JP7147073B2 - より効率的なポスト量子署名 - Google Patents

より効率的なポスト量子署名 Download PDF

Info

Publication number
JP7147073B2
JP7147073B2 JP2021546215A JP2021546215A JP7147073B2 JP 7147073 B2 JP7147073 B2 JP 7147073B2 JP 2021546215 A JP2021546215 A JP 2021546215A JP 2021546215 A JP2021546215 A JP 2021546215A JP 7147073 B2 JP7147073 B2 JP 7147073B2
Authority
JP
Japan
Prior art keywords
matrix
vector
trapdoor
signature
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021546215A
Other languages
English (en)
Other versions
JP2022516381A (ja
Inventor
ムケルジー、プラタヤイ
チェン、イレイ
ジェニゼ、ニコラス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Visa International Service Association
Original Assignee
Visa International Service Association
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Visa International Service Association filed Critical Visa International Service Association
Publication of JP2022516381A publication Critical patent/JP2022516381A/ja
Application granted granted Critical
Publication of JP7147073B2 publication Critical patent/JP7147073B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Description

関連出願の相互参照
本出願は、2019年2月8日に出願された米国仮特許出願第62/803,325号の国際出願であり、当該米国仮特許出願の出願日の利益を主張するもので、参照によりその全体が本明細書に組み込まれる。
例えばRSA暗号化などの今日の多くの暗号システムは、プライムファクタリングまたは冪剰余などの問題に基づいている。これらの問題は、従来のコンピュータでは難しいが、量子コンピュータでは難しくない可能性がある。したがって、量子コンピューティングにおける新たな進歩は、これらの問題に基づいて暗号システムを安全でない状態にし得る。従来のコンピュータと量子コンピュータの両方にとって難しい問題に基づく新しい暗号システムに対するニーズがある。
格子ベースの問題を、暗号システムの基礎として使用することができる。格子問題の一例は、点の-次元格子における最短ベクトルの発見に関する、短整数解の問題であってもよい。格子問題は、従来のコンピュータと量子コンピュータの両方にとって難しいことを示し得る。しかしながら、格子ベースの暗号システム用の暗号鍵を計算することは、計算上高価である可能性があり、また、メッセージに署名し、およびそれを検証することを困難にする大きな鍵を結果として生じさせ得る。したがって、格子ベースの暗号をより効率的にする必要がある。
本発明の実施形態は、これらおよびその他の問題を個々にかつまとめて対処するものである。
本開示のいくつかの実施形態は、格子ベースの暗号検証鍵および関連するトラップドア行列を生成する方法を対象とする。生成デバイスは、ガジェット行列Gを生成できる。次に、生成デバイスは、ガジェット行列Gの第一のl列をドロップして、低減されたガジェット行列Fを生成することができる。次いで、生成デバイスは、分布をサンプリングして、トラップドア行列Rを形成することができる。トラップドア行列Rは、デジタル署名を生成するための秘密鍵として機能してもよく、近似トラップドアであってもよい。次いで、生成デバイスは、低減されたガジェット行列Fおよびトラップドア行列Rを使用して、検証行列Aを生成することができる。生成デバイスは、検証行列Aを一つ以上の検証デバイスに送信することができる。一つ以上の検証デバイスは、デジタル署名xがトラップドア行列Rを使用して生成された場合、検証行列Aを使用して、送信デバイスによって生成されたデジタル署名xを検証してメッセージmに署名することができる。
本開示の他の実施形態は、格子ベースの署名を生成する方法を対象とする。送信デバイスは、メッセージmを受信することができる。メッセージは、ハッシュh(m)であってもよく、または送信デバイスは、メッセージmをハッシュして、ハッシュh(m)を生成してもよい。送信デバイスはまた、検証行列Aおよびトラップドア行列Rを格納してもよい。送信デバイスは、検証行列Aおよびトラップドア行列Rを使用して、署名ベクトルxを生成し得る。署名ベクトルxは、いくつかの係数qおよび誤差ベクトルeについて、関係Ax=h(m)+e mod qが満足されるように生成され得る。係数qは、所望のレベルのデータセキュリティを与えるように選択することができる(例えば、q=224を選択することによって100ビットのセキュリティを与えることができる)。署名デバイスは、メッセージmおよび署名ベクトルxを検証デバイスに送信し得る。検証デバイスは、検証行列Aを以前に受信するか、または送信デバイスから検証行列Aを受信してもよく、検証行列Aを使用して、署名ベクトルxが送信デバイスによって生成されたことを検証してもよい。これにより、検証デバイスが、メッセージmが送信デバイスからも送信されていることを検証することが可能になり得る。
本開示の他の実施形態は、格子ベースの署名を検証する方法を対象とする。検証デバイスは、検証行列Aを格納することができる。検証デバイスはまた、送信デバイスからメッセージmおよび署名ベクトルxを受信できる。メッセージは、ハッシュh(m)であってもよく、または検証デバイスは、メッセージmをハッシュして、ハッシュh(m)を生成してもよい。検証デバイスは、誤差ベクトルeを計算し、いくつかの係数qに対するAx=h(m)+e mod qを解くことによって、誤差ベクトルeのサイズを定量化することができる。検証デバイスは、誤差ベクトルeを閾値と比較し、誤差ベクトルeが閾値より小さい場合、署名ベクトルxを検証することができる。例えば、誤差ベクトルeの長さがハッシュh(m)の寸法より小さい場合である。
本開示の他の実施形態は、上述の方法に関連付けられたシステムおよびコンピュータ可読媒体を対象とする。
本発明のこれら、そして他の実施形態は、図面および詳細な説明を参照して、下記にさらに詳細に説明する。
図1は、いくつかの実施形態によるシステムのブロック図を示す。
図2は、いくつかの実施形態による、格子ベースの検証行列およびトラップドア生成の一般的なフロー図を示す。
図3は、いくつかの実施形態による、格子ベースの署名生成の一般的なフロー図を示す。
図4は、いくつかの実施形態による、格子ベースの署名の検証のための一般的なフロー図を示す。
図5A~5Bは、格子ベースの署名システムにおける正確なトラップドアおよび近似トラップドアを用いた署名検証の簡略化図を示す。 図5A~5Bは、格子ベースの署名システムにおける正確なトラップドアおよび近似トラップドアを用いた署名検証の簡略化図を示す。
図6は、いくつかの実施形態による、具体的なパラメータの要約表を示す。
図7は、いくつかの実施形態による、検証行列生成および署名ベクトル生成のためのアルゴリズムを示す。
図8は、いくつかの実施形態による、具体的なパラメータの別の表を示す。
図9は、いくつかの実施形態による、具体的なパラメータの別の表を示す。
図10は、いくつかの実施形態による、システムおよび方法で使用可能な例示的なコンピュータシステムのブロック図を示す。
格子ベースの暗号、格子問題に基づく暗号は、特に、より伝統的な暗号システムの有効性を低減することができる量子コンピューティングの開発と共に、堅牢な暗号ソリューションを提供することができる。格子問題としては、例えば、点のn次元格子における最短ベクトルの発見に関する、不均一な短整数解(ISIS)の問題が挙げられる。不均一な短整数解(ISIS)の問題は、関係A・x=y(mod q)を満たすベクトルxを見つけるように求める。この例では、ベクトルyはメッセージ、またはメッセージのハッシュであってもよく、ベクトルxはメッセージに関連付けられた署名であってもよい。格子問題は、量子コンピューティングでも計算が難しく、格子問題を暗号アプリケーションに適したものにしている。格子問題の解決は、トラップドア行列で簡単に行うことができ、これは、難問(ISIS問題など)を容易にする、または妥当な時間内に計算可能にする行列であり得る。ISIS問題の例では、方程式を解く必要なく、トラップドア行列を使用してベクトルxを計算することができる。したがって、暗号アプリケーションにおいて、トラップドアは秘密鍵として機能し得る。
トラップドア行列の異なる構造は、暗号システムとしての格子問題のサイズおよび有用性に対して異なる影響を有し得る。ISIS問題を正確に解決したトラップドア行列は、非常に大きい公開鍵(検証行列A)と秘密鍵(トラップドア行列)を生じるため、メッセージの署名や署名の送信にはあまり実用的ではない。
代わりに、実施形態は、ISIS問題に対する解決策を緩和して、正確な解決策の代わりに、近似解決策を見つける、近似トラップドアを使用できる。すなわち、誤差ベクトルeを有するA・x=y+e(mod q)を使用できる。誤差ベクトルが小さい場合でも、署名は検証できる。具体的には、ガジェット行列(列が小さい基数の昇冪を含む行列)を使用して、正確なトラップドア行列を見つけることができ、ガジェット行列のいくつかの列を除去することによって、低減されたガジェット行列を使用して、近似トラップドア行列を見つけることができる。近似解では、署名x、トラップドア行列、および検証行列Aは、より小さく、したがってより実用的であり得る。
実施形態では、生成デバイスは、検証行列およびトラップドア行列を計算できる。検証行列は、公開鍵として機能し、配布することも、公開することもできる。具体的には、検証行列は、署名されたメッセージを送信する送信デバイス、および送信デバイスを認証するためにメッセージ上の署名を検証する検証デバイスに送信することができる。トラップドア行列は、プライベートキーとして機能し、送信デバイスに安全に送信することができ、送信デバイスが署名を生成できるようにする。
I.序説
過去20年間で、格子ベースの暗号は活発な研究分野として浮上してきた。これは、進行中のNISTポスト量子暗号(PQC)標準化手順[AAAS+19]で観察されたように、完全準同型暗号化[Gen09]などの高度な暗号化機能と、実用的なポスト量子セキュア公開鍵暗号化と署名の両方を可能にすることができる。格子ベースの暗号システムの大部分は、格子トラップドアを使用する。これらの暗号システムは、公開鍵暗号化および署名スキーム[GGH97、HPS98、HHP+03、GPV08]などの基本的なプリミティブ、ならびにIDベースの暗号化[GPV08、ABB10、CHKP12]、属性ベースの暗号化[GVW13]、および次数付き符号化[GGH15]などの高度なプリミティブを含む。
本研究では、Ajtai[Ajt96]が定義する格子ベースの一方向関数のトラップドアと、そのデジタル署名における適用に注目する[GPV08]。ワイドなランダムな行列A、および標的ベクトルyを与えられる。不均一な短整数解(ISIS)の問題は、yのプリイメージとして短いベクトルxを見つけるように要求する。すなわち、A・x=y(mod q)。
トラップドアがなければ、短プリイメージを見つけることは、最悪の場合に特定の格子問題を解決するのと同じくらい難しいとわかる[Ajt96]。一方、行列Aのトラップドアは、その所有者が短プリイメージを効率的に生成することを可能にする。Ajtaiの関数のトラップドアの明示的な構成は、最初に[Ajt99]で示され、後に[AP11、MP12]によって簡略化された。
暗号における格子トラップドアの適切な使用に向けて、トラップドアにパンチをくらわすのは、Gentry、Peikert、Vaikuntanathan[GPV08]の研究である。彼らは、トラップドアについての情報を漏洩させる可能性がある分布の代わりに、trapdoor-independent distributionで短プリイメージをサンプリングする方法を示す(格子ベースの署名[GGH97,HHP+03]を構築する最初の試み[GS02,NR06]に対する攻撃により観察されるように)。トラップドアに依存しないプリイメージサンプリングアルゴリズムにより、[GPV08]は以下のようにハッシュサイン署名を安全に構築することができる。行列Aを公開検証鍵、Aのトラップドアを秘密署名鍵にさせる。メッセージmにサインするには、まずベクトルyにハッシュし、次にトラップドアを使用して、署名として短プリイメージxをサンプリングする。署名は、トラップドアに依存しない分布から生成されるため、秘密署名鍵は署名から隠されることが保証される。
そのエレガントなデザインにもかかわらず、Ajtaiの関数に基づくハッシュサイン署名は、その大きな鍵サイズと署名サイズにより、実用的な非効率に悩まされている。実際に、NIST PQC標準化の第二ラウンドに入るすべての三つの格子ベースの署名候補[AAAS+19]は、二つの代替アプローチから構築されている。Falcon[FHK+18]は、NTRU格子上のハッシュサインのパラダイムに基づき、Dilithium[DKL+18]およびqTESLA[ABB+19]は、棄却サンプリングアプローチ[Lyu12,BG14]に基づく。三つの候補に対する推奨パラメータは、競争力のある性能測定につながる。例えば、128ビットのセキュリティでは、三つの候補すべてに対する公開鍵および署名のサイズは、(それぞれ)5kBおよび4kB未満である。対照的に、Ajtaiの関数に基づくハッシュサイン署名では、公開鍵と署名のサイズは、[BB13,BFRS18,GPR+18]の実装ベンチマークに従って35kBおよび25kB以上である。
近似トラップドアと呼ばれる格子トラップドアの緩和された概念を定義することができ、これは、正確にではなく、およそISISの問題を解決するのに使用することができる。主な動機は、Ajtaiの一方向関数に基づくハッシュサイン署名の効率を改善することである。正確性要件の緩和により、Ajtaiの関数のために、より小さな公開行列、トラップドア、およびプリイメージを生成することが可能となり、これは、より小さな公開鍵、秘密鍵、およびハッシュサイン署名スキームの署名に転換される。
本開示の実施形態は、MicciancioおよびPeikert[MP12]によって提案されたガジェットのトラップドアを、近似トラップドアに修正できることを示す。具体的には、近似ガジェットトラップドアを使用して、トラップドアに依存しない分布からプリイメージをサンプリングする方法を示す。分布の分析は、格子上の離散ガウスの線形変換を使用できる。
当社の近似ガジェットトラップドアは、エルミート標準形の使用や、ガジェット内のより大きな基数の使用など、既存の最適化技術と併用して、RingLWEおよびRingSIS仮定下のランダムOracleモデルにおけるハッシュサイン署名の具体的な性能を向上させることができる。公開鍵と署名のサイズを、100ビットセキュリティの推定については5kBおよび4.45kBに、192ビットセキュリティの推定については11.25kBおよび9.38kBに低減できることを示している。これらは、棄却サンプリングアプローチ[Lyu12、BG14、DKL+18、ABB+19]に基づく署名のサイズにはるかに近いものである。
