) به سیستم های رمزنگاری Lattice حملات مشبکه( و امضاهای دیجیتال

) به سیستم های رمزنگاری Latticeحملات مشبکه( و امضاهای دیجیتال گردآورنده: زهرا فرجی معز با راهنمایی دکتر حسین حاجی ابوالحسن

در این پروژه بر آن شدیم تا روی • اهمیت نظریه مشبکه در دنیای امروز • سیستم های رمزنگاری بر پایه نظریه مشبکه و به خصوص • حملات مشبکه (Lattice) به سیستم های رمزنگاری و امضاهای دیجیتال مطالعه داشته باشیم.

اهمیت نظریه مشبکه در دنیای امروز مشبکه ها در سال های اخیر نقش مهمی در رشته هایی چون؛ «هنر و طراحی»، «علوم»، « اقتصاد» و « ریاضیات» ، پیدا کرده اند و روز به روز بر استفاده از آن ها افزوده می شود.

در اینجا کاربردهای نظریه مشبکه در رشته های فوق را به صورت اجمالی بیان می کنیم: • علوم کامپیوتر:بازرسی کدها، ساختار متریک، امنیت رایانه ها و... • علوم مواد و فیزیک حالت جامد: قالب بندی ساختار بلورین • فیزیک: تکنیک های محاسباتی • سرمایه گذاری و اقتصاد: ارزیابی موجودی و سرمایه در بازه های زمانی گسسته • ریاضیات محض: ترکیبیات و نظریه گراف، جبرهای لی، نظریه اعداد و نظریه گروه ها • ریاضیات کاربردی: نظریه کدگذاری و رمزنگاری

چرا از نظریه مشبکه در رمزنگاری استفاده می کنند؟ • امنیت سیستم های رمزنگاری lattice-based مبتنی بر مسائل سخت ریاضی است. • سرعت بالای این سیستم ها نسبت به سیستم های مبتنی بر لگاریتم گسسته و تجزیه اعداد صحیح. • پیچیدگی کمتر این سیستم ها(O(k²)) نسبت به سیستم های رمزیالجمال،RSAو ECC(O(k³))، (برای کلیدk بیتی). • عملیات جبرخطی در سیستم های lattice-based برای اجرا در سخت افزار و نرم افزار بسیار ساده می باشد.

تعاریف و ویژگی های بنیادی Lattice

تعریف(مشبکه): اگر v1,..,vnRnمجموعه ای از بردارهای مستقل خطی باشند، L=L(v1,..,vn) (تولید شده توسط v1,..,vn) مجموعه تمام ترکیبات خطی از v1,..,vn است که ضرایب صحیح می باشند...

مثالی از یک مشبکه در R2 هر نقطه معادل با یک بردار در لتیس می باشد

مطالب اساسی که برای کاربرد مشبکه باید دانست • ارتباط دو پایه در مشبکه • نامساوی هادامارد و پایا بودن det(L) • دامنه بنیادی مشبکه و حجم آن

ارتباط دو پایه در مشبکه اگرV={v1,…,vn}وW={w1,…,wn}پایه هایی برای لتیس L باشند، می توان ثابت کرد که V=TW ، به طوریکه T ماتریسی با درایه های صحیح و دترمینان ±1می باشد. اصطلاحاً ماتریس هایی با ویژگی Tرا ، ماتریس های یونی مادولار مینامند.

نامساوی هادامارد برای هر پایه {v1,…,vn} از مشبکه L ، داریم این در حالی ست که اگر ماتریس B را طوری در نظر بگیریم که سطرهای آنبردار های v1,…,vnباشند؛ det(L)=|det(B)| • لازم به ذکر است که det(L) پایاست، یعنی نسبت به هر پایه ای از L مقداری ثابت اخذ می کند.

دامنه بنیادی مشبکه و حجم آن اگر L مشبکه ای n بعدی و v1,…,vnپایه آن باشد، دامنه بنیادی متناظر با این پایه برابر است با: F(v1, . . . , vn) = {t1v1 + t2v2 + · · · + tnvn : 0 ≤ ti < 1} حجم F را با volume(F) نمایش می دهند و مقدارش را برابر با det(L) می گیرند...

مسائل دشوار در لتیس و اهمیت آن ها مسائل اصلی و بنیادی مرتبط با لتیس عبارت اند از: SVPو CVP . • مسئله کوتاه ترین بردار(SVP): یک پایه برای لتیس L داده شده است. مطلوب یافتن کوتاهترین بردار ناصفر در L با توجه به نرم تعریف شده (معمولاً نرم اقلیدسی) می باشد.

مسئله نزدیک ترین بردار(CVP): یک پایه برای لتیس L داده شده است. مطلوب یافتن نزدیک ترین بردار ناصفر در L نسبت به بردار دلخواه tєRⁿ می باشد.

هر دو مسئله CVP و SVP از لحاظ محاسباتی بسیار دشوارند. از طرف دیگر ؛ جواب های تخمینی برای این دو مسئله کاربردهای بسیاری در ریاضیات محض و کاربردی دارند. تعمیم هایی از این دو مسئله نیز وجود دارند که در تئوری یا در عمل دارای اهمیت می باشند... از جمله مسئله تقریب کوتاه ترین بردار(apprSVP): اگر لتیس L، n-بعدی باشد؛مطلوب یافتن بردارvєL است که لازم به ذکر است که ψ(n) تابعی از n می باشد و با تغییر آن، جواب مسئله نیز متفاوت خواهد بود.

در مسئله appr CVP،که آن را با Γ-CVPنمایش می دهند،داریم: برای wεRⁿ، مطلوب یافتن بردار u εLمی باشد که به ازای هر vεL (v≠u)، داشته باشیم ||v-w||Γ≥||w-u||

الگوریتم های Babai در سال 1986، Babai دو الگوریتم به منظور حل مسئله Γ-CVPارائه کرد. چنان که هردو الگوریتم در زمان چندجمله ای اجرا می شوند... • الگوریتم Round-Off • الگوریتم Nearest Plane لازم به ذکر است که هر در الگوریتم بالا، برای پایه های مطلوب نتایج کارا دارند. لذا بهتر است قبل از اجرا، از الگوریتم LLL استفاده نمود...

الگوریتم Round-OffBabai’s نقطه دلخواه uRnو مشبکه L به همراه پایه v1,..,vnRnداده شده است. می توان نوشت : u=a1v1+…anvn این الگوریتم aiها را با نزدیک ترین عدد صحیح مثل ti جایگزین می کند. و خروجی آن برداری مانند v=t1v1+…tnvnخواهد بود. این الگوریتم برای پایه های مطلوب به خوبی کار می کند.

الگوریتم Nearest PlaneBabai’s دراین الگوریتم، به منظور یافتن نزدیکترین نقطه مشبکه به بردار دلخواه cϵRⁿنزدیکترین صفحه آفین به c را می‌یابیم. سپس نقطه را روی صفحه n-1 بعدی که توسط v1,..,vn-1 تولید شده، تصویر می‌کنیم. در مرحله بعد؛الگوریتم را برای یافتن نزدیکترین نقطه مشبکه n-1 بعدی به بردار تکرار می‌کنیم. اگر آن نقطه را p′ بنامیم؛ خروجی الگوریتم نقطه p′+kvnخواهد بود.

الگوریتم nearest plane با آن که تقریب بهتری نسبت به الگوریتم round-off دارد، بسیار آهسته ترعمل می کند. الگوریتم Nearest Plane دارای تقریب و الگوریتم Round-Off دارای تقریب

قضایای «هرمیت و مینکوفسکی» و شهود گوسی به کمک این قضایا می توان اندازه کوتاه ترین برداردر لتیس را تقریب زد... این اندازه به مقدار بعد و دترمینان L بستگی دارد. • قضیه هرمیت هر لتیس n-بعدی L شامل بردار ناصفر v ست که

قضیه مینکوفسکی اگر L لتیسی n-بعدی در و S نیز مجموعه محدب متقارن در باشند که ، آنگاه S شامل یک بردار ناصفر L خواهد شد. به علاوه اگر S مجموعه بسته نیز باشد و نامساوی مختار به تساوی نیز شود، حکم برقرار خواهد بود.

اگر در قضیه مینکوفسکی S را گویی به مرکز صفر و شعاع Rدر نظر بگیریم و R را طوری انتخاب کنیم که برقرار باشد؛ می توان مطمئن بود که این گوی شامل یک نقطه ناصفر لتیس می باشد. از طرفی ، برای n های بزرگ داریم: با جایگزاری در شرط خواهیم داشت:

پس می توان نتیجه گرفت که بردار لتیس (v) واقع در گوی در نامساوی زیر صدق می کند. ملاحضه می شود که نسبت به قضیه هرمیت ،کران بهتری بدست آوردیم...

شهود گوسی می دانیم تعداد نقاط مشبکه واقع در گوی برابر است با • حال اگر R را طوری در نظر بگیریم که تنها یک نقطه مشبکه درون گوی بیافتد، خواهیم داشت: تعریف می کنیم:

سیستم های رمزنگاری بر پایه مسائل دشوار لتیس از جمله اولین سیستم های رمزنگاری مبتنی بر مشبکه می توان به Atjai-Dwork و Goldreich,Goldwasser,Halevi(GGH) اشاره کرد. هر دوی این سیستم ها در سال 1997 توسط PhongQ.Nguyen شکسته شد. با این که این شروع بدی برای سیستم های رمزی مبتنی بر مشبکه بود، در سال 1998 سیستم کارآمد NTRU معرفی شد.

) به سیستم های رمزنگاری Lattice حملات مشبکه( و امضاهای دیجیتال