JP7147073B2 - より効率的なポスト量子署名 - Google Patents
より効率的なポスト量子署名 Download PDFInfo
- Publication number
- JP7147073B2 JP7147073B2 JP2021546215A JP2021546215A JP7147073B2 JP 7147073 B2 JP7147073 B2 JP 7147073B2 JP 2021546215 A JP2021546215 A JP 2021546215A JP 2021546215 A JP2021546215 A JP 2021546215A JP 7147073 B2 JP7147073 B2 JP 7147073B2
- Authority
- JP
- Japan
- Prior art keywords
- matrix
- vector
- trapdoor
- signature
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3093—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Description
本出願は、2019年2月8日に出願された米国仮特許出願第62/803,325号の国際出願であり、当該米国仮特許出願の出願日の利益を主張するもので、参照によりその全体が本明細書に組み込まれる。
過去20年間で、格子ベースの暗号は活発な研究分野として浮上してきた。これは、進行中のNISTポスト量子暗号(PQC)標準化手順[AAAS+19]で観察されたように、完全準同型暗号化[Gen09]などの高度な暗号化機能と、実用的なポスト量子セキュア公開鍵暗号化と署名の両方を可能にすることができる。格子ベースの暗号システムの大部分は、格子トラップドアを使用する。これらの暗号システムは、公開鍵暗号化および署名スキーム[GGH97、HPS98、HHP+03、GPV08]などの基本的なプリミティブ、ならびにIDベースの暗号化[GPV08、ABB10、CHKP12]、属性ベースの暗号化[GVW13]、および次数付き符号化[GGH15]などの高度なプリミティブを含む。
図1は、実施形態によるシステム100のシーケンス図を示す。システム100は、生成デバイス105、送信デバイス115、および検証デバイス125を備えてもよい。システム100はまた、アタッカ135を含んでもよい。システム100は、本開示の実施形態による署名生成および検証を使用するシステムであってもよい。例えば、一実施形態では、送信デバイス115は、ある口座から別の口座へ資金を移動するためメッセージを送信するユーザのデバイスであってもよい。検証デバイス125は、不正な移動を防止するためにメッセージを検証する発行者であってもよい。別の実施形態では、送信デバイス115は、安全なデータベースへのアクセスを要求するメッセージを送信するデバイスであってもよい。検証デバイス125は、安全なデータベースへのアクセスを制御するアクセスゲートウェイであってもよく、アクセスを許可する前にメッセージを検証してもよい。いくつかの実施形態では、生成デバイス105および送信デバイス115は、同じデバイスであってもよい。他の実施形態では、生成デバイス105および検証デバイス125は、同じデバイスであってもよい。
署名を検証するために公開鍵として使用される検証行列を生成できる。(秘密鍵としての)トラップドア行列も生成することができ、これは検証行列の生成および署名の生成に使用することができる。
との間、または0とlog qとの間であることが選択されてもよい。lは、実験的に決定されて、所望のセキュリティレベルおよび鍵サイズを提供することができる。lの値が大きいほど(ガジェット行列Fはより小さく、低減される)、鍵が小さくなる可能性があるが、安全性も低くなり得る。lの値が大きいほど(ガジェット行列Fがより大きく、低減される)、安全性は高くなるが、鍵は大きくなり得る。例えば、セキュリティパラメータn=512および基数b=2について、係数をq=224に設定してもよい。次いで、lを、0~12の範囲から選択することができる。
である。Dは、したがって、同じ寸法の恒等行列で縦に拡大されたトラップドア行列Rであってもよい。小さな行列は、各入力がnより小さい行列であってもよい。トラップドア行列Rは、デジタル署名を生成するための秘密鍵として機能し得る。
に基づいて行列
を生成してもよい。均一にランダムな行列
の各要素は、等しい確率で選択され得る。次に、Aは、
である、F、R、および
からとして計算することができる。したがって、検証行列Aは、式
から生じる行列で拡大された行列
である。
図3は、本開示の実施形態による署名生成プロセスのフロー図を示す。署名は、格子ベースの署名ベクトルであってもよい。いくつかの実施形態では、署名生成は、送信デバイス(例えば、図1の送信デバイス115)によって行うことができる。
として署名ベクトルxを生成することができる。摂動pは、アタッカがメッセージ署名対に基づいてトラップドア行列Rを決定することを防止し得る。摂動pは、メッセージmまたはトラップドア行列Rに依存しない分布からサンプリングすることができるため、署名ベクトルx内のトラップドア行列Rを隠すことができる。
図4は、検証行列Aを用いて署名ベクトルxを検証するフロー図を示す。いくつかの実施形態では、検証は、検証デバイス(例えば、図1の検証デバイス125)によって行うことができる。
の間で選択されてもよい。例えば、q=223である場合、閾値は、212であってもよい。誤差ベクトルeが大きい場合、これは、メッセージmが、検証行列Aと同じトラップドアから生成された署名ベクトルxで署名されていないことを示してもよく、したがって、メッセージmは、不正であるか、またはそうでなければ損なわれている可能性が高い。
図5は、正確なトラップドアスキームおよび近似トラップドアスキームを用いる署名検証を示す。図5Aは、正確なトラップドアで生成された署名の検証のための計算例を示す。図5Bは、近似トラップドアで生成された署名の検証のための計算例を示す。
にあってもよい。いくつかの実施形態では、nは、128などのセキュリティパラメータであってもよい。qは、n√nに設定されてもよい。署名ベクトルSign(h(m)、sk)は、寸法mを有し、検証行列Aによって乗算されるとき、ハッシュ化されたメッセージをもたらすように選択される。ハッシュ化されたメッセージは、n寸法を有するベクトルである。メッセージのハッシュにより、メッセージのサイズに応じてではなく、nとmとのサイズを固定できる。mが比較的大きい場合、検証行列Aと署名ベクトルSign(h(m)、sk)の両方が大きくなることに留意されたい。
式中、m=O(n log q)である、および標的yとする。ベクトル
を、A・x=y+z(mod q)であるとき、yの近似短プリイメージと呼ぶ。
一部の
に対し、xおよびzの両方は短くなっている。Aの近似トラップドアは、その所有者が、標的yを与えられた近似短プリイメージを効率的に見つけることを可能にする文字列であると定義される。
のトラップドアは、A’の近似トラップドアとして使用することができる。このような方法は、公開鍵のサイズと署名をnの寸法だけ小さくするために、署名の実装によく使用された。したがって、我々の目標は、トラップドアの品質を保ちつつ、HNFアプローチと比較して、サイズをさらに小さくすること、すなわち、少なくとも、プリイメージの基準を増加しないことである。
式中
である。基数bは、簡略化のために2として選択されてもよく、または実用的な実装ではより大きな値として選択されてもよい。
ここで、Rは、小さな入力を有する行列であり、実際のトラップドアである。次に、行列Dは、
に等しい。G行列のカーネルは公開短ベースであるため、まず公開行列Gの下でISISの問題を解決し、次に公開行列Aの下でISISの問題を解決するためにDを使用することができる。
そして、公開行列Fに関するISIS問題を、解決策の近似bl-まで(すなわち、誤差ベクトルの基準はblに比例する)解決することができる。GをA内のFで置換すると、
次いで、トラップドアRおよび公開行列Aの寸法を低減することができる。
に対して機能し、分布の標準偏差に誇張は生じないが、トラップドア非依存の分析は、すべての
のプリイメージの分布をスペルアウトできる[GPV08,MP12]内の正確なトラップドアの分析とは対照的に、
から均一にサンプリングされた標的画像uにのみ適用される。このギャップの理由を簡単に説明するために、全ての標的画像を扱うために我々が試みた方法には、線形変換の定理(定理2.7)で要求される格子交差の平滑化パラメータの大幅な増加が必要であると観察する。言い換えれば、結果として得られるプリイメージの基準は、結果を無意味にすることを大幅に増加させる。
は、次数付き符号化の「レベル」の数であり、dが大きいほど、より豊富な機能をサポートする)。そのため、寸法mを小さくすると、パラメータ全体が大幅に減少する。
から削除された入力の数を示す。次に、公開行列の寸法およびプリイメージとしてmを、ガジェットプリイメージ分布の幅としてσ、最終的なプリイメージ分布の幅としてs(ここで、C>0はユニバーサル定数であり、トラップドア内のエントリの分布の幅、またはサブガウスパラメータとしてτ)、画像内の各入力に対する誤差の長さの範囲としてνを列挙する。いくつかの実施形態は、τの代わりにδを使用することができることに留意されたい。
近似トラップドアに基づいて、ハッシュサイン署名の概念実証実装を提供する。公開鍵の疑似ランダム性に対するRingLWEと署名の偽造可能性に対するRingSISの硬さを仮定して、ランダムOracleモデルでセキュリティを分析する。ここでは、簡単な概要を提示し、セクション5.2に詳細を記載する。
と基数b=2の下にある正確なトラップドアに対する参照実装は、[BB13]で報告されたパラメータと一致する。
これは、公開鍵と署名を少しでも節約することで、かろうじて「双方にメリットがある」シナリオを達成する。我々の構造は、自動的にHNF最適化を含んでいるガジェットトラップドアの疑似ランダムモードで使用することができ、追加で約50%の節約になる。
(結果として生じるガジェットはg=[1、√q])を含む、ガジェット内の任意の基数と共に使用することができる。この構造は、ガウス幅が大きいため(√q)、具体的なセキュリティが損なわれ、セクション5で実装されるより小さな係数レジームでは実行不可能となる可能性がある。特に、より小さな係数については、署名のガウス幅は、論文および実験の両方で確認されたように、係数よりも大きい。そのため、適度に大きい基数bを使用する。
の短整数行列Sを、AS=Gのように(Eqn.(1)の疑似ランダム公開鍵に相当)に対して構築しようと試みてもよく、このビューが、より良好な近似トラップドアを提供することを期待する。ここから、ハッシュサイン署名スキームは、pが摂動であり、zがG格子サンプルであるSz+pに返すことである。しかしながら、このような行列Sは、bl項を必要とする。したがって、この方法では公開鍵は節約されるが、署名サイズが改善されるわけではなく、最も重要なことに、ガウス幅がbl倍増加する。幅の増加は、基礎となるSIS問題の具体的なセキュリティを減少させる。実際には、公開鍵で同じ節約を達成するために、代わりに、ガジェット内の基数をbからblに直接増やすことができる。
具体的な実施例を詳細に説明する前に、本開示の実施形態で利用され得る格子ベースの暗号システムの態様を記述することができる。
暗号化では、セキュリティパラメータ(λと記載される)は、暗号アルゴリズムまたはプロトコルの計算の複雑さ、およびセキュリティを解読する敵の可能性をパラメータ化するために使用される変数である。アルゴリズムは、λにわたって(確率的)多項式時間内で実行される場合、「効率的」である。
を使用している。同じサポートχに対する二つの分布D1、D2については、それぞれ
が
があることを表すため
を表す。
を実数、整数、および正の整数の集合とする。
を
で示すこと。
について、
のベクトル(デフォルトでは列形式で表される)は、太字の小文字で書かれている。例えば、v。ベクトルvについては、vの成分ithはνiによって示される。整数基数b>1については、正の整数の「b-ary」分解をベクトル
と呼び、ここで、k:=[logbq]、および
である。
または、その最大入力によって与えられる無限大基準
である。行列の長さは、その最長列の基準
である。デフォルトで、明示的に指定されていない限り、
を使用する。ベクトルまたは行列が「小」または「短」と呼ばれる場合、明示的に言及されない限り、その基準を参照するが、その寸法は参照しない。必要に応じて、「小」または「短」の閾値を正確にパラメータ化することができる。表記[A B]、[A,B]、および
はすべて、行列Aが第二の行列Bと水平に拡大または連結されていることを示すことができる。表記
は、行列AおよびBが垂直に連結されていることを示してもよく、またスタックと呼ばれてもよい。
δ(j,k)=1の場合で、j=kおよび0のとき、入力δ(j,k)に関して、
を標準基
にする。任意のセット
については、そのスパン((S)と表記される)は、Sを含む
の最小のサブスペースである。行列
については、そのスパンは、その列ベクトルのスパンであり、(M)として記述される。行列転置をMtとして記述する。
はBのグラム-シュミット直交化を示す。別段の記載がない限り、順序基底B=[b1,…,bk]のGSOは左から右
に想定される。
と共に
が単一であり、
がMの特異値を含む三角行列である、
を想起する。さらに、q=min{n,m}およびDq=diag(s1,…,sq)をMの特異値
を含む対角線行列とする。次に、n=mのとき、D=Dq、m>nのときD=[Dq 0]、およびm<nの場合で
である。
は、すべての
について、
を有する場合、半正定値である。正定値Σ>0であり、半正定値の場合、
は
を意味する。Σ1-Σ2が(半)正定値の場合、
と言う。これは、半正定値行列のセット上に部分順序を形成し、
は定数
に対し
としてしばしば示される。任意の半正定値行列Σについては、
