DE69737097T2

DE69737097T2 - Kryptographisches verfahren und vorrichtung mit öffentlichem schlüssel

Info

Publication number: DE69737097T2
Application number: DE69737097T
Authority: DE
Inventors: Jeffrey Pawtucket HOFFSTEIN; Jill Pawtucket PIPHER; H. Joseph Needham SILVERMAN
Original assignee: NTRU Cryptosystems Inc
Current assignee: NTRU Cryptosystems Inc
Priority date: 1996-08-19
Filing date: 1997-08-19
Publication date: 2007-07-12
Anticipated expiration: 2017-08-20
Also published as: JP2000516733A; AU4582897A; CA2263588A1; CA2263588C; IL128552A; AU716797B2; DE69737097D1; EP0920753A4; US6081597A; EP0920753B1; IL128552A0; CN1232588A; HK1021855A1; US6298137B1; JP4068664B2; EP0920753A1; CN1172474C; WO1998008323A1

Description

GEBIET DER ERFINDUNG
Diese Erfindung bezieht sich auf das Verschlüsseln und Entschlüsseln von Informationen und insbesondere auf ein Kryptosystem mit öffentlichem Schlüssel für die Verschlüsselung und Entschlüsselung digitaler Nachrichten durch Prozessorsysteme.
HINTERGRUND DER ERFINDUNG
Der sichere Austausch von Daten zwischen zwei Beteiligten, z. B. zwischen zwei Computern, erfordert die Verschlüsselung. Derzeit sind zwei allgemeine Verschlüsselungsverfahren in Gebrauch, die Verschlüsselung mit privatem Schlüssel und die Verschlüsselung mit öffentlichem Schlüssel. In der Verschlüsselung mit privatem Schlüssel tauschen die zwei Beteiligten die für die Verschlüsselung und Entschlüsselung zu verwendenden Schlüssel privat aus. Ein umfassend verwendetes Beispiel eines Kryptosystems mit privatem Schlüssel ist DES, die Datenverschlüsselungsnorm. Diese Systeme können sehr schnell und sehr sicher sein, leiden aber an dem Nachteil, dass die zwei Beteiligten ihre Schlüssel privat austauschen müssen.
Ein Kryptosystem mit öffentlichem Schlüssel ist eines, in dem jeder Beteiligte seinen Verschlüsselungsprozess veröffentlichen kann, ohne die Sicherheit des Entschlüsselungsprozesses zu gefährden. Der Verschlüsselungsprozess wird allgemein eine Falltürfunktion genannt. Obgleich Kryptosysteme mit öffentlichem Schlüssel im Allgemeinen langsamer als Kryptosysteme mit privatem Schlüssel sind, werden sie zum Übertragen kleiner Datenmengen wie etwa Kreditkartennummern und außerdem zum Übertragen eines privaten Schlüssels, der daraufhin für die Verschlüsselung mit privatem Schlüssel verwendet wird, verwendet.
Bisher wurden eine Vielzahl von Falltürfunktionen für Kryptosysteme mit öffentlichem Schlüssel vorgeschlagen und implementiert.
Ein Typ einer Falltürfunktion, die zum Erzeugen von Kryptosystemen mit öffentlichem Schlüssel verwendet wird, umfasst das Potenzieren in einer Gruppe; d. h, das Nehmen eines Elements einer Gruppe und das wiederholte Multiplizieren des Elements mit sich selbst unter Verwendung der Gruppenoperation. Die am häufigsten gewählte Gruppe ist die multiplikative Gruppe modulo pq für große Primzahlen p und q, obgleich andere Gruppen wie etwa elliptische Kurven, Abelsche Mannigfaltigkeiten und sogar nichtkommutative Matrixgruppen beschrieben worden sind. Allerdings erfordert dieser Typ einer Falltürfunktion große Primzahlen, jeweils in der Größenordnung von 100 Stellen, was die Schlüsselerzeugung kompliziert und den für die Verschlüsselung und Entschlüsselung verwendeten Potenzierungsprozess rechenaufwändig macht, wobei das Verschlüsseln oder Entschlüsseln einer Nachricht, die aus N Bits besteht, viele Multiplikationen einhundertstelliger Zahlen und in der Größenordnung von N³ Operationen erfordert.
Ein zweiter Typ einer Falltürfunktion, die zum Erzeugen von Kryptosystemen mit öffentlichem Schlüssel verwendet wird, beruht auf der Schwierigkeit zu bestimmen, welche Zahlen Quadrate in einer Gruppe, üblicherweise in der multiplikativen Gruppe modulo pq für große Primzahlen p und q, sind. Ebenso wie in dem ersten Typ ist die Schlüsselerzeugung kompliziert und sind das Verschlüsseln und Entschlüsseln rechenaufwändig, wobei zum Verschlüsseln oder Entschlüsseln einer Nachricht, die aus N Bits besteht, in der Größenordnung von N³ Operationen erforderlich sind.
Ein dritter Typ einer Falltürfunktion umfasst das diskrete Logarithmusproblem in einer Gruppe, allgemein in der multiplikativen Gruppe oder in einer elliptischen Kurve modulo einer großen Primzahl p. Da die Primzahl p wenigstens 150 Ziffern benötigt und p – 1 einen großen Primfaktor besitzen muss, ist die Schlüsselerzeugung wiederum kompliziert; außerdem verwenden diese Systeme die Potenzierung, sodass sie zum Verschlüsseln oder Entschlüsseln einer Nachricht, die aus N Bits besteht, wieder in der Größenordnung von N³ Operationen benötigen.
Ein vierter Typ einer Falltürfunktion, die zum Erzeugen von Kryptosystemen mit öffentlichem Schlüssel verwendet wird, beruht auf dem Rucksack- oder Teilmengensummenproblem. Diese Funktionen verwenden eine Halbgruppe, normalerweise die Halbgruppe positiver ganzer Zahlen unter der Addition. Viele Kryptosysteme mit öffentlichem Schlüssel dieses Typs sind unter Verwendung von Gitterreduktionstechniken geknackt worden, sodass sie nicht mehr als sichere Systeme betrachtet werden.
Ein fünfter Typ einer Falltürfunktion, die zum Erzeugen von Kryptosystemen mit öffentlichem Schlüssel verwendet wird, beruht auf Fehlerkorrekturcodes, insbesondere Goppa-Codes. Diese Kryptosysteme verwenden lineare Algebra über einem finiten Feld, allgemein über dem Feld mit zwei Elementen. Es gibt Angriffe mittels linearer Algebra auf diese Kryptosysteme, sodass der Schlüssel für ein sicheres Kryptosystem eine große Rechteckmatrix in der Größenordnung von 400.000 Bits ist. Für die meisten Anwendungen ist dies zu groß.
Ein sechster Typ einer Falltürfunktion, die zum Erzeugen von Kryptosystemen mit öffentlichem Schlüssel verwendet wird, beruht auf der Schwierigkeit, in einem Gitter mit großer Dimension N äußerst kurze Basisvektoren zu ermitteln. Die Schlüssel für ein solches System haben eine Länge in der Größenordnung von N² Bits, was für viele Anwendungen zu groß ist. Außerdem sind diese Gitterreduktions-Kryptosysteme mit öffentlichem Schlüssel sehr neu, sodass ihre Sicherheit noch nicht vollständig analysiert worden ist.
Die meisten Anwender würden es somit wünschenswert finden, ein Kryptosystem mit öffentlichem Schlüssel zu haben, das verhältnismäßig kurze, leicht zu erzeugende Schlüssel mit verhältnismäßig schnellen Verschlüsselungs- und Entschlüsselungsprozessen kombiniert.
Es gehört zu den Aufgaben der Erfindung, ein Verschlüsselungssystem mit öffentlichem Schlüssel zu schaffen, für das die Schlüssel verhältnismäßig kurz und leicht zu erzeugen sind und für das die Verschlüsselungs- und Entschlüsselungsprozesse schnell ausgeführt werden können. Außerdem zählt es zu den Aufgaben hiervon, ein Verschlüsselungssystem mit öffentlichem Schlüssel zu schaffen, das verhältnismäßig niedrige Speicheranforderungen hat und das von einer Vielzahl von Parametern abhängt, die beim Abwägen des Sicherheitsgrads, der Schlüssellänge, der Verschlüsselungs- und Entschlüsselungsgeschwindigkeit, der Speicheranforderungen und der Bandbreite wesentliche Flexibilität zulassen.
EP-A-0639907 offenbart eine Technik der digitalen Signatur, die auf dem wie im Folgenden ausführlicher beschriebenen diskreten Logarithmusproblem beruht.
Die Erfindung ermöglicht, Schlüssel aus einer großen Menge von Vektoren im Wesentlichen zufällig zu wählen, wobei die Schlüssellängen mit den Schlüssellängen in anderen üblichen Kryptosystemen mit öffentlichem Schlüssel vergleichbar sind, weist einen geeigneten (für die derzeitigen Verhältnisse z. B. –2¹⁰) Sicherheitsgrad auf und schafft Verschlüsselungs- und Entschlüsselungsprozesse, die zwischen einer und zwei Größenordnungen schneller als das am weitesten verwendete Kryptosystem mit öffentlichem Schlüssel, d. h. das oben erwähnte Potenzierungskryptosystem, sind.
Die Verschlüsselungstechnik einer Ausführungsform des Kryptosystems mit öffentlichem Schlüssel hiervon verwendet ein Mischsystem, das auf Polynomalgebra und auf der Reduktion modulo zweier Zahlen, p und q, beruht, während die Entschlüsselungstechnik ein Entmischsystem verwendet, dessen Gültigkeit von elementarer Wahrscheinlichkeitstheorie abhängt. Die Sicherheit des Kryptosystems mit öffentlichem Schlüssel hiervon kommt von der Wechselwirkung des Polynommischsystems mit der Unabhängigkeit der Reduktion modulo p und q. Außerdem stützt sich die Sicherheit auf die experimentell beobachtete Tatsache, dass es für die meisten Gitter sehr schwierig ist, den kürzesten Vektor zu ermitteln, falls es eine große Anzahl von Vektoren gibt, die lediglich mäßig länger als der kürzeste Vektor sind.
Gemäß einem ersten Aspekt der vorliegenden Erfindung ist eine Technik mit öffentlichem Schlüssel, in der eine digitale Nachricht m mit einem öffentlichen Schlüssel verschlüsselt wird und die verschlüsselte Nachricht danach mit einem privaten Schlüssel entschlüsselt werden kann, durch die folgenden Schritte gekennzeichnet:
Auswählen von Idealen p und q eines Rings R;
Generieren von Elementen f und g des Rings R und Generieren von Element Fq, das eine Inverse von f(mod q) ist, und Generieren von Element Fp, das eine Inverse von f(mod p) ist;
Erzeugen eines öffentlichen Schlüssels, der h enthält, wobei h kongruent mod q mit einem Produkt von Fq und einem zweiten, aus g abgeleiteten, Faktor ist;
Erzeugen eines privaten Schlüssels, aus dem f und Fp abgeleitet werden können;
Erzeugen einer verschlüsselten Nachricht e durch Verschlüsseln der Nachricht m unter Verwendung des öffentlichen Schlüssels und eines Zufallselementes ∅ durch Additions- und Multiplikationsoperationen in dem Ring R modulo des Ideals q, die die Nachricht m, das Zufallselement ∅ und den öffentlichen Schlüssel involvieren, und
Erzeugen einer entschlüsselten Nachricht durch Entschlüsseln der verschlüsselten Nachricht e durch Additions- und Multiplikationsoperationen in dem Ring R modulo des Ideals q und in dem Ring R modulo des Ideals p, wenigstens die verschlüsselte Nachricht e und den privaten Schlüssel involvierend.
Gemäß einem zweiten Aspekt der vorliegenden Erfindung ist ein System mit öffentlichem Schlüssel, in dem eine digitale Nachricht m mit einem öffentlichen Schlüssel verschlüsselt wird und die verschlüsselte Nachricht danach mit einem privaten Schlüssel entschlüsselt werden kann, gekennzeichnet durch:
Mittel zum Auswählen von Idealen p und q eines Rings R;
Mittel zum Generieren von Elementen f und g des Rings R und Generieren von Element Fq, das eine Inverse von f(mod q) ist, und Generieren von Element Fp, das eine Inverse von f(mod p) ist;
Mittel zum Erzeugen eines öffentlichen Schlüssels, der h enthält, wobei h kongruent mod q mit einem Produkt von Fq und einem zweiten, aus g abgeleiteten, Faktor ist;
Mittel zum Erzeugen eines privaten Schlüssels, aus dem f und Fp abgeleitet werden können;
Mittel zum Erzeugen einer verschlüsselten Nachricht e durch Verschlüsseln der Nachricht m unter Verwendung des öffentlichen Schlüssels und eines Zufallselementes ∅ durch Additions- und Multiplikationsoperationen in dem Ring R modulo des Ideals q, die die Nachricht m, das Zufallselement ∅ und den öffentlichen Schlüssel involvieren, und
Mittel zum Erzeugen einer entschlüsselten Nachricht durch Entschlüsseln der verschlüsselten Nachricht e durch Additions- und Multiplikationsoperationen in dem Ring R modulo des Ideals q und in dem Ring R modulo des Ideals p, wenigstens die verschlüsselte Nachricht e und den privaten Schlüssel involvierend.
Weitere Merkmale und Vorteile der Erfindung sind leichter aus der folgenden ausführlichen Beschreibung in Verbindung mit den beigefügten Zeichnungen ersichtlich.
KURZBESCHREIBUNG DER ZEICHNUNGEN
1 ist ein Blockschaltplan eines Systems, das bei der Verwirklichung von Ausführungsformen der Erfindung verwendet werden kann.
2 ist ein Ablaufplan eines Verschlüsselungssystems mit öffentlichem Schlüssel, das zusammen mit den hier erwähnten Unterablaufplänen bei der Implementierung von Ausführungsformen der Erfindung verwendet werden kann.
3 ist ein Ablaufplan einer Routine in Übereinstimmung mit einer Ausführungsform der Erfindung zum Erzeugen öffentlicher und privater Schlüssel.
4 ist ein Ablaufplan in Übereinstimmung mit einer Ausführungsform der Erfindung zum Verschlüsseln einer Nachricht unter Verwendung eines öffentlichen Schlüssels.
5 ist ein Ablaufplan in Übereinstimmung mit einer Ausführungsform der Erfindung zum Entschlüsseln einer verschlüsselten Nachricht unter Verwendung eines privaten Schlüssels.
6 ist ein Ablaufplan einer Routine in Übereinstimmung mit einer weiteren Ausführungsform der Erfindung zum Generieren öffentlicher und privater Schlüssel.
7 ist ein Ablaufplan in Übereinstimmung mit einer weiteren Ausführungsform der Erfindung zum Verschlüsseln einer Nachricht unter Verwendung eines öffentlichen Schlüssels.
8 ist ein Ablaufplan in Übereinstimmung mit einer weiteren Ausführungsform der Erfindung zum Entschlüsseln einer verschlüsselten Nachricht unter Verwendung eines privaten Schlüssels.
AUSFÜHRLICHE BESCHREIBUNG
1 ist ein Blockschaltplan eines Systems, das bei der Verwirklichung von Ausführungsformen der Erfindung verwendet werden kann. Zwei prozessorbasierte Teilsysteme 105 und 155 sind in der Weise gezeigt, dass sie über einen unsicheren Kanal 50, der z. B. ein beliebiger verdrahteter oder drahtloser Kommunikationskanal wie etwa ein Telefon- oder Internet-Kommunikationskanal sein kann, in Kommunikation stehen. Das Teilsystem 105 weist einen Prozessor 110 auf und das Teilsystem 155 weist einen Prozessor 160 auf. Wenn die Prozessoren 110 und 160 in der zu beschreibenden Weise programmiert worden sind, können sie und ihre zugeordneten Schaltungen verwendet werden, um eine Ausführungsform der Erfindung zu implementieren und um eine Ausführungsform des Verfahrens der Erfindung zu verwirklichen. Die Prozessoren 110 und 160 können jeweils ein beliebiger geeigneter Prozessor, z. B. ein elektronischer Digitalprozessor oder Mikroprozessor, sein. Selbstverständlich kann ein beliebiger Universal- oder Spezialprozessor oder eine beliebige andere Maschine oder Schaltungsanordnung genutzt werden, der/die die hier beschriebenen Funktionen elektronisch, optisch oder mit anderen Mitteln ausführen kann. Die Prozessoren können z. B. Intel-Pentium-Prozessoren sein.
Das Teilsystem 105 weist üblicherweise Speicher 123, eine Takt- und Zeitgebungsschaltungsanordnung 121, Eingabe/Ausgabe-Funktionen 118 und einen Monitor 125, die alle von herkömmlichen Typen sein können, auf. Die Eingaben können eine Tastatureingabe aufweisen, wie sie bei 103 repräsentiert ist. Die Kommunikation erfolgt über einen Sender-Empfänger 135, der ein Modem oder eine beliebige geeignete Vorrichtung für die Übermittlung von Signalen umfassen kann.
Das Teilsystem 155 kann in dieser veranschaulichenden Ausführungsform eine ähnliche Konfiguration wie das Teilsystem 105 haben. Der Prozessor 160 besitzt eine zugeordnete Eingabe/Ausgabe-Schaltungsanordnung 164, Speicher 168, eine Takt- und Zeitgebungsschaltungsanordnung 173 und einen Monitor 176. Die Eingaben weisen eine Tastatur 155 auf. Die Kommunikation des Teilsystems 155 mit der Außenwelt erfolgt über einen Sender-Empfänger 162, der wieder ein Modem oder eine beliebige geeignete Vorrichtung für die Übermittlung von Signalen umfassen kann.
Die Verschlüsselungstechnik einer Ausführungsform des Kryptosystems mit öffentlichem Schlüssel hiervon verwendet ein Mischsystem, das auf Polynomalgebra und auf der Reduktion modulo zweier Zahlen, p und q, beruht, während die Entschlüsselungstechnik ein Entmischsystem verwendet, dessen Gültigkeit von elementarer Wahrscheinlichkeitstheorie abhängt. [Selbstverständlich ist das Polynom eine zweckmäßige Darstellung geordneter Koeffizienten (ein Polynom vom Grad N – 1 mit N geordneten Koeffizienten, von denen einige null sein können), wobei der Prozessor an den Koeffizienten bestimmte Operationen ausführt.] Die Sicherheit des Kryptosystems mit öffentlichem Schlüssel hiervon kommt von der Wechselwirkung des Polynommischsystems mit der Unabhängigkeit der Reduktion modulo p und q. Außerdem stützt sich die Sicherheit auf die experimentell beobachtete Tatsache, dass es für die meisten Gitter sehr schwierig ist, den kürzesten Vektor zu ermitteln, falls es eine große Anzahl von Vektoren gibt, die nur mäßig länger als der kürzeste Vektor sind.
Das Kryptosystem hiervon passt in den allgemeinen Rahmen eines wahrscheinlichkeitstheoretischen Kryptosystems, wie es in M. Blum u. a., "An Efficient Probabilistic Public-Key Encryption Scheme Which Hides All Partial Information", Advances in Cryptology: Proceedings of CRYPTO 84, Lecture Notes in Computer Science, Bd. 196, Springer-Verlag, 1985, S. 289–299; und in S. Goldwasser u. a., "Probabilistic Encryption", J. Computer and Systems Science 28 (1984), 270–299, beschrieben ist. Das heißt, die Verschlüsselung weist ein Zufallselement auf, sodass jede Nachricht viele mögliche Verschlüsselungen besitzt. Die Verschlüsselung und Entschlüsselung und die Schlüsselerzeugung sind unter Verwendung der Technik hiervon, in der O(N²) Operationen erforderlich sind, um einen Nachrichtenblock der Länge N zu verschlüsseln oder zu entschlüsseln, verhältnismäßig schnell und leicht, was sie wesentlich schneller als die von RSA benötigten O(N³) Operationen macht. Die Schlüssellängen sind O(N), was sich gut mit den Schlüssellängen von O(N²) vergleichen lässt, die von anderen "schnellen" Systemen mit öffentlichen Schlüsseln benötigt werden wie etwa von jenen, die in R. J. McEliece, "A Public-Key Cryptosystem Based On Algebraic Coding Theory", JPL Pasadena, DSN Progress Reports 42–44 (1978), 114–116, und in O. Goldreich, u. a., "Public-Key Cryptosystems From Lattice Reduction Problems", MIT – Laboratory for Computer Science, Preprint, November 1996, beschrieben sind.
Eine Ausführungsform des Kryptosystems hiervon hängt von vier ganzzahligen Parametern (N, K, p, q) und von drei Mengen
von Polynomen vom Grad N – 1 mit ganzzahligen Koeffizienten ab. Diese Ausführungsform arbeitet in dem Ring R = Z[X]/(X^N – 1). Ein Element F ∊ R wird als ein Polynom oder als ein Vektor geschrieben,
Der Stern "*" bezeichnet die Multiplikation in R. Diese Sternmultiplikation ist explizit als ein zyklisches Faltungsprodukt, F*G = H, mit
gegeben. Wenn eine Multiplikation modulo (angenommen) q ausgeführt wird, werden die Koeffizienten modulo q reduziert. Weiter wird auf Anhang 1 verwiesen.
Das Folgende ist ein Beispiel einer Ausführungsform in Übereinstimmung mit der Erfindung eines Kryptosystems mit öffentlichem Schlüssel. Zur Erleichterung der Veranschaulichung werden sehr kleine Zahlen verwendet, sodass das Beispiel nicht kryptographisch sicher wäre. In Verbindung mit dem Beispiel werden als Material in doppelten eckigen Klammern ([[ ]]) Operationsparameter beschrieben, die unter den gegenwärtigen Bedingungen ein praktisches kryptographisch sicheres Kryptosystem liefern würden. Eine weitere Diskussion der Betriebsparameter zum Erzielen eines bestimmten Sicherheitsgrads ist in Anhang 1 dargelegt, der ebenfalls den Grad der Immunität einer Ausführungsform des Kryptosystems hiervon gegenüber verschiedenen Angriffstypen beschreibt.
Die in einer Ausführungsform hiervon verwendeten Objekte sind Polynome vom Grad N – 1,
a₁x^N-1 + a₂x^N-2 + ... + a_N-1x + a_N,
wobei die Koeffizienten a₁, ..., a_N ganze Zahlen sind. In der "Stern"-Multiplikation hiervon wird x^N durch 1 ersetzt, wird x^N+1 durch x ersetzt und wird x^N-2 durch x² ersetzt usw. [Ein Polynom kann ebenfalls durch ein N-Tupel von Zahlen
[a₁, a₂, ..., a_N]
repräsentiert werden. In diesem Fall ist das Sternprodukt auch als das Faltungsprodukt bekannt. Für große Werte von N kann es schneller sein, Faltungsprodukte unter Verwendung des Verfahrens schneller Fourier-Transformationen zu berechnen, was anstelle von N² Schritten in der Größenordnung von N logN Schritten erfordert.]. Wenn z. B. N = 5 und zwei beispielhafte Polynome genommen werden, ergibt die Sternmultiplikation: (x4 + 2x2 – 3x + 2)*(2x4 + 3x3 + 5x – 1) = 2x8 + 3x7 + 4x6 + 5x5 – 6x4 + 16x3 – 17x2 + 13x – 2 = 2x3 + 3x2 + 4x + 5x – 6x4 + 16x3 – 17x2 + 13x – 2 = –6x4 + 18x3 – 14x2 + 17x + 3
[[Ein sicheres System kann z. B. N = 167 oder N = 263 verwenden.]] [Diese Ausführungsform verwendet den Ring von Polynomen mit ganzzahligen Koeffizienten modulo des Ideals, das aus allen Vielfachen von x^N – 1 besteht. Allgemeiner könnten Polynome modulo eines anderen Ideals verwendet werden; und noch allgemeiner könnte ein anderer Ring R verwendet werden. Für weitere Informationen über Ringe und Ideale wird z. B. auf Topics in Algebra von I. N. Herstein verwiesen.]
Ein weiterer Aspekt der vorliegenden Ausführungsform umfasst das Reduzieren der Koeffizienten eines Polynoms modulo einer ganzen Zahl wie etwa des Ideals q. Im Wesentlichen heißt dies Dividieren jedes Koeffizienten durch q und Ersetzen des Koeffizienten durch seinen Rest. Falls z. B. q = 128 ist und ein Koeffizient 2377 ist, würde dieser Koeffizient durch 73 ersetzt, da 2377, dividiert durch 128, gleich 18 ist, wobei der Rest 73 ist. Allerdings ist es leichter, "zentrierte Reste" zu verwenden. Das heißt, falls der Rest zwischen 0 und q/2 liegt, wird er nicht geändert, während dann, wenn er zwischen q/2 und q liegt, q von ihm subtrahiert wird. Dementsprechend würde 2377 unter Verwendung zentrierter Reste für q = 128 durch –55 ersetzt, da –55 = 73 – 128 ist.
Um anzugeben, dass dieser Restprozess ausgeführt wird, wird ein dreifaches Gleichheitszeichen (≡) zusammen mit der Bezeichnung "mod q" verwendet. Das Folgende ist ein Beispiel, das die Sternmultiplikation von zwei Polynomen mit einer Reduktion modulo 5 kombiniert. Das Ergebnis verwendet zentrierte Reste. (x4 + 2x2 – 3x + z)*(2x4 + 3x3 + 5x – 1) = –6x4 + 18x3 – 14x2 + 17x + 3 ≡ –x4 – 2x3 + x2 + 2x – 2(mod 5)
Beim Erzeugen eines Kryptosystems mit öffentlichem Schlüssel in Übereinstimmung mit einer Ausführungsform hiervon (und mit den zuvor angegebenen kleinen Zahlen zur Erleichterung der Darstellung) ist ein erster Schritt das Wählen ganzzahliger Parameter N, K, p und q. Zum Beispiel wird
N = 5, K = 1, p = 3, q = 128
gewählt. [[Ein sicheres System kann z. B. N = 167, K = 6, p = 3, q = 2¹⁶ = 65536 verwenden.]] Vorzugsweise sind p und q teilerfremd; d. h., sie haben keine gemeinsamen Faktoren größer als 1. In Anhang 1 ist eine Diskussion der Attraktivität, die Ideale p und q tellerfremd zu haben, dargelegt. Einige Mengen von Polynomen werden wie folgt gewählt:

= {Polynome, deren Koeffizient –2-en, –1-en, 0-en, 1-en und 2-en sind}
= {Polynome mit zwei –1-en, zwei 1-en und einer 0 als Koeffizienten}
= {Polynome, deren Koeffizienten –1-en, 0-en und 1-en sind}

[[Ein sicheres System kann z. B.

= {Polynome, deren Koeffizienten zwischen –177 und 177 liegen}
= {Polynome, deren Koeffizienten vierzig 1-en und vierzig –1-en sind und deren Rest 0-en sind}
= {Polynome, deren Koeffizienten zwischen –3 und 3 liegen}

Die Menge
wird zum Erzeugen des Schlüssels für das Kryptosystem verwendet, die Menge
wird für das Verschlüsseln von Nachrichten verwendet und die Menge
ist die Menge möglicher Nachrichten. Zum Beispiel ist
2x⁴ – x³ + x – 2 in der Menge
und
x⁴ – x³ – x² + 1 in der Menge
.
Um die Schlüsselerzeugung dieses Beispiels zu implementieren, wählt der Schlüsselerzeuger, der hier Dan genannt wird, aus der Menge
zwei Polynome f und g. In diesem vereinfachten Beispiel ist K = 1, sodass es ein Polynom g gibt. Es wird angenommen, dass Dan f = x4 – x3 + 2x2 – 2x + 1 g = x4– x1 + x2 – 2x + 2wählt. [[Ein sicheres System kann z. B. K + 1 Polynome f, g₁, ..., g_K ∊
mit K = 6 verwenden.]]
Eine Anforderung hiervon ist, dass fein Inverses modulo q und ein Inverses modulo p besitzen muss. Das heißt, es muss Polynome F_q und F_p geben, sodass Fq*f ≡ 1(mod q)und Fp*f ≡ 1(mod p)ist. Zum Berechnen von F_q und F_p kann der gut bekannte euklidische Algorithmus verwendet werden. Es wird hier z. B. auf Anhang II hiervon verwiesen. (Einige f können keine Inversen haben, wobei Dan in diesem Fall zurückgehen und ein anderes f wählen müsste.) Für das obige Beispiel f ist Fq = 103x4 + 29x3 + 116x2 + 79x + 58, Fp = 2x4 + 2x.
Um zu prüfen, dass dies das richtige F_q für f ist, kann Fq*f = (103x4 + 29x3 + 116x2 + 79x + 58)*(x4 – x3 + 2x2 – 2x + 1) = 256x4 + 256x – 127 ≡ 1(mod 128) multipliziert werden. Ähnlich kann Fp*f = (2x4 + 2x)*(x4 – x3 + 2x2 – 2x + 1) = 6x3 – 6x2 + 6x – 2 ≡ 1(mod 3)multipliziert werden, um zu prüfen, dass F_p richtig ist.
Nun ist der Schlüsselerzeuger Dan bereit, seinen öffentlichen Schlüssel zu erzeugen, d. h. das Polynom h, das durch h ≡ Fq*g(mod q)gegeben ist. [[Ein sicheres System kann z. B. K Polynome h₁, ..., h_K verwenden, die durch hi ≡ Fq*gi(mod q)mit i = 1, 2, ..., K
mit K = 6 gegeben sind.]]
Weiter mit dem Beispiel würde Dan Fq*g = (103x4 + 29x3 + 116x2 + 79x + 58)*(x4 – x3 + x2 – 2x + 2) = 243x4 – 50x3 + 58x2 + 232x – 98 ≡ –13x4 – 50x3 + 58x2 – 24x + 30(mod 128)berechnen. Daraufhin ist Dans öffentlicher Schlüssel das Polynom h = –13x4 – 50x3 + 58x2 – 24x + 30.
Dans privater Schlüssel ist das Paar von Polynomen (f, F_p). Da F_p immer aus f berechnet werden kann, kann im Prinzip das Polynom f selbst als der private Schlüssel wirken; in der Praxis würde Dan aber wahrscheinlich wünschen, dass F_p im Voraus berechnet und gesichert wird.
Im nächsten Teil des Beispiels wird die Verschlüsselung mit dem öffentlichen Schlüssel beschrieben. Es wird angenommen, dass die Verschlüsslerin, die hier Cathy genannt wird, Dan unter Verwendung seines öffentlichen Schlüssels h eine Nachricht senden möchte. Sie wählt eine Nachricht aus der Menge öffentlicher Nachrichten
. Zum Beispiel wird angenommen, dass sie die Nachricht m = x4 – x3 + x2 + 1 senden möchte. Um diese Nachricht zu verschlüsseln, wählt sie zufällig ein Polynom ∅ aus der Menge
. Zum Beispiel wird angenommen, dass sie ø = –x4 + x3 – x2 + 1wählt. Sie verwendet dieses zufällig gewählte Polynom ∅, Dans öffentlichen Schlüssel h (sowie p und q, die Teil des öffentlichen Schlüssels sind) und ihre Klartextnachricht m, um unter Verwendung der Formel e ≡ pø*h + m(mod q)die verschlüsselte Nachricht e zu erzeugen. [[Für das sichere Beispiel kann ein sicheres System K öffentliche Schlüssel h₁, ..., h_K mit K = 6 verwenden. Um eine Nachricht zu verschlüsseln, kann Cathy aus der Menge
zufällig K Polynome ∅₁, ..., ∅_K wählen und daraufhin die verschlüsselte Nachricht e durch Berechnen von e ≡ p∅₁*h₁ + p∅₂*h₂ + ... + p∅_K*n_K + m(mod q) erzeugen.]] Eine Alternative wäre, h gleich pF_q*g(mod q) zu setzen, woraufhin die Nachricht unter Verwendung der Formel e ≡ ∅*h + m(mod q) verschlüsselt werden kann. Für das vorliegende Beispiel berechnet Cathy pø*h + m = 3(–x4 + x3 – x2 + 1)*(-13x4 – 50x3 + 58x2 – 24x + 30) + (x4 – x3 + x2 + 1) = –374x4 + 50x3 + 196x2 – 357x + 487 ≡ 10x4 + 50x3 – 60x2 + 27x – 25(mod 128),
Somit ist Cathys verschlüsselte Nachricht das Polynom e = 10x4 + 50x3 – 60x2 + 27x – 25 wobei sie diese verschlüsselte Nachricht an Dan sendet.
Im nächsten Teil des Beispiels wird die Entschlüsselung unter Verwendung des privaten Schlüssels beschrieben. Um die Nachricht e zu entschlüsseln, verwendet Dan zunächst seinen privaten Schlüssel f, um das Polynom a ≡ f*e(mod q)zu berechnen. Für das verwendete Beispiel berechnet er f*e = (x4 – x3 + 2x2 – 2x + 1)*(10x4 + 50x2 – 60x2 + 27x – 25) = –262x4 + 259x3 – 124x2 – 13x + 142 ≡ –6x4 + 3x3 + 4x2 – 13x + 14(mod 128),sodass das Polynom a a = –6x4 + 3x3 + 4x2 – 13x + 14ist. Nachfolgend verwendet Dan F_p, die andere Hälfte seines privaten Schlüssels, um Fp*a(mod p)zu berechnen, wobei das Ergebnis die entschlüsselte Nachricht ist. Somit berechnet Dan für das vorliegende Beispiel Fp*a = (2x4 + 2x)*(–6x4 + 3x3 + 4x2 – 13x + 14) = 34x4 – 4x3 – 20x2 + 36x – 38 ≡ x4 – x3 + x2 + 1(mod 3).
Zur weiteren Beschreibung dessen, weshalb die Verschlüsselung funktioniert, wird auf Anhang I verwiesen.
In einer weiteren Ausführungsform der Erfindung ist der Ring ein Ring von Matrizen. Zum Beispiel kann der Ring
R = (der Ring von M × M-Matrizen mit ganzzahligen Koeffizienten)
verwendet werden. Ein Element von R sieht wie
aus, wobei die Koeffizienten a_ij ganze Zahlen sind. Addition und Multiplikation sind wie für Matrizen üblich, wobei der Prozessor die Matrixelemente selbstverständlich als Zahlen behandeln kann, die auf herkömmliche Weise gespeichert und bearbeitet werden. Es sei N = M², sodass eine Matrix in R N Koeffizienten hat. Es werden teilerfremde ganze Zahlen p und q gewählt.
Um einen privaten Schlüssel zu erzeugen, wählt Dan in diesem Fall K + 2 Matrizen aus R. Diese Matrizen können
f, g, w₁, w₂, ..., w_K.
genannt werden. Diese Matrizen sollten die Eigenschaft haben, dass f, g, w₁, ..., w_K recht kleine Koeffizienten haben und dass jedes w_i wi ≡ 0(mod p)genügt. (Mit anderen Worten, jeder Koeffizient jedes w_i ist ein Vielfaches von p.) Um seinen Schlüssel zu erzeugen, muss Dan Inverse für f und g modulo p und q ermitteln. Somit ermittelt er Matrizen F_p, F_q, G_p, G_q in R, die fFp ≡ I(mod p) fFq ≡ I(mod q) gGp ≡ I(mod p) gGq ≡ I(mod q)genügen, wobei I die M × M-Einheitsmatrix ist. Im Allgemeinen ist dies recht leicht möglich; wobei Dan einfach ein neues f oder g wählt, falls zufällig eine der Inversen nicht existiert.
Dans öffentlicher Schlüssel ist eine Liste von K Matrizen (h₁, h₂, ..., h_K), die durch die Bedingung hi ≡ FqwiGq(mod q)für i = 1, 2 ..., K
bestimmt sind. (Es wird angemerkt, dass diese w_i modulo p kongruent zu null sind.) Sein privater Schlüssel sind die vier Matrizen (f, g, F_p, G_p). Im Prinzip können f und g allein als der private Schlüssel verwendet werden, während es in der Praxis aber effizienter ist, F_p, G_p im Voraus zu berechnen und zu speichern.