A.暗号コンテキストの例
図1は、実施形態によるシステム100のシーケンス図を示す。システム100は、生成デバイス105、送信デバイス115、および検証デバイス125を備えてもよい。システム100はまた、アタッカ135を含んでもよい。システム100は、本開示の実施形態による署名生成および検証を使用するシステムであってもよい。例えば、一実施形態では、送信デバイス115は、ある口座から別の口座へ資金を移動するためメッセージを送信するユーザのデバイスであってもよい。検証デバイス125は、不正な移動を防止するためにメッセージを検証する発行者であってもよい。別の実施形態では、送信デバイス115は、安全なデータベースへのアクセスを要求するメッセージを送信するデバイスであってもよい。検証デバイス125は、安全なデータベースへのアクセスを制御するアクセスゲートウェイであってもよく、アクセスを許可する前にメッセージを検証してもよい。いくつかの実施形態では、生成デバイス105および送信デバイス115は、同じデバイスであってもよい。他の実施形態では、生成デバイス105および検証デバイス125は、同じデバイスであってもよい。
ステップ102では、生成デバイス105は、検証鍵vkおよび秘密鍵skを生成できる。例えば、検証鍵vkは、検証行列Aであってもよく、秘密鍵skは、トラップドア行列Rであってもよい。次いで、生成デバイス105は、検証鍵vkを検証デバイス125に公的に送信することができる。アタッカ135は、検証鍵vkを受信してもよい。生成デバイス105はまた、秘密鍵skを送信デバイス115に非公開で送信することができる。
ステップ104で、送信デバイス115は、メッセージmを受信できる。次いで、送信デバイス115は、ハッシング関数を用いてメッセージをハッシュして、ハッシュ化されたメッセージh(m)を生成することができる。代替で、送信デバイス115は、メッセージmを生成するか、またはハッシュh(m)を受信してもよい。
ステップ106では、送信デバイス115は、ハッシュh(m)および秘密鍵skに基づいて署名を生成できる。例えば、送信デバイス115は、署名sigを生成し、ハッシュh(m)の関数および秘密鍵skを計算できる。送信デバイス115は、検証鍵vkおよび署名の積がハッシュ化されたメッセージh(m)であるように、署名sigを生成し得る。
手順108では、送信デバイス115は、検証デバイス125にメッセージmおよび署名sigを送信できる。アタッカ135は、送信されるメッセージmと署名sigを傍受できる可能性がある。
ステップ110で、アタッカ135は、メッセージmを修正して、不正なメッセージm’を生成しようと試み得る。アタッカ135はまた、署名sigを修正して、不正な署名sig’を生成しようと試み得る。しかし、アタッカ135は秘密鍵skにアクセスできないため、有効な署名を生成できない可能性がある。したがって、不正な署名sig’は有効な署名ではない可能性がある。次いで、アタッカ135は、不正なメッセージm’および不正な署名sig’を、検証デバイス125に送信し得る。
ステップ112では、検証デバイス125は、送信デバイス115からのメッセージmおよびアタッカ135からの不正なメッセージm’の検証を試みることができる。例えば、検証デバイス125は、署名sigおよび検証鍵vkを乗算し、結果をハッシュ化されたメッセージh(m)と比較し得る。結果がハッシュh(m)と等しいか、または受け入れられた閾値内である場合、メッセージmは検証され得る。結果がハッシュ化されたメッセージh(m)と等しくないか、または受け入れられた閾値内にない場合、メッセージmは検証されないことがある。より一般的には、検証は、メッセージ、ハッシュ化されたメッセージ、署名、および/または検証鍵の関数を伴い得る。秘密鍵skで生成されなかった署名は、有効な結果をもたらさない可能性があり、検証されない場合がある。したがって、検証デバイス125は、送信デバイス115によって送信される真正なメッセージと、アタッカ135によって送信される不正なメッセージとを区別することができる。
B.検証行列の生成
署名を検証するために公開鍵として使用される検証行列を生成できる。(秘密鍵としての)トラップドア行列も生成することができ、これは検証行列の生成および署名の生成に使用することができる。
図2は、本開示の実施形態による鍵生成プロセスのフロー図を示す。いくつかの実施形態では、鍵生成は、生成デバイス(例えば、図1の105)によって行われてもよく、これも送信デバイスであってもよい。鍵は、格子ベースの暗号検証鍵であってもよい。
ステップ202では、生成デバイスは、ガジェット行列Gを生成し得る。ガジェット行列Gは、すべての入力が、例えば、2、3、4、または5などの小さな整数bの冪である行列であってもよい。例えば、ガジェット行列Gの入力は、2の昇冪であってもよい。ガジェット行列Gは、寸法n×log qを有してもよい。nは、64、128、256、および512などのセキュリティパラメータであってもよい。qは、n√nに設定されてもよい。いくつかの実施形態では、係数qは、216~224であってもよい。
ステップ204では、生成デバイスは、選択された列を削除して低減されたガジェット行列Fを生成することによって、ガジェット行列Gの寸法を低減させ得る。例えば、生成デバイスは、ガジェット行列Gの最初の列lを削除してもよい。パラメータlは、例えば、0と
Figure 0007147073000001
との間、または0とlog qとの間であることが選択されてもよい。lは、実験的に決定されて、所望のセキュリティレベルおよび鍵サイズを提供することができる。lの値が大きいほど(ガジェット行列Fはより小さく、低減される)、鍵が小さくなる可能性があるが、安全性も低くなり得る。lの値が大きいほど(ガジェット行列Fがより大きく、低減される)、安全性は高くなるが、鍵は大きくなり得る。例えば、セキュリティパラメータn=512および基数b=2について、係数をq=224に設定してもよい。次いで、lを、0~12の範囲から選択することができる。
ステップ206では、生成デバイスは、分布をサンプリングして、トラップドア行列Rを形成し得る。例えば、トラップドア行列Rの各要素は、小さな標準偏差でガウス分布から独立してサンプリングされてもよい。トラップドア行列Rはまた、小さな行列Dを計算するために使用することができ、
Figure 0007147073000002
である。Dは、したがって、同じ寸法の恒等行列で縦に拡大されたトラップドア行列Rであってもよい。小さな行列は、各入力がnより小さい行列であってもよい。トラップドア行列Rは、デジタル署名を生成するための秘密鍵として機能し得る。
ステップ208では、生成デバイスは、検証行列Aを生成し得る。生成デバイスは、最初に、均一にランダムな行列
Figure 0007147073000003
に基づいて行列
Figure 0007147073000004
を生成してもよい。均一にランダムな行列
Figure 0007147073000005
の各要素は、等しい確率で選択され得る。次に、Aは、
Figure 0007147073000006
である、F、R、および
Figure 0007147073000007
からとして計算することができる。したがって、検証行列Aは、式
Figure 0007147073000008
から生じる行列で拡大された行列
Figure 0007147073000009
である。
ステップ210では、生成デバイスは、検証行列Aを送信デバイス(例えば、図1の115)に送信できる。検証行列Aは、公知の検証鍵として機能し得る。生成デバイスが送信デバイスではない場合、生成デバイスはまた、トラップドア行列Rおよび/または小さな行列Dを送信デバイスに送信してもよい。トラップドア行列Rは、例えば、安全なチャネルによって、または秘密共有アルゴリズムを使用して送信されてもよい。安全なチャネルは、例えば、SSH暗号化で保護されたインターネット通信チャネル、または手動でトラップドア行列Rを書き込み、送信デバイスに送信することを含み得る。
C.署名生成
図3は、本開示の実施形態による署名生成プロセスのフロー図を示す。署名は、格子ベースの署名ベクトルであってもよい。いくつかの実施形態では、署名生成は、送信デバイス(例えば、図1の送信デバイス115)によって行うことができる。
ステップ302では、送信デバイスは、メッセージmを受信できる。実施形態によっては、送信デバイスはメッセージmを生成したことがあってよい。メッセージmは、例えば、承認要求メッセージまたは支払取引メッセージであってもよい。メッセージmはハッシュ化されてもよい。送信デバイスは、メッセージmをハッシュして、ハッシュ化されたメッセージh(m)を生成することができる。例えば、送信デバイスは、メッセージmの係数を取り得る。メッセージmおよびハッシュh(m)は、ベクトルであってもよい。
ステップ304では、送信デバイスは、検証行列Aおよびトラップドア行列Rを格納することができる。検証行列Aおよびトラップドア行列Rは、生成デバイスから受信されてもよい。いくつかの実施形態では、送信デバイスは、検証行列Aおよびトラップドア行列Rを生成し得る。送信デバイスは、トラップドア行列Rの代わりに、またはトラップドア行列Rに加えて、小さな行列Dを受信してもよい。トラップドア行列Rおよび検証行列Aは、例えば、安全なチャネルを介して、または秘密共有アルゴリズムを使用して受信されてもよい。安全なチャネルは、例えば、SSH暗号化で保護されたインターネット通信チャネルを含み得る。
ステップ306では、送信デバイスは、ハッシュh(m)、検証行列A、およびトラップドア行列Rを使用して、署名ベクトルxを生成し得る。送信デバイスは、まず確率分布(例えば、ガウス分布)をサンプリングして、摂動ベクトルpを形成してもよい。摂動ベクトルpの各要素は、確率分布から独立してサンプリングすることができる。次いで、送信デバイスは、格子ベクトルv=h(m)-Apを計算してもよい。次いで、格子ベクトルvを使用して、格子ベクトルvから形成される格子に基づいて、格子ガウス分布から中間ベクトルzをサンプリングしてもよい。格子ガウス分布は、格子上の離散ガウス分布、具体的には、格子ベクトルvによって定義される格子であってもよい。次に、送信デバイスは、次いで、中間ベクトルzおよびトラップドア行列Rの積から、
Figure 0007147073000010
として署名ベクトルxを生成することができる。摂動pは、アタッカがメッセージ署名対に基づいてトラップドア行列Rを決定することを防止し得る。摂動pは、メッセージmまたはトラップドア行列Rに依存しない分布からサンプリングすることができるため、署名ベクトルx内のトラップドア行列Rを隠すことができる。
ステップ308では、送信デバイスは、メッセージmおよび署名ベクトルxを送信し得る。これらは、検証デバイスに送信することができる。送信デバイスはまた、検証行列Aを検証デバイスに送信してもよい。検証デバイスは、次にメッセージmを検証できる。検証デバイスは、検証行列Aと署名ベクトルxを乗算することができ、結果はハッシュ化されたメッセージが小さなエラーと合致する場合、そのメッセージmを検証することができる。検証デバイスはまた、署名ベクトルxが送信デバイスによって生成されたことを検証できる。
D.署名検証
図4は、検証行列Aを用いて署名ベクトルxを検証するフロー図を示す。いくつかの実施形態では、検証は、検証デバイス(例えば、図1の検証デバイス125)によって行うことができる。
ステップ402では、検証デバイスは、検証行列Aを格納することができる。検証行列Aは、生成デバイスから受信されてもよい。代替で、検証デバイスは、送信デバイスから検証行列Aを受信してもよく、または公的に利用可能であってもよい。検証行列Aは、代替的に、検証デバイスによって生成されてもよい。
ステップ404では、検証デバイスは、送信デバイスからメッセージmおよび署名ベクトルxを受信することができる。検証デバイスは、メッセージmに加えて、またはメッセージのm代わりに、ハッシュ化されたメッセージh(m)を受信し得る。検証デバイスは、メッセージmをハッシュして、ハッシュ化されたメッセージh(m)を生成し得る。メッセージmおよびハッシュh(m)は、ベクトルであってもよい。
ステップ406では、検証デバイスは、検証行列Aを使用して署名ベクトルxを検証できる。署名ベクトルxを検証するために、検証デバイスは、いくつかの係数qについて、方程式Ax=h(m)+e mod qを解くことによって誤差ベクトルeを計算することができる。具体的には、Ax-h(m)=e mod qなので、検証デバイスは、検証行列A、署名ベクトルx、およびハッシュh(m)を用いてAx-h(m)を計算して、誤差ベクトルeを決定することができる。係数qは、セキュリティパラメータnに対してn√nとして決定され得る。例えば、パラメータn=128に対して、qは223とすることができる。いくつかの実施形態では、係数qは、216~224の範囲から選択されてもよい。署名ベクトルxおよび検証行列Aは、近似トラップドアで生成されるため、積は、正確にはハッシュh(m)ではなく、誤差ベクトルeによって異なっていてもよい。署名ベクトルxが正確なトラップドアで生成されていた場合、誤差ベクトルeは0となるであろう。次に、検証デバイスは、誤差ベクトルeのユークリッド長さを見つけることによってなど、誤差ベクトルeのサイズを定量化し、そのサイズを閾値と比較することができる。他の実施形態では、誤差ベクトルeのサイズは、異なるl-norm、または無限基準を使用して定量化することができる。
誤差ベクトルeが閾値より小さい場合、署名ベクトルxを検証できる。実施形態によっては、閾値は、ハッシュh(m)の寸法(例えば、ハッシュh(m)のベクトルの寸法)であってもよい。他の実施形態では、閾値は、
Figure 0007147073000011
の間で選択されてもよい。例えば、q=223である場合、閾値は、212であってもよい。誤差ベクトルeが大きい場合、これは、メッセージmが、検証行列Aと同じトラップドアから生成された署名ベクトルxで署名されていないことを示してもよく、したがって、メッセージmは、不正であるか、またはそうでなければ損なわれている可能性が高い。
署名が検証された後、検証デバイスは、メッセージ内の情報に作用することができる。一つの例として、メッセージは、建物または会場などの安全なエリアにアクセスするか、またはネットワーク化されたコンピュータ上に常駐し得る安全なデータまたはその他のリソースにアクセスする要求を含み得る。署名およびメッセージを検証した後、検証デバイスは、アクセスを可能にするために、アクセスデバイスに指示を送信することができる。別の例として、メッセージは、送信デバイスと検証デバイスとの間の安全な接続を確立するための要求を含み得る。メッセージを検証した後、検証デバイスは、例えば、鍵交換を実行することによって、安全な接続を確立できる。追加的に、または代替的に、検証デバイスは、送信デバイスに応答し得る。応答は、暗号、暗号鍵、またはアクセストークンなどの安全なデータなどの情報を含み得る。実施形態によっては、支払処理システムに適用されてもよい。例えば、メッセージは、支払要請メッセージであってもよく、検証デバイスは、例えば、認証(検証)を、承認応答を準備するために認証を使用する、処理ネットワークまたは承認サーバに送信することによって、承認応答の生成の一部として、支払要求メッセージ内の情報を使用し得る。
E.近似トラップドア
図5は、正確なトラップドアスキームおよび近似トラップドアスキームを用いる署名検証を示す。図5Aは、正確なトラップドアで生成された署名の検証のための計算例を示す。図5Bは、近似トラップドアで生成された署名の検証のための計算例を示す。