が任意の全ランク行列Tとするように記述し、その結果、Σ=ΤΤtである。TはΣの平方根である。二つの半正定値行列、Σ1およびΣ2について、それらのブロック対角連結によって形成される半正定値行列を
として示す。M*はエルミート転置を示す。SVDを有する行列Mの(ムーア-ペンローズ)疑似逆行は、M=VDWはM+=WD+V*であり、D+はDを転置しMのゼロ以外の特異値をおよび反転することによって与えられる。例えば、T=slおよび共分散Σ=s2lのために、T+=s-1l。(Σの対角線化を使用して、非球面の完全なランクのケースΣ>0に類似物T+が与えられる。)
およびすべての
についてρΤ(χ)=0。ρΤ(・)は、Σにのみ依存するが、Τの特定の選択には依存しない。そのため、ρΤ(・)を
として記述できる。
Σ、ベクトルc、格子コセット
、および線形変換Τについて、格子
が、span(ΛΤ)=ker(Τ)および
を満たす場合、次いで、
式中
である。Τが単射の場合(すなわち、ker(Τ)が取るに足らない場合)、次に、
であることを指摘する。
を伴う
とする。Gは一般的にガジェット行列と呼ばれる。ガジェット行列のq-ary格子、
は、格子
のn個の複製の直接和である。さらに、
は、単純な基礎があり、
式中
は、係数のbary分解、qである。q=bκの場合、q0=q1=…=qκ―2とqκ-1=bとを設定できる。いずれにしても、
の整数コセットは、符号化理論の用語において、チェック行列と同様にgtの症候群として見ることができる。これらのコセットは、uが任意のコセットの代表であり得る
として表される。
の単純なコセットの代表的は、uのb-ary分解である。
の整数コセットは、直接和構造を介して表され、
式中、
。以下の問題、SISおよびLWEは、行列G[MP12]上で容易に解決できるため、Gをガジェット行列と呼ぶ。
である。
まず、短整数解(SIS)の問題が想起される。
について、ISISn,m,q,βまたは無視できない確率のISISn,m,q(aryyは、
から均一にサンプリングされる)を解くことは、いくつかの近似因子γ=βについて、圧倒的な確率で任意のn次元の格子上でのGapSV PγおよびSIV Pγを解くのと同じほど難しい。
である、形態
である。(I)SISのHNFバリアントは、標準(I)SISと同じくらい難しい。これは、(
が無視できない確率で可逆なように、n、qと作業してもよい)
として
を書き直すことによって見ることができる。
および係数
、秘密ベクトルの分布、公開行列、および誤差ベクトル
について。LWEサンプルは、サンプリングs←θn、A←πnxm、e←χm、および出力(A,yt:=stA+Etmodq)から取得される。
とすると、任意のm=poly(n)、
。
を、
とし、ここで
。LWEn,m,q,θ,π,χを解読する効率的な(おそらく量子)アルゴリズムが存在する場合、いくつかの近似因子
について、圧倒的な確率で、任意のn次元格子上のGapSV PγおよびSIV Pγを解くための、効率的な(おそらく量子)アルゴリズムが存在する。
に関してSISの問題を解決する多項式時間アルゴリズムが存在する場合、xとLWEチャレンジベクトルyの内部積を計算することによって、決定的LWE問題を破るために、単にSIS解決策χを使うことができる。一方、LWE問題を解決する多項式時間アルゴリズムがあれば、SIS[SSTX09]を解決する、より複雑な多項式時間量子アルゴリズムが知られている。
行列
を与えられると、Aの近似トラップドアを、Aに関するISIS問題の近似バージョンを効率的に解決できる任意のものとして定義する。まず、近似ISIS問題を定義する。
と
について、以下のように、近似不均一短整数解の問題Approx.ISISn,m,q,α,βを定義する。
である場合、
というようにベクトル
を見つけ、
を満たすベクトル
がある。
である場合、ゼロベクトルが自明に解決策である。出願における興味深い事例は、すべての
または
から一様にサンプリングされたyを扱うことであるため、このような選択は問題を引き起こさない。
について(α、β)-近似トラップドアと呼ばれ、τ、Aおよび任意の
を与えられる多項式時間アルゴリズム(n、m、logq)がある場合、
であるように非ゼロベクトル
を出力し、
を満たすベクトル
が存在する。
、それは、
のように最小値
を示す。
を仮定すると、wは、LWEサンプルであるか、または
から均一にサンプリングされるかのいずれかである。Bは、ベクトル
をピックし、Aおよびyを、近似ISISチャレンジとして敵Aに送る。Aは、
であるように
で応答し、
を満たすベクトル
が存在する。
とすると、Bは、同じインスタンスをAに渡し、
であるようにベクトルxを戻す。
式中
。式中、
である
を書く。その後
は、
を満たし、および
。従って、x’は、HNF.ISISに対する有効な解である。
をHNF.Approx.ISISインスタンスとすると、
をAに渡し、短いベクトル
を戻す。そして、
は、HNF.Approx.ISISインスタンスに対する有効な解決策である。
とすると、Bは、AにHNF.Approx.ISISインスタンスとして、
を渡し、
式中
であるような回答
を戻す。
を与えられた場合、Bはまずは
であるかを確認する。その場合は、
であるようなy’=:y+Δyを見つける。そうでない場合はy’:=yとΔy=0を設定する。次に、BはAにHNF.Approx.ISISインスタンスとして、
を渡し、
式中
であるような回答
を戻す。
[MP12]の(タグ行列を含まない)ガジェットベースのトラップドア生成およびプリイメージサンプリングアルゴリズムに基づく、近似トラップドアのインスタンス化を提示する。簡潔に述べると、小整数入力を伴う近似トラップドアRと共に、入力係数qを有する疑似ランダムAを生成する方法を示す。
をG格子のベースにする。qを係数にしてκ=[logbq]。典型的には、bは簡略化のために2であるように選択されるが、格子ベースのスキームにおける効率のトレードオフのためにより高い基数bが使用されることが多い。
式中、Gは、一般的に使用されるガジェット行列、
であり、Rは、小さなランダム入力を有する秘密のトラップドア行列である。Aは、
の構造およびχの選択に応じて、統計的に均一にランダムまたは疑似ランダムのいずれかに近い(疑似ランダムな場合
は、
が難しいような分布であるように選択される)。この論文では、結果としての公開行列Aとプレイメージがより小さい寸法を持つため、疑似ランダムなケースに焦点を当てる。
である
として定義される正定値行列とする。摂動はオフラインで
として計算できる。次いで、pに依存したコセット中のG格子ベクトルを
としてサンプリングする。最後に、プリイメージは、
であるように設定される。
序説で述べたように、近似トラップドアを取得する一つの目的は、次数の低い入力なしでガジェット行列を用いてMP12アルゴリズムを適合させることである。0<l<kをガジェットベクトル
から削除された次数の低い入力の数にする。結果として得られる近似ガジェットベクトルを
として定義する。w=n(k-l)を近似ガジェット
の列の数にする。次に、Aの列の数はm:=2n+wになる。
アルゴリズム1は、ガジェット行列から導出された格子に基づいてガウス分布からベクトルをサンプリングするためのアルゴリズムを示す。アルゴリズム1は、
から値ν(νは、ベクトルの一つの構成要素であってもよい)を取り込む。ガジェットサンプリングアルゴリズムは、分布の幅を定義するσも取り込む。このアルゴリズムは、図1の送信デバイス115などの送信デバイスによって実施され得る。追加で、アルゴリズム1のステップは、図3のプロセスなどの署名生成プロセスの一部として実施され得る。
からのk値を含むベクトルxをサンプリングすることができる。値は、分布Dから引き出されてもよい。Dは、格子ガウス分布、すなわち、格子上のガウス分布であってもよく、格子は、ガジェット行列および偏差σによって定義されてもよい。分布Dは、セクションII.Cにより詳細に記載される。
アルゴリズム2は、トラップドア行列生成アルゴリズムを示す。入力として、このアルゴリズムはセキュリティパラメータλを取り込む。トラップドア生成は、図1の生成デバイス105などの生成デバイスによって実行され得る。追加で、アルゴリズム2のステップは、図2のプロセスなどの鍵生成プロセスの一部として実施され得る。
、幅σを有する整数にわたるガウス分布であってもよい。
とすることができる。検証行列は、寸法n×mを有してもよく、ここで、m=2n+w=2n+n(k-l)であり、
からの要素を有する。
アルゴリズム3は、署名生成アルゴリズムを示す。署名生成アルゴリズムは、検証行列A、トラップドア行列R、メッセージベクトルu、および分布幅sを入力として取る。分布幅sは、表1の方程式を介した分布幅σに関連し得る。署名生成は、図1の送信デバイス115などの、送信デバイスによって実行され得る。追加で、アルゴリズム3のステップは、図3のプロセスなどの署名生成プロセスの一部として実施され得る。
1.Approx.TrapGen(n)は、セキュリティパラメータnを入力し、行列近似トラップドア対
を返す。
2.上記のような近似トラップドアでAを生成し、approx.A-1(・)は近似プリイメージサンプリングアルゴリズムApprox.SamplePre(A,R,s・)を示す。以下の二つの分布は、統計的に識別不能である。
および
いずれの
について。
さらに、第二の分布では、Aは、ランダムな仮定
と計算上区別できない
に対して機能する一方で、近似プレイメージサンプル-コセット対(y、u)が、均一な標的
に対して、近似トラップドアRを隠していることを照明することができると指摘する。これは、[MP12]における正確なガジェットベースのトラップドア設定とは異なり、これは、トラップドアが固定されたuそれぞれに対して隠されていることを証明するものである。プルーフアイデアの概要では、すべての
のプリイメージ分布を詳細に説明しようとしたときに、プルーフがどこで分解されるかについて説明する。
このサブセクションは、定理4.1の証明専用である。
は、完全なガジェット行列Gの下での、短プリイメージu-Ap(modq)を示す、すなわちGx=u-Ap(modq)。証明の主なアイデアは、第一に、アルゴリズム4で生成された(p、x)の同時分布が、任意の
に対して統計的に
に近いことを示すことである(これは、必要とするものよりも強い定理である)。次に、(p、x)に線形変換の定理を適用して、yおよびeの分布を取得する。しかし、線形変換の定理を格子コセット
に直接適用することは、技術的な問題につながる。すなわち、定理2.7で要求される中間格子交差ΛΤは、大きな平滑化パラメータを有する。この問題を回避するには、uが均一にランダムであるという条件を使用して、(p、x)が統計的に
近いことを主張する。次に、(p、x)の支持は、
なので、線形変換の定理を適用して、yおよびeの最終的な分布はトラップドアに依存しないことを証明することができる。
を与える。次に、定理2.7を適用する。セクション2に示されたBq=[b1、…、bk]を
の基礎とする。次に、Lのカーネルが{b1、…、bl-1、el、…、ek-1}(
は標準ベース
を示すことを想起)によって生成され、
は、これらのベクトルのすべての整数の組み合わせのセットである。ΛLはLのカーネルをスパンし、ΛLの平滑化パラメータは、すべてのi=1、…、l-1について
であるため、最大で
である。
としてみる。次に、(アルゴリズム1のGsamp.Cutように)
から
の同時分布における切断
を表す線形変換によって与えられる分布を分析し、y:=p+R’zを返す。簡略化のため、列をG~
に並べ替える。これにより、
について、切断と畳み込みを単純な線形変換y=L(p、x)として表すことができる。
およびa=-R’bのすべてのベクトル(a、b、c)によって与えられる。整数格子
は、このような整数ベクトルをすべて含むため、
はLのカーネルに及ぶ。
に対して
として生成される。
をサンプリングし、残りのベクトルは、Hybrid4と同じ分布から保持する(AのトラップドアRは、p、x、eおよびyのサンプリングには使用されていないことに留意されたい)。最終分布は、
であると仮定すると、Hybrid4と計算上区別できない。
D.近似Gトラップドアから近似カーネルトラップドアへ
である
を記述する。
を公開行列Fの下の、A1の近似短プリイメージにする、すなわちF・W=A1+E1(modq)。
をFの近似カーネル、すなわちF・S=E2(modq)(E1とE2の両方の基準は小さい)にする。すると、
である。
正確なトラップドアの代わりに、近似G-トラップドアでインスタンス化された[GPV08]からのハッシュサイン署名スキームの詳細を説明する。
およびm=n(2+(k-l))であるように、lをG-トラップドアから削除された入力の数に設定する。
を、それぞれ
のコセットにわたる分布の離散ガウス幅にする。χを
が難しくなるように選択されたトラップドアRの入力の分布にする。
・Gen(1λ):鍵生成アルゴリズムは、Approx.TrapGen(1λ)から(α、β)-近似トラップドアRと一緒に
をサンプリングできる。Hの範囲Rλを
とする。これはAを検証行列として出力することができ、Rをトラップドア行列(すなわち、秘密署名鍵)として保持することができる。
・Sig(R、m):署名アルゴリズムは、メッセージ署名対(m,xm)が以前に生成されたかどうか確認できる。そうである場合、xmをmの署名として出力する。そうでない場合、u=H(m)を計算し、近似プリイメージxm←Approx.SamplePre(A,R,u,s)をサンプリングする。xmを署名として出力し、リストに(m、xm)を格納する。
・Ver(A、m、x):検証アルゴリズムは
かどうかを確認する。そうである場合、受諾を出力し、そうでない場合、棄却を出力する。
のベクトルを見つけるためにBKZが取る操作の数に基づいて、ISISn、m、q、α+βのセキュリティレベルを推定する。さらに、列をAに捨てることができる。ミンコフスキーの定理によると、
は十分ベクトルが短いので、A2nを示した、[BFRS18]で示すAの2n列のみを使用することを選択する。[APS15,ACD+18]に続いて、ブロックサイズkにおいて、時間的複雑さ2292k+16.4を伴うSVPオラクルとしてふるい分けを使用する。BKZは、寸法2nの格子に対して長さδ2ndet1/2nのベクトルを返すことが期待されている。したがって、署名
の偽造に対応する必要なδを達成する最小のブロックサイズkを発見した。最後に、ヒューリスティック
を用いてkとδとの間の関係を判定し、BKZの合計時間の複雑さをブロックサイズk、寸法2nとともに
[Che13,APS15]として設定した。
および基数b=2の下の正確なトラップドアに対する我々の参照実装は、[BB13]で報告されたパラメータに合致する(他の実装[BFRS18,GPR+18]のパラメータは、異なる方法で測定される可能性がある)。また、サイズを低減してセキュリティレベルを高めるために、より小さな係数とより大きな基数を使用する。図8および図9のパラメータは、qおよびbのすべての選択について、l=[(logbq)/2]を設定することにより近似ガジェットトラップドアを使用することは、正確なトラップドアを使用することと比較して、公開鍵および署名のサイズの約半分を節約し、セキュリティ推定のわずかな増加さえも伴うことを示唆している。
1.均一にランダムな画像の近似プリイメージは、分布Dpreに統計的に近く、分布はAおよびRと無関係である。
2.均一にランダムな画像については、誤差ベクトルe:=u-Ay(modq)は、分布Derrに統計的に近く、この分布もまたAおよびRと無関係である。
の下ではランダムと区別できないという前提により、実物と区別できない。
がある。それは、それらを衝突危険対として使用するように、依然としてy≠y*を証明する。以前に署名オラクルにm*クエリがあった場合、成功偽造の定義によってy≠y*であり、以前に署名オラクルにm*クエリがなかった場合、y*はパラメータの設定によってmin-entropyが高いため、圧倒的な確率でy≠y*である。
本明細書に記述したいずれのコンピュータシステムも、任意の適切な数のサブシステムを利用することができる。こうしたサブシステムの例は、コンピュータ装置700の図10に示されている。いくつかの実施形態では、コンピュータシステムは、単一のコンピュータ装置を含み、サブシステムはコンピュータ装置の構成要素であり得る。他の実施形態では、コンピュータシステムは、それぞれが内部構成要素を有するサブシステムである、複数のコンピュータ装置を含み得る。コンピュータシステムは、デスクトップおよびラップトップコンピュータ、タブレット、携帯電話、およびその他の携帯デバイスを含み得る。
VII.参考文献
[Ajt96]
Miklos Ajtai. Generating hard instances of lattice problems (extended abstract). In STOC, pages 99-108, 1996.
[Ajt99]
Miklos Ajtai. Generating hard instances of the short basis problem. In Jir Wiedermann, Peter van Emde Boas, and Mogens Nielsen, editors, Automata, Languages and Programming, 26th International Colloquium, ICALP’99, Prague, Czech Republic, July 11-15, 1999, Proceedings, volume 1644 of LNCS, pages 1-9. Springer, 1999.
[AAAS+19] Gorjan Alagic, Gorjan Alagic, Jacob Alperin-Sheriff, Daniel Apon, David Cooper, Quynh Dang, Yi-Kai Liu, Carl Miller, Dustin Moody, Rene Peralta, et al. Status Report on the First Round of the NIST Post-Quantum Cryptography Standardization Process. US Department of Commerce, National Institute of Standards and Technology, 2019.
[APS15]
Martin R. Albrecht, Rachel Player, and Sam Scott. On the concrete hardness of learning with errors. J. Mathematical Cryptology, 9(3):169-203, 2015.
[ACD+18]
Martin R. Albrecht, Benjamin R. Curtis, Amit Deo, Alex Davidson, Rachel Player, Eamonn W. Postlethwaite, Fernando Virdia, and Thomas Wunderer. Estimate all the {LWE, NTRU} schemes! In Security and Cryptography for Networks - 11th International Conference, SCN 2018, Amalfi, Italy, September 5-7, 2018, Proceedings, pages 351-367, 2018.
[ABB+19]
Erdem Alkim, Paulo S. L. M. Barreto, Nina Bindel, Patrick Longa, and Jefferson E. Ricardini. The lattice-based digital signature scheme qtesla. IACR Cryptology ePrint Archive, 2019:85, 2019.
[AP11]
Joel Alwen and Chris Peikert. Generating shorter bases for hard random lattices. Theory of Computing Systems, 48(3):535-553, 2011.
[ACPS09]
Benny Applebaum, David Cash, Chris Peikert, and Amit Sahai. Fast cryptographic primitives and circular-secure encryption based on hard learning problems. In Shai Halevi, editor, Advances in Cryptology - CRYPTO 2009, 29th Annual International Cryptology Conference, Santa Barbara, CA, USA, August 16-20, 2009. Proceedings, volume 5677 of LNCS, pages 595-618. Springer, 2009.
[BGLS19]
Shi Bai, Steven D. Galbraith, Liangze Li, and Daniel Sheffield. Improved combinatorial algorithms for the inhomogeneous short integer solution problem. J. Cryptology, 32(1):35-83, 2019.
[BB13]
Rachid El Bansarkhani and Johannes A. Buchmann. Improvement and efficient implementation of a lattice-based signature scheme. In Selected Areas in Cryptography, volume 8282 of Lecture Notes in Computer Science, pages 48-67. Springer, 2013.
[BFRS18]
Pauline Bert, Pierre-Alain Fouque, Adeline Roux-Langlois, and Mohamed Sabt. Practical implementation of ring-sis/lwe based signature and IBE. In PQCrypto, volume 10786 of Lecture Notes in Computer Science, pages 271-291. Springer, 2018.
[CC17]
Ran Canetti and Yilei Chen. Constraint-hiding constrained prfs for nc1 from LWE. In EUROCRYPT (1), volume 10210 of Lecture Notes in Computer Science, pages 446-476, 2017.
[Che13]
Yuanmi Chen. R’eduction de r’eseau et s’ecurit’e concr’ete du chiffrement compl’etement homomorphe. PhD thesis, Paris 7, 2013.
[dPLS18]
Rafael del Pino, Vadim Lyubashevsky, and Gregor Seiler. Lattice-based group signatures and zero-knowledge proofs of automorphism stability. In Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security, CCS 2018, Toronto, ON, Canada, October 15-19, 2018, pages 574-591, 2018.
[DKL+18]
L’eo Ducas, Eike Kiltz, Tancr’ede Lepoint, Vadim Lyubashevsky, Peter Schwabe, Gregor Seiler, and Damien Stehl’e. Crystals-dilithium: Alattice-based digital signature scheme. IACR Trans. Cryptogr. Hardw. Embed. Syst., 2018(1):238-268, 2018.
[FHK+18]
Pierre-Alain Fouque, Jeffrey Hoffstein, Paul Kirchner, Vadim Lyubashevsky, Thomas Pornin, Thomas Prest, Thomas Ricosset, Gregor Seiler, William Whyte, and Zhenfei Zhang. Falcon: Fast-fourier lattice-based compact signatures over ntru, 2018.
[Gen09]
Craig Gentry. Fully homomorphic encryption using ideal lattices. In STOC, pages 169-178, 2009.
[GGH97]
Oded Goldreich, Shafi Goldwasser, and Shai Halevi. Public-key cryptosystems from lattice reduction problems. In Advances in Cryptology - CRYPTO ’97, 17th Annual International Cryptology Conference, Santa Barbara, California, USA, August 17-21, 1997, Proceedings, pages 112-131, 1997.
[GGH15]
Craig Gentry, Sergey Gorbunov, and Shai Halevi. Graph-induced multilinear maps from lattices. In Theory of Cryptography - 12th Theory of Cryptography Conference, TCC 2015, Warsaw, Poland, March 23-25, 2015, Proceedings, Part II, pages 498-527, 2015.
[GKW17]
Rishab Goyal, Venkata Koppula, and Brent Waters. Lockable obfuscation. In FOCS, pages 612-621. IEEE Computer Society, 2017.
[GPV08]
Craig Gentry, Chris Peikert, and Vinod Vaikuntanathan. Trapdoors for hard lattices and new cryptographic constructions. In STOC, pages 197-206, 2008.
[GS02]
Craig Gentry and Mike Szydlo. Cryptanalysis of the revised ntru signature scheme. In International Conference on the Theory and Applications of Cryptographic Techniques, pages 299-320. Springer, 2002.
[GVW13]
Sergey Gorbunov, Vinod Vaikuntanathan, and Hoeteck Wee. Attribute-based encryption for circuits. In STOC, pages 545-554. ACM, 2013.
[HHSS17]
Shai Halevi, Tzipora Halevi, Victor Shoup, and Noah Stephens-Davidowitz. Implementing bp-obfuscation using graph-induced encoding. In ACM Conference on Computer and Communications Security, pages 783-798. ACM, 2017.
[Lyu12]
Vadim Lyubashevsky. Lattice signatures without trapdoors. In EUROCRYPT, volume 7237 of Lecture Notes in Computer Science, pages 738-755. Springer, 2012.
[MP12]
Daniele Micciancio and Chris Peikert. Trapdoors for lattices: Simpler, tighter, faster, smaller. In Advances in Cryptology - EUROCRYPT 2012 - 31st Annual International Conference on the Theory and Applications of Cryptographic Techniques, Cambridge, UK, April 15-19, 2012. Proceedings, pages 700-718, 2012.
[MR07]
Daniele Micciancio and Oded Regev. Worst-case to average-case reductions based on Gaussian measure. SIAM Journal on Computing, 37(1):267-302, 2007.
[PR06]
Chris Peikert and Alon Rosen. Efficient collision-resistant hashing from worst-case assumptions on cyclic lattices. In Theory of Cryptography, pages 145-166. Springer, 2006.
[Reg09]
Oded Regev. On lattices, learning with errors, random linear codes, and cryptography. J. ACM, 56(6), 2009.
[SSTX09]
Damien Stehle, Ron Steinfeld, Keisuke Tanaka, and Keita Xagawa. Efficient public key encryption based on ideal lattices. In International Conference on the Theory and Application of Cryptology and Information Security, pages 617-635. Springer, 2009.
Claims (34)
- デジタル署名の検証に使用するための方法であって、生成デバイスによって、
ガジェット行列Gを生成することであって、前記ガジェット行列Gの前記列が、基数bの昇冪を含む、生成することと、
低減されたガジェット行列Fを生成することであって、前記低減されたガジェット行列Fが、前記ガジェット行列Gのl列を削除することによって生成される、生成することと、
確率分布をサンプリングして、トラップドア行列Rを形成することであって、前記トラップドア行列が、デジタル署名を生成するための秘密鍵として機能する、形成することと、
前記低減されたガジェット行列Fおよび前記トラップドア行列Rを使用して、検証行列Aを生成することと、
検証デバイスに前記検証行列Aを送信することであって、前記検証デバイスに、前記検証行列Aを使用して、送信デバイスによって生成される前記デジタル署名を検証させる、送信することと、を実施することを含む、方法。 - 前記ガジェット行列Gの前記基数bが、2である、請求項1に記載の方法。
- 前記トラップドア行列Rがガウス分布からサンプリングされる、請求項1に記載の方法。
- lが、係数qに対して0~(logbq)/2の範囲であり、前記係数qが216~224である、請求項1に記載の方法。
- 前記ガジェット行列Gが、前記基数bの昇冪を有するk列のリピートn個を含み、前記低減されたガジェット行列Fを生成することが、前記ガジェット行列Gのk列の各群から、前記基数bの前記最小の冪を有する前記l列を削除することをさらに含む、請求項1に記載の方法。
- 前記確率分布がガウス分布である、請求項1に記載の方法。
- 前記検証行列Aが前記送信デバイスに送信される、請求項1に記載の方法。
- 前記検証行列Aが公開される、請求項1に記載の方法。
- メッセージmを受信することと、
検証行列Aおよびトラップドア行列Rを格納することであって、前記トラップドア行列が確率分布をサンプリングすることによって生成される、格納することと、
(1)前記検証行列Aを使用して、格子ベクトルvを形成することと、(2)前記格子ベクトルvに基づいて分布から中間ベクトルzをサンプリングすることと、(3)前記署名ベクトルxが、前記メッセージmのハッシュh(m)、係数q、および誤差ベクトルeに対する関係Ax=h(m)+e mod qを満たすように前記中間ベクトルzおよび前記トラップドア行列Rの積から前記署名ベクトルxを形成することと、によって署名ベクトルxを生成することと、
検証デバイスに、前記メッセージmおよび前記署名ベクトルxを送信することであって、前記検証デバイスが、前記署名ベクトルxが前記送信デバイスによって生成されたことを検証するために前記検証行列Aを保存する、送信することと、を送信デバイスによって実施することを含む、方法。 - 前記確率分布がガウス分布である、請求項11に記載の方法。
- 前記係数qが、216~224の間である、請求項10に記載の方法。
- 前記署名ベクトルxが、前記誤差ベクトルeのサイズが閾値未満であることに基づいて検証される、請求項10に記載の方法。
- 前記閾値が、前記ハッシュh(m)の寸法である、請求項14に記載の方法。
- 前記閾値が、前記係数qに対してq/4である、請求項15に記載の方法。
- 前記誤差ベクトルeの前記サイズが、前記誤差ベクトルeのユークリッド長さである、請求項14に記載の方法。
- 前記送信デバイスが前記検証行列Aを生成デバイスから受信する、請求項10に記載の方法。
- 前記送信デバイスが前記ハッシュh(m)を前記検証デバイスに送信する、請求項10に記載の方法。
- 送信デバイスを認証する方法であって、
検証行列Aを格納することと、
前記送信デバイスから、メッセージm、および署名ベクトルxを受信することと、
前記メッセージmのハッシュh(m)および係数qに対する方程式Ax=h(m)+e mod qを解くことによって、誤差ベクトルeを計算することと、
前記誤差ベクトルeのサイズを定量化することと、
前記サイズを閾値と比較することと、
前記誤差ベクトルeのサイズが前記閾値より小さいことに基づいて、前記署名ベクトルxを検証することと、を検証デバイスによって実施することを含む、方法。 - 前記閾値が、前記ハッシュh(m)の寸法である、請求項20に記載の方法。
- 前記閾値が、前記係数qに対してq/4である、請求項20に記載の方法。
- 前記係数qが、216~224の間である、請求項20に記載の方法。
- 前記送信デバイスから前記ハッシュh(m)を受信することを更に含む、請求項20に記載の方法。
- 前記メッセージmにハッシュ関数を適用することによって、前記ハッシュh(m)を生成することをさらに含む、請求項20に記載の方法。
- 前記検証行列Aが、前記送信デバイスから受信される、請求項20に記載の方法。
- 前記検証行列Aが生成デバイスから受信され、前記生成デバイスが前記検証行列Aを生成する、請求項20に記載の方法。
- 前記誤差ベクトルeの前記サイズを定量化することが、前記誤差ベクトルeのユークリッド長さを計算することを含む、請求項20に記載の方法。
- コンピュータシステムを制御して、請求項1~9のいずれか一項に記載の方法を実施するための複数の命令を格納する、コンピュータ可読媒体を備える、コンピュータ製品。
- 請求項29に記載の前記コンピュータ製品と、
前記コンピュータ可読媒体上に格納された命令を実行するための一つ以上のプロセッサと、を備える、システム。 - コンピュータシステムを制御して、請求項10~19のいずれか一項に記載の方法を実施するための複数の命令を格納する、コンピュータ可読媒体を備える、コンピュータ製品。
- 請求項31に記載の前記コンピュータ製品と、
前記コンピュータ可読媒体上に格納された命令を実行するための一つ以上のプロセッサと、を備える、システム。 - コンピュータシステムを制御して、請求項20~28のいずれか一項に記載の方法を実施するための複数の命令を格納する、コンピュータ可読媒体を備える、コンピュータ製品。
- 請求項33に記載の前記コンピュータ製品と、
前記コンピュータ可読媒体上に格納された命令を実行するための一つ以上のプロセッサと、を備える、システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201962803325P | 2019-02-08 | 2019-02-08 | |
US62/803,325 | 2019-02-08 | ||
PCT/US2019/044753 WO2020162973A1 (en) | 2019-02-08 | 2019-08-01 | More efficient post-quantum signatures |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022516381A JP2022516381A (ja) | 2022-02-25 |
JP7147073B2 true JP7147073B2 (ja) | 2022-10-04 |
Family
ID=71948255
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021546215A Active JP7147073B2 (ja) | 2019-02-08 | 2019-08-01 | より効率的なポスト量子署名 |
Country Status (7)
Country | Link |
---|---|
US (2) | US11563586B2 (ja) |
EP (1) | EP3921974A4 (ja) |
JP (1) | JP7147073B2 (ja) |
CN (1) | CN113424492B (ja) |
CA (2) | CA3129118C (ja) |
SG (1) | SG11202108410PA (ja) |
WO (1) | WO2020162973A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102418016B1 (ko) * | 2019-11-28 | 2022-07-07 | 서울대학교산학협력단 | 래티스를 기반으로 하는 신원 기반 암호화 방법 |
WO2022071889A1 (en) * | 2020-10-01 | 2022-04-07 | Singapore University Of Technology And Design | Methods and apparatus for message authentication |
CN112468292B (zh) * | 2020-11-16 | 2022-09-23 | 南京大学 | 一种量子数字签名方法及系统 |
CN113407976B (zh) * | 2021-07-20 | 2022-08-02 | 北京百度网讯科技有限公司 | 数字签名方法、签名信息的验证方法、相关装置及电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013524277A (ja) | 2010-03-30 | 2013-06-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 双一次形式に関する効率的な準同形暗号方式のためのコンピュータ読み取り可能記憶媒体および装置 |
US20170366349A1 (en) | 2016-06-16 | 2017-12-21 | International Business Machines Corporation | Proofs of Plaintext Knowledge and Group Signatures Incorporating Same |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150326392A1 (en) * | 2014-05-06 | 2015-11-12 | Cavalry Storage, Inc. | Matrix-based cryptosystem |
CN104038347B (zh) * | 2014-06-30 | 2017-09-05 | 西安电子科技大学 | 基于高斯抽样的签名验证方法 |
CN104052607B (zh) * | 2014-06-30 | 2018-03-06 | 西安电子科技大学 | 基于非球面高斯抽样的签名验证方法 |
