超级会员免费看
实用格基密码学与可证明安全性中的格应用
1. NTRUSign 中第六矩恢复所需的转录长度估计
在 NTRUSign 密码系统的分析中,攻击者试图通过对 $\ell$ 个签名进行平均并四舍五入到最接近的整数来恢复第六矩。当许多系数(至少一半)的误差小于 $\frac{1}{2}$ 时,能得到较为正确的结果。为计算单个系数误差小于 $\frac{1}{2}$ 的概率,将 $\frac{12}{N}\hat{s}$ 写成主项加上误差的形式,主项收敛于 $\hat{f}_0 + \hat{g}_0 + \hat{f}_1 + \hat{g}_1$,误差收敛到 0 的速率与主项收敛到其期望值的速率大致相同。若给定系数与其期望值的距离超过 $\frac{1}{2}$ 的概率小于 $\frac{1}{2N}$,则至少一半的系数会四舍五入到正确值。
利用 Chernoff - Hoeffding 技术,在假设签名转录内随机变量有合理的独立性和均匀分布的情况下,可估计误差的收敛速率及其对 $\ell$ 的依赖关系。实验证据支持了这一假设,且能确保交叉项收敛到零,对攻击者有利。
为使 $2k$ 阶矩中的单个系数误差小于 $\frac{1}{2}$,攻击者必须分析长度为 $\ell > 2^{2k + 4}d^{2k}/N$ 的签名转录,其中 $d$ 是三元密钥中 1 的数量。对于二阶矩的实验证据表明,实际所需的转录长度会比此值长得多。对于一次扰动,攻击者需要准确恢复第六矩,对于本文中所有推荐的参数集,所需的转录长度 $\ell > 2^{30}$。
2. NTRUSign 安全总结
表 11.8 中的参数集是在 $\beta = 1.1$ 的
订阅专栏 解锁全文
扫一扫
39
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
