6、公钥密码系统安全性相关研究

公钥密码系统安全性相关研究

1. NTRUEncrypt的比特安全性

1.1 定理阐述

设 $0 < α < 1$ 为常数。若存在预言机 $NTRU_δ$，且 $\delta \geq \frac{1}{2} - \frac{\alpha}{N}$，则存在一个确定性多项式时间算法。给定随机消息 $m \in L_m$ 的有效随机加密 $e$，该算法对预言机 $NTRU_δ$ 进行 $N$ 次调用，能以 $1 - α$ 的概率找到消息 $m$。

1.2 证明思路

对 $X_i \odot e$ 查询 $NTRU_δ$，除了概率至多为 $\frac{\alpha}{N}$ 的情况外，能得到 $a_{N - i - 1}$。通过循环移位可以提取所有比特，但遗憾的是，查询的输入高度相关。不过，对于随机选择的 $m$ 和 $\phi$，$N$ 次调用中任何一次出错的概率至多为 $α$。

1.3 相关结论

• 类似的算法适用于生成消息 $m$ 的任何其他固定系数的预言机，而不仅仅是首项系数。
• 可以考虑一种结合了预言机 $NTRU_γ$ 和 $NTRU_ε$ 的预言机。对于任意 $k$ 个不同且有效的加密序列 $e_1, \cdots, e_k$，该预言机至少对 $γk + O(1)$ 次查询返回 $0$ 或 $1$，其中至少 $(0.5 + ε)γk + O(1)$ 次是对应消息首项系数的正确值，其余查询返回错误消息符号 $∗$。
• 该方法适用于任何 $p$ 的选择，例如原始情况 $p = 3$，这意味着找到消息 $m$ 的任何系数与找到整个消息一样困难