KR101864932B1 (ko) * | 2016-06-09 | 2018-06-07 | 한국과학기술원 | 클라우드 환경에서 그룹 서명자용 래티스 기반 선형 준동형 서명 방법 및 장치 |
US9973342B2 (en) | 2016-06-16 | 2018-05-15 | International Business Machines Corporation | Authentication via group signatures |
KR101837338B1 (ko) | 2017-02-16 | 2018-03-09 | 한양대학교 에리카산학협력단 | Vanet을 위한 클라우드 지원 조건부 프라이버시를 보호하는 인증 방법 및 시스템 |
-
2019
- 2019-08-01 US US17/429,317 patent/US11563586B2/en active Active
- 2019-08-01 CN CN201980091523.2A patent/CN113424492B/zh active Active
- 2019-08-01 EP EP19914310.8A patent/EP3921974A4/en active Pending
- 2019-08-01 SG SG11202108410PA patent/SG11202108410PA/en unknown
- 2019-08-01 CA CA3129118A patent/CA3129118C/en active Active
- 2019-08-01 WO PCT/US2019/044753 patent/WO2020162973A1/en unknown
- 2019-08-01 CA CA3199161A patent/CA3199161A1/en active Pending
- 2019-08-01 JP JP2021546215A patent/JP7147073B2/ja active Active
-
2022
- 2022-12-15 US US18/066,732 patent/US20230124617A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013524277A (ja) | 2010-03-30 | 2013-06-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 双一次形式に関する効率的な準同形暗号方式のためのコンピュータ読み取り可能記憶媒体および装置 |
US20170366349A1 (en) | 2016-06-16 | 2017-12-21 | International Business Machines Corporation | Proofs of Plaintext Knowledge and Group Signatures Incorporating Same |
Non-Patent Citations (1)
Title |
---|
佐藤 慎悟 ほか,格子問題に基づくSigncryption構成法の再考,コンピュータセキュリティシンポジウム2016 論文集,日本,一般社団法人情報処理学会,2016年10月04日,第2016巻, 第2号,pp.68-75 |
Also Published As
Publication number | Publication date |
---|---|
JP2022516381A (ja) | 2022-02-25 |
CA3199161A1 (en) | 2020-08-13 |
US20230124617A1 (en) | 2023-04-20 |
US11563586B2 (en) | 2023-01-24 |
CN113424492B (zh) | 2023-01-24 |
SG11202108410PA (en) | 2021-08-30 |
CA3129118A1 (en) | 2020-08-13 |
CA3129118C (en) | 2023-07-11 |
EP3921974A4 (en) | 2022-04-06 |
US20220045865A1 (en) | 2022-02-10 |
EP3921974A1 (en) | 2021-12-15 |
CN113424492A (zh) | 2021-09-21 |
WO2020162973A1 (en) | 2020-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7147073B2 (ja) | より効率的なポスト量子署名 | |
CN111885079B (zh) | 保护数据隐私的多方联合处理数据的方法及装置 | |
Chen et al. | Approximate trapdoors for lattices and smaller hash-and-sign signatures | |
Micciancio et al. | Trapdoors for lattices: Simpler, tighter, faster, smaller | |
EP2936731B1 (en) | Managed secure computations on encrypted data | |
JP5542474B2 (ja) | 第1の信号と第2の信号との間の類似性を検証するための方法及びシステム | |
Wang et al. | Online/offline provable data possession | |
US20210243026A1 (en) | Password based threshold token generation | |
Ezerman et al. | Provably secure group signature schemes from code-based assumptions | |
KR20140103079A (ko) | 선형 호모모픽 시그니처들로부터 커미트먼트들을 발생하여 검증하기 위한 암호화 장치들 및 방법들 | |
Bai et al. | MPSign: a signature from small-secret middle-product learning with errors | |
Zhao et al. | Verifiable outsourced ciphertext-policy attribute-based encryption for mobile cloud computing | |
Kumar et al. | Efficient construction of quantum physical unclonable functions with unitary t-designs | |
Chen et al. | Lattice-based threshold ring signature with message block sharing | |
Yan et al. | Identity‐based signcryption from lattices | |
Ben-Sasson et al. | On public key encryption from noisy codewords | |
Micciancio | Cryptographic functions from worst-case complexity assumptions | |
Chabanne et al. | Embedded proofs for verifiable neural networks | |
Nguyen et al. | Zero-knowledge password policy check from lattices | |
Hövelmanns et al. | A note on Failing gracefully: Completing the picture for explicitly rejecting Fujisaki-Okamoto transforms using worst-case correctness | |
Longmate et al. | Signing information in the quantum era | |
Yan et al. | Pre‐image sample algorithm with irregular Gaussian distribution and construction of identity‐based signature | |
JP6087849B2 (ja) | 代理署名装置、署名検証装置、鍵生成装置、代理署名システム、およびプログラム | |
Farooq et al. | QuantIoT Novel Quantum Resistant Cryptographic Algorithm for Securing IoT Devices: Challenges and Solution | |
Sepahi et al. | Lattice-based completely non-malleable public-key encryption in the standard model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211006 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20220204 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220510 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220810 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220830 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220921 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7147073 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |