NTRUSign

NTRUSign, также известный как NTRU Signature Algorithm, является ключевым алгоритмом шифрования с открытым ключом цифровой подписи на основе схемы подписи GGH.

ИсторияПравить

Впервые алгоритм был представлен на сессии en:Asiacrypt 2001 года и опубликован в рецензируемой форме на конференции RSA 2003 года^[1]. Издание 2003 года включало рекомендации параметров для уровня безопасности 80 бит. В следующей публикации 2005 года были пересмотрены рекомендации для уровня безопасности 80 бит, а также представлены параметры востребованных уровней безопасности 112, 128, 160, 192 и 256 бит и описаны алгоритмы для получения наборов параметров для любого желаемого уровня безопасности. NTRU Cryptosystems, Inc. подали заявку на патент на данный алгоритм.^{[когда?]}

ОсобенностиПравить

NTRUSign включает в себя отображение сообщения для случайной точки в 2N-мерном пространстве, где N является одним из параметров NTRUSign, и решение проблемы нахождения ближайшего вектора в решётке, тесно связанной с решёткой NTRUEncrypt. Данная решётка обладает свойством: частный 2N-мерный базис для решётки можно описать с помощью 2-х векторов, каждый из которых состоит из N коэффициентов и базиса, который может быть определён отдельным N-размерным вектором. Это позволяет представлять открытые ключи в $\text{[math]}$ $\text{[math]}$ $O(N)$ пространстве, а не $\text{[math]}$ $\text{[math]}$ $O(N^{2})$ , как и в случае с другими схемами подписи на основе решёток. Операции занимают $\text{[math]}$ $\text{[math]}$ $O(N^{2})$ времени, в отличие от $\text{[math]}$ $\text{[math]}$ $O(N^{3})$ для криптографии на эллиптических кривых и RSA. Поэтому NTRUSign быстрее данных алгоритмов при низких уровнях безопасности и значительно быстрее при высоких уровнях безопасности.

NTRUSign находится в стадии рассмотрения по стандартизации рабочей группой IEEE P1363.

Описание алгоритмаПравить

Так же как и в NTRUEncrypt, в NTRUSign вычисления производятся в кольце $\text{[math]}$ $\text{[math]}$ $R=\mathbb {Z} _{q}[X]/(X^{N}-1)$ , где умножение „ $\text{[math]}$ $\text{[math]}$ $*$ “ является циклической сверткой по модулю $\text{[math]}$ $\text{[math]}$ $q$ . Произведением двух полиномов $\text{[math]}$ $\text{[math]}$ $f=[f_{0},f_{1},\ldots ,f_{N-1}]$ и $\text{[math]}$ $\text{[math]}$ $g=[g_{0},g_{1},\ldots ,g_{N-1}]$ является $\text{[math]}$ $\text{[math]}$ $f*g=\sum _{i+j\equiv k\mod N}f_{i}\cdot g_{j}\mod q$ .

За основу NTRUSign могут быть взяты стандартные или транспонированные решетки. Основное преимущество транспонированной решетки заключается в том, что коэффициенты многочлена принадлежат {-1,0,1}. Это увеличивает скорость умножения.

Генерация ключаПравить

Входные данные: целые $\text{[math]}$ $\text{[math]}$ $N,q,d_{f},d_{g},B>0$ , строка $\text{[math]}$ $\text{[math]}$ $t=standard$ или $\text{[math]}$ $\text{[math]}$ $t r a n s p o s e$ .
Генерация $\text{[math]}$ $\text{[math]}$ $B$ закрытых решёточных базисов и один открытый решеточный базис

Установить

\text{[math]}

i=B

. До тех пор, пока

\text{[math]}

i>0

:

Произвольно выбрать $\text{[math]}$ $\text{[math]}$ $f$ , $\text{[math]}$ $\text{[math]}$ $g$ ∈ $\text{[math]}$ $\text{[math]}$ $\mathbb {R}$ , взаимно простые с $\text{[math]}$ $\text{[math]}$ $d_{f}$ , $\text{[math]}$ $\text{[math]}$ $d_{g}$ соответственно.
Найти малые $\text{[math]}$ $\text{[math]}$ $F,G\in R$ такие, что $\text{[math]}$ $\text{[math]}$ $f*G-F*g=q$ .
Если $\text{[math]}$ $\text{[math]}$ $t=standard$ , установить $\text{[math]}$ $\text{[math]}$ $f_{i}=f$ и $\text{[math]}$ $\text{[math]}$ $f'_{i}=F$ .

Если

\text{[math]}

t=transpose

, установить

\text{[math]}

f_{i}=f

и

\text{[math]}

f'_{i}=g

.

Вычислить

\text{[math]}

h_{i}=f_{i}^{-1}*f'_{i}modq

. Установить

\text{[math]}

i=i-1

.

