当前位置：首页 > news >正文

NTRU 加密方案

news 文章来源：https://blog.csdn.net/weixin_44885334/article/details/134080471 2025/5/14 4:05:36

参考文献：

[Rivest97] Rivest R L. All-or-nothing encryption and the package transform[C]//Fast Software Encryption: 4th International Workshop, FSE’97 Haifa, Israel, January 20–22 1997 Proceedings 4. Springer Berlin Heidelberg, 1997: 210-218.
[HPS98] Hoffstein J, Pipher J, Silverman J H. NTRU: A ring-based public key cryptosystem[C]//International algorithmic number theory symposium. Berlin, Heidelberg: Springer Berlin Heidelberg, 1998: 267-288.
[HS00] Hoffstein J, Silverman J. Optimizations for NTRU[J]. Public-Key Cryptography and Computational Number Theory, De Gruyter Proceedings in Mathematics, 2000: 77-88.
[SS11] Stehlé D, Steinfeld R. Making NTRU as secure as worst-case problems over ideal lattices[C]//Advances in Cryptology–EUROCRYPT 2011: 30th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Tallinn, Estonia, May 15-19, 2011. Proceedings 30. Springer Berlin Heidelberg, 2011: 27-47.

文章目录

All-or-Nothing Transfom
- Strongly Non-separable
- Package Transform
NTRU
- Original
- Optimization
- - CCA 安全性
  - 容易求逆的模数
  - 多项式模数
  - 稀疏的多项式
- Provably Seure

All-or-Nothing Transfom

Strongly Non-separable

[Rivest97] 提出了一种对称加密模式：强不可分离模式。它可以抵御：暴力攻击、选择明文攻击、相关明文攻击。

在这里插入图片描述

为了实现强不可分离性，它提出了全或无转换（all-or-nothing transfom，AONT），

在这里插入图片描述

给定加密方案 $\Pi$ ，消息 $m_1,\cdots,m_s$ ，我们构造新的方案 $\Pi'$ ：

利用 AONT，把消息转化为 “伪消息” $m_1',\cdots,m_s'$
对于 “伪消息” 简单地用 $\Pi$ 加密

可以证明，方案 $\Pi'$ 是强不可分离的。如果敌手试图暴力攻击，那么它不得不对所有的密文分块全部解密得到 $m^{'}$ ，然后才能恢复出消息 $m$ ，从而根据语义判断是否解密正确。对于 $s$ 个密文分块，带来了 $s$ 倍的惩罚。

不过，AONT 带来一个问题：错误传播严重。[Rivest97] 提出可以在 AONT 和 Enc 之间，添加 ECC 纠错过程。不过，冗余的信息带来了一定的弱点，安全性会略微下降。

Package Transform

[Rivest97] 给出了一种 AONT 的实现方案：Package Transform

在这里插入图片描述

这是一个随机的编码过程，其中的 $K_0$ 是固定且公开的随机数， $K^{'}$ 是临时选取的足够长的随机数（并不是秘密）， $E$ 是某种对称加密算法（实际的作用是 RO，或者说 PRF 和 Hash）

对于公钥方案来说，待加密的消息 $m$ ，

选取随机数 $r$ ，计算 $G (r)$ 作为一次秘钥，编码出 $\oplus G(r)$
计算 $H (m^{'})$ 作为一次秘钥，编码出 $\oplus H(m')$
消息 $m$ 对应的伪消息是 $m'\|r'$ （随机数，但是求逆容易）

敌手必须知道 $m^{'}$ 的全部比特，才能恢复出 $H (m^{'})$ ，必须再知道 $r^{'}$ 的全部比特，才能恢复出 $r$ ，然后才能恢复出 $\oplus G(r)$ 。只要暴力选取的 $m'\|r'$ 中的某一比特不正确，那么获得的结果就是随机乱码。

NTRU

Original

[HPS98] 提出了最初的 NTRU 加密算法，

交换环 $R$ ，互素的理想 $p + q = R$ ，商环 $R_q=R/qR$ 和 $R_p=R/pR$
充分大的子集 $R_f,R_g,R_r,R_m,R_a \subseteq R$
KeyGen：
1. 采样 $\gets R_f$ ， $\gets R_g$
2. 预计算并存储 $f_q^{-1} \pmod{q}$ 和 $f_p^{-1} \pmod{p}$
3. 计算 $\cdot g \cdot f_q^{-1} \pmod q$ ，它在 $R_q$ 中统计均匀
4. 私钥 $f$ ，公钥 $h$
Enc：给定消息 $\in R_m$
1. 采样 $\gets R_r$
2. 输出 $\cdot h + m \pmod q$ ，它是 $R_q$ 中均匀的
Dec：给定密文 $\in R/qR$
1. 计算 $\equiv f \cdot e \pmod q$ 使得 $\in R_a$
2. 输出 $f_p^{-1} \cdot a \pmod p$ ，它是 $\pmod p$

可以验证，
$\cdot e = p \cdot r \cdot g + f \cdot m \in R_q$

只要它的规模小于 $q$ ，那么就可以用 $R_q$ 模拟出正确的 $\cdot r \cdot g + f \cdot m \in R$ ，进而可以在 $R_p$ 下解密出正确的消息。我们称 $R$ 上的多项式是窄的（narrow），如果它的系数取值的直径比 $q$ 严格小，
$\|f\|_\infty := \max_i f_i - \min_i f_i$

一般地，选取 $R=\mathbb Z[x]/(x^N-1)$ 是卷积多项式环，设置 $R_f,R_g,R_m,R_r$ 是系数取值 ${0,1\}$ 或者 $\{0,\pm 1\}$ 的小多项式集合（乘法就是加法和移位，在中等规模参数下甚至比 NTT/FFT 更快）。对于合适的参数，比如 $(p, q) = (2, 127)$ 或者 $(p, q) = (3, 128)$ ， $\cdot r \cdot g + f \cdot m$ 几乎总是窄的。

未进行效率优化的 C 实现，速度比 RSA 快得多：

在这里插入图片描述

Optimization

[HS00] 给出了 NTRU 加密方案的优化：提升安全性、提高计算效率

CCA 安全性

为了抵御 CCA 攻击，我们使用 FO 转换。为了抵御字典攻击，我们使用 AONT 模式。[HS00] 组合了两者。

加密：

输入明文 $M=M_1\|M_2$ ，随机采样 $R=R_1\|R_2$
令 $H_1,H_2$ 是两个哈希函数（用于 AONT），计算 $m_1 = (M_1\|R_1) \oplus H_1(M_2\|R_2)$ ， $m_2 = (M_2\|R_2) \oplus H_2(m_1)$ ，获得 “伪消息” $m=m_1\|m_2$
令 $G$ 是哈希函数（用于 FO），计算随机带 $r=G(M\|R)$
输出密文 $e = E n c (m; r)$

解密：

解密获得 $m = Dec (e)$
从 $m=m_1\|m_2$ 中解码出消息 $M$ 和随机数 $R$
重新计算随机带 $r=G(M\|R)$
检查 $\cdot h$ 是否成立（可以只检查少量的系数）
如果检查通过，则输出明文 $M$

容易求逆的模数

NTRU 的主要开销：秘钥生成过程的 $f_q^{-1}$ 和 $f_p^{-1}$ ，加密过程的 $\cdot h \pmod q$ ，解密过程的 $\cdot e \pmod q$ 和 $f_p^{-1} \cdot a \pmod p$

如果选取
$\cdot f' + 1,\,\, f' \in R$

它满足 $f_p^{-1} = 1 \pmod p$ ，解密过程为
$\cdot e = m + p \cdot (g \cdot r + m \cdot f')$

噪声项 $\cdot (g \cdot r + m \cdot f')$ 只要不超过 $q$ ，那么直接计算
$\cdot e]_q \pmod p$

就得到了正确的明文。

多项式模数

在计算机中设置 $q=2^k$ 时可以快速实现模约简（比特串截断），其他类型的模约简会慢得多（除法）。但是，此时的 $p$ 需要与 $q$ 互素，那么 $\ge 3$ 是奇数，它的范数过大了，导致噪声项容易越界导致解密错误。

实际上，我们只要求 $p, q$ 是互素的理想，并不限制它是整数。我们可以选取 $\in \mathbb Z[x]$ ，使得它满足
$x^N-1) = (1) = \mathbb Z[x]$

于是就有 $(p) + (q) = R$ 是互素理想。

[HS00] 讨论了 $X^k \pm 1$ 以及 $X^k \pm X^j \pm 1$ 的选取方式，发现它们都不是好的选择。最终它选择了 $p = X + 2$ ，奇数 $N > 7$ ，密文模数 $q = 128$ ，

可以验证
$\cdot (X^{N-1}-2X^{N-2}+\cdots+2^{N-1}) - (X^N-1)-128 \cdot 2^{N-1}$

从而 $(p, q) = 1$ 互素
存在同构 $R_p \to \mathbb Z_{2^N+1}$ ，
$\mapsto a(-2)$

因此 $R_p|=2^N+1$ 足够大
对于二元系数的多项式子集 $R_m$ （大小 $2^N$ ，并非 $R_2$ ），存在内射 $R_m \to R_p \cong \mathbb Z_{2^N+1}$ ，

最大元素是偶数项系数非零， $1+(-2)^2+\cdots+(-2)^{N-1}=(2^{N+1}-1)/3$

最小元素是奇数项系数非零， $(-2)^1+(-2)^3\cdots+(-2)^{N-2}=-(2^N-2)/3$

我们希望对于任意的 $\in \mathbb Z[x]$ ， $\deg a(x) \le N-1$ ，将它转换为某个 “小” 多项式 $\in \mathbb Z[x]$ （作为商环 $\mathbb Z[x]/(x^N-1,x+2)$ 的代表元），满足

剩余类相同： $\in \mathbb Z_{2^N+1} \iff a(x) = b(x) \in R_p$
度数不大： $\deg b(x) \le N-1$
系数不大：系数的取值为 ${0,1\}$
一个例外：满足 $(2^{N+1}+2)/3 \pmod{2^N+1}$ 的那些 $a (x)$ ，设置为
$2+x^2+x^4+\cdots+x^{N-1}$

[HS00] 给出了关于模数 $p = x + 2$ 的模约简算法：输入 $a(x)=\sum_{i=0}^{N-1} a_i x^i$ ，主循环至多执行 $2 N + 1$ 次，就可以输出满足上述性质的 $b (x)$ ，

在这里插入图片描述

如果 $a (x)$ 的系数都是小于 $2^N$ 的正整数，则实际的循环执行次数上界为： $N+1+\log \max_i a_i$

稀疏的多项式

在 NTRU 计算过程中出现的多项式， $h, e$ 的系数是均匀的， $r, f$ 的系数是小的。假如设置 $r$ 的汉明重量是 $d$ ，那么乘法 $\cdot h$ 的复杂度为 $O (d N)$ ，它包含了 $\choose d-1}$ 个元素。

如果我们设置随机带 $r_1(x) \cdot r_2(x)$ ，其中 $r_i(x)$ 是重量 $d_i$ 的稀疏多项式，并且保证 $\approx d_1 \cdot d_2$ 依旧有充足的熵，
$\cdot h = r_1 \cdot (r_2 \cdot h)$

多项式乘法的复杂度仅仅为 $O(d_1N + d_2N)$ （空间分割，把复杂度中的乘法变成了加法）

私钥 $f$ 也可以类似的处理，
$\cdot(f_1 \cdot f_2 + f_3)$

并且可以通过拒绝采样技术，使得 $f$ 的系数都是 ${0,1\}$ 的。原则上这降低了秘钥空间的大小，但是敌手依旧需要尝试计算出 $f'=f_1 \cdot f_2 + f_3$ 之后，才能判断它是否是一个合法秘钥。解密运算
$\cdot e = e+pef_1f_2 + pef_3$

计算复杂度为 $O(d_1N+d_2N+d_3N)$

Provably Seure

[SS11] 给出了第一个标准模型下可证明安全的 NTRU 加密/签名方案。

首先，对参数的选取做了修改：

在这里插入图片描述

KeyGen 算法：

在这里插入图片描述

可证明安全的 NTRU 加密方案：

在这里插入图片描述

可以证明公钥 $p k = h$ 是均匀的（难以恢复出私钥 $s k = f$ ），

在这里插入图片描述

NTRU 方案的 IND-CPA 安全性归约到了 RLWE 问题，进而归约到理想格上的 Approx-SVP 问题：

在这里插入图片描述

文章目录

All-or-Nothing Transfom

Strongly Non-separable

Package Transform

NTRU

Original

Optimization

CCA 安全性

容易求逆的模数

多项式模数

稀疏的多项式

Provably Seure

相关文章：