図5Aでは、n×m寸法を有する検証行列Aは、秘密鍵skおよびハッシュ化されたメッセージh(m)で生成される署名ベクトルSign(h(m)、sk)によって乗算され得る。検証行列の各入力は、
Figure 0007147073000012
にあってもよい。いくつかの実施形態では、nは、128などのセキュリティパラメータであってもよい。qは、n√nに設定されてもよい。署名ベクトルSign(h(m)、sk)は、寸法mを有し、検証行列Aによって乗算されるとき、ハッシュ化されたメッセージをもたらすように選択される。ハッシュ化されたメッセージは、n寸法を有するベクトルである。メッセージのハッシュにより、メッセージのサイズに応じてではなく、nとmとのサイズを固定できる。mが比較的大きい場合、検証行列Aと署名ベクトルSign(h(m)、sk)の両方が大きくなることに留意されたい。
図5Bは、より小さい寸法の検証行列Aの効果を示す。検証行列Aは、ここで、m’<n+mである、寸法n×m’である。近似トラップドアを使用することで、寸法を小さくすることができる。m’は、より小さいため、ハッシュ化されたメッセージ(まだ長さnの)の関連する署名ベクトルも同様により小さい。しかしながら、近似トラップドアを使用することにより、行列乗算の積dは、ハッシュ化されたメッセージh(m)、プラス誤差ベクトルeであってもよい。検証行列Aは、誤差ベクトルeが小さい、すなわち、誤差ベクトルeの長さがnより小さいように構築することができる。したがって、検証のための条件は、積dがハッシュ化されたメッセージの既知のエラー範囲内にあることである。不正な署名は、大量のハッシュ化されたメッセージとは異なる積dをもたらし、したがって、検証プロセスがなおも安全である可能性がある。
ここで、近似トラップドアと正確なトラップドアの間の違いについて、より詳細に論じてもよい。
公開行列
Figure 0007147073000013
式中、m=O(n log q)である、および標的yとする。ベクトル
Figure 0007147073000014
を、A・x=y+z(mod q)であるとき、yの近似短プリイメージと呼ぶ。
一部の
Figure 0007147073000015
に対し、xおよびzの両方は短くなっている。Aの近似トラップドアは、その所有者が、標的yを与えられた近似短プリイメージを効率的に見つけることを可能にする文字列であると定義される。
「トラップドア」という単語の意味を理解するために、トラップドアなしでは、ISISの近似バージョンを解決することは難しいと示すことができる。パラメータの適切な設定の下で、近似ISIS問題は、標準的なISIS問題と同じぐらい難しいか、またはLWEほど簡単ではないことを示す。削減は、エルミート標準形(HNF)を広く使用し、かなり単純である。
近似ISIS問題および近似トラップドアは、それらの正確なバリアントの自然な一般化である。実際に、両方の概念は、少なくとも非公式なレベルで、文献で使用されてきた。例えば、近似ISIS問題は、Baiらの研究、[BGLS19]で使用されて、正確なISIS問題の複合アルゴリズムを改善した。
近似トラップドアについては、HNFにおける公開行列の正確なトラップドア、例えば、
Figure 0007147073000016
のトラップドアは、A’の近似トラップドアとして使用することができる。このような方法は、公開鍵のサイズと署名をnの寸法だけ小さくするために、署名の実装によく使用された。したがって、我々の目標は、トラップドアの品質を保ちつつ、HNFアプローチと比較して、サイズをさらに小さくすること、すなわち、少なくとも、プリイメージの基準を増加しないことである。
実施形態の一貢献は、MicciancioおよびPeikert[MP12]によって提案されるガジェットトラップドア(G-トラップドア)が、公開行列、トラップドア、およびプリイメージのサイズをさらに低減させるような方法で、近似トラップドアに修正され得ることを示すことである。G-トラップドアの一態様は、基数bの特定の“ガジェット”行列であり、
Figure 0007147073000017
式中
Figure 0007147073000018
である。基数bは、簡略化のために2として選択されてもよく、または実用的な実装ではより大きな値として選択されてもよい。
MicciancioとPeikert[MP12]は、A・D=G(mod q)のような小さな基準の行列Dと共にランダム行列Aを生成する方法を示す。具体的には、Aは、以下のように設計することができ、
Figure 0007147073000019
ここで、Rは、小さな入力を有する行列であり、実際のトラップドアである。次に、行列Dは、
Figure 0007147073000020
に等しい。G行列のカーネルは公開短ベースであるため、まず公開行列Gの下でISISの問題を解決し、次に公開行列Aの下でISISの問題を解決するためにDを使用することができる。
ガジェット行列Gからの小さな冪bに対応する(たとえばl)入力をいくつか削減した場合、つまり、以下のF行列を低減したガジェット行列にするのを観察する。
Figure 0007147073000021
そして、公開行列Fに関するISIS問題を、解決策の近似bl-まで(すなわち、誤差ベクトルの基準はbに比例する)解決することができる。GをA内のFで置換すると、
Figure 0007147073000022
次いで、トラップドアRおよび公開行列Aの寸法を低減することができる。
その近似G-トラップドアRと共に公開行列Aを与えられると、所与の標的uの任意の近似短プリイメージを見つけることは、非常に単純であるが、トラップドア非依存性分布からプリイメージをサンプリングすることは、自明でない可能性がある。前述のように、トラップドア非依存の分布からサンプリングする能力は、デジタル署名を含む多くのトラップドアアプリケーションに関与する。
トラップドア非依存の分布から、近似短プリイメージをサンプリングするアルゴリズムを提供する。アルゴリズム自体は、[MP12]からの摂動ベースの離散ガウスサンプラー上に構築することができるが、[MP12]からのプリイメージ分布の分析は、一般化することは容易ではない。プリイメージ分布および近似誤差分布の我々の解析は、格子分布に関する線形変換の定理を広範に使用している(定理2.7参照、暗黙的に[MP12,MP13,BPMW16]で使用)。
我々のアルゴリズムは標的画像
Figure 0007147073000023
に対して機能し、分布の標準偏差に誇張は生じないが、トラップドア非依存の分析は、すべての
Figure 0007147073000024
のプリイメージの分布をスペルアウトできる[GPV08,MP12]内の正確なトラップドアの分析とは対照的に、
Figure 0007147073000025
から均一にサンプリングされた標的画像uにのみ適用される。このギャップの理由を簡単に説明するために、全ての標的画像を扱うために我々が試みた方法には、線形変換の定理(定理2.7)で要求される格子交差の平滑化パラメータの大幅な増加が必要であると観察する。言い換えれば、結果として得られるプリイメージの基準は、結果を無意味にすることを大幅に増加させる。
それでも、多くの暗号システムにおいて正確な格子トラップドアの使用を置き換えるため、トラップドア非依存性の分布から、均一な標的についての近似プリイメージをサンプリングすることは十分である。これには、ハッシュサイン署名[GPV08]、IBE[GPV08、ABB10、CHKP12]、ABE[GVW13]、および特殊用途の難読化スキーム[GKW17、WZ17]、プライベート制約付きPRF、およびGGH15次数付き符号化形式[GGH15]で構築された再利用可能な文字化けした回路[CC17C、VW18]が含まれる。
次に、署名アプリケーションに焦点を当てて、正確なトラップドアと他の既存の最適化手法と比較した、近似トラップドアの使用効率の向上について説明する。我々の目標は、以下の「双方にメリットがある」シナリオを達成するためのパラメータを設定することであり、1)プリイメージサイズ(帯域幅)の保存、2)公開行列Aのサイズの保存、および3)プリイメージの離散ガウス幅と誤差項の基準に関連する具体的なセキュリティの維持、または獲得である。
まずは、変数lに対する節約の依存性、すなわち、ガジェットgから削除された入力数について理解することから始める。表1では、本論文における[MP12]の正確なG-トラップドアと近似G-トラップドアサンプラとの間のパラメータの比較を提供する。どちらの場合も、公開行列は、疑似ランダムモードでインスタンス化される。疑似トラップドアの場合、トラップドアの寸法はnkからn(k-l)に減少する。公開行列とプリイメージの寸法mが減少する。また、mの減少に伴い、プリイメージ分布の幅sもわずかに減少する。しかし、画像内の誤差要因の基準は、lと共に大きくなる。そのため、後述するハッシュサイン署名の具体的なインスタンス化では、lの値をプリイメージとエラーの基準と調整する必要があり、これにより、セキュリティ推定を一緒に決定することができる。
このアルゴリズムは、[MP12,GM18]から0(log q)-空間、0(n log q)-時間G-プリイメージサンプルサブルーチンを継承する。ゆえに摂動のサンプリングにおける空間と時間の節約は、寸法mの節約に比例する。
署名を超えたアプリケーションについて、簡単にコメントを述べる。寸法mの節約はGGH15次数付き符号化形式([HHSS17,CGM+18]で実装)で構築されたアプリケーションにとって非常に重要である。これらの用途では、係数qはmに比例する(ここで、
Figure 0007147073000026
は、次数付き符号化の「レベル」の数であり、dが大きいほど、より豊富な機能をサポートする)。そのため、寸法mを小さくすると、パラメータ全体が大幅に減少する。
Figure 0007147073000027
表1のパラメータは、固定格子寸法n、固定係数q≧√n、および固定基数bの下に導出される。k=[logq]としてみる。lは、
Figure 0007147073000028
から削除された入力の数を示す。次に、公開行列の寸法およびプリイメージとしてmを、ガジェットプリイメージ分布の幅としてσ、最終的なプリイメージ分布の幅としてs(ここで、C>0はユニバーサル定数であり、トラップドア内のエントリの分布の幅、またはサブガウスパラメータとしてτ)、画像内の各入力に対する誤差の長さの範囲としてνを列挙する。いくつかの実施形態は、τの代わりにδを使用することができることに留意されたい。
F.署名のパラメータ例
近似トラップドアに基づいて、ハッシュサイン署名の概念実証実装を提供する。公開鍵の疑似ランダム性に対するRingLWEと署名の偽造可能性に対するRingSISの硬さを仮定して、ランダムOracleモデルでセキュリティを分析する。ここでは、簡単な概要を提示し、セクション5.2に詳細を記載する。
図6は、いくつかの実施形態による、具体的なパラメータの要約表を示す。まず、ハッシュサイン署名の異なる実装結果[BB13,BFRS18,GPR+18]は、サイズとセキュリティを測定する異なる方法を使用する可能性があり、すべての詳細が論文から復元できるわけではないことを指摘する。そのため、正確なトラップドアの参照実装も公平な比較として含める。100ビットセキュリティの推定については、係数
Figure 0007147073000029
と基数b=2の下にある正確なトラップドアに対する参照実装は、[BB13]で報告されたパラメータと一致する。
また、サイズを低減してセキュリティレベルを高めるために、より小さな係数とより大きな基数を使用する。図6のパラメータは、qおよびbの3つの選択について、l=[(logq/2])を設定することによって近似ガジェットトラップドアを使用することは、セキュリティ推定のわずかな増加さえも伴って、正確なトラップドアの使用と比較して、公開鍵および署名のサイズの約半分を節約することを示唆している。
我々の実装は、公開鍵と署名のサイズを、100ビットセキュリティの推定については5kBおよび4.45kBに、192ビットセキュリティの推定については11.25kBおよび9.38kBに低減できることを示す。これらは、棄却サンプリングアプローチ[Lyu12、BG14、DKL+18、ABB+19]に基づく署名のサイズにはるかに近いものである。参照として、qTESLA[ABB+19]の公開鍵および署名のサイズは、128ビットセキュリティの推定については4.03kBおよび3.05kBであり、192ビットセキュリティの推定については8.03kBおよび6.03kBである。ジリチウム[DKL+18]のサイズはさらに小さい。我々の実装では、ジリチウム[DKL+18]やqTESLA[ABB+19]のような多くの低レベル最適化は使用されていないことを指摘する。そのため、より低レベルの最適化を追加した後に、改善の余地が大きくなると予想することは妥当である。Falcon[FHK+18]のパラメータは、NTRU格子の使用のために最小であるため、RingLWEに基づくものと比較できない。
Ajtaiの一方向関数に対するトラップドアに関する多くの所伝的最適化がある。それらのいくつかを我々の構造と比較し、互換性について検討する。これらの比較を通して、最初に述べた「双方にメリットがある」のシナリオに関心を持つ。
第一は、HNF最適化からの近似トラップドアである。
Figure 0007147073000030
これは、公開鍵と署名を少しでも節約することで、かろうじて「双方にメリットがある」シナリオを達成する。我々の構造は、自動的にHNF最適化を含んでいるガジェットトラップドアの疑似ランダムモードで使用することができ、追加で約50%の節約になる。
また、我々の方法は、係数が大きいときに[dPLS18]で使用されていたように、サイズの大きな基数
Figure 0007147073000031
(結果として生じるガジェットはg=[1、√q])を含む、ガジェット内の任意の基数と共に使用することができる。この構造は、ガウス幅が大きいため(√q)、具体的なセキュリティが損なわれ、セクション5で実装されるより小さな係数レジームでは実行不可能となる可能性がある。特に、より小さな係数については、署名のガウス幅は、論文および実験の両方で確認されたように、係数よりも大きい。そのため、適度に大きい基数bを使用する。
また、
Figure 0007147073000032
の短整数行列Sを、AS=Gのように(Eqn.(1)の疑似ランダム公開鍵に相当)に対して構築しようと試みてもよく、このビューが、より良好な近似トラップドアを提供することを期待する。ここから、ハッシュサイン署名スキームは、pが摂動であり、zがG格子サンプルであるSz+pに返すことである。しかしながら、このような行列Sは、b項を必要とする。したがって、この方法では公開鍵は節約されるが、署名サイズが改善されるわけではなく、最も重要なことに、ガウス幅がb倍増加する。幅の増加は、基礎となるSIS問題の具体的なセキュリティを減少させる。実際には、公開鍵で同じ節約を達成するために、代わりに、ガジェット内の基数をbからbに直接増やすことができる。
II.序文
具体的な実施例を詳細に説明する前に、本開示の実施形態で利用され得る格子ベースの暗号システムの態様を記述することができる。
A.表記および用語
暗号化では、セキュリティパラメータ(λと記載される)は、暗号アルゴリズムまたはプロトコルの計算の複雑さ、およびセキュリティを解読する敵の可能性をパラメータ化するために使用される変数である。アルゴリズムは、λにわたって(確率的)多項式時間内で実行される場合、「効率的」である。
変数νがセットSから均一にランダムに引かれる場合、ν←U(S)と表す。統計的に近く、計算上区別できない略語として、
Figure 0007147073000033
を使用している。同じサポートχに対する二つの分布D、Dについては、それぞれ
Figure 0007147073000034

