=(u,\upsilon )}$

Для создания шифра необходимо выбрать случайно многочлен ${\displaystyle r(x)}$, являющийся секретным, из множества ${\displaystyle {\mathcal {H}}_{n}(h)}$. Используя его и ${\displaystyle a(x)}$, вычисляется первая компонента шифротекста ${\displaystyle u(x)}$ таким же образом как ${\displaystyle b(x)}$. Поскольку не все коэффициенты ${\displaystyle \upsilon (x)}$ необходимы для шифрования ${\displaystyle k}$-битового сообщения ${\displaystyle m(x)}$, для вычисления второй компоненты шифротекста ${\displaystyle \upsilon (x)}$ используется функция ${\displaystyle {\text{Sample}}_{\mu }}$, которая принимает на вход многочлен и на выходе выдает набор всех коэффициентов, соответствующих членам со степенью меньших ${\displaystyle \mu }$ :

$${\displaystyle c_{0}+c_{1}x+\cdots +c_{\mu -1}x^{\mu -1}+c_{\mu }x^{\mu }+\cdots +c_{n}x^{n}\rightarrow (c_{0},c_{1},\cdots ,c_{\mu -1})}$$

${\displaystyle {\text{Sample}}_{\mu }}$

${\displaystyle \mu }$

${\displaystyle n}$

Так же для уменьшение вероятности ошибок применяются функции кодирования ${\displaystyle {\text{xef}}\_{\text{compute}}_{k,f}(m(x))}$ при шифровании и декодирования${\displaystyle {\text{xef}}\_{\text{correct}}_{k,f}}$ при дешифровании . Функция ${\displaystyle {\text{xef}}\_{\text{compute}}_{k,f}(m(x))}$ преобразует многочлен ${\displaystyle m(x)}$ в набор двоичных коэффициентов размера ${\displaystyle \mu }$. Затем этот набор складывается с набором ошибок ${\displaystyle e=(e_{0},\cdots ,e_{\mu -1})}$, где каждый ${\displaystyle e_{i}}$ равен ${\displaystyle 0}$ или ${\displaystyle 1}$, причем количество единиц в наборе ошибок не должно быть больше чем ${\displaystyle f}$ для однозначного декодирования: ${\displaystyle {\text{xef}}\_{\text{correct}}_{k,f}({\text{xef}}\_{\text{compute}}_{k,f}(m(x))+e)=m}$.^[9]

Algorithm 2: r5_cpa_pke_decrypt${\displaystyle (sk,ct)}$
1. ${\displaystyle v_{p}={\frac {p}{t}}v}$
2. ${\displaystyle y=\left\langle \left\lfloor {\frac {2}{p}}(v_{p}-{\text{Sample}}_{\mu }\langle su\rangle _{\xi (x)}+h_{2})\right\rfloor \right\rangle _{2}}$
3. ${\displaystyle {\hat {m}}={\text{xef}}\_{\text{correct}}_{k,f}(y)}$
4. return ${\displaystyle {\hat {m}}}$

Где ${\displaystyle h_{2}={\frac {p}{2t}}+{\frac {p}{4}}-{\frac {q}{2p}}}$. Таким образом получаем исходное сообщение ${\displaystyle {\hat {m}}}$.^[10]

Округление позволяет избежать дополнительного создания случайных величин(шума). Генерация шума может быть уязвимой для атак по побочным каналам. Таким образом, отсутствие необходимости создания шума является дополнительным преимуществом^[1].

Так как секретные ключи в Round5 являются разреженными, троичными и сбалансированными, снижается вероятность сбоя расшифровки и ускоряются вычисления. Последнему также помогает тот факт, что ненулевые компоненты имеют либо +1, либо -1, что подразумевает, что умножения могут быть выполнены с использованием только сложений и вычитаний.^[11]

Благодаря тому, что модули ${\displaystyle q}$ и ${\displaystyle p}$ являются степенями двух, упрощается реализация функции округления, поскольку ее можно реализовать, игнорируя младшие значащие биты. Аналогично, модульные вычисления могут быть реализованы путем игнорирования наиболее значимых битов^[1].

• example.com