Публичный ключ: входные параметры и $\text{[math]}$ $\text{[math]}$ $h=ho=f_{0}^{-1}*f'_{0}\operatorname {mod} q$ .
Закрытый ключ: $\text{[math]}$ $\text{[math]}$ $\left\{f_{i},f'_{i},h_{i}\right\}$ для $\text{[math]}$ $\text{[math]}$ $i=0...B$ .

ПодписьПравить

Подпись требует хеш-функцию $\text{[math]}$ $\text{[math]}$ $H:{\mathcal {D}}\rightarrow R$ на цифровом пространстве документа $\text{[math]}$ $\text{[math]}$ ${\mathcal {D}}$ .

Входные данные: цифровой документ $\text{[math]}$ $\text{[math]}$ $D\in {\mathcal {D}}$ и закрытый ключ $\text{[math]}$ $\text{[math]}$ $\left\{f_{i},f'_{i},h_{i}\right\}$ для $\text{[math]}$ $\text{[math]}$ $i=0...B$ .
Установить $\text{[math]}$ $\text{[math]}$ $r=0$ .
Установить $\text{[math]}$ $\text{[math]}$ $s=0$ и $\text{[math]}$ $\text{[math]}$ $i=B$ . Представить $\text{[math]}$ $\text{[math]}$ $r$ как строку бит. Установить $\text{[math]}$ $\text{[math]}$ $m_{o}=H(D||r)$ , где $\text{[math]}$ $\text{[math]}$ $||$ обозначает конкатенацию. Установить $\text{[math]}$ $\text{[math]}$ $m=m_{o}$ .

$\text{[math]}$ $\text{[math]}$ $\left\{f_{i},f'_{i},h_{i}\right\}$ - $\text{[math]}$ $\text{[math]}$ $i$ -е основание
Вычислить $\text{[math]}$ $\text{[math]}$ $x=\lfloor -{\frac {1}{q}}m_{i}*f'_{i}\rceil$
Вычислить $\text{[math]}$ $\text{[math]}$ $y=\lfloor {\frac {1}{q}}m_{i}*f_{i}\rceil$
$\text{[math]}$ $\text{[math]}$ $s_{i}=x*f+y*f'$
$\text{[math]}$ $\text{[math]}$ $m_{i}=si*(h_{i}-h_{i-1})\mod q$
Подпись: $\text{[math]}$ $\text{[math]}$ $s=s+s_{i}$

Проверка подписиПравить

Верификация требует такую же хеш-функцию $\text{[math]}$ $\text{[math]}$ $H$ , «нормирующую связь» $\text{[math]}$ $\text{[math]}$ ${\mathcal {N}}\in \mathbb {R}$ и норму полинома $\text{[math]}$ $\text{[math]}$ $||.||$ . Норма $\text{[math]}$ $\text{[math]}$ $||t||$ полинома $\text{[math]}$ $\text{[math]}$ $t$ определяется как $\text{[math]}$ $\text{[math]}$ $\inf _{0\leq k<q}||t+kq||_{z}$ , где $\text{[math]}$ $\text{[math]}$ $||r||_{z}=\sum _{i=0}^{N-1}r_{i}^{2}-{\frac {1}{N}}\sum _{i=0}^{N}r_{i}$ (где последнее - евклидова норма).

Входные данные: Подписанные данные $\text{[math]}$ $\text{[math]}$ $(D,r,s)$ и публичный ключ $\text{[math]}$ $\text{[math]}$ $h$ .
Представить r как строку бит. Установить $\text{[math]}$ $\text{[math]}$ $m=H(D||r)$ .
Вычислить $\text{[math]}$ $\text{[math]}$ $b=||(s,s*h-m\operatorname {mod} g))||$ .
подпись считается верной, если $\text{[math]}$ $\text{[math]}$ $b<{\mathcal {N}}$ .

ЗамечаниеПравить

Рекомендуемые параметры $\text{[math]}$ $\text{[math]}$ $(N,q,d_{f},d_{g},B,t,{\mathcal {N}})=(251,128,73,71,1,transpose,310)$

ПримечанияПравить

↑ Jeffrey Hoffstein, Nick Howgrave-Graham, Jill Pipher, Joseph H. Silverman, William Whyte. NTRUSign: Digital Signatures Using the NTRU Lattice. Архивировано 30 января 2013 года.

СсылкиПравить

Most recent NTRUSign paper, including parameter sets for multiple security levels
A Java implementation of NTRUSign Архивная копия от 23 декабря 2015 на Wayback Machine

[1] Jeffrey Hoffstein, Nick Howgrave-Graham, Jill Pipher, Joseph H. Silverman, William Whyte. NTRUSign: Digital Signatures Using the NTRU Lattice. Архивировано 30 января 2013 года.

[1]