NTRU格密码
NTRU格密码
优势
可以抵抗量子计算、加密体制算法简洁、加解密速度较快、占用空间小、
其安全性依赖于格中的最短向量求解问题(SVP)
密钥生成
Alice需要选择四个整数参数\((N,p,q,d)\)和4个次数为\(N-1\)的整系数多项式集合\(L_f,L_g,L_φ,L_m\),其中\(N\)为素数,\(p,q\)不必为素数但\(gcd(p,q)=1\),且\(q>(6d+1)p\),
记\(L(d_1,d_2)=\lbrace F(x)\in R\rbrace\),其中\(F(x)\)有\(d_1\)个系数为\(1\),\(d_2\)个系数为\(-1\),其余为\(0\)。Alice再选择两个多项式\(f\in L(d+1,d),g\in L(d,d)\),并且计算\(f\)在\(R_p,R_q\)中的逆\(F_p(x),F_q(x)\),若逆不存在则需重新选择\(f\)。
而后Alice计算\(R_p\)中的\(h=F_q*g\),把\(h,(N,p,q,d)\)作为公钥,\(f,g\)作为私钥。
加密
Bob有明文\(m\in R_p\),再选择一个随机多项式\(r\in L(d,d)\),计算\(e\equiv pr*h+m(mod\ q)\)。
解密
Alice收到密文e后,计算\(a\equiv f*e\equiv pg*r+f*m(mod\ q)\),将\(a\)移动到\(R\)上后再计算\(m\equiv F_p*a(mod\ p)\)就得到了明文
格
将NTRU写成格的形式
我们构造这样一个矩阵:\(M=\begin{bmatrix} 1 &h \\0&q \end{bmatrix}\)作为lattice,接下来我们证明向量\((f,g)\)是在这个lattice上的。
首先我们可以将同余式\(f*h\equiv g\ (mod\ p)\)改写成等式\(f*h=g+k*p\),再变形\(f*h-k*p=g\)
我们可以发现,\((f,-u)M=(f,-u)\begin{bmatrix} 1 &h \\0&q \end{bmatrix}\)
\(=(f+(-u)*0,f*h+(-u)*p)\)
\(=(f,f*h-u*p)\)
\(=(f,g)\)
也就是说,\((f,g)\)可以用两组向量基\(M\)的某种整系数线性组合\((f,-u)\)来表示,因此\((f,g)\)确实在这个lattice上
一道例题
源码:
from Crypto.Util.number import *
import gmpy2
from flag import flag
def generate():
p = getStrongPrime(2048)
while True:
f = getRandomNBitInteger(1024)
g = getStrongPrime(768)
h = gmpy2.invert(f, p) * g % p
return (p, f, g, h)
def encrypt(plaintext, p, h):
m = bytes_to_long(plaintext)
r = getRandomNBitInteger(1024)
c = (r * h + m) % p
return c
p, f, g, h = generate()
c = encrypt(flag, p, h)
with open("cipher.txt", "w") as f:
f.write("h = " + str(h) + "\n")
f.write("p = " + str(p) + "\n")
f.write("c = " + str(c) + "\n")
generate
中生成了4个参数:
\(p\):一个\(2048\)位强素数
\(f\):一个\(1024\)位随机数
\(g\):一个\(768\)位强素数
\(h\):\(h\equiv f^{-1}*g\ (mod\ p)\)
encrypt
生成一个\(1024\)位随机数\(r\),\(c\equiv r*h+m\)
假设我们知道\(f,g\),
再加上\(h\equiv f^{-1}*g\ (mod\ p)\),\(c\equiv r*h+m\ (mod\ p)\)
就可以有\(c\equiv r*(f^{-1}*g)+m\ (mod\ p)\)
\(c*f\equiv r*f^{-1}*g*f+m*f\ (mod\ p)\)
\(c*f\equiv r*g+m*f\ (mod\ p)\)
观察等式右边可以发现,\(r*g+m*f(约1800位)\)并没有大于\(p(2048位)\)
所以就可以将同余号改成等号
令\(a=c*f \ (mod\ p)\),就有\(a=r*g+m*f\)
对等式模\(g\)
\(a\equiv m*f\ (mod\ g)\)
\(m\equiv a*f^{-1}\ (mod\ g)\)
一个小问题
我们知道\(g\)是一个768位的强素数,虽然\(f\)是1024位,但是在\(mod\ g\)下,\(f\)的逆元是必定存在的。
那么
接下来就要求\(f,g\)
前面已经证明过,\((f,g)\)是存在于lattice上的
\(|(1,h)|\approx 2^{2000}\)
\(|(0,p)|\approx 2^{2048}\)
\(|(f,g)|\approx 2^{1024}\)
根据Gaussian heurstic定理可知,在这个lattice中最短向量的长度大概在\(sqrt(2^{2048})=2^{1024}\)左右。因此,很大概率上,这个\((f, g)\)就是这个lattice的最短向量。
怎么在lattice上求最短向量呢
虽然SVP是NP-hard
,但本题中维度较低所以并不难求解
目前LLL算法及其变种算法是已知在较低维度的lattice中求解SVP的最好的算法,但在高纬度就比较乏力了
h = 7257231567493321493497732423756001924698993879741072696808433246581786362611889417289029671240997843541696187487722285762633068287623369923457879458577466240950224087015909821079480431797917376609839097610864517760515986973340148901898582075413756737310797402537478388864632901178463429574227279668004092519322204990617969134092793157225082977967228366838748193084097651575835471869030934527383379794480007872562067799484905159381690179011192017159985260435844246766711550315143517066359521598424992244464723490166447105679062078049379153154659732304112563255058750656946353654402824529058734270363154894216317570784
p = 23969137365202547728693945383611572667294904799854243194734466236017441545927679469239814785947383727854265554138290421827510545078908517696536495567625593439996528098119344504866817224169113920532528233185011693829122447604993468817512696036673804626830507903206709121383065701222707251053362179946170981868061834734684494881504724254812067180384269711822738708203454131838741703416329765575995359232573740932069147491776326045743679105041246906081872936901848272288949389026129761726749334006319072981386763830897454245553866145620689939497868469730297795063648030738668273210516497399954626983672357236110363894081
c = 6388077150013017095358415295704360631706672647932184267739118115740221804173068089559645506533240372483689997499821300861865955720630884024099415936433339512125910973936154713306915269365877588850574948033131161679256849814325373882706559635563285860782658950169507940368219930971600522754831612134153314448445006958300840618894359885321144158064446236744722180819829183828290798747455324761671198097712539900569386477647697973195787663298318786718012522378981137877863153067057280649127202971806609339007027052518049995341356359016898069863799529357397514218249272201695539181908803360181347114492616706419618151757
# Construct lattice.
v1 = vector(ZZ, [1, h])
v2 = vector(ZZ, [0, p])
m = matrix([v1,v2]);
# Solve SVP.
shortest_vector = m.LLL()[0]
f, g = shortest_vector
print(f, g)
# Decrypt.
a = f*c % p % g
m = a * inverse_mod(f, g) % g
print(hex(m).decode('hex'))
Summary
本题只是NTRU在低纬度的一道题目
由于本人比较fw,对较高纬度中的NTRU还没有什么研究(逃