Nachfolgend wird die Verschlüsselung für dieses Matrixbeispiel beschrieben. Es wird angenommen, dass Cathy eine Nachricht m verschlüsseln möchte. Die Nachricht m ist eine Matrix mit Koeffizienten modulo p. Um ihre Nachricht zu verschlüsseln, wählt sie zufällig einige ganze Zahlen ∅₁, ..., ∅_K, die einer gewissen Bedingung genügen; z. B. könnten sie als nichtnegative Zahlen gewählt werden, deren Summe ∅₁ + ... + ∅_K gleich einem vorgegebenen Wert d ist. (Es wird angemerkt, dass die ∅₁ normale Zahlen und keine Matrizen sind. Äquivalent können sie als Vielfache der Einheitsmatrix betrachtet werden, sodass sie mit jedem Element des Rings R kommutieren.)
Nachdem Cathy ihre ∅_i gewählt hat, erzeugt sie durch die Vorschrift e ≡ ø1h1 + øh2 + ... + øKhK + m(mod q)ihre verschlüsselte Nachricht e.
Nachfolgend wird die Entschlüsselung für dieses Matrixbeispiel beschrieben. Es wird nun angenommen, dass Dan die verschlüsselte Nachricht e empfangen hat und sie entziffern möchte. Er beginnt damit, dass er die Matrix a berechnet, die a ≡ feg(mad q)genügt. Wie üblich, wählt Dan die Koeffizienten von a in einem beschränkten Bereich wie etwa von –q/2 bis q/2 (d. h. als nullzentrierte Koeffizienten) oder von 0 bis q – 1.
Falls die Parameter richtig gewählt worden sind, ist die Matrix a genau gleich der Summe a = ø1w1 + ø2w2 + ... øKwK + fmg.
(Dies ist modulo q immer wahr, wobei aber ein Schlüsselpunkt ist, dass dies nicht nur modulo q, sondern eine genaue Gleichheit ist, falls q groß genug ist.) Dans nächster Schritt ist das Reduzieren von a modulo p, angenommen b ≡ fmg(mod p).
Da alle Koeffizienten der w_i durch p teilbar sind, heißt das, dass b ≡ fmg(mod p)ist. Schließlich berechnet Dan, um die ursprüngliche Nachricht m wiederzugewinnen, FpbGp(mod p).
Die beschriebene M × M-Matrix-Ausführungsform besitzt eine ausgezeichnete Betriebszeit. Die Verschlüsselung erfordert nur Additionen und braucht in der Größenordnung von M² Operationen. Die Entschlüsselung erfordert zwei Matrixmultiplikationen von M × M-Matrizen, sodass sie in der Größenordnung von M³ Operationen braucht. Die Nachrichtenlänge liegt in der Größenordnung von M², sodass dann, wenn N die natürliche Nachrichtenlänge bezeichnet (d. h. N = M²), die Matrixausführungsform O(N) Schritte zum Verschlüsseln und O(N^3/2) Schritte zum Entschlüsseln erfordert. Zum Vergleich benötigt die Polynomausführungsform O(N²) Schritte zum Verschlüsseln und O(N²) Schritte zum Entschlüsseln und erfordert das RSA-System mit öffentlichem Schlüssel O(N³) Schritte zum Verschlüsseln und O(N³) Schritte zum Entschlüsseln.
Eine vorläufige Analyse legt nahe, dass die einzigen natürlichen Gitterangriffe auf die Matrixausführungsform die Verwendung von Gittern erfordern, deren Dimension N² + N (oder größer) ist. Dies wäre eine wesentliche Sicherheitsverbesserung gegenüber den 2N-dimensionalen Gittern, die zum Angriff auf die Polynomausführungsform verwendet werden.
Um Brechstangenangriffe (oder potentielle Angriffe des Treffens in der Mitte) zu vermeiden, ist es notwendig, dass der Stichprobenraum für die ∅₁ recht groß, angenommen zwischen 2¹⁰⁰ und 2²⁰⁰, ist. Allerdings ist dies nicht schwierig zu erreichen. Falls die ∅_i z. B. nicht negativ mit der Summe d gewählt werden, besitzt der Stichprobenraum
Elemente. Falls K = 15 und d = 1024 genommen wird, wird somit z. B. ein Stichprobenraum mit 2^103,8 Elemente erhalten.
Die Größe des öffentlichen Schlüssels ist KM² log₂(q) Bits und die Größe des privaten Schlüssels ist 2M² log₂(pq) Bits. Dies sind beides praktische Größen.
2 veranschaulicht eine Grundprozedur, die mit einem Verschlüsselungssystem mit öffentlichem Schlüssel genutzt werden kann, wobei sie sich auf Routinen bezieht, die durch weitere Ablaufpläne veranschaulicht werden, auf die Bezug genommen wird und die Merkmale in Übereinstimmung mit einer Ausführungsform der Erfindung beschreiben. Der Block 210 repräsentiert die Generierung der Informationen des öffentlichen Schlüssels und des privaten Schlüssels und die "Veröffentlichung" des öffentlichen Schlüssels. Die Routine einer Ausführungsform hiervon ist in Verbindung mit dem Ablaufplan aus 3 beschrieben. In dem vorliegenden Beispiel kann angenommen werden, dass diese Operation in dem Prozessorsystem 105 ausgeführt wird. Die Informationen des öffentlichen Schlüssels können veröffentlicht werden; d. h., einem beliebigen Mitglied der Öffentlichkeit oder einer beliebigen gewünschten Gruppe, von dem der Inhaber des öffentlichen Schlüssels verschlüsselte Nachrichten zu empfangen wünscht, zur Verfügung gestellt werden. Üblicherweise, jedoch nicht notwendigerweise, kann der öffentliche Schlüssel in einer zentralen Bibliothekseinrichtung oder auf einer Website öffentlicher Schlüssel zur Verfügung gestellt werden, wo ein Verzeichnis von Inhabern öffentlicher Schlüssel und ihrer öffentlichen Schlüssel unterhalten wird. In dem vorliegenden Beispiel ist angenommen, dass der Anwender des Prozessorsystems 155 eine vertrauliche Nachricht an den Anwender des Prozessorsystems 105 senden möchte und dass der Anwender des Prozessorsystems 155 den veröffentlichten öffentlichen Schlüssel des Anwenders des Prozessorsystems 150 kennt.
Der Block 220 repräsentiert die Routine, die von dem Nachrichtensender (d. h. in diesem Beispiel, von dem Anwender des Prozessorsystems 155) verwendet werden kann, um die Klartextnachricht unter Verwendung des öffentlichen Schlüssels des beabsichtigten Nachrichtenempfängers zu verschlüsseln. Diese Routine ist in Übereinstimmung mit einer Ausführungsform der Erfindung in Verbindung mit dem Ablaufplan aus 4 beschrieben. Daraufhin wird die verschlüsselte Nachricht über den Kanal 50 (1) übertragen.
Der Block 260 aus 2 repräsentiert die Routine für die Entschlüsselung der verschlüsselten Nachricht zum Wiedergewinnen der Klartextnachricht. In dem vorliegenden Beispiel wird diese Funktion durch den Anwender des Prozessorsystems 105 ausgeführt, der die Informationen des privaten Schlüssels nutzt. Die Entschlüsselungsroutine für eine Ausführungsform der Erfindung ist in Verbindung mit dem Ablaufplan aus 5 beschrieben.
Nunmehr anhand von 3 ist ein Ablaufplan der Routine zum Erzeugen des öffentlichen und des privaten Schlüssels gezeigt, wie sie allgemein durch den Block 210 aus 2 repräsentiert ist. In dem vorliegenden Beispiel kann die Routine zum Programmieren des Prozessors 110 des Prozessorsystems 105 genutzt werden. Der Block 305 repräsentiert das Wählen ganzzahliger Parameter N, p und q. Wie zunächst oben beschrieben wurde, bestimmt N den Grad der zu erzeugenden Polynome f und g_i, wobei p bzw. q die zwei beim Erzeugen der Sternprodukte verwendeten Ideale sind. Der Block 315 repräsentiert die Auswahl von K, d. h. die Anzahl der zu verwendenden Polynome g_i. In dem obigen vereinfachten Beispiel war K1, wobei angemerkt wurde, dass ein bestimmtes beispielhaftes verhältnismäßig sicheres System K = 6 verwenden könnte. Nachfolgend repräsentiert der Block 325 die Wahl von Zufallspolynomen f, g₁, g₂, ..., g_K. Die Koeffizienten können z. B. unter Verwendung eines Zufallszahlengenerators gewählt werden, der auf bekannte Weise unter Verwendung verfügbarer Hardware oder Software implementiert sein kann. In der vorliegenden Ausführungsform ist jedes der Prozessorsysteme mit einem Zufallszahlengenerator versehen, der in 1 durch die Blöcke 130 bzw. 185 bezeichnet ist.
Der Block 340 repräsentiert die Anwendung des euklidischen Algorithmus, um in der oben beschriebenen Weise die Inversen F_q und F_p für das zuvor ausgewählte Polynom f zu bestimmen, falls diese Inversen existieren. Falls F_p, F_q nicht existieren, wird erneut in den Block 325 eingetreten und ein neues Polynom f gewählt. Die Schleife 330 wird so lange fortgesetzt, bis Polynome gewählt werden, für die die definierten Inversen berechnet werden können. [Die Wahrscheinlichkeit, dass die Inversen für ein gegebenes Polynom existieren, ist verhältnismäßig hoch, sodass allgemein eine verhältnismäßig kleine Anzahl von Durchläufen durch die Schleife 330 erwartet wird, bevor die Bedingung erfüllt ist.] Daraufhin wird in den Block 350 eingetreten, wobei dieser Block wie zunächst oben beschrieben die Berechnung des öffentlichen Schlüssels h in Übereinstimmung mit h = Fq*g(mod q)repräsentiert. [Für K > 1 gibt es Komponenten h_i des öffentlichen Schlüssels für i = 1, 2, ..., K.] Wie durch den Block 360 repräsentiert ist, wird der private Schlüssel als die Polynome f, F_p behalten, woraufhin der öffentliche Schlüssel, wie durch den Block 370 repräsentiert ist, veröffentlicht werden kann.
4 ist ein allgemein durch den Block 240 aus 2 repräsentierter Ablaufplan einer Routine zum Programmieren eines Prozessors wie etwa des Prozessors 160 des Prozessorsystems 155 (1) zur Implementierung der Verschlüsselung einer Klartextnachricht m. Die zu verschlüsselnde Nachricht wird eingegeben (Block 420) und es wird ein Zufallspolynom ∅ gewählt (Block 430). [Falls K > 1 ist, werden K Zufallspolynome ∅₁, ∅₂, ..., ∅_K gewählt.] Das Polynom kann wie oben beschrieben aus der Menge
sein und die Zufallskoeffizienten können durch beliebige Hardware- oder Software-Mittel, z. B. durch den Zufallszahlengenerator 185, ausgewählt werden. Daraufhin kann die verschlüsselte Nachricht e als e = pø*h + m(mod q) berechnet werden (Block 450). Wie zunächst oben angemerkt wurde, ist für K größer als 1 die verschlüsselte Nachricht e ≡ p∅₁*h₁ + p∅₂*h₂ + ... + p∅_k*n_k + m(mod q). Die verschlüsselte Nachricht kann über den Kanal 50 an den Schlüsselinhaber gesendet werden (Block 460), der in dem vorliegenden Beispiel der Anwender des Prozessorsystems 105 ist.
5 ist ein in 2 allgemein durch den Block 260 repräsentierter Ablaufplan einer Routine in Übereinstimmung mit einer Ausführungsform der Erfindung zum Entschlüsseln der verschlüsselten Nachricht. Der Block 530 repräsentiert den Empfang der verschlüsselten Nachricht e. Es werden die behaltenen Informationen des privaten Schlüssels, die die zuvor definierten Polynome f und F_p enthalten, und die ganzen Zahlen N, p und q abgerufen (Block 550). Nachfolgend repräsentiert der Block 570 die Berechnung von a ≡ f*e(mod q).
Daraufhin kann die hier als m' bezeichnete entschlüsselte Nachricht als m' ≡ Fp*a(mod p)berechnet werden (Block 580).
Die 6, 7 und 8 sind Ablaufpläne, die sich auf die oben beschriebene Matrixausführungsform beziehen. 6 ist ein Ablaufplan der Routine zum Erzeugen des öffentlichen und des privaten Schlüssels, wie sie allgemein durch den Block 210 aus 2 repräsentiert ist. Wie oben kann die Routine in dem vorliegenden Beispiel zum Programmieren des Prozessors 110 des Prozessorsystems 105 genutzt werden. Der Block 605 repräsentiert das Wählen ganzzahliger Parameter N, p und q, wobei N die Anzahl der Matrixkoeffizienten ist und p und q teilerfremde ganze Zahlen sind. Der Block 615 repräsentiert die Auswahl von K, die die Anzahl der Matrizen bestimmt. Nachfolgend repräsentiert der Block 625 die Wahl von Zufallsmatrizen f, g, w₁, w₂, ..., w_k mit der Anforderung, dass die w₁, w₂, ..., w_K alle modulo p kongruent zu 0 sind. Für diesen Zweck kann wieder der Zufallszahlengenerator 130 (1) verwendet werden.
Der Block 640 repräsentiert die Bestimmung der zuvor definierten Matrizen F_p, F_q, G_p und G_q. Falls diese Matrizen nicht existieren, wird erneut in den Block 625 eingetreten und werden neue Matrizen f und g gewählt. Die Schleife 630 wird fortgesetzt, bis Matrizen gewählt worden sind, für die die definierten Inversen berechnet werden können. Daraufhin wird in den Block 650 eingetreten, wobei dieser Block die Berechnung des öffentlichen Schlüssels, einer Liste von K Matrizen (h₁, h₂, ..., h_K), die durch die Bedingung hi ≡ FqwiGq(mod q)für i = 1, 2, ..., K
bestimmt sind, repräsentiert. Wie durch den Block 660 repräsentiert ist, wird der private Schüssel behalten, während die Matrizen (f, g, F_p, G_p) und der öffentliche Schlüssel, wie durch den Block 670 repräsentiert ist, daraufhin veröffentlicht werden können.
7 ist ein allgemein durch den Block 240 aus 2 repräsentierter Ablaufplan einer Routine zum Programmieren eines Prozessors wie etwa des Prozessors 160 des Prozessorsystems 155 (1) zum Implementieren des Verschlüsselns einer Klartextnachricht m unter Verwendung der Technik der vorliegenden Matrixausführungsform. Die zu verschlüsselnde Nachricht wird eingegeben (Block 720) und es werden die Zufallszahlen ∅₁, ∅₂, ..., ∅_k gewählt (Block 730). Die ganzen Zahlen können durch den Zufallszahlengenerator 185 (1) ausgewählt werden. Daraufhin kann die verschlüsselte Nachricht e als e ≡ ø1h1 + ø2h2 + ... + øKhK + m(mod q)berechnet werden (Block 750). Die verschlüsselte Nachricht kann über den Kanal 50 an den Inhaber gesendet werden (Block 760), der in dem vorliegenden Beispiel der Anwender des Prozessorsystems 105 ist.
8 ist ein in 2 allgemein durch den Block 260 repräsentierter Ablaufplan einer Routine zum Entschlüsseln der verschlüsselten Nachricht in Übereinstimmung mit der vorliegenden Matrixausführungsform. Der Block 830 repräsentiert das Empfangen der verschlüsselten Nachricht e. Es werden die behaltenen Informationen des privaten Schlüssels, die die zuvor definierten, F, g, F_p und G_p und die ganzen Zahlen N, p und q enthalten, abgerufen (Block 850). Daraufhin repräsentiert der Block 870 die Berechnung von a ≡ feg(mod q).
Nachfolgend wird a als b ≡ a(mod p)modulo p auf b reduziert (Block 880). Daraufhin wird die entschlüsselte Nachricht als m' ≡ FpbGp(mod p)berechnet (Block 890).
Die Erfindung ist in Bezug auf bestimmte bevorzugte Ausführungsformen beschrieben worden, wobei aber dem Fachmann Änderungen innerhalb des Erfindungsgedankens und des Umfangs der Erfindung einfallen. Zum Beispiel können die öffentlichen oder privaten Schlüssel selbstverständlich auf beliebigen geeigneten Medien, z. B. auf einer "Chipkarte", gespeichert werden, die mit einem Mikroprozessor versehen sein kann, der die Verschlüsselung und/oder Entschlüsselung ausführen kann, sodass zu und/oder von der Chipkarte verschlüsselte Nachrichten übermittelt werden können.
NTRU: EIN RING-BASIERTES KRYPTOSYSTEM MIT ÖFFENTLICHEM SCHLÜSSEL
JEFFREY HOFFSTEIN, JILL PIPHER, JOSEPH H. SILVERMAN
Es wird NTRU, ein neues Kryptosystem mit öffentlichem Schlüssel, beschrieben. Das NTRU weist annehmbar kurze, leicht zu erzeugende Schlüssel, eine hohe Geschwindigkeit und niedrige Speicheranforderungen auf. Die NTRU-Verschlüsselung und -Entschlüsselung verwendet ein Mischsystem, das durch Polynomalgebra nahegelegt wird, kombiniert mit einem Gruppierungsprinzip, das auf elementarer Wahrscheinlichkeitstheorie beruht. Die Sicherheit des NTRU-Kryptosystems kommt von der Wechselwirkung des Polynommischsystems mit der Unabhängigkeit der Reduktion modulo zweier teilerfremder ganzer Zahlen p und q.
INHALT

Einleitung
Beschreibung des NTRU-Algorithmus
Parameterauswahl
Sicherheitsanalyse
Implementierungsbetrachtungen
Angemessene Sicherheitsparameter für das NTRU
Vergleich mit anderen PKCS
Ein elementares Lemma

EINLEITUNG
Es besteht beträchtliches Interesse an der Erzeugung effizienter und rechtentechnisch preiswerter Kryptosysteme mit öffentlichem Schlüssel, seit Diffie und Hellman (4) erläuterten, wie solche Systeme unter Verwendung von Einwegfunktionen erzeugt werden könnten. Derzeit ist das am umfassendsten verwendete System mit öffentlichem Schlüssel das 1978 von Rivest, Shamir und Adelman [10] erzeugte RSA, das auf der Schwierigkeit der Faktorisierung großer Zahlen beruht. Weitere Systeme enthalten das McElicie-System [9], das sich auf Fehlerkorrekturcodes stützt, und ein neuestes System von Goldreich, Goldwasser und Halevi [5], das auf der Schwierigkeit von Gitterreduktionsproblemen beruht.
In dieser Abhandlung wird ein neues Kryptosystem mit öffentlichem Schlüssel beschrieben, das hier das NTRU-System genannt wird. Die Verschlüsselungsprozedur verwendet ein Mischsystem, das auf Polynomalgebra und auf der Reduktion modulo zweier Zahlen p und q beruht, während die Entschlüsselungsprozedur ein Entmischsystem verwendet, dessen Gültigkeit von elementarer Wahrscheinlichkeitstheorie abhängt. Die Sicherheit des NTRU-Kryptosystems mit öffentlichem Schlüssel kommt von der Wechselwirkung des Polynommischsystems mit der Unabhängigkeit der Reduktion modulo p und q. Außerdem stützt sich die Sicherheit auf die (experimentell beobachtete) Tatsache, dass es für die meisten Gitter sehr schwierig ist, außerordentlich kurze (im Gegensatz zu mäßig kurzen) Vektoren zu ermitteln.
Es wird erwähnt, dass sich die Darstellung in dieser Abhandlung auf zwei wesentliche Arten von einem früheren, breit in Umlauf gebrachten, aber unveröffentlichten Preprint [7] unterscheidet. Zunächst wurde ein neuer Parameter K eingeführt, der zum Erzeugen von Systemen mit besseren Betriebseigenschaften verwendet werden kann. Zweitens wurde, zum größten Teil auf der Grundlage der zahlreichen Anmerkungen, die von Don Coppersmith, Johan Håstad und Adi Shamir persönlich, über E-Mail und in der neuesten Abhandlung [3] empfangen wurden, die Analyse gitterbasierter Angriffe erweitert und näher erläutert. Bei dieser Gelegenheit sei ihnen für ihr Interesse und ihre Hilfe gedankt.
Das NTRU passt in den allgemeinen Rahmen eines wahrscheinlichkeitstheoretischen Kryptosystems, wie es in [1] und [6] beschrieben ist. Das heißt, dass die Verschlüsselung ein Zufallselement enthält, sodass jede Nachricht viele mögliche Verschlüsselungen besitzt. Die Verschlüsselung und die Entschlüsselung mit dem NTRU sind außerordentlich schnell und die Schlüsselerzeugung ist schnell und leicht. Wegen Einzelheiten wird auf die Abschnitte 4 und 5 verwiesen, wobei hier aber angemerkt wird, dass das NTRU O(N²) Operationen zum Verschlüsseln oder Entschlüsseln eines Nachrichtenblocks der Länge N braucht, was es beträchtlich schneller als die O(N³) Operationen macht, die das RSA erfordert. Ferner sind die NTRU-Schlüssellängen O(N), was sich gut mit den Schlüssellängen O(N²) vergleichen lässt, die für andere "schnelle" Systemen mit öffentlichem Schlüssel wie etwa [9, 5] erforderlich sind.
BESCHREIBUNG DES NTRU-ALGORITHMUS
Schreibweise. Ein NTRU-Kryptosystem hängt von vier ganzzahligen Parametern (N, K, p, q) und von drei Mengen
von Polynomen vom Grad N – 1 mit ganzzahligen Koeffizienten ab. Es wird in dem Ring R = Z[X]/(X^N – 1) gearbeitet. Ein Element F ∊ R wird als ein Polynom oder als ein Vektor
geschrieben. Zur Bezeichnung der Multiplikation in R wird ⊛ geschrieben. Diese Sternmultiplikation ist explizit als ein zyklisches Faltungsprodukt
gegeben. Wenn eine Multiplikation modulo (angenommen) q ausgeführt wird, bedeutet das, dass die Koeffizienten modulo q reduziert werden.
Anmerkung. Im Prinzip erfordert die Berechnung eines Produkts F ⊛ N² Multiplikationen. Allerdings hat für ein typisches von dem NTRU verwendetes Produkt entweder F oder G kleine Koeffizienten, sodass die Berechnung von F ⊛ G sehr schnell ist. Andererseits könnte es schneller sein, zur Berechnung von Produkten F ⊛ G in O(N log N) schnelle Fourier-Transformationen zu verwenden, falls N groß gewählt wird.
Schlüsselerzeugung. Zur Erzeugung eines NTRU-Schlüssels wählt Dan zufällig K + 1 Polynome f, g₁, ..., g_K ∊
. Das Polynom f muss der Zusatzanforderung genügen, dass es Inverse modulo q und modulo p besitzt. Für die meisten Wahlen von f ist dies für geeignete Parameterwahlen wahr, wobei die tatsächliche Berechnung dieser Inversen unter Verwendung einer Modifikation des euklidischen Algorithmus leicht ist. Diese Inversen werden durch F_q und F_p bezeichnet, d. h. Fq ⊛ f ≡ 1(mod q) und Fp ⊛ f ≡ 1(mod p). (1)
Nachfolgend berechnet Dan die Größen hi ≡ fq ⊛ gi(mod q), 1 ≤ i ≤ K. (2)
Dans öffentlicher Schlüssel ist eine Liste von Polynomen
(h₁, h₂, ..., h_K).
Dans privater Schlüssel ist das einzelne Polynom f, obgleich er in der Praxis auch F_p speichern wollen wird.
Verschlüsselung. Es wird angenommen, dass Cathy (der Verschlüssler) eine Nachricht an Dan (den Entschlüssler) senden möchte. Sie beginnt damit, dass sie aus der Liste von Klartexten
eine Nachricht m auswählt. Nachfolgend wählt sie zufällig K Polynome ϕ₁, ..., ϕ_K ∊
und verwendet Dans öffentlichen Schlüssel (h₁, ..., h_K), um
zu berechnen. Dies ist die verschlüsselte Nachricht, die Cathy an Dan sendet.
Entschlüsselung. Es wird angenommen, dass Dan von Cathy die Nachricht e empfangen hat und sie unter Verwendung seines privaten Schlüssels f entschlüsseln möchte. Um dies effizient zu tun, sollte Dan das oben beschriebene Polynom F_p im Voraus berechnet haben.
Um e zu entschlüsseln, berechnet Dan zunächst a ≡ f ⊛ e(mod q),wobei er die Koeffizienten von a in dem Intervall von –q/2 bis q/2 wählt. Indem Dan a nun als ein Polynom mit ganzzahligen Koeffizienten behandelt, gewinnt er durch Berechnen von Fp ⊛ a(mod p)die Nachricht wieder.
Anmerkung. Für geeignete Parameterwerte gibt es eine äußerst hohe Wahrscheinlichkeit, dass die Entschlüsselungsprozedur die ursprüngliche Nachricht wiedergewinnt. Allerdings können einige Parameterwahlen einen gelegentlichen Entschlüsselungsfehler verursachen, sodass wahrscheinlich in jeden Nachrichtenblock einige wenige Prüfbits aufgenommen werden sollten. Die übliche Ursache für einen Entschlüsselungsfehler ist, dass die Nachricht falsch zentriert ist. In diesem Fall kann Dan die Nachricht wiedergewinnen, indem er die Koeffizienten von a ≡ f ⊛ e(mod q) in einem etwas anderen Intervall, z. B. von –q/2 + x bis q/2 + x für einen kleinen (positiven oder negativen) Wert von x, wählt. Falls kein Wert von x funktioniert, heißt es, dass ein Lückenfehler vorliegt und die Nachricht nicht so leicht entschlüsselt werden kann. Für gut gewählte Parameterwerte tritt dies so selten auf, dass es in der Praxis ignoriert werden kann.
Weshalb die Entschlüsselung funktioniert. Das Polynom a, das Dan berechnet, genügt
Es wird dieses letzte Polynom
betrachtet. Für geeignete Parameterwerte kann sichergestellt werden, dass (fast immer) alle seine Koeffizienten zwischen –q/2 und q/2 liegen, sodass es sich nicht ändert, falls seine Koeffizienten modulo q reduziert werden. Das heißt, dass Dan, wenn er die Koeffizienten von f ⊛ e modulo q in dem Intervall von –q/2 bis q/2 reduziert, genau das Polynom
wiedergewinnt. Reduzieren von a modulo p gibt ihm daraufhin das Polynom f ⊛ m(mod p), wobei die Multiplikation mit F_p die Nachricht m(mod p) wiedergewinnt.
PARAMETERAUSWAHL
Schreibweise und eine Normabschätzung. Die Breite eines Elements F ∊ R wird als
definiert. Wie die Schreibweise nahelegt, ist dies eine Art L^∞-Norm auf R. Ähnlich wird eine zentrierte Norm L² auf R durch
definiert. (Äquivalent ist |F|2/√N die Standardabweichung der Koeffizienten von F.)
Satz. Für ein beliebiges ε > 0 gibt es Konstanten c₁, c₂ > 0, die von ε, N und K abhängen, derart, dass für zufällig gewählte Polynome F₁, ..., F_K, G₁ ..., G_K ∊ R die Wahrscheinlichkeit, dass sie
erfüllen, größer 1 – ε ist.
Natürlich wäre dieser Satz vom praktischen Standpunkt aus nutzlos, falls das Verhältnis c₂/c₁ für kleine ε sehr groß wäre. Allerdings stellt sich heraus, dass die Konstanten c₁, c₂ selbst für mäßig große Werte von N und K und für sehr kleine Werte von ε überhaupt nicht außerordentlich groß sind. Die Anmelder haben dies in einer großen Anzahl von Situationen experimentell überprüft und eine Skizze eines theoretischen Beweises.
Stichprobenräume. Als Beispiele typischer Stichprobenräume werden folgende gewählt:

= {g ∊ R : g hat Koeffizienten zwischen einschließlich –(r – 1)/2 und (r – 1)/2},
= {ϕ ∊ R : ϕ hat d Koeffizienten gleich 1, d Koeffizienten gleich –1, der Rest ist 0},
= {m ∊ R : m hat Koeffizienten zwischen einschließlich –(s – 1)/2 und (s – 1)/2}.

Später wird zu sehen sein, dass es verschiedene Bedingungen gibt, denen r, d, s genügen müssen, um Sicherheit zu erzielen. Außerdem wird angemerkt, dass jedes ϕ ∊
die L²-Norm |ϕ|2 = √2d hat, während durchschnittliche Elemente g ∊
und m ∊
die L²-Normen |g|2 = √N(r² – 1)/12 bzw. |m|2 = √N(s² – 1)/12 haben. Zur leichten Schreibweise wird für die durchschnittliche L²-Norm der Elemente
in dieser Reihenfolge L_g, L_ϕ, L_m geschrieben.
Obgleich dies streng genommen nicht notwendig ist, wird die Zusatzannahme gemacht, dass L_m ≈ pL_ϕ ist. Diese Annahme erleichtert es, mögliche Gitterangriffe zu analysieren und diese Angriffe weniger wirksam zu machen. Als ein Beispiel wird hier d ≈ N/4 angenommen. Daraufhin wird s ≈ √6p genommen. Somit werden die in m enthaltenen natürlichen mod-p-Informationen durch zufälliges Addieren und Subtrahieren von p zu den Koeffizienten von m "verdichtet".
Ein Entschlüsselungskriterium. Dan kann die verschlüsselte Nachricht m entschlüsseln, sofern |Σ pϕ_i ⊛ g_i + f ⊛ m|_∞ < q ist. Die Ungleichung (3) des obigen Satzes (mit K + 1 anstelle von K für eine hinreichend kleine Wahl von ε) kann verwendet werden, um
abzuschätzen. Somit muss Dan Parameter wählen, die der Entschlüsselungsbedingung c2pLgLϕ(K + 1) < q (4)genügen, um (mit der Wahrscheinlichkeit 1 – ε) entschlüsseln.
§3 SICHERHEITSANALYSE
Angriffe des Treffens in der Mitte. Der Einfachheit halber (und zur Hilfe für den Angreifer) wird hier angenommen, dass K = 1 ist, sodass eine verschlüsselte Nachricht wie e ≡ ϕ ⊛ h + m(mod q) aussieht. Andrew Odlyzko hat darauf hingewiesen, dass es einen Angriff des Treffens in der Mitte gibt, der gegen ϕ verwendet werden kann, wobei hier beobachtet wird, dass ein ähnlicher Angriff auch auf den privaten Schlüssel f zutrifft. Kurz gesagt wird f zweigeteilt, angenommen f = f₁ + f₂, und daraufhin f₁ ⊛ e gegenüber –f₂ ⊛ e angepasst und nach (f₁, f₂) derart gesucht, dass die entsprechenden Koeffizienten näherungsweise den gleichen Wert haben. Somit müssen f, g und ϕ aus Mengen gewählt werden, die etwa 2¹⁶⁰ Elemente enthalten, um einen Sicherheitsgrad von (angenommen) 2⁸⁰ zu erhalten.
Mehrfachübertragungsangriffe. Der Einfachheit halber wird wieder K = 1 angenommen. Es wird beobachtet, dass der Angreifer Betty einen großen Teil der Nachricht wiedergewinnen kann, wenn Cathy eine einzelne Nachricht m unter Verwendung des gleichen öffentlichen Schlüssels, aber verschiedener zufälliger ϕ, mehrmals sendet. Kurz gesagt wird angenommen, dass Cathy e_i ≡ ϕ_i ⊛ h + m(mod q) für i = 1, 2, ..., r überträgt. Betty kann daraufhin (e_i – e₁) ⊛ h^–1(mod q) berechnen und dadurch ϕ_i – ϕ₁(mod q) wiedergewinnen. Allerdings sind die Koeffizienten der ϕ so klein, dass sie ϕ_i – ϕ₁ genau wiedergewinnt, woraus sie viele der Koeffizienten ϕ₁ genau wiedergewinnt. Selbst wenn r eine mäßige Größe (angenommen 4 oder 5 hat), kann Betty genug von ϕ₁ wiedergewinnen, um alle Möglichkeiten mit der Brechstange testen und dadurch m wiedergewinnen zu können. Somit sind Mehrfachübertragungen ohne irgendeine weitere Verwürfelung der darunterliegenden Nachrichten nicht empfehlenswert. Es wird hier betont, dass Betty selbst dann, wenn sie auf diese Weise eine einzelne Nachricht entschlüsselt, diese Informationen nicht beim Entschlüsseln beliebiger weiteren Nachrichten helfen.
Gitterbasierte Angriffe.
Zunächst einige Worte in Bezug auf die Gitterreduktion. Das Ziel der Gitterreduktion ist das Ermitteln eines oder mehrerer "kleiner" Vektoren in einem gegebenen Gitter
. Theoretisch kann der kleinste Vektor in
durch eine erschöpfende Suche ermittelt werden, was in der Praxis aber nicht möglich ist, falls die Dimension vom
groß ist. Der LLL-Algorithmus von Lenstra-Lenstra-Lovász [8] mit verschiedenen Verbesserungen von Schnorr [11, 12] u. a. ermittelt kleine Vektoren von
in Polynomzeit, ermittelt aber für die meisten Gitter mit großer Abmessung (angenommen ≥ 100) nicht den kleinsten Vektor, wobei die Lücke zwischen dem kleinsten LLL-erfassbaren Vektor und dem tatsächlich kleinsten Vektor mit der Dimension exponentiell zuzunehmen scheint. Zur Beschreibung der Sicherheit des NTRU gegenüber Gitterangriffen werden die folgenden drei Hypothesen über hochdimensionale Gitter betrachtet:

(H₁) Für die meisten Gitter
genügt die Länge σ(
) des kleinsten von Null verschiedenen Vektors von

Somit ist dann, wenn v ∊

genügt, v in einer Wolke exponentiell vieler Vektoren näherungsweise mit der gleichen Länge verborgen.
(H₂) Das Gitter
habe einen Vektor w, der kleiner als der kürzeste erwartete Vektor ist, der von (H₁) beschrieben wird, wobei
ansonsten aber ein "Zufalls"-Gitter ist. Falls w
genügt, ist es sehr unwahrscheinlich, dass eine Gitterreduktion w findet.
(H₃) Es liege die Situation von (H₂) vor. Der kleinste von Null verschiedene Vektor v_LLL, der durch Gitterreduktionsverfahren berechnet wird, genügt dann nahezu mit Sicherheit

Anmerkung. Die in den Hypothesen (H₂) und (H₃) erscheinende Gitterreduktionskonstante κ muss durch Experimentieren und Erfahrung bestimmt werden. Dies ist ähnlich der Situation bei dem RSA-PKCS, bei dem die Sicherheit auf der Abschätzung derzeitiger Fähigkeiten zum Faktorisieren von Produkten pq beruht. Noch näher analog ist es zu dem in [5] beschriebenen PKCS, wo die Sicherheit direkt mit der Schwierigkeit verknüpft ist, kleine (fast orthogonalisierte) Basen für die Gitter zu finden. Experimente mit Gittern mit großer (≥ 100) Dimension legen nahe, dass κ = 1,5^1/100 gewählt werden kann. (Siehe z. B. [11] und [12].) Ebenso wie künftige Fortschritte bei der Faktorisierung die Verwendung größerer Primzahlen in dem RSA-PKCS erfordern werden, werden außerdem zukünftige Fortschritte bei der Gitterreduktion zweifellos die Verwendung eines kleineren Werts von κ und entsprechend größerer Parameter in dem NTRU erfordern. Außerdem wird erwähnt, dass die Hypothesen (H₂) und (H₃) lediglich für Gitter mit einer Dimension größer als 700 angenommen zu werden brauchen. Für Gitter mit einer so hohen Dimension dauert selbst der LLL-Algorithmus mit Schnorrs Blockreduktionsverbesserung recht lange Zeit. Falls die Bereitschaft besteht, die Hypothesen (H₂) und (H₃) für Gitter mit einer Dimension um 300 anzunehmen, können NTRU-Parameter mit einer noch besseren Betriebseigenschaft gewählt werden.
Angriff mit kleinem Gitter auf den Schlüssel f. Es wird mit dem wahrscheinlich natürlichsten Gitter begonnen, d. h. damit, ein beliebiges der h_i zu wählen und nach dem kleinen Vektor f mit der Eigenschaft zu suchen, dass h_i ⊛ f(mod q) ebenfalls klein ist. Hierfür wird h_i = [h_i1, ..., h_iN] geschrieben und das durch die Spalten der folgenden Matrix erzeugte Gitter
betrachtet:
Mit Blick auf eine künftig zweckmäßige Schreibweise wird diese Matrix als
geschrieben. Die Größe λ wird durch den Angreifer so gewählt, dass der Angriff optimiert wird. Es wird beobachtet, dass

genügt.
Es sind zwei Probleme zu betrachten. Zunächst ist der tatsächliche Schlüssel f als ein kurzer Vektor in
eingebettet. Es wird angemerkt, dass
den Zielvektor vtarg = (λfN, ..., λf1, gi1, ..., giN]enthält und dass die Kenntnis von v_targ die Wiedergewinnung von f zulässt. Allerdings kann die Länge von v_targ als
berechnet werden. Die Hypothese (H₁) besagt, dass f sicher vor einem Angriff ist, falls |v_targ|₂ der Ungleichung
genügt. Mit anderen Worten, es wird
benötigt. Das optimale λ aus Sicht des Angreifers ist λ = 1 (siehe Lemma A.1), da er die linke Seite minimieren möchte. Damit ist das Verfahren sicher, sofern
ist.
Eine zweite Betrachtung ist, ob ein anderer kleiner Vektor in
zulassen könnte, dass der Angreifer die Nachricht entschlüsselt. Somit hat ein beliebiger kleiner Vektor [f', g'] ∊
die Eigenschaft, dass sowohl f' als auch h_i ⊛ f' ≡ g'(mod q) klein sind. Falls der Angreifer dagegen
berechnet, besitzt aber nur der Term mit j = i kleine Koeffizienten modulo q. Somit wirkt ein f', das ein einzelnes h_i klein macht, nicht als ein Entschlüsselungsschlüssel. Dies legt nahe, alle h_j gleichzeitig zu betrachten, was zu dem nächsten Gitter führt.
Angriff mit großem Gitter auf den Schlüssel f. Eher, als nur eines der h_i zu verwenden, kann der Angreifer stattdessen ein Gitter unter Verwendung einer Teilmenge der h_i bilden. Unter Umbenennung wird angenommen, dass der Angreifer h₁, ..., h_k für einige 1 ≤ k ≤ K verwendet und das Gitter
bildet, das durch die Spalten der Matrix
generiert wird. (Es wird hier die abgekürzte Schreibweise aus dem vorigen Abschnitt verwendet.) Dieses Gitter genügt
Es enthält den Zielvektor (unter Verwendung der obigen Abkürzung) vtarg = [λf, g1, g2, ..., gk].
(Genauer müssen die Koordinaten von f umgekehrt werden.) Dieser Zielvektor hat die Länge
Die Hypothese (H₂) besagt, dass die Gitterreduktion v_targ nicht findet, sofern seine Länge
genügt. Somit besteht Sicherheit vor einem Angriff, falls
ist.
Wie zuvor wählt der Angreifer λ so, dass die linke Seite minimiert wird. Es stellt sich wieder heraus, dass λ = 1 das Minimum ergibt (siehe Lemma A.1), sodass der tatsächliche Schlüssel gemäß der Hypothese (H₂) sicher ist, sofern
ist.
Angriff mit großem Gitter auf einen Nachschlüssel f. Eher, als nach dem wahren Schlüssel f zu suchen, könnte der Angreifer einen anderen Schlüssel F zu ermitteln versuchen, der als ein Entschlüsselungsschlüssel wirkt. Um ein Nachschlüssel zu sein, müssen F selbst und außerdem jedes der Produkte h_j ⊛ f(mod q) klein sein. Genauer wird angenommen, dass der Angreifer ein F ermittelt und Gj ∀ bj ⊛ F(mod q)für j = 1, 2, ..., K berechnet. Es besteht die Frage, ob die Breite (L^∞-Norm) eines Ausdrucks ϕ1 ⊛ G1 + ϕ2 ⊛ G2 + ... + ϕK ⊛ GK+ m ⊛ Ffür einen Umhüllungsfaktor W allgemein wenigstens Wq ist. (Die Frage, wie groß W sein muss, damit das System sicher ist, wird später diskutiert.)
Um einen Nachschlüssel F zu ermitteln zu versuchen, nimmt der Angreifer das zuvor beschriebene Gitter
und verwendet die Gitterreduktionstechniken, um einen kleinen Vektor v_LLL zu ermitteln. Der kleinste von null verschiedene Vektor in
ist der Vektor v_targ = [λf, g₁, ..., g_K], sodass die Hypothese (H₃) besagt, dass |vLLL|2 ≥ κ(K+1)N|vtarg|2 ist. Wenn v_LLL = [λF, G₁, G₂, ..., G_K] ist, wird ermittelt, dass
ist.
Der durch Gitterreduktion erhaltene Vektor v_LLL besitzt Komponenten, deren Größe mehr oder weniger zufällig verteilt ist. Insbesondere sind alle Längen |λF|₂, |G₁|₂, ..., |G_K|₂ näherungsweise dieselben, sodass (näherungsweise) |λF|2, |G1|2, ..., |GK|2 ≥ κ(K+1)NLg erhalten wird.
Andererseits können dies und (3) verwendet werden, um |ϕ1 ⊛ G1 + ϕ2 ⊛ G2 + ... + ϕK ⊛ GK + m ⊛ F|∞ ≥ c1(|ϕ1|2·|G1|2 + ... + |ϕK|2·|GK|2 + |m|2·|F|2) = c1Lϕ(|G1|2 + ... + |GK|2 + |F|2) ≥ c1(K + 1)LϕLