本文作者东泽,来自安比技术社区的小伙伴,目前就读于斯坦福大学,研究方向密码学。 在之前的笔记中有所提到从SIS到Ring-SIS的转变,现在我们回顾一下。 由SIS构造的哈希函数 然而,当我们看SIS这个问题的安全性的时候,却发现我们只要靠猜,就能在 理论上我们需要一个可以快速验算( 之前的笔记中提到的一个尝试就是把矩阵 这样一来,我们只需要记住向量 之前的笔记也有所提到过,像上文中展示的旋转矩阵 我们用 加法性质很好理解,因为我们只需要把上述 总的来说,就是说 仔细观察的话,上面描述的循环矩阵的表达式和 这和我们上面的 即然多项式环可以完美的表达循环矩阵集合,我们也就没有必要一直拖着个循环矩阵到处走了。我们可以把一个循环矩阵 同理,我们的输入短向量 在之前的文章中也有所提到过,如果我们有多个多项式相乘,我们可以在 根据上面基于多项式环的哈希函数,我们正式定义一下Ring-SIS:我们拥有 之前在学习SIS的时候,我们知道如果可以找到一组SIS OWF的Collision,那么就等于找到了SIS问题的解。在Ring-SIS中也一样,如果我们可以成功的找到多项式环中的哈希函数的Collision,那么我们也能解决对应的Ring-SIS问题了。 可惜的是, 在之前的文章中,我们在循环矩阵的表达方式下Ring-SIS的解(把 根据我们上面描述的约分关系,我们发现 随后回到我们的Ring-SIS问题上来,问题会给我们 解决的方式非常简单,我们直接忽略掉除了 这也就是说,只要 接下来我们看看,到底在什么情况下, 这也就是说,只要 我们发现,所有 由于Ring-SIS是在
首先,我们随机选择 随后,我们用同样的方法,依次随机的生成 现在最后只剩下最后的一项系数 因为我们所有的系数都在 这也就是说,任意的给定一个如上描述的Ring-SIS问题,我们如果盲猜 这个概率对于Ring-SIS的安全性来说实在是太大了。这也就是说,如果我们想要达到SIS问题中我们得到的 因为之前我们用的环的特征多项式可以被约分,所以导致用原本的环构造出的Ring-SIS问题非常好破解。在之前的文章里也提到了解决方案:使用一个特征多项式不能被约分的环来代替。 这个新的多项式环,就是 这个新的环的安全性在于特征多项式
接下来说一说Ideal Lattice的概念。 在环论中,有一类比较特殊的集合叫做理想(Ideal)。假如我们在一个环
首先, 其次,理想中的元素与环 在我们的应用场景中, 解决了 我们一般称这样的构造为Anti-cyclic Lattice。反之,如果我们用的是前面 理想格其实是一种很奇怪的格结构。假如我们从理想格中选出任意一个非0的向量 我们观察发现, 这代表什么呢?这代表理想格中的最短向量问题SVP与最短独立向量问题SIVP是一样的!这是因为只要存在一个最短的向量 我们之前学到过,给定一个SIVP问题,我们可以规约到SIS问题,即我们可以把一个SIVP的难题“包装”成一个SIS问题,所以解决了SIS问题的话,我们也就获得了SIVP问题的解。这样的规约(reduction)直接证明了SIS问题的安全性。 我们还学到过,给定一个worst case的SIS问题,我们可以规约到average case的SIS问题,即如果能解决平均难度的SIS,就可以解决最难的SIS问题。这样的reduction证明了所有SIS问题的范畴中问题的难度分布较为集中,不会有特别简单或者特别难的。 同理,学习了Ring-SIS和Ideal Lattice之后,我们能否把Ideal Lattice下的SVP问题,即IdealSVP规约到Ring-SIS问题上呢? 答案是还不确定 。目前这还是一个Open Problem,没有很有效的把IdealSVP转换为Ring-SIS的方法。这主要是因为Ring-SIS并不是纯粹的一个理想格问题,因为它的解是 所以现在格密码圈对于Ring-SIS的看法褒贬不一。一部分的人认为Ring-SIS可以很有效的提高格密码的运算效率,所以提倡它的普及应用。但是另一部分人认为Ring-SIS的难度规约还没有完成,所以不像SIS、LWE一样,我们不能完全的相信它的安全性。 不过密码学就是这样,有很多情怀的因素在里面。目前主流的同态加密库如HELib、TFHE等等都是使用多项式环来进行优化计算。 本文取材于 Vinod Vaikuntanathan的讲义。讲义本身取材于Noah Stephens-Davidowitz的笔记。 封面图来自unsplash,作者Sharad Bhat
