基于格的密码与SABER

基于格的密码体制的优势

安全假设
\quad对于密码学算法而言，如果能够建立在最坏情况下的困难性之上是最好不过。这样意味着任何情况下都是困难的。
然而，一个好的密码算法，它需要困难问题是建立在平均情况下的，因为这样才能使得密钥随机选取后，所对应的密码函数不能被破解的概率为高概率。
\quad但是在平均情况困难性假设下构造安全的密码学方案，必须要找到合适分布的问题实例。而格密码正好可以满足这个性质，平均情况的困难性并不比破解困难的实例来得简单。这是格密码具有吸引力的重要原因之一，例如：DLWE问题其实和SLWE的困难度是相同的。
抗量子攻击
加密解密速度快
容易实施

格密码介绍

分享我觉得不错的一句话：

Cryptography is just a bunch a problems

有密码学基础的朋友都知道，我们所学的公钥密码方案都是基于数学困难问题的，比如RSA基于整数分解问题，ElGamal基于离散对数问题。基于格的密码也是如此，目前基于格的密码体制基于的困难问题主要有两类：

NTRU
LWE

LWR

LWR也是属于Learning With Errors问题。
区别是LWE与LWR的添加的error不同，

LWE：
b=As+e\mathbf {b}=\mathbf{A}\mathbf{s}+\mathbf{e}b=As+e
向量eee中的元素都是来自高斯分布。
LWR：
b=⌊pqAs⌉\mathbf{b}=\lfloor \frac pq \mathbf{A} \mathbf{s} \rceil b=⌊qpAs⌉
q>pq>pq>p, 且⌊x⌉=⌊pq⋅x⌉\lfloor x\rceil=\lfloor \frac pq \cdot x\rceil⌊x⌉=⌊qp⋅x⌉。所以error是通过将As\mathbf{A} \mathbf{s}As进行四舍五入而添加的。

引用 Alon Rosen的 slides 一句话区分LWE与LWR：

LWE conceals low-order bits by adding small random error.
LWR just discards those bits instead.

SABER

SABER有两个协议，Public-key encryption(PKE) 与Key Encapsulation Mechanism (KEM), 下面介绍PKE

首先介绍符号：
Zq\quad\mathbb{Z}_qZq为整数环，Rq\mathcal{R}_qRq为剩余类环Zq/(Xn+1)\mathbb{Z}_q/{(X^n+1)}Zq/(Xn+1). p, q, T为2的幂次即=p2ϵp,q=2ϵq,q=2ϵq,T=2ϵT.=p2^{\epsilon_p},q=2^{\epsilon_q},q=2^{\epsilon_q},T=2^{\epsilon _T}.=p2ϵp,q=2ϵq,q=2ϵq,T=2ϵT.
U\quad \mathcal{U}U为均匀分布，βμ\beta_\muβμ为中心二项分布，r←βμr\leftarrow \beta_\mur←βμ即多项式rrr的系数属于区间[−μ2,μ2][-\frac \mu2,\frac \mu 2][−2μ,2μ].
h1,h2,h\quad h_1,h_2,\mathbf{h}h1,h2,h是公开的常多项式。

Key generation
seed A←U({0,1}256)\text { seed }_{\mathbf{A}} \leftarrow \mathcal{U}\left(\{0,1\}^{256}\right) seed A←U({0,1}256)
A=gen (seed)∈Rl×l\mathbf{A} = \text{gen (seed)}\in \mathcal{R}^{l\times l}A=gen (seed)∈Rl×l
r←βμ(Rql×1;r)r\leftarrow \beta_{\mu}(\mathcal{R}_q^{l\times 1};r)r←βμ(Rql×1;r)
b=(ATs+h(modq))≫(ϵq−ϵp)∈Rpl×1\mathbf{b}= (\mathbf{A}^T\mathbf{s}+\mathbf{h}\pmod q) \gg\left(\epsilon_q-\epsilon_p\right) \in R_p^{l \times 1}b=(ATs+h(modq))≫(ϵq−ϵp)∈Rpl×1
// b=⌊pq(ATs+h)⌉\mathbf{b}= \lfloor\frac pq(\mathbf{A}^T\mathbf{s}+\mathbf{h})\rceilb=⌊qp(ATs+h)⌉
returnpk=(seedA,b),sk=sreturn\ pk=(seed_\mathbf{A},\mathbf{b}), sk =\mathbf{s}return pk=(seedA,b),sk=s
// pk=(A,b),sk=spk=(\mathbf{A},\mathbf{b}),sk =\mathbf{s}pk=(A,b),sk=s
Enc((seedA,b),m;r(seed_{\mathbf{A}},\mathbf{b}),m;r(seedA,b),m;r)
A=gen(seedA)∈Rl×l\mathbf{A} = gen (seed_\mathbf{A})\in \mathcal{R}^{l\times l}A=gen(seedA)∈Rl×l
if r is not specified then:
\quad\quad r←U({0,1}256)r\leftarrow \mathcal{U}\left(\{0,1\}^{256}\right)r←U({0,1}256)
end if
s′←βμ(Rql×1;r)\mathbf{s}^\prime \leftarrow \beta_{\mu}(\mathcal{R}_q^{l\times 1};r)s′←βμ(Rql×1;r)
b′=(As′+h(modq))≫(ϵq−ϵp)∈Rpl×1\mathbf{b}^\prime= (\mathbf{A}\mathbf{s}^\prime+\mathbf{h}\pmod q) \gg\left(\epsilon_q-\epsilon_p\right) \in R_p^{l \times 1}b′=(As′+h(modq))≫(ϵq−ϵp)∈Rpl×1
v′=bT(s′(modp))∈Rpv^\prime =\mathbf{b}^T(\mathbf{s}^\prime\pmod p)\in \mathcal{R}_pv′=bT(s′(modp))∈Rp
cm=(v′+h1−2ϵp−1m(modp))≫(ϵp−ϵT)∈RTc_m = (v^\prime +h_1-2^{\epsilon_p -1}m\pmod p) \gg(\epsilon_p-\epsilon_T)\in \mathcal{R}_Tcm=(v′+h1−2ϵp−1m(modp))≫(ϵp−ϵT)∈RT.
// cm=⌊Tp(v′+h1−2ϵp−1m)⌉∈RTc_m=\lfloor \frac T p (v^\prime +h_1-2^{\epsilon_p -1}m)\rceil \in \mathcal{R}_Tcm=⌊pT(v′+h1−2ϵp−1m)⌉∈RT
returnc=(cm,b′)return\ c=(c_m,\mathbf{b}^\prime)return c=(cm,b′)
Dec(s,cm,b′\mathbf{s},c_m,\mathbf{b}^\primes,cm,b′)
v=b′s(modp)∈Rpv = \mathbf{b}^\prime \mathbf{s}\pmod p\in\mathcal{R}_pv=b′s(modp)∈Rp
m′=(v+h2−2ϵp−ϵTcm(modp))≫(ϵp−1)∈R2m^\prime=(v+h_2-2^{\epsilon_p-\epsilon_{T}}c_m\pmod p)\gg (\epsilon_p-1)\in \mathcal{R}_2m′=(v+h2−2ϵp−ϵTcm(modp))≫(ϵp−1)∈R2
// m′=⌊2p(v′+h2−pTcm)⌉m^\prime=\lfloor\frac 2p( v^\prime+h_2-\frac pTc_m)\rceilm′=⌊p2(v′+h2−Tpcm)⌉
returnm′return \ m^\primereturn m′

总结

SABER算法整体看起来很简单，但我不是很理解多项式h1,h2,hh_1,h_2,\mathbf{h}h1,h2,h 的选取，个人观点：多项式是为了实现或者是安全，但去掉并不影响理解算法的主体。