คำถามสำหรับมือใหม่เกี่ยวกับ NTRUEncrypt: r(x) ขนาดเล็กและปัญหาเวกเตอร์ที่ใกล้เคียงที่สุด

joeordinary

4/3/23 02:34

ใน NTRUEncrypt ด้วยพารามิเตอร์ทั้งระบบ $(น, พี, คิว)$ให้คีย์สาธารณะของ Bob เป็น $h(x).$

ในการเข้ารหัสข้อความธรรมดา $ม(x)$ ซึ่งมีค่าสัมประสิทธิ์น้อย อลิซจำเป็นต้องสร้างการสุ่ม $r(x),$ ซึ่งค่าสัมประสิทธิ์ต้องมีขนาดเล็กด้วย และคำนวณไซเฟอร์เท็กซ์ $c(x) = r(x) \times h(x) + m(x) \bmod q.$

นับว่าหาดูได้ยาก $ม(x)$ จาก $ค(x)$ และความยากนี้น่าจะขึ้นอยู่กับปัญหาเวกเตอร์ที่ใกล้เคียงที่สุด (CVP)

คำถามของฉันคือทำไม $r(x)$ ต้องมีค่าสัมประสิทธิ์น้อยในการเข้ารหัส? ดูเหมือนว่าแม้เมื่อ $r(x)$ มีค่าสัมประสิทธิ์สูง การค้นหา $ม(x)$ จาก $ค(x)$ ยังคงเกี่ยวข้องกับปัญหา CVP; นี้เป็นจริงหรือไม่

0 + 0

lattice-crypto

Score:1

Crypto

Daniel S

4/3/23 06:52

ความตั้งใจในการสร้างสัมประสิทธิ์ของ $r(x)$ เล็กไม่ได้ทำให้ชีวิตลำบากสำหรับผู้โจมตี แต่ทำให้ชีวิตเป็นไปได้สำหรับผู้รับ

จำได้ว่า $h(X)$ ถูกเลือกให้เป็นรูปแบบ $$h(X)\equiv \frac{g(X)p}{f(X)}\pmod q$$ โดยที่ค่าสัมประสิทธิ์ของ $ฉ(X)$ และ $ก(X)$ มีขนาดเล็กและเป็นความลับ $p$ มีขนาดเล็กเมื่อเทียบกับ $คิว$ และ $คิว$ มีขนาดใหญ่เมื่อเทียบกับปริมาณเล็กน้อยทั้งหมด

ตอนนี้พิจารณา ถอดรหัส ซึ่งเริ่มต้นด้วยการคูณของ $ค(X)$ โดย $ฉ(X)$ ที่จะให้ $$c(X)f(X)\equiv r(X)g(X)p+m(X)f(X)\pmod q$$ ถ้าค่าสัมประสิทธิ์ของ $f$, $g$, $m$ และ $r$ ล้วนมีขนาดเล็กและมีความเป็นไปได้สูงที่เราจะเขียนได้ $$c(X)f(X)= r(X)g(X)p+m(X)f(X)$$ มากกว่าจำนวนเต็มโดยไม่มีโมดูโลการลดลง $คิว$ โดยการปัดค่าสัมประสิทธิ์ให้เป็น 0 (เช่น การบังคับเป็นช่วงๆ $[-q/2,q/2]$). ในทางกลับกัน ถ้า $r(X)$ มีขนาดใหญ่ใด ๆ (เทียบกับ $คิว$) ค่าสัมประสิทธิ์ เราไม่สามารถทำเช่นนี้ได้อย่างแน่นอน

หากกระบวนการปัดเศษของเราสำเร็จ เราสามารถลบส่วนร่วมของ $r(X)$ โดยการลดโมดูโล $p$ แล้วฟื้นตัว $ม(X)$.

โปรดทราบว่ากระบวนการปัดเศษไม่รับประกันว่าจะสำเร็จเมื่อระดับเพิ่มขึ้น ดังนั้น NTRUEncrypt จึงมีความเป็นไปได้ที่จะเกิดความล้มเหลวขึ้นอยู่กับขนาดและระดับของค่าสัมประสิทธิ์ และเราต้องพยายามให้ต่ำ โปรดทราบว่าความล้มเหลวอาจขึ้นอยู่กับตัวเลือกของ $ม(X)$ ซึ่งทำให้ผู้โจมตีสามารถรับข้อมูลเกี่ยวกับคีย์ส่วนตัวได้ (อีกครั้งด้วยความน่าจะเป็นที่เราพยายามเก็บเล็ก ๆ น้อย ๆ )

คุณถูกต้องที่ $r(X)\pmod q$ สามารถกู้คืนได้โดยการแก้ CVP โดยไม่คำนึงถึงขนาดของค่าสัมประสิทธิ์ (สมมติว่าค่าสัมประสิทธิ์ของ $ม(X)$ มีขนาดเล็ก)

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: A newbie question about NTRUEncrypt: small r(x) and closest vector problem

TH: คำถามสำหรับมือใหม่เกี่ยวกับ NTRUEncrypt: r(x) ขนาดเล็กและปัญหาเวกเตอร์ที่ใกล้เคียงที่สุด

RO: O întrebare pentru începători despre NTRUEncrypt: r(x) mic și cea mai apropiată problemă vectorială

RU: Вопрос новичка о NTRUEncrypt: маленький r(x) и проблема ближайшего вектора

VI: Câu hỏi dành cho người mới về NTRUEncrypt: bài toán r(x) nhỏ và vectơ gần nhất

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา