WikiSort.ru - Не сортированное

Введение

Используя простое число q, RLWE работает в кольце многочленов по модулю полинома Ф(х) с коэффициентами в поле целых чисел по модулю q (кольцо F_q[x]/Φ(x))^{[10][8][неавторитетный источник?][источник не указан 1142 дня]}. Полином a(x) выражается следующим образом:

a(x) = a₀ + a₁x + a₂x² + … + a_n-3x^n-3 + a_n-2x^n-2 + a_n-1x^n-1

Коэффициенты этого полинома являются целыми числами по модулю q. Полином Φ(x) = xⁿ +1, где n является степенью 2 (в большинстве случаев значения для n = 256, 512 или 1024).

RLWE-KEX использует полиномы, которые считаются «малыми» по отношению к мере, называемой «бесконечной» нормой^{[11][неавторитетный источник?][источник не указан 1142 дня]}. Бесконечная норма для многочлена — значение наибольшего коэффициента полинома, когда коэффициенты рассматриваются как элементы множества {${\displaystyle {-{\tfrac {q-1}{2}}}}$ ,…, 0, …, ${\displaystyle {\tfrac {q-1}{2}}}$ }. Для обеспечения безопасности алгоритма необходимо генерировать случайные полиномы s(x), малые по отношению к бесконечной норме. Это делается случайным формированием коэффициентов для многочлена (s_n-1, …, s₀), которые гарантированно или с большой вероятностью будут небольшими. Есть два распространенных способа:

1. Использование дискретного равномерного распределения — коэффициенты полинома небольшой равномерной пробы из набора малых коэффициентов. Пусть b — целое число, намного меньшее q. При выборе случайным образом коэффициентов из множества { -b, -b+1, -b+2. … −2, −1, 0, 1, 2, … , b-2, b-1, b}, полином будет небольшим по отношению к a(x). Синг предлагает использовать b = 5^{[12][неавторитетный источник?][источник не указан 1142 дня]}. Таким образом, коэффициенты будут выбраны из множества { q-5, q-4, q-3, q-2, q-1, 0 , 1, 2, 3, 4, 5 }.
2. Использование дискретного нормального распределения — коэффициенты выбираются случайным образом для нечетного значения q с помощью выборки из множества { ${\displaystyle -{\tfrac {q-1}{2}}}$ ; ${\displaystyle {\tfrac {q-1}{2}}}$ } в соответствии с дискретным распределением Гаусса с математическим ожиданием 0 и дисперсией σ. Этот метод сложнее, чем дискретное равномерное распределение, но он позволяет доказать безопасность алгоритма^[13].

Пусть случайные небольшие полиномы будут соответствовать распределению, обозначенному как D. Число q будет нечетным простым таким, что q ≡ 1 mod 4 и
q ≡ 1 mod 2n с целью минимизировать количество операций выбора случайного бита на границе множеств^{[14][неавторитетный источник?][источник не указан 1142 дня]}. Это позволит реализовать алгоритм наиболее эффективно ^[15]. Степень полинома Ф(x) является степенью 2^{[16][неавторитетный источник?][источник не указан 1142 дня]}.

Пусть фиксированный многочлен а(х) — общий для всех пользователей сети, генерируемый с помощью криптографическистойкого генератора псевдослучайных чисел. Взяв а(х), произвольно выбираются небольшие многочлены s(x) и e(x), s(x) — закрытый ключ в обмене открытыми ключами. Соответствующим открытым ключом будет многочлен t(х) = а(х)s(х) + е(х)^{[11][неавторитетный источник?][источник не указан 1142 дня]}. Безопасность обмена ключами основана на трудности найти пару небольших многочленов s'(х) и e'(х)таких, что для данной t(х) а(х)s'(х) + е'(х) = t(х).

Обмен ключами

Обмен ключами происходит между агентами обмена ключами Алисой, обозначенной как A, и Бобом, обозначенным как B. И A, и B знают q, n, a(x) и умеют генерировать небольшие полиномы в соответствии с распределением D^[10][17].

Первоначальные действия Алисы^{[17][неавторитетный источник?][источник не указан 1142 дня]}:

1. Генерация двух малых полиномов s_A(x) и e_A(x) путём выборки из распределения D.
2. Вычисление t_A(x) = a(x)•s_A(x) + e_A(x).
3. Отправка t_A(x) Бобу.