Figure 0007147073000035
があることを表すため
Figure 0007147073000036
を表す。
Figure 0007147073000037
を実数、整数、および正の整数の集合とする。
Figure 0007147073000038

Figure 0007147073000039
で示すこと。
Figure 0007147073000040
について、
Figure 0007147073000041
のベクトル(デフォルトでは列形式で表される)は、太字の小文字で書かれている。例えば、v。ベクトルvについては、vの成分ithはνiによって示される。整数基数b>1については、正の整数の「b-ary」分解をベクトル
Figure 0007147073000042
と呼び、ここで、k:=[logq]、および
Figure 0007147073000043
である。
行列は太字大文字で書かれている。例えば、A。Aのith列ベクトルは、aと示されている。ベクトルの長さは、
Figure 0007147073000044
または、その最大入力によって与えられる無限大基準
Figure 0007147073000045
である。行列の長さは、その最長列の基準
Figure 0007147073000046
である。デフォルトで、明示的に指定されていない限り、
Figure 0007147073000047
を使用する。ベクトルまたは行列が「小」または「短」と呼ばれる場合、明示的に言及されない限り、その基準を参照するが、その寸法は参照しない。必要に応じて、「小」または「短」の閾値を正確にパラメータ化することができる。表記[A B]、[A,B]、および
Figure 0007147073000048
はすべて、行列Aが第二の行列Bと水平に拡大または連結されていることを示すことができる。表記
Figure 0007147073000049
は、行列AおよびBが垂直に連結されていることを示してもよく、またスタックと呼ばれてもよい。
B.線形代数
δ(j,k)=1の場合で、j=kおよび0のとき、入力δ(j,k)に関して、
Figure 0007147073000050
を標準基
Figure 0007147073000051
にする。任意のセット
Figure 0007147073000052
については、そのスパン((S)と表記される)は、Sを含む
Figure 0007147073000053
の最小のサブスペースである。行列
Figure 0007147073000054
については、そのスパンは、その列ベクトルのスパンであり、(M)として記述される。行列転置をMとして記述する。
Figure 0007147073000055
はBのグラム-シュミット直交化を示す。別段の記載がない限り、順序基底B=[b,…,b]のGSOは左から右
Figure 0007147073000056
に想定される。
Mの特異値分解(SVD)、すなわち、
Figure 0007147073000057
と共に
Figure 0007147073000058
が単一であり、
Figure 0007147073000059
がMの特異値を含む三角行列である、
Figure 0007147073000060
を想起する。さらに、q=min{n,m}およびD=diag(s,…,s)をMの特異値
Figure 0007147073000061
を含む対角線行列とする。次に、n=mのとき、D=D、m>nのときD=[D 0]、およびm<nの場合で
Figure 0007147073000062
である。
対称行列
Figure 0007147073000063
は、すべての
Figure 0007147073000064
について、
Figure 0007147073000065
を有する場合、半正定値である。正定値Σ>0であり、半正定値の場合、
Figure 0007147073000066

Figure 0007147073000067
を意味する。Σ-Σが(半)正定値の場合、
Figure 0007147073000068
と言う。これは、半正定値行列のセット上に部分順序を形成し、
Figure 0007147073000069
は定数
Figure 0007147073000070
に対し
Figure 0007147073000071
としてしばしば示される。任意の半正定値行列Σについては、
Figure 0007147073000072
が任意の全ランク行列Tとするように記述し、その結果、Σ=ΤΤである。TはΣの平方根である。二つの半正定値行列、ΣおよびΣについて、それらのブロック対角連結によって形成される半正定値行列を
Figure 0007147073000073
として示す。Mはエルミート転置を示す。SVDを有する行列Mの(ムーア-ペンローズ)疑似逆行は、M=VDWはM=WDであり、DはDを転置しMのゼロ以外の特異値をおよび反転することによって与えられる。例えば、T=slおよび共分散Σ=slのために、T=s-1l。(Σの対角線化を使用して、非球面の完全なランクのケースΣ>0に類似物Tが与えられる。)
C.格子の背景
ランク
Figure 0007147073000074
のn-次元格子は、
Figure 0007147073000075
の離散相加部分群である。kは線形独立基底ベクトル
Figure 0007147073000076
を与えられると、Bによって生成される格子は、
Figure 0007147073000077
n、
Figure 0007147073000078
および係数
Figure 0007147073000079
を与えられたが、
Figure 0007147073000080
として示される、q-ary格子およびそのコセットを使用することが多い。
格子上にガウスを定義することができる。任意のs>0について、パラメータsで、ガウス関数を
Figure 0007147073000081
に定義する。
Figure 0007147073000082
任意の
Figure 0007147073000083
、実数s>0、およびn-次元の格子Λについては、離散ガウス分布DΛ+CSを次のように定義する。
Figure 0007147073000084
下付き文字sおよびcは、省略された場合、1および0(それぞれ)であるとみなされる。
任意の半正定値Σ=Τ・Τの場合、非球面ガウス関数を次のように定義し、
Figure 0007147073000085
およびすべての
Figure 0007147073000086
についてρΤ(χ)=0。ρΤ(・)は、Σにのみ依存するが、Τの特定の選択には依存しない。そのため、ρΤ(・)を
Figure 0007147073000087
として記述できる。
Figure 0007147073000088
が非空であるような任意の
Figure 0007147073000089
、任意の半正定値Σ、およびn-次元の格子Λについて、離散ガウス分布
Figure 0007147073000090
を以下のように定義する。
Figure 0007147073000091
こうした離散ガウス分布は、格子ガウス分布と呼んでもよい。
平滑化パラメータの定義といくつかの有用な事実が想起される。
定義2.1 [平滑化パラメータ[MR07]]任意の格子Λおよび正の実数ε>0の場合、平滑化パラメータηε(Λ)は、
Figure 0007147073000092
のように、最小の実数s>0である。
同じランク
Figure 0007147073000093
の二つの格子については、高密度の格子は常に、より小さな平滑化パラメータ、すなわち、
Figure 0007147073000094
を有することに留意されたい。また、平滑化パラメータの非球面ガウスに対する一般化を使用することもできる。
定義2.2 半正定値Σ=ΤΤ、ε>0、および
Figure 0007147073000095
の格子Λについては、
Figure 0007147073000096
の場合、
Figure 0007147073000097
と言う。
共分散行列Σ>0および格子Λが完全ランクである場合、
Figure 0007147073000098
は、少なくとも
Figure 0007147073000099
である、
Figure 0007147073000100
の最小固有値と同等である。
補助定理2.3 [[GPV08]から結合された平滑化パラメータ]任意のn-次元格子(B)および任意の
Figure 0007147073000101
関数については、無視してよいε(n)がある。
以下は、非球面ガウスに対する[GPV08,推論2.8]の一般化である。
推論 2.5 [コセット上で平滑]Λ、Λ’をn-次元格子s.t.
Figure 0007147073000102
とする。そして、任意のε>0、
Figure 0007147073000103
、および
Figure 0007147073000104
については、
Figure 0007147073000105
を有する。
補助定理2.6 [PR06,MR07]]Bをn-次元格子の基礎とする。
Figure 0007147073000106
次に、
Figure 0007147073000107
離散ガウスの線形変換Τに関する以下の一般定理を使用することができる。これは、元の離散ガウスが十分平滑で、Τのカーネルである限り、Τによって変換された分布は、別の離散ガウスに統計的に近いと述べている。
定理2.7 任意の正定値
Σ、ベクトルc、格子コセット
Figure 0007147073000108
、および線形変換Τについて、格子
Figure 0007147073000109
が、span(ΛΤ)=ker(Τ)および
Figure 0007147073000110
を満たす場合、次いで、
Figure 0007147073000111
式中
Figure 0007147073000112
である。Τが単射の場合(すなわち、ker(Τ)が取るに足らない場合)、次に、
Figure 0007147073000113
であることを指摘する。
D.ガジェット、またはG-格子
Figure 0007147073000114
を伴う
Figure 0007147073000115
とする。Gは一般的にガジェット行列と呼ばれる。ガジェット行列のq-ary格子、
Figure 0007147073000116
は、格子
Figure 0007147073000117
のn個の複製の直接和である。さらに、
Figure 0007147073000118
は、単純な基礎があり、
Figure 0007147073000119
式中
Figure 0007147073000120
は、係数のbary分解、qである。q=bκの場合、q0=q=…=qκ―2とqκ-1=bとを設定できる。いずれにしても、
Figure 0007147073000121
の整数コセットは、符号化理論の用語において、チェック行列と同様にgの症候群として見ることができる。これらのコセットは、uが任意のコセットの代表であり得る
Figure 0007147073000122
として表される。
Figure 0007147073000123
の単純なコセットの代表的は、uのb-ary分解である。
Figure 0007147073000124
の整数コセットは、直接和構造を介して表され、
Figure 0007147073000125
式中、
Figure 0007147073000126
。以下の問題、SISおよびLWEは、行列G[MP12]上で容易に解決できるため、Gをガジェット行列と呼ぶ。
例として、基数b=2、q=8(および、したがってκ=3)、およびn=3を含むガジェット行列Gを考察する。ガジェット行列は、g=(1,2,2)を伴う
Figure 0007147073000127
と表示されるか、または
Figure 0007147073000128
次に、ガジェット行列Gから最小の冪bでl列を削減することによって、低減されたガジェット行列Fを形成することができる。例えば、l=1の場合、これは、1を有する任意の列を削除することに対応する。このように、低減されたガジェット行列は、
Figure 0007147073000129
である。
E.SISおよびLWE
まず、短整数解(SIS)の問題が想起される。
定義2.8 [SIS [Ajt96]] 任意の
Figure 0007147073000130
について、以下のように、短整数の解決策の問題SISn,m,qを定義する。
Figure 0007147073000131
とすると、
Figure 0007147073000132
のように、非ゼロベクトル
Figure 0007147073000133
が見つかり、
Figure 0007147073000134
定義2.9 [ISIS] 任意の
Figure 0007147073000135
について、以下のように、不均一な短整数解の問題ISISn,m,qを定義する。
Figure 0007147073000136
とすると、
Figure 0007147073000137
のように
Figure 0007147073000138
が見つかり、
Figure 0007147073000139
補助定理2.10 [最悪の場合の格子問題に基づく(I)SISの難しさ[Ajt96,MR07,GPV08]] 任意のm=poly(n)、任意のβ>0、および任意の十分に大きい
Figure 0007147073000140
について、ISISn,m,q,βまたは無視できない確率のISISn,m,q(aryyは、
Figure 0007147073000141
から均一にサンプリングされる)を解くことは、いくつかの近似因子γ=βについて、圧倒的な確率で任意のn次元の格子上でのGapSV PγおよびSIV Pγを解くのと同じほど難しい。
すべての(I)SIS問題およびそのバリアントは、エルミート標準形(HNF)を認め、公開行列Aは、
Figure 0007147073000142
である、形態
Figure 0007147073000143
である。(I)SISのHNFバリアントは、標準(I)SISと同じくらい難しい。これは、(
Figure 0007147073000144
が無視できない確率で可逆なように、n、qと作業してもよい)
Figure 0007147073000145
として
Figure 0007147073000146
を書き直すことによって見ることができる。
また、誤差(LWE)問題を伴う決定的学習を想起させることもできる。
定義2.11 [誤差を伴う決定的学習[Reg09]]
Figure 0007147073000147
および係数
Figure 0007147073000148
、秘密ベクトルの分布、公開行列、および誤差ベクトル
Figure 0007147073000149
について。LWEサンプルは、サンプリングs←θ、A←πnxm、e←χ、および出力(A,y:=sA+Emodq)から取得される。
LWEサンプルを、1/2より大きく、プラス無視できない確率で
Figure 0007147073000150
として分布されたランダムなサンプルと区別する場合に、アルゴリズムLWEn,m,q,θ,π,χが解決すると言う。
補助定理 2.12 [最悪の場合の格子問題に基づくLWEの難しさ[Reg09,Pei09,BLP+13,PRS17]]
Figure 0007147073000151
とすると、任意のm=poly(n)、
Figure 0007147073000152

Figure 0007147073000153
を、
Figure 0007147073000154
とし、ここで
Figure 0007147073000155
。LWEn,m,q,θ,π,χを解読する効率的な(おそらく量子)アルゴリズムが存在する場合、いくつかの近似因子
Figure 0007147073000156
について、圧倒的な確率で、任意のn次元格子上のGapSV PγおよびSIV Pγを解くための、効率的な(おそらく量子)アルゴリズムが存在する。
次の補助定理は、誤差分布からサンプリングされた秘密を有するLWEが、標準LWEと同じぐらい難しいことを示す。
補助定理2.13 [[ACPS09,BLP+13]]] 補助定理2.12で選択されたように選択されたn、m、q、sについて、
Figure 0007147073000157
は、
Figure 0007147073000158
に対して
Figure 0007147073000159
と同じ難しさである。
(I)SISとLWEの問題は類似している。二つの問題のうちの一つについて話すのは都合が良い場合があり、類似の結果がすぐに他方に適用される。それらの一方を壊すことは、他方を倫理的に壊すことになるので、高いレベルでは、それらは同様に難しいとみなされることができる。しかし、低減の現状を注意深く調べると、LWEが(I)SISよりも強い仮定であることが示唆される。公開行列
Figure 0007147073000160
に関してSISの問題を解決する多項式時間アルゴリズムが存在する場合、xとLWEチャレンジベクトルyの内部積を計算することによって、決定的LWE問題を破るために、単にSIS解決策χを使うことができる。一方、LWE問題を解決する多項式時間アルゴリズムがあれば、SIS[SSTX09]を解決する、より複雑な多項式時間量子アルゴリズムが知られている。
それにもかかわらず、公開行列
Figure 0007147073000161
のトラップドアは、[Ajt99,GPV08]に、に関する(I)SISとLWEの両方の問題を、効率的に解決できるものとして定義されている。
III.AJTAIの関数のための近似トラップドア
行列
Figure 0007147073000162
を与えられると、Aの近似トラップドアを、Aに関するISIS問題の近似バージョンを効率的に解決できる任意のものとして定義する。まず、近似ISIS問題を定義する。
定義3.1 (近似ISIS)任意の
Figure 0007147073000163

Figure 0007147073000164
について、以下のように、近似不均一短整数解の問題Approx.ISISn,m,q,α,βを定義する。
Figure 0007147073000165
である場合、
Figure 0007147073000166
というようにベクトル
Figure 0007147073000167
を見つけ、
Figure 0007147073000168
を満たすベクトル
Figure 0007147073000169
がある。
すなわち、検証行列Aとメッセージ(またはハッシュ)yを考えると、近似ISISは、小さな誤差zを有するAx=yであるように署名ベクトルxを見つけるという問題に関連する。近似ISISは、限界が係数と比較して比較的小さい場合、単に自明ではないと指摘する。また、我々の定義では、ゼロベクトルを有効な解決策にすることを選択していて、つまり、
Figure 0007147073000170
である場合、ゼロベクトルが自明に解決策である。出願における興味深い事例は、すべての
Figure 0007147073000171
または
Figure 0007147073000172
から一様にサンプリングされたyを扱うことであるため、このような選択は問題を引き起こさない。
定義3.2 (近似トラップドア)文字列τは、行列
Figure 0007147073000173
について(α、β)-近似トラップドアと呼ばれ、τ、Aおよび任意の
Figure 0007147073000174
を与えられる多項式時間アルゴリズム(n、m、logq)がある場合、
Figure 0007147073000175
であるように非ゼロベクトル
Figure 0007147073000176
を出力し、
Figure 0007147073000177
を満たすベクトル
Figure 0007147073000178
が存在する。
近似トラップドアの意味をなすために、トラップドアを持たない人に対しては、近似ISIS問題は、パラメータの適切な設定の下での一方向関数候補であると示す。
第一に、(例えば、誤差分布から秘密がサンプリングされるとき)低基準秘密を有する決定的LWEの難しさの上の、近似ISISの難しさに基づく、かなり明白な減少を観察する。以下の定理記述において、基準記号が分布Dに適用されるとき、すなわち
Figure 0007147073000179
、それは、
Figure 0007147073000180
のように最小値
Figure 0007147073000181
を示す。
定理3.3
Figure 0007147073000182
については、
Figure 0007147073000183
であるように
Figure 0007147073000184
にわたり分布する。次に、
Figure 0007147073000185
証明。Approx.ISISn,m,q,α,βを解読する多項式時間敵Aがあると仮定すると、決定的なLWEを解読する多項式時間敵Bを構築する。
γ=[α]+1としてみる。LWEチャレンジ
Figure 0007147073000186
を仮定すると、wは、LWEサンプルであるか、または
Figure 0007147073000187
から均一にサンプリングされるかのいずれかである。Bは、ベクトル
Figure 0007147073000188
をピックし、Aおよびyを、近似ISISチャレンジとして敵Aに送る。Aは、
Figure 0007147073000189
であるように
Figure 0007147073000190
で応答し、
Figure 0007147073000191
を満たすベクトル
Figure 0007147073000192
が存在する。
Figure 0007147073000193
なので、x≠0であるのに留意されたい。
Bは次に、ν:=<w,x>を計算する。s←θ、e←χについてw=sA+eの場合、次いで、
Figure 0007147073000194
そうでなければ、νは
Figure 0007147073000195
上にランダムに均一に分布する。そのため、Bはνを閾値と比較することができ、確率1/2を有する無視できない決定的なLWEチャレンジを獲得する。
代替で、近似ISIS問題が、標準ISISと同じぐらい難しいことを証明することもできる。
定理3.4
Figure 0007147073000196
証明。低減は、ISISのHNFと近似ISIS問題を通過する。適切なパラメータ設定でISIS=HNF.ISIS=HNF.Approx.ISIS=Approx.ISIS表示する。
序文に説明されているように、ISISn,m,q,β=HNF.ISISn,m,q,βを想起させる。また、定義により任意の
Figure 0007147073000197
に対して
Figure 0007147073000198
残りの接続を示したままである。
補助定理3.5
Figure 0007147073000199
証明。HNF.Approx.ISISn,m,q,α+βを解く多項式時間アルゴリズムAがあると仮定すると、HNF.ISISn,m,q,α+βを解く多項式時間アルゴリズムBを構築する。HNF.ISISインスタンス、
Figure 0007147073000200
とすると、Bは、同じインスタンスをAに渡し、
Figure 0007147073000201
であるようにベクトルxを戻す。
式中
Figure 0007147073000202
。式中、
Figure 0007147073000203
である
Figure 0007147073000204
を書く。その後
Figure 0007147073000205
は、
Figure 0007147073000206
を満たし、および
Figure 0007147073000207
。従って、x’は、HNF.ISISに対する有効な解である。
補助定理3.6
Figure 0007147073000208
証明。HNF.Approx.ISISn,m,q,α,βを解く多項式時間アルゴリズムAがあると仮定すると、HNF.ISISn,n+m,q,α,βを解く多項式時間アルゴリズムBを構築する。Bは、
Figure 0007147073000209
をHNF.Approx.ISISインスタンスとすると、
Figure 0007147073000210
をAに渡し、短いベクトル
Figure 0007147073000211
を戻す。そして、
Figure 0007147073000212
は、HNF.Approx.ISISインスタンスに対する有効な解決策である。
補助定理3.7
Figure 0007147073000213
証明。HNF.Approx.ISISn,n+m,q,α,βを解く多項式時間アルゴリズムAがあると仮定すると、Approx.ISISn,m,q,α+β,βを解く多項式時間アルゴリズムBを構築する。Approx.ISISインスタンスを
Figure 0007147073000214
とすると、Bは、AにHNF.Approx.ISISインスタンスとして、
Figure 0007147073000215
を渡し、
Figure 0007147073000216
式中
Figure 0007147073000217
であるような回答
Figure 0007147073000218
を戻す。
ここで、
Figure 0007147073000219
である
Figure 0007147073000220
を書く。式(1)を書き換えると、
Figure 0007147073000221
従い、x2は、Approx.ISISn,m,q,α+β,βに対する有効な解である。
次に、定理3.4は上記の補助定理に続く。
以下の記述は、補助定理3.7の証明のすぐ後に続く。
推論3.8
Figure 0007147073000222
用の(α、β)-近似トラップドアは、A用の(α+β、β)-近似トラップドアである。
補助定理3.9
Figure 0007147073000223
証明。HNF.Approx.ISISn,n+m,q,α,βを解く多項式時間アルゴリズムAがあると仮定すると、Approx.ISISn,m,q,α+β,βを解く多項式時間アルゴリズムをB構築する。Approx.ISISインスタンス、
Figure 0007147073000224
を与えられた場合、Bはまずは
Figure 0007147073000225
であるかを確認する。その場合は、
Figure 0007147073000226
であるようなy’=:y+Δyを見つける。そうでない場合はy’:=yとΔy=0を設定する。次に、BはAにHNF.Approx.ISISインスタンスとして、
Figure 0007147073000227
を渡し、
Figure 0007147073000228
式中
Figure 0007147073000229
であるような回答
Figure 0007147073000230
を戻す。
ここで、
Figure 0007147073000231
である
Figure 0007147073000232
を書く。
Figure 0007147073000233
なので、x2は非ゼロ短ベクトルでなければならない。式(2)を書き換えると、
Figure 0007147073000234
従い、x2は、Approx.ISISn,m,q,2(α+β),βに対する有効な解である。
IV.近似ガジェットトラップドア
[MP12]の(タグ行列を含まない)ガジェットベースのトラップドア生成およびプリイメージサンプリングアルゴリズムに基づく、近似トラップドアのインスタンス化を提示する。簡潔に述べると、小整数入力を伴う近似トラップドアRと共に、入力係数qを有する疑似ランダムAを生成する方法を示す。
このセクションの残りの部分では、まず[MP12]からの正確なG-トラップドアを想起し、次に、近似トラップドア生成アルゴリズムと、近似プリイメージサンプリングアルゴリズムを提示する。最後に、プリイメージ分布を分析する。分析は、定理2.7(離散ガウスの線形変換)を広範に利用している。
A.MP12からGトラップドアを想起
Figure 0007147073000235
をG格子のベースにする。qを係数にしてκ=[logq]。典型的には、bは簡略化のために2であるように選択されるが、格子ベースのスキームにおける効率のトレードオフのためにより高い基数bが使用されることが多い。
MP12ガジェット格子トラップドアの手法を想起する。公開行列は、
Figure 0007147073000236
式中、Gは、一般的に使用されるガジェット行列、
Figure 0007147073000237
であり、Rは、小さなランダム入力を有する秘密のトラップドア行列である。Aは、
Figure 0007147073000238
の構造およびχの選択に応じて、統計的に均一にランダムまたは疑似ランダムのいずれかに近い(疑似ランダムな場合
Figure 0007147073000239
は、
Figure 0007147073000240
が難しいような分布であるように選択される)。この論文では、結果としての公開行列Aとプレイメージがより小さい寸法を持つため、疑似ランダムなケースに焦点を当てる。
Figure 0007147073000241
で短い要素をサンプリングするために、トラップドアを使用して、関係式
Figure 0007147073000242
により、
Figure 0007147073000243
を表す短いコセットを
Figure 0007147073000244
を表す短いコセットにマッピングする。
トラップドアを線形変換のみとして使用すると、トラップドアについての情報が漏洩する。したがって、トラップドアを統計的に隠すためにサンプルを摂動させる。Σは、σが少なくとも
Figure 0007147073000245
である
Figure 0007147073000246
として定義される正定値行列とする。摂動はオフラインで
Figure 0007147073000247
として計算できる。次いで、pに依存したコセット中のG格子ベクトルを
Figure 0007147073000248
としてサンプリングする。最後に、プリイメージは、
Figure 0007147073000249
であるように設定される。
B.近似G-トラップドアのアルゴリズム
序説で述べたように、近似トラップドアを取得する一つの目的は、次数の低い入力なしでガジェット行列を用いてMP12アルゴリズムを適合させることである。0<l<kをガジェットベクトル
Figure 0007147073000250
から削除された次数の低い入力の数にする。結果として得られる近似ガジェットベクトルを
Figure 0007147073000251
として定義する。w=n(k-l)を近似ガジェット
Figure 0007147073000252
の列の数にする。次に、Aの列の数はm:=2n+wになる。
図7は、トラップドア行列および検証行列を生成するためのアルゴリズム、ならびにガウスガジェット格子分布から値をサンプリングするためのアルゴリズムを示す。
1.アルゴリズム1:ガジェット分布からのサンプリング
アルゴリズム1は、ガジェット行列から導出された格子に基づいてガウス分布からベクトルをサンプリングするためのアルゴリズムを示す。アルゴリズム1は、
Figure 0007147073000253
から値ν(νは、ベクトルの一つの構成要素であってもよい)を取り込む。ガジェットサンプリングアルゴリズムは、分布の幅を定義するσも取り込む。このアルゴリズムは、図1の送信デバイス115などの送信デバイスによって実施され得る。追加で、アルゴリズム1のステップは、図3のプロセスなどの署名生成プロセスの一部として実施され得る。
ステップ701では、送信デバイスは、
Figure 0007147073000254
からのk値を含むベクトルxをサンプリングすることができる。値は、分布Dから引き出されてもよい。Dは、格子ガウス分布、すなわち、格子上のガウス分布であってもよく、格子は、ガジェット行列および偏差σによって定義されてもよい。分布Dは、セクションII.Cにより詳細に記載される。
ステップ702では、送信デバイスは、ベクトルxからの第一のlエントリを削除し、ベクトルxの最後のk-l入力を中間ベクトルzとして取り得る。
ステップ703で、サンプリングアルゴリズムは、中間ベクトルzを戻すことができる。
2.アルゴリズム2:トラップドア行列の生成
アルゴリズム2は、トラップドア行列生成アルゴリズムを示す。入力として、このアルゴリズムはセキュリティパラメータλを取り込む。トラップドア生成は、図1の生成デバイス105などの生成デバイスによって実行され得る。追加で、アルゴリズム2のステップは、図2のプロセスなどの鍵生成プロセスの一部として実施され得る。
トラップドア行列を生成する前に、生成デバイスは、ガジェット行列Gを生成することができる。ガジェット行列Gは、各列が、k冪(k=[logq])に対する基数b(例えば、b=2)の昇冪の一つの値を含む行列であってもよい。bの昇冪でk列がn回繰り返されてもよく、それによりn×k行列が生じる。次いで、生成デバイスは、ガジェット行列Gの各k列群の第一のl列(最小の冪を持つ列)を削除した後に、寸法n×w(ここで、w=n(k-l)を有する低減されたガジェット行列Fを生成することができる。ガジェット行列および低減されたガジェット行列の生成に関する詳細は、セクションII.Dに見出すことができる。
ステップ711では、生成デバイスは、係数qに対して
Figure 0007147073000255
にわたる均一な分布からn×n均一行列
Figure 0007147073000256
を無作為にサンプリングすることができる。
ステップ712では、生成デバイスは、生成行列
Figure 0007147073000257
を形成することができる。生成行列
Figure 0007147073000258
は、均一行列
Figure 0007147073000259
およびn×n恒等行列Iを連結することによって形成されるn×2n行列とすることができる。したがって、
Figure 0007147073000260
ステップ713では、近似トラップドアRを分布χからサンプリングすることができる。近似トラップドアRは、2n×w行列とすることができる。分布χは、分布
Figure 0007147073000261
、幅σを有する整数にわたるガウス分布であってもよい。
ステップ714では、生成デバイスは、検証行列Aを形成することができる。検証行列Aは、
Figure 0007147073000262
とすることができる。検証行列は、寸法n×mを有してもよく、ここで、m=2n+w=2n+n(k-l)であり、
Figure 0007147073000263
からの要素を有する。
3.アルゴリズム3:格子ベースの署名の生成
アルゴリズム3は、署名生成アルゴリズムを示す。署名生成アルゴリズムは、検証行列A、トラップドア行列R、メッセージベクトルu、および分布幅sを入力として取る。分布幅sは、表1の方程式を介した分布幅σに関連し得る。署名生成は、図1の送信デバイス115などの、送信デバイスによって実行され得る。追加で、アルゴリズム3のステップは、図3のプロセスなどの署名生成プロセスの一部として実施され得る。
ステップ721では、生成デバイスはガウス分布から摂動ベクトルpをサンプリングする。摂動ベクトルpの長さはmである。摂動の共分散は、正確なガジェットベースのトラップドアでのようにトラップドアを隠すように選択される、すなわち、
Figure 0007147073000264
ステップ722では、生成デバイスは、メッセージu、検証行列A、および摂動ベクトルpから格子ベクトルvを形成することができる。格子ベクトルvは長さnを有し、v=u-Apとして形成される。
ステップ723では、生成デバイスは、アルゴリズム1のガジェットサンプリングアルゴリズムを使用して、近似ガジェットプリイメージベクトルz(すなわち、中間ベクトル)をサンプリングすることができる。ガジェットサンプリングアルゴリズムは、格子ベクトルvの各要素についてベクトルzをサンプリングし、それらを一緒に連結することができ、したがって、総プリイメージベクトルz内にn(k-l)総要素がある。
ステップ724で、生成デバイスは、長さm=2n+w=2n+n(k-l)のベクトルである署名ベクトルyを形成することができる。摂動pは、トラップドア行列Rおよびプリイメージベクトルzの積に追加され得る。トラップドア行列Rは寸法2n×wを有し、従って、2n+w×w行列の適切な寸法を有するために、w×w恒等行列上に積み重ねることができる。このスタックに長さwを有するプリイメージベクトルzを乗じるので、積は長さ2n+w=mのベクトルである。
ステップ725では、署名生成アルゴリズムは、署名ベクトルyを戻すことができる。
本セクションの結果は、以下の定理に要約されている。
定理4.1 確率的、多項式時間アルゴリズムApprox.TrapGen(・)およびApprox.SamplePre(・,・,・,・)が存在し、以下を満たす。
1.Approx.TrapGen(n)は、セキュリティパラメータnを入力し、行列近似トラップドア対
Figure 0007147073000265
を返す。
2.上記のような近似トラップドアでAを生成し、approx.A-1(・)は近似プリイメージサンプリングアルゴリズムApprox.SamplePre(A,R,s・)を示す。以下の二つの分布は、統計的に識別不能である。
Figure 0007147073000266
および
Figure 0007147073000267
いずれの
Figure 0007147073000268
について。
さらに、第二の分布では、Aは、ランダムな仮定
Figure 0007147073000269
と計算上区別できない
プリイメージサンプリングアルゴリズムが任意の標的
Figure 0007147073000270
に対して機能する一方で、近似プレイメージサンプル-コセット対(y、u)が、均一な標的
Figure 0007147073000271
に対して、近似トラップドアRを隠していることを照明することができると指摘する。これは、[MP12]における正確なガジェットベースのトラップドア設定とは異なり、これは、トラップドアが固定されたuそれぞれに対して隠されていることを証明するものである。プルーフアイデアの概要では、すべての
Figure 0007147073000272
のプリイメージ分布を詳細に説明しようとしたときに、プルーフがどこで分解されるかについて説明する。
C.均一にランダムな標的に対するプリイメージとエラー分布を分析する
このサブセクションは、定理4.1の証明専用である。
Figure 0007147073000273
は、完全なガジェット行列Gの下での、短プリイメージu-Ap(modq)を示す、すなわちGx=u-Ap(modq)。証明の主なアイデアは、第一に、アルゴリズム4で生成された(p、x)の同時分布が、任意の
Figure 0007147073000274
に対して統計的に
Figure 0007147073000275
に近いことを示すことである(これは、必要とするものよりも強い定理である)。次に、(p、x)に線形変換の定理を適用して、yおよびeの分布を取得する。しかし、線形変換の定理を格子コセット
Figure 0007147073000276
に直接適用することは、技術的な問題につながる。すなわち、定理2.7で要求される中間格子交差ΛΤは、大きな平滑化パラメータを有する。この問題を回避するには、uが均一にランダムであるという条件を使用して、(p、x)が統計的に
Figure 0007147073000277
近いことを主張する。次に、(p、x)の支持は、
Figure 0007147073000278
なので、線形変換の定理を適用して、yおよびeの最終的な分布はトラップドアに依存しないことを証明することができる。
形式的には、ε=negl(λ)>0とする。まず、三つの補助定理を証明する。
補助定理4.2 任意の
Figure 0007147073000279
について、最初に
Figure 0007147073000280
を選択し、その後
Figure 0007147073000281
を返すランダムなプロセスは、サンプリング
Figure 0007147073000282
に統計的に近い。
証明。証明は、
Figure 0007147073000283
および推論2.7から直接継続する。代替で、任意の
Figure 0007147073000284
について、事実
Figure 0007147073000285
の二つのアプリケーションを使用することもできる。後者は
Figure 0007147073000286
を生じる。
補助定理 4.3 以下のランダムなプロセスは、任意の
Figure 0007147073000287
に対して統計的に近く、均一にランダムなコセット
Figure 0007147073000288
をサンプリングし、その後、誤差
Figure 0007147073000289
を戻す。または
Figure 0007147073000290
を戻す。
証明。固定された
Figure 0007147073000291
の場合、誤差は
Figure 0007147073000292
として分布される。
補助定理4.2によって、uにわたって無作為化することにより、
Figure 0007147073000293
を与える。次に、定理2.7を適用する。セクション2に示されたB=[b、…、b]を
Figure 0007147073000294
の基礎とする。次に、Lのカーネルが{b、…、bl-1、e、…、ek-1}(
Figure 0007147073000295
は標準ベース
Figure 0007147073000296
を示すことを想起)によって生成され、
Figure 0007147073000297
は、これらのベクトルのすべての整数の組み合わせのセットである。ΛはLのカーネルをスパンし、Λの平滑化パラメータは、すべてのi=1、…、l-1について
Figure 0007147073000298
であるため、最大で
Figure 0007147073000299
である。
Figure 0007147073000300
としてみる。次に、(アルゴリズム1のGsamp.Cutように)
Figure 0007147073000301
から
Figure 0007147073000302
の同時分布における切断
Figure 0007147073000303
を表す線形変換によって与えられる分布を分析し、y:=p+R’zを返す。簡略化のため、列をG~
Figure 0007147073000304
に並べ替える。これにより、
Figure 0007147073000305
について、切断と畳み込みを単純な線形変換y=L(p、x)として表すことができる。
補助定理4.4 任意の
Figure 0007147073000306
について、
Figure 0007147073000307
は統計的に
Figure 0007147073000308
に近い。
証明。範囲と共分散は、即時性がある。次に、定理2.7を使用する。Lのカーネルは、
Figure 0007147073000309
およびa=-R’bのすべてのベクトル(a、b、c)によって与えられる。整数格子
Figure 0007147073000310
は、このような整数ベクトルをすべて含むため、
Figure 0007147073000311
はLのカーネルに及ぶ。
次に、Λの平滑化パラメータを決定する。R’にnlゼロ列を追加して、
Figure 0007147073000312
を形成し、
Figure 0007147073000313
によってスペースを回転する。
この回転は
Figure 0007147073000314
を生じ、共分散を回転しても固有値に変化しないため、
Figure 0007147073000315
がある。これは、
Figure 0007147073000316
が統計的に
Figure 0007147073000317
に近いことを意味する。
これで、定理4.1を証明する準備ができた。
(定理5.1の)証明 ハイブリッド分布の配列を介して定理5.1を証明する。
Figure 0007147073000318
を、
Figure 0007147073000319
から誤差ベクトル
Figure 0007147073000320
を取得するのに対応する線形変換とする。Lを補助定理4.4で使用される線形変換とする。
式u=v+Ap=Gx+Ap=Fz+e+Ap=AL(p、x)+e=Ay+e(modq)はすべてのハイブリッドに保持されることに留意されたい。差異は、これらのベクトルがサンプリングされる順序および分布にある。最後のハイブリッドを除くすべてのハイブリッドで、Aが
Figure 0007147073000321
に対して
Figure 0007147073000322
として生成される。
実分布:{(A、y、u、e)}の実分布は次のとおり。
Figure 0007147073000323
ハイブリッド1:ここでは、最初の
Figure 0007147073000324
サンプリングと
Figure 0007147073000325
設定を行うことにより、uとvのサンプリングの順序を入れ替える。x、e、およびyは変更しない。
Figure 0007147073000326
次に、実分布とハイブリッド1は同じである。
ハイブリッド2:均一の
Figure 0007147073000327
およびG格子サンプル
Figure 0007147073000328
をサンプリングする代わりに、
Figure 0007147073000329
をサンプリングする。残りは同じままである。
Figure 0007147073000330
補助定理4.2は、ハイブリッド1とハイブリッド2が統計的に近いことを意味する。
ハイブリッド3:p、xを同時分布
Figure 0007147073000331
に結合する。
Figure 0007147073000332
ハイブリッド4: ここでは、線形変換の定理をe、yに適用する。
Figure 0007147073000333
補助定理4.3および4.4は、Hybrid3および4が統計的に近いことを意味する。
最終分布:
Figure 0007147073000334
をサンプリングし、残りのベクトルは、Hybrid4と同じ分布から保持する(AのトラップドアRは、p、x、eおよびyのサンプリングには使用されていないことに留意されたい)。最終分布は、
Figure 0007147073000335
であると仮定すると、Hybrid4と計算上区別できない。
D.近似Gトラップドアから近似カーネルトラップドアへ
Figure 0007147073000336
である
Figure 0007147073000337
の形態で
Figure 0007147073000338
について近似G-トラップドアを考える。これを、トラップドア機能を保持する、m列の近似カーネル(すなわち、n+mより小さい)に変換する。
変換は、正確なトラップドアにわたって動作する[MP12]のものと同様である。
Figure 0007147073000339
である
Figure 0007147073000340
を記述する。
Figure 0007147073000341
を公開行列Fの下の、Aの近似短プリイメージにする、すなわちF・W=A+E(modq)。
Figure 0007147073000342
をFの近似カーネル、すなわちF・S=E(modq)(EとEの両方の基準は小さい)にする。すると、
Figure 0007147073000343
である。
そして、Kは、同時に近似トラップドアであるm列(すなわち、n+mよりも低い)のAの近似カーネルである。
V.近似トラップドアでインスタンス化されたされたハッシュサイン署名
正確なトラップドアの代わりに、近似G-トラップドアでインスタンス化された[GPV08]からのハッシュサイン署名スキームの詳細を説明する。
最後のセクションのパラメータを想起する。k=[logq]を設定し、
Figure 0007147073000344
およびm=n(2+(k-l))であるように、lをG-トラップドアから削除された入力の数に設定する。
Figure 0007147073000345
を、それぞれ
Figure 0007147073000346
のコセットにわたる分布の離散ガウス幅にする。χを
Figure 0007147073000347
が難しくなるように選択されたトラップドアRの入力の分布にする。
構築物5.1 定理4.1の近似トラップドアサンプラ、ランダムオラクルとしてモデル化されたハッシュ関数H={Hλ:{0、1}→Rλ}を考慮して、以下の署名スキームを構築する。
・Gen(1λ):鍵生成アルゴリズムは、Approx.TrapGen(1λ)から(α、β)-近似トラップドアRと一緒に
Figure 0007147073000348
をサンプリングできる。Hの範囲Rλ
Figure 0007147073000349
とする。これはAを検証行列として出力することができ、Rをトラップドア行列(すなわち、秘密署名鍵)として保持することができる。
・Sig(R、m):署名アルゴリズムは、メッセージ署名対(m,x)が以前に生成されたかどうか確認できる。そうである場合、xをmの署名として出力する。そうでない場合、u=H(m)を計算し、近似プリイメージx←Approx.SamplePre(A,R,u,s)をサンプリングする。xを署名として出力し、リストに(m、x)を格納する。
・Ver(A、m、x):検証アルゴリズムは
Figure 0007147073000350
かどうかを確認する。そうである場合、受諾を出力し、そうでない場合、棄却を出力する。
概念実証署名の実装を提供する。実施形態は、異なるセキュリティレベル(主に約100ビットおよび192ビットのセキュリティ)を標的とする、異なる寸法n、係数q、基数bを使用して、いくつかのパラメータ群を使用できる。パラメータの各群では、固定n、q、bを使用し、正確なトラップドア(参照実装下)対近似トラップドアの使用を比較する。図8および図9では、パラメータの6つの群が列挙されている。
まず、セキュリティ推定の方法について説明しよう。格子ベースの暗号プリミティブの具体的なセキュリティ推定は、非常に活発な研究分野であり、より高度な方法が最近提案されている。ここでは、比較的単純な方法を使用して、公開鍵の疑似ランダム性(以降、「LWEセキュリティ」)と、疑似ISISの解読の難しさ(以降、「AISセキュリティ」)とを推定する。我々の推定は、最新技術を反映していない可能性があるが、少なくとも、正確なトラップドア対近似トラップドアのパラメータの公正な比較を提供することを指摘したい。
LWEセキュリティは、q、n、およびトラップドアRのガウス幅τの選択に依存する。LWEセキュリティの推定は、低減モデル1[ACD+18]としてBKZを使用したオンラインLWEビットセキュリティ推定器を用いて行われた。
近似ISIS問題に関して、我々が認識している唯一の直接暗号解析結果は、Baiらの研究[BGLS19]であるが、これは我々が関心を持っているパラメータには明確には当てはまらない。代わりに、補助定理3.5の減少に従ってISISn、m、q、α+βを通してAISISを推定するが、そこでは、αとβが誤差zおよびプリイメージxのl基準の上限である。長さα+βの格子
Figure 0007147073000351
のベクトルを見つけるためにBKZが取る操作の数に基づいて、ISISn、m、q、α+βのセキュリティレベルを推定する。さらに、列をAに捨てることができる。ミンコフスキーの定理によると、
Figure 0007147073000352
は十分ベクトルが短いので、A2nを示した、[BFRS18]で示すAの2n列のみを使用することを選択する。[APS15,ACD+18]に続いて、ブロックサイズkにおいて、時間的複雑さ2292k+16.4を伴うSVPオラクルとしてふるい分けを使用する。BKZは、寸法2nの格子に対して長さδ2ndet1/2nのベクトルを返すことが期待されている。したがって、署名
Figure 0007147073000353
の偽造に対応する必要なδを達成する最小のブロックサイズkを発見した。最後に、ヒューリスティック
Figure 0007147073000354
を用いてkとδとの間の関係を判定し、BKZの合計時間の複雑さをブロックサイズk、寸法2nとともに
Figure 0007147073000355
[Che13,APS15]として設定した。
100ビットセキュリティの推定については、係数
Figure 0007147073000356
および基数b=2の下の正確なトラップドアに対する我々の参照実装は、[BB13]で報告されたパラメータに合致する(他の実装[BFRS18,GPR+18]のパラメータは、異なる方法で測定される可能性がある)。また、サイズを低減してセキュリティレベルを高めるために、より小さな係数とより大きな基数を使用する。図8および図9のパラメータは、qおよびbのすべての選択について、l=[(logq)/2]を設定することにより近似ガジェットトラップドアを使用することは、正確なトラップドアを使用することと比較して、公開鍵および署名のサイズの約半分を節約し、セキュリティ推定のわずかな増加さえも伴うことを示唆している。
我々の実装は、公開鍵と署名のサイズを、100ビットセキュリティの推定については5kBおよび4.45kBに、192ビットセキュリティの推定については11.25kBおよび9.38kBに低減できることを示す。これらは、棄却サンプリングアプローチ[Lyu12、BG14、DKL+18、ABB+19]に基づく署名のサイズよりも、まだ大きいが、はるかに近い。参照として、qTESLA[ABB+19]の公開鍵および署名のサイズは、128ビットセキュリティの推定については4.03kBおよび3.05kBであり、192ビットセキュリティの推定については8.03kBおよび6.03kBである。
セキュリティ分析では、定理4.1で証明されたApprox.SamplePreによって生成された分布に以下の特性を使用する。
1.均一にランダムな画像の近似プリイメージは、分布Dpreに統計的に近く、分布はAおよびRと無関係である。
2.均一にランダムな画像については、誤差ベクトルe:=u-Ay(modq)は、分布Derrに統計的に近く、この分布もまたAおよびRと無関係である。
署名が強力なEU-CMAセキュリティを満たすことを証明するために、標準的なSIS仮定に基づくことができるAjtaiの機能に追加の「衝突危険耐性」特性を利用することができる。この特性がなければ、署名スキームが、近似ISIS問題の難しさに基づいて静的セキュリティを満たすことを証明できることを指摘したい。
補助定理5.2 (Ajtaiの関数の衝突危険耐性) 任意の
Figure 0007147073000357
について、
Figure 0007147073000358
を与えられた有能な敵Aがいる場合、
Figure 0007147073000359
であるような
Figure 0007147073000360
を見つける。
そして、
Figure 0007147073000361
を解決する有能な敵Bがいる。
証明。Bは、公開行列
Figure 0007147073000362
で課題
Figure 0007147073000363
(これは
Figure 0007147073000364
と同じほど難しい)
を取得すると仮定すると、BはAにAを送信し、
Figure 0007147073000365
であるように
Figure 0007147073000366
を取り戻す。
Bは、次に、
Figure 0007147073000367
を解決策として設定する。zは非ゼロで、
Figure 0007147073000368
を満たす。
定理5.3 構築6.1は、
Figure 0007147073000369
の難しさを仮定するランダムオラクルモデルにおける選択されたメッセージ攻撃の下で強く実存的に偽造不可能である。
証明。正確性は、近似トラップドアの機能性に従う。
署名スキームの強力なEU-CMAを解読する多項式時間敵Aがいると仮定して、Ajtaiの関数の衝突危険耐性を解読する多項式時間敵Bを構築するが、これは補助定理5.2により、
Figure 0007147073000370
と同じほど難しい。
まず、Bは署名スキームの公開鍵として、Ajtaiの関数AをAに送信する。Aが、メッセージmに関するランダムオラクルクエリを生成し、Bはy←Dpreサンプリングし、u:=Ay+Derr(modq)をm上にランダムオラクル応答として計算する。Bはその後Aにuを応答し、(m、u)をメッセージ署名対ストレージに、(m、y)をランダムオラクルストレージに格納する。Aがメッセージmに対して署名クエリを実行すると(wlogは、その前にmがランダムオラクルに対してクエリを実行したと推測する。そうでなければ、Bはここでクエリを実行できるので)、Bはストレージ内で(m、y)を見つけ、署名としてyを返信する。Bによって生成される署名およびハッシュ出力は、分布DpreおよびDerrの特性、ならびに実公開鍵は
Figure 0007147073000371
の下ではランダムと区別できないという前提により、実物と区別できない。
一般性を失うことなく、Aが、mに関して署名を偽造しようとする前に、Aがmに関してHにクエリをしたと仮定する。Bが、ランダムオラクルストレージに準備して格納する対を(m、u)として示し、署名ストレージ格納する対を(m、y)として示す。最後に、Aは、mに偽造された署名としてyを出力する。従い、
Figure 0007147073000372
がある。それは、それらを衝突危険対として使用するように、依然としてy≠yを証明する。以前に署名オラクルにmクエリがあった場合、成功偽造の定義によってy≠yであり、以前に署名オラクルにmクエリがなかった場合、yはパラメータの設定によってmin-entropyが高いため、圧倒的な確率でy≠yである。
VI.コンピュータシステム
本明細書に記述したいずれのコンピュータシステムも、任意の適切な数のサブシステムを利用することができる。こうしたサブシステムの例は、コンピュータ装置700の図10に示されている。いくつかの実施形態では、コンピュータシステムは、単一のコンピュータ装置を含み、サブシステムはコンピュータ装置の構成要素であり得る。他の実施形態では、コンピュータシステムは、それぞれが内部構成要素を有するサブシステムである、複数のコンピュータ装置を含み得る。コンピュータシステムは、デスクトップおよびラップトップコンピュータ、タブレット、携帯電話、およびその他の携帯デバイスを含み得る。
図10に示すサブシステムは、システムバス75を介して相互接続される。追加のサブシステムには、プリンタ74、キーボード78、記憶デバイス(複数可)79、ディスプレイアダプタ82に結合されるモニタ76、およびその他が含まれる。入出力(I/O)コントローラ71に結合する、周辺デバイスおよびI/Oデバイスは、I/Oポート77(例えば、USB、Firewire(登録商標))などの当技術分野で既知の任意の数の手段によって、コンピュータシステムに接続することができる。例えば、I/Oポート77または外部インターフェース81(例えば、イーサネット、Wi-Fiなど)を使用して、インターネットなどの広域ネットワーク、マウス入力デバイス、またはスキャナに、コンピュータシステム10を接続できる。システムバス75を介した相互接続により、中央プロセッサ73が、各サブシステムと通信し、サブシステム間の情報の交換だけでなく、システムメモリ72または記憶デバイス(複数可)79(例えば、ハードドライブまたは光ディスクなどの固定ディスク)から複数の命令の実行を制御することが可能になる。システムメモリ72および/または記憶デバイス(複数可)79は、コンピュータ可読媒体を具現化してもよい。別のサブシステムは、カメラ、マイク、加速度計などのデータ収集デバイス85である。本明細書に記載されるデータのいずれかを、あるコンポーネントから別のコンポーネントへ出力することができ、ユーザに出力することができる。
コンピュータシステムは、例えば、外部インターフェース81によって、内部インターフェースによって、またはあるコンポーネントから別のコンポーネントへ接続および取り外しができる取り外し可能記憶デバイスを介して、共に接続される、複数の同じ構成要素またはサブシステムを含み得る。一部の実施形態では、コンピュータシステム、サブシステムまたは装置は、ネットワーク上で通信し得る。そのような例では、一つのコンピュータをクライアント、別のコンピュータをサーバとみなすことができ、各々が、同一のコンピュータシステムの一部であり得る。クライアントおよびサーバは各々、複数のシステム、サブシステムまたは構成要素を含み得る。
実施形態の態様は、ハードウェア回路(例えば、特定用途向け集積回路またはフィールドプログラマブルゲートアレイ)を使用する、および/またはモジュール式のもしくは統合された方式で、一般的なプログラマブルプロセッサを伴うコンピュータソフトウェアを使用する、制御ロジックの形態で実装され得る。本明細書で使用される通り、プロセッサは、シングルコアプロセッサ、同じ集積チップ上のマルチコアプロセッサ、または単一回路基板上もしくはネットワーク上の複数の処理装置ならびに専用ハードウェアを含み得る。本明細書に提供する開示および教示に基づき、当業者は、ハードウェア、およびハードウェアとソフトウェアとの組み合わせを使用して、本発明の実施形態を実装する他のやり方および/または方法を知り、理解するであろう。
本出願に記載のソフトウェア構成要素または機能のいずれも、例えば、従来の技術またはオブジェクト指向の技術を使用する、例えば、Java、C、C++、C#、Objective-C、Swift、またはPerlもしくはPythonのようなスクリプト言語など、いずれの好適なコンピュータ言語を使用してプロセッサによって実行される、ソフトウェアコードとして実装されてもよい。ソフトウェアコードは、記憶および/または送信のために、コンピュータ可読媒体上に一連の命令またはコマンドとして格納されてもよい。好適な非一時的コンピュータ可読媒体としては、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、ハードドライブなどの磁気媒体、またはCD(コンパクトディスク)もしくはDVD(デジタル多目的ディスク)などの光媒体、フラッシュメモリ、およびこれに類するものが挙げられる。コンピュータ可読媒体は、そのような記憶または送信デバイスのいかなる組み合わせであってもよい。
また、そのようなプログラムはコード化され、送信用に適応したキャリア信号を使用して、インターネットを含む、様々なプロトコルに適合する有線ネットワーク、光ネットワーク、および/または無線ネットワークによって送信されてもよい。このように、コンピュータ可読媒体は、そのようなプログラムでコード化されたデータ信号を使用して作成されてもよい。プログラムコードでコード化されたコンピュータ可読媒体は、互換デバイスでパッケージ化されてもよく、または他のデバイスから(例えば、インターネットのダウンロードによって)別個に提供されてもよい。いかなるそのようなコンピュータ可読媒体も、単一のコンピュータ製品(例えば、ハードドライブ、CDまたはコンピュータシステム全体)上またはその内部にあってもよく、システムもしくはネットワーク内の異なるコンピュータ製品上またはその内部に存在してもよい。コンピュータシステムは、本明細書で言及する結果のいずれかをユーザに提供する、モニタ、プリンタ、または他の好適なディスプレイを含んでもよい。
本明細書に記載の方法のいずれかは、ステップを実行するように構成され得る、一つ以上のプロセッサを含むコンピュータシステムで、全部または部分的に実施され得る。したがって、実施形態は、潜在的にそれぞれのステップまたはそれぞれのステップ群を実施する異なる構成要素を用いて、本明細書に記載の方法のいずれかのステップを実施するように構成されるコンピュータシステムを対象とすることができる。番号付けされたステップとして提示されるが、本明細書の方法のステップは、同時に、または異なる順序で実施され得る。さらに、これらのステップの一部は、他の方法からの他のステップの一部と共に使用されてもよい。また、ステップのすべてまたは一部分は、任意であってもよい。さらに、およびいずれかの方法のステップは、モジュール、回路、またはこれらのステップを実行するための他の手段を用いて実施することができる。
特定の実施形態の具体的な詳細は、本発明の実施形態の精神と範囲から逸脱することなく、任意の好適な方法で組み合わせてもよい。しかしながら、本発明の他の実施形態は、個々の態様に関する特定の実施形態またはこれらの個々の態様の特定の組み合わせを対象としてもよい。
本発明の例示的な実施形態の上記の説明は、例示および説明の目的で提示されている。これは、網羅的であることを意図しておらず、または本発明を記載された正確な形態に限定することを意図しておらず、上記の教示を考慮して多くの修正および変形が可能である。実施形態は、本発明の原理およびその実用的な用途を最もよく説明するために選択および記述され、それによって、当業者が、企図される特定の用途に適した様々な実施形態においておよび様々な修正を用いて、本発明を最も適切に利用することを可能にする。
「一つの(a)」、「一つの(an)」、または「その(the)」の列挙は、特に反対の指示がない限り、「一つ以上」を意味することを意図している。「または」の使用は、特に反対の指示がない限り、「包含的論理和」を意味し、「排他的論理和」を意味することを意図するものではない。
本明細書で言及したすべての特許、特許出願、刊行物および記載は、あらゆる目的のためにその全体が参照により本明細書に援用される。いずれも先行技術と認められない。

VII.参考文献
[Ajt96]
Miklos Ajtai. Generating hard instances of lattice problems (extended abstract). In STOC, pages 99-108, 1996.
[Ajt99]
Miklos Ajtai. Generating hard instances of the short basis problem. In Jir Wiedermann, Peter van Emde Boas, and Mogens Nielsen, editors, Automata, Languages and Programming, 26th International Colloquium, ICALP’99, Prague, Czech Republic, July 11-15, 1999, Proceedings, volume 1644 of LNCS, pages 1-9. Springer, 1999.
[AAAS+19] Gorjan Alagic, Gorjan Alagic, Jacob Alperin-Sheriff, Daniel Apon, David Cooper, Quynh Dang, Yi-Kai Liu, Carl Miller, Dustin Moody, Rene Peralta, et al. Status Report on the First Round of the NIST Post-Quantum Cryptography Standardization Process. US Department of Commerce, National Institute of Standards and Technology, 2019.
[APS15]
Martin R. Albrecht, Rachel Player, and Sam Scott. On the concrete hardness of learning with errors. J. Mathematical Cryptology, 9(3):169-203, 2015.
[ACD+18]
Martin R. Albrecht, Benjamin R. Curtis, Amit Deo, Alex Davidson, Rachel Player, Eamonn W. Postlethwaite, Fernando Virdia, and Thomas Wunderer. Estimate all the {LWE, NTRU} schemes! In Security and Cryptography for Networks - 11th International Conference, SCN 2018, Amalfi, Italy, September 5-7, 2018, Proceedings, pages 351-367, 2018.
[ABB+19]
Erdem Alkim, Paulo S. L. M. Barreto, Nina Bindel, Patrick Longa, and Jefferson E. Ricardini. The lattice-based digital signature scheme qtesla. IACR Cryptology ePrint Archive, 2019:85, 2019.
[AP11]
Joel Alwen and Chris Peikert. Generating shorter bases for hard random lattices. Theory of Computing Systems, 48(3):535-553, 2011.
[ACPS09]
Benny Applebaum, David Cash, Chris Peikert, and Amit Sahai. Fast cryptographic primitives and circular-secure encryption based on hard learning problems. In Shai Halevi, editor, Advances in Cryptology - CRYPTO 2009, 29th Annual International Cryptology Conference, Santa Barbara, CA, USA, August 16-20, 2009. Proceedings, volume 5677 of LNCS, pages 595-618. Springer, 2009.
[BGLS19]
Shi Bai, Steven D. Galbraith, Liangze Li, and Daniel Sheffield. Improved combinatorial algorithms for the inhomogeneous short integer solution problem. J. Cryptology, 32(1):35-83, 2019.
[BB13]
Rachid El Bansarkhani and Johannes A. Buchmann. Improvement and efficient implementation of a lattice-based signature scheme. In Selected Areas in Cryptography, volume 8282 of Lecture Notes in Computer Science, pages 48-67. Springer, 2013.
[BFRS18]
Pauline Bert, Pierre-Alain Fouque, Adeline Roux-Langlois, and Mohamed Sabt. Practical implementation of ring-sis/lwe based signature and IBE. In PQCrypto, volume 10786 of Lecture Notes in Computer Science, pages 271-291. Springer, 2018.
[CC17]
Ran Canetti and Yilei Chen. Constraint-hiding constrained prfs for nc1 from LWE. In EUROCRYPT (1), volume 10210 of Lecture Notes in Computer Science, pages 446-476, 2017.
[Che13]
Yuanmi Chen. R’eduction de r’eseau et s’ecurit’e concr’ete du chiffrement compl’etement homomorphe. PhD thesis, Paris 7, 2013.
[dPLS18]
Rafael del Pino, Vadim Lyubashevsky, and Gregor Seiler. Lattice-based group signatures and zero-knowledge proofs of automorphism stability. In Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security, CCS 2018, Toronto, ON, Canada, October 15-19, 2018, pages 574-591, 2018.
[DKL+18]
L’eo Ducas, Eike Kiltz, Tancr’ede Lepoint, Vadim Lyubashevsky, Peter Schwabe, Gregor Seiler, and Damien Stehl’e. Crystals-dilithium: Alattice-based digital signature scheme. IACR Trans. Cryptogr. Hardw. Embed. Syst., 2018(1):238-268, 2018.
[FHK+18]
Pierre-Alain Fouque, Jeffrey Hoffstein, Paul Kirchner, Vadim Lyubashevsky, Thomas Pornin, Thomas Prest, Thomas Ricosset, Gregor Seiler, William Whyte, and Zhenfei Zhang. Falcon: Fast-fourier lattice-based compact signatures over ntru, 2018.
[Gen09]
Craig Gentry. Fully homomorphic encryption using ideal lattices. In STOC, pages 169-178, 2009.
[GGH97]
Oded Goldreich, Shafi Goldwasser, and Shai Halevi. Public-key cryptosystems from lattice reduction problems. In Advances in Cryptology - CRYPTO ’97, 17th Annual International Cryptology Conference, Santa Barbara, California, USA, August 17-21, 1997, Proceedings, pages 112-131, 1997.
[GGH15]
Craig Gentry, Sergey Gorbunov, and Shai Halevi. Graph-induced multilinear maps from lattices. In Theory of Cryptography - 12th Theory of Cryptography Conference, TCC 2015, Warsaw, Poland, March 23-25, 2015, Proceedings, Part II, pages 498-527, 2015.
[GKW17]
Rishab Goyal, Venkata Koppula, and Brent Waters. Lockable obfuscation. In FOCS, pages 612-621. IEEE Computer Society, 2017.
[GPV08]
Craig Gentry, Chris Peikert, and Vinod Vaikuntanathan. Trapdoors for hard lattices and new cryptographic constructions. In STOC, pages 197-206, 2008.
[GS02]
Craig Gentry and Mike Szydlo. Cryptanalysis of the revised ntru signature scheme. In International Conference on the Theory and Applications of Cryptographic Techniques, pages 299-320. Springer, 2002.
[GVW13]
Sergey Gorbunov, Vinod Vaikuntanathan, and Hoeteck Wee. Attribute-based encryption for circuits. In STOC, pages 545-554. ACM, 2013.
[HHSS17]
Shai Halevi, Tzipora Halevi, Victor Shoup, and Noah Stephens-Davidowitz. Implementing bp-obfuscation using graph-induced encoding. In ACM Conference on Computer and Communications Security, pages 783-798. ACM, 2017.
[Lyu12]
Vadim Lyubashevsky. Lattice signatures without trapdoors. In EUROCRYPT, volume 7237 of Lecture Notes in Computer Science, pages 738-755. Springer, 2012.
[MP12]
Daniele Micciancio and Chris Peikert. Trapdoors for lattices: Simpler, tighter, faster, smaller. In Advances in Cryptology - EUROCRYPT 2012 - 31st Annual International Conference on the Theory and Applications of Cryptographic Techniques, Cambridge, UK, April 15-19, 2012. Proceedings, pages 700-718, 2012.
[MR07]
Daniele Micciancio and Oded Regev. Worst-case to average-case reductions based on Gaussian measure. SIAM Journal on Computing, 37(1):267-302, 2007.
[PR06]
Chris Peikert and Alon Rosen. Efficient collision-resistant hashing from worst-case assumptions on cyclic lattices. In Theory of Cryptography, pages 145-166. Springer, 2006.
[Reg09]
Oded Regev. On lattices, learning with errors, random linear codes, and cryptography. J. ACM, 56(6), 2009.
[SSTX09]
Damien Stehle, Ron Steinfeld, Keisuke Tanaka, and Keita Xagawa. Efficient public key encryption based on ideal lattices. In International Conference on the Theory and Application of Cryptology and Information Security, pages 617-635. Springer, 2009.

Claims (34)

  1. デジタル署名の検証に使用するための方法であって、生成デバイスによって、
    ガジェット行列Gを生成することであって、前記ガジェット行列Gの前記列が、基数bの昇冪を含む、生成することと、
    低減されたガジェット行列Fを生成することであって、前記低減されたガジェット行列Fが、前記ガジェット行列Gのl列を削除することによって生成される、生成することと、
    確率分布をサンプリングして、トラップドア行列Rを形成することであって、前記トラップドア行列が、デジタル署名を生成するための秘密鍵として機能する、形成することと、
    前記低減されたガジェット行列Fおよび前記トラップドア行列Rを使用して、検証行列Aを生成することと、
    検証デバイスに前記検証行列Aを送信することであって、前記検証デバイスに、前記検証行列Aを使用して、送信デバイスによって生成される前記デジタル署名を検証させる、送信することと、を実施することを含む、方法。
  2. 前記ガジェット行列Gの前記基数bが、2である、請求項1に記載の方法。
  3. 前記トラップドア行列Rがガウス分布からサンプリングされる、請求項1に記載の方法。
  4. 前記検証行列Aを生成することが、
    均一な分布をサンプリングして、均一行列
    Figure 0007147073000373

    を形成することと、
    恒等行列Iと前記均一行列
    Figure 0007147073000374

    とを連結することによって生成行列
    Figure 0007147073000375

    を形成することであって、
    Figure 0007147073000376

    である、形成することと、
    前記検証行列Aを形成することであって、
    Figure 0007147073000377

    である、形成することと、を含む、請求項1に記載の方法。
  5. lが、係数qに対して0~(logq)/2の範囲であり、前記係数qが216~224である、請求項1に記載の方法。
  6. 前記ガジェット行列Gが、前記基数bの昇冪を有するk列のリピートn個を含み、前記低減されたガジェット行列Fを生成することが、前記ガジェット行列Gのk列の各群から、前記基数bの前記最小の冪を有する前記l列を削除することをさらに含む、請求項1に記載の方法。
  7. 前記確率分布がガウス分布である、請求項1に記載の方法。
  8. 前記検証行列Aが前記送信デバイスに送信される、請求項1に記載の方法。
  9. 前記検証行列Aが公開される、請求項1に記載の方法。
  10. メッセージmを受信することと、
    検証行列Aおよびトラップドア行列Rを格納することであって、前記トラップドア行列が確率分布をサンプリングすることによって生成される、格納することと、
    (1)前記検証行列Aを使用して、格子ベクトルvを形成することと、(2)前記格子ベクトルvに基づいて分布から中間ベクトルzをサンプリングすることと、(3)前記署名ベクトルxが、前記メッセージmのハッシュh(m)、係数q、および誤差ベクトルeに対する関係Ax=h(m)+e mod qを満たすように前記中間ベクトルzおよび前記トラップドア行列Rの積から前記署名ベクトルxを形成することと、によって署名ベクトルxを生成することと、
    検証デバイスに、前記メッセージmおよび前記署名ベクトルxを送信することであって、前記検証デバイスが、前記署名ベクトルxが前記送信デバイスによって生成されたことを検証するために前記検証行列Aを保存する、送信することと、を送信デバイスによって実施することを含む、方法。
  11. 前記署名ベクトルxを生成することが、
    前記確率分布から摂動pをサンプリングすることと、
    前記メッセージm、前記検証行列A、および前記摂動pを使用して、前記格子ベクトルvを、v=m-Apによって定義される関数への入力として形成することと、
    格子ガウス分布から中間ベクトルzをサンプリングすることであって、前記格子ガウス分布が、前記格子ベクトルvから形成される格子に基づく、サンプリングすることと、
    前記トラップドア行列R、前記摂動p、恒等行列I、および前記中間ベクトルzを、
    Figure 0007147073000378

    によって定義される関数に入力することによって、前記署名ベクトルxを形成することと、を含む、請求項10に記載の方法。
  12. 前記確率分布がガウス分布である、請求項11に記載の方法。
  13. 前記係数qが、216~224の間である、請求項10に記載の方法。
  14. 前記署名ベクトルxが、前記誤差ベクトルeのサイズが閾値未満であることに基づいて検証される、請求項10に記載の方法。
  15. 前記閾値が、前記ハッシュh(m)の寸法である、請求項14に記載の方法。
  16. 前記閾値が、前記係数qに対してq/4である、請求項15に記載の方法。
  17. 前記誤差ベクトルeの前記サイズが、前記誤差ベクトルeのユークリッド長さである、請求項14に記載の方法。
  18. 前記送信デバイスが前記検証行列Aを生成デバイスから受信する、請求項10に記載の方法。
  19. 前記送信デバイスが前記ハッシュh(m)を前記検証デバイスに送信する、請求項10に記載の方法。
  20. 送信デバイスを認証する方法であって、
    検証行列Aを格納することと、
    前記送信デバイスから、メッセージm、および署名ベクトルxを受信することと、
    前記メッセージmのハッシュh(m)および係数qに対する方程式Ax=h(m)+e mod qを解くことによって、誤差ベクトルeを計算することと、
    前記誤差ベクトルeのサイズを定量化することと、
    前記サイズを閾値と比較することと、
    前記誤差ベクトルeのサイズが前記閾値より小さいことに基づいて、前記署名ベクトルxを検証することと、を検証デバイスによって実施することを含む、方法。
  21. 前記閾値が、前記ハッシュh(m)の寸法である、請求項20に記載の方法。
  22. 前記閾値が、前記係数qに対してq/4である、請求項20に記載の方法。
  23. 前記係数qが、216~224の間である、請求項20に記載の方法。
  24. 前記送信デバイスから前記ハッシュh(m)を受信することを更に含む、請求項20に記載の方法。
  25. 前記メッセージmにハッシュ関数を適用することによって、前記ハッシュh(m)を生成することをさらに含む、請求項20に記載の方法。
  26. 前記検証行列Aが、前記送信デバイスから受信される、請求項20に記載の方法。
  27. 前記検証行列Aが生成デバイスから受信され、前記生成デバイスが前記検証行列Aを生成する、請求項20に記載の方法。
  28. 前記誤差ベクトルeの前記サイズを定量化することが、前記誤差ベクトルeのユークリッド長さを計算することを含む、請求項20に記載の方法。
  29. コンピュータシステムを制御して、請求項1~のいずれか一項に記載の方法を実施するための複数の命令を格納する、コンピュータ可読媒体を備える、コンピュータ製品。
  30. 請求項29に記載の前記コンピュータ製品と、
    前記コンピュータ可読媒体上に格納された命令を実行するための一つ以上のプロセッサと、を備える、システム。
  31. コンピュータシステムを制御して、請求項10~19のいずれか一項に記載の方法を実施するための複数の命令を格納する、コンピュータ可読媒体を備える、コンピュータ製品。
  32. 請求項31に記載の前記コンピュータ製品と、
    前記コンピュータ可読媒体上に格納された命令を実行するための一つ以上のプロセッサと、を備える、システム。
  33. コンピュータシステムを制御して、請求項20~28のいずれか一項に記載の方法を実施するための複数の命令を格納する、コンピュータ可読媒体を備える、コンピュータ製品。
  34. 請求項33に記載の前記コンピュータ製品と、
    前記コンピュータ可読媒体上に格納された命令を実行するための一つ以上のプロセッサと、を備える、システム。
JP2021546215A 2019-02-08 2019-08-01 より効率的なポスト量子署名 Active JP7147073B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201962803325P 2019-02-08 2019-02-08
US62/803,325 2019-02-08
PCT/US2019/044753 WO2020162973A1 (en) 2019-02-08 2019-08-01 More efficient post-quantum signatures

Publications (2)

Publication Number Publication Date
JP2022516381A JP2022516381A (ja) 2022-02-25
JP7147073B2 true JP7147073B2 (ja) 2022-10-04

Family

ID=71948255

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021546215A Active JP7147073B2 (ja) 2019-02-08 2019-08-01 より効率的なポスト量子署名

Country Status (7)

Country Link
US (2) US11563586B2 (ja)
EP (1) EP3921974A4 (ja)
JP (1) JP7147073B2 (ja)
CN (1) CN113424492B (ja)
CA (2) CA3129118C (ja)
SG (1) SG11202108410PA (ja)
WO (1) WO2020162973A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102418016B1 (ko) * 2019-11-28 2022-07-07 서울대학교산학협력단 래티스를 기반으로 하는 신원 기반 암호화 방법
WO2022071889A1 (en) * 2020-10-01 2022-04-07 Singapore University Of Technology And Design Methods and apparatus for message authentication
CN112468292B (zh) * 2020-11-16 2022-09-23 南京大学 一种量子数字签名方法及系统
CN113407976B (zh) * 2021-07-20 2022-08-02 北京百度网讯科技有限公司 数字签名方法、签名信息的验证方法、相关装置及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013524277A (ja) 2010-03-30 2013-06-17 インターナショナル・ビジネス・マシーンズ・コーポレーション 双一次形式に関する効率的な準同形暗号方式のためのコンピュータ読み取り可能記憶媒体および装置
US20170366349A1 (en) 2016-06-16 2017-12-21 International Business Machines Corporation Proofs of Plaintext Knowledge and Group Signatures Incorporating Same

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150326392A1 (en) * 2014-05-06 2015-11-12 Cavalry Storage, Inc. Matrix-based cryptosystem
CN104038347B (zh) * 2014-06-30 2017-09-05 西安电子科技大学 基于高斯抽样的签名验证方法
CN104052607B (zh) * 2014-06-30 2018-03-06 西安电子科技大学 基于非球面高斯抽样的签名验证方法
KR101864932B1 (ko) * 2016-06-09 2018-06-07 한국과학기술원 클라우드 환경에서 그룹 서명자용 래티스 기반 선형 준동형 서명 방법 및 장치
US9973342B2 (en) 2016-06-16 2018-05-15 International Business Machines Corporation Authentication via group signatures
KR101837338B1 (ko) 2017-02-16 2018-03-09 한양대학교 에리카산학협력단 Vanet을 위한 클라우드 지원 조건부 프라이버시를 보호하는 인증 방법 및 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013524277A (ja) 2010-03-30 2013-06-17 インターナショナル・ビジネス・マシーンズ・コーポレーション 双一次形式に関する効率的な準同形暗号方式のためのコンピュータ読み取り可能記憶媒体および装置
US20170366349A1 (en) 2016-06-16 2017-12-21 International Business Machines Corporation Proofs of Plaintext Knowledge and Group Signatures Incorporating Same

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
佐藤 慎悟 ほか,格子問題に基づくSigncryption構成法の再考,コンピュータセキュリティシンポジウム2016 論文集,日本,一般社団法人情報処理学会,2016年10月04日,第2016巻, 第2号,pp.68-75

Also Published As

Publication number Publication date
JP2022516381A (ja) 2022-02-25
CA3199161A1 (en) 2020-08-13
US20230124617A1 (en) 2023-04-20
US11563586B2 (en) 2023-01-24
CN113424492B (zh) 2023-01-24
SG11202108410PA (en) 2021-08-30
CA3129118A1 (en) 2020-08-13
CA3129118C (en) 2023-07-11
EP3921974A4 (en) 2022-04-06
US20220045865A1 (en) 2022-02-10
EP3921974A1 (en) 2021-12-15
CN113424492A (zh) 2021-09-21
WO2020162973A1 (en) 2020-08-13

Similar Documents

Publication Publication Date Title
JP7147073B2 (ja) より効率的なポスト量子署名
CN111885079B (zh) 保护数据隐私的多方联合处理数据的方法及装置
Chen et al. Approximate trapdoors for lattices and smaller hash-and-sign signatures
Micciancio et al. Trapdoors for lattices: Simpler, tighter, faster, smaller
EP2936731B1 (en) Managed secure computations on encrypted data
JP5542474B2 (ja) 第1の信号と第2の信号との間の類似性を検証するための方法及びシステム
Wang et al. Online/offline provable data possession
US20210243026A1 (en) Password based threshold token generation
Ezerman et al. Provably secure group signature schemes from code-based assumptions
KR20140103079A (ko) 선형 호모모픽 시그니처들로부터 커미트먼트들을 발생하여 검증하기 위한 암호화 장치들 및 방법들
Bai et al. MPSign: a signature from small-secret middle-product learning with errors
Zhao et al. Verifiable outsourced ciphertext-policy attribute-based encryption for mobile cloud computing
Kumar et al. Efficient construction of quantum physical unclonable functions with unitary t-designs
Chen et al. Lattice-based threshold ring signature with message block sharing
Yan et al. Identity‐based signcryption from lattices
Ben-Sasson et al. On public key encryption from noisy codewords
Micciancio Cryptographic functions from worst-case complexity assumptions
Chabanne et al. Embedded proofs for verifiable neural networks
Nguyen et al. Zero-knowledge password policy check from lattices
Hövelmanns et al. A note on Failing gracefully: Completing the picture for explicitly rejecting Fujisaki-Okamoto transforms using worst-case correctness
Longmate et al. Signing information in the quantum era
Yan et al. Pre‐image sample algorithm with irregular Gaussian distribution and construction of identity‐based signature
JP6087849B2 (ja) 代理署名装置、署名検証装置、鍵生成装置、代理署名システム、およびプログラム
Farooq et al. QuantIoT Novel Quantum Resistant Cryptographic Algorithm for Securing IoT Devices: Challenges and Solution
Sepahi et al. Lattice-based completely non-malleable public-key encryption in the standard model

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211006

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20220204

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220810

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220830

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220921

R150 Certificate of patent or registration of utility model

Ref document number: 7147073

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150