Действия Боба^{[17][неавторитетный источник?][источник не указан 1142 дня]}:

1. Генерация двух малых полиномов s_B(x) и e_B(x) путём выборки из распределения D.
2. Вычисление v(x) = t_A(x)·s_B(x) + e_B(x) . Заметим, что v(x) = a(x)s_A(x)s_B(x) + e_A(x)s_B(x) + e_B(x) и что e_B(x) + e_A(x)s_B(x) также будет малым, так как e_B(x) был выбран малым, коэффициенты e_A(x)s_B(x) ограничены в росте и также будут малы.
3. Распределение коэффициентов v(x) сглаживается с помощью цикла по коэффициентам и случайной корректировки определенных значений. От j=0 до n-1:
   1. Если v_j = 0, то придумать случайный бит(обозначим b). Если он — 0, то v_j = 0, иначе v_j = q-1.
   2. Если v_j = ${\displaystyle {\tfrac {q-1}{4}}}$ , то придумать случайный бит(b). Если он — 0 то v_j = ${\displaystyle {\tfrac {q-1}{4}}}$ иначе v_j = ${\displaystyle {\tfrac {q+3}{4}}}$ .
4. Формирование 2 битовых потоков c_j и u_j длины n из коэффициентов v(x) с помощью следующих преобразований. От j=0 до n-1:
   1. Записать c_j как младший бит от целой части 4v_j/q, то есть ${\textstyle c_{j}=\lfloor 4v_{j}/q\rfloor \mod 2}$ .
   2. Записать ${\displaystyle u_{j}=\lfloor 2v_{j}\rceil \mod 2}$ .
5. Формирование ключа k как конкатенации u_n-1, …, u₀.
6. Формирование строки «согласования»(C) длины n, как конкатенации c_n-1, …, c₀.
7. Вычисление t_B(x) = a(x)·s_B(x) + e_B(x).
8. Отправка t_B(x) и C Алисе.

Дальнейшие шаги Алисы^{[17][неавторитетный источник?][источник не указан 1142 дня]}:

1. Получение t_B(x) и C от Боба.
2. Вычисление w(x) = t_B(x)·s_A(x) + e_A(x) = a(x)s_A(x)s_B(x) + e_B(x)s_A(x) + e_A(x).
3. Формирование битового потока u_j длины n следующим образом:
   1. Если c_j = 0 и ${\displaystyle {\tfrac {-q}{8}}}$ ≤ w_j < ${\displaystyle {\tfrac {3q}{8}}}$ тогда u_j = 0, иначе u_j = 1.
   2. Если c_j = 1 и ${\displaystyle {\tfrac {-3q}{8}}}$ ≤ w_j < ${\displaystyle {\tfrac {q}{8}}}$ тогда u_j = 0, иначе u_j = 1.
4. Формирование ключа k, как конкатенации u_n-1, …, u₀.

Если обмен ключами сработает должным образом то строки u_n-1, …, u₀ у Алисы и Боба будут совпадать^{[18][неавторитетный источник?][источник не указан 1142 дня]}. В зависимости от специфики выбранных параметров n, q, σ и b, есть вероятность того, что t_A(x) и t_B(x) будут совпадать. Параметры для обмена ключами должны быть выбраны так, чтобы вероятность этой ошибки при обмене ключами была очень мала — гораздо меньше, чем вероятность неопределяемых искажений или сбоев устройств.

Выбор параметров

Обмен работает в кольце многочленов степени не больше n-1 по модулю многочлена Φ(х). Предполагается, что n — степень 2 , а q — простое, q ≡ 1 mod 4. Исходя из работы Пейкерта, Синг предложил два набора параметров для RWLE-KEX^{[19][неавторитетный источник?][источник не указан 1142 дня]}.

Для 128-битовой защиты: n = 512, q = 25601 и Φ(x) = x⁵¹² + 1

Для 256-битовой защиты: n = 1024, q = 40961 и Φ(x) = x¹⁰²⁴ + 1

Так как обмен ключами использует случайную ограниченную выборку, есть вероятность того, что будут сгенерированы одинаковые ключи для Алисы и Боба. Предположим, гауссов параметр σ = ${\displaystyle {\tfrac {8}{\sqrt {2\pi }}}}$ или используется равномерная выборка при b = 5, тогда вероятность ошибки совпадения открытых ключей меньше, чем 2⁻⁷¹ и 2⁻⁷⁵ для 128 разрядных параметров и меньше 2⁻⁹¹ и 2⁻⁹⁷для 256-битных параметров соответственно^{[19][неавторитетный источник?][источник не указан 1142 дня]}.

В работе Алким, Дука, Попплеманн и Швабе (ноябрь 2015) рекомендуют следующие параметры: n = 1024, q = 12289, и Φ(x) = x¹⁰²⁴ + 1, так как они обеспечивают эффективность и безопасность алгоритма. В случае 256-битовой защиты этот набор обеспечивает вероятность ошибки совпадения 2^{−110 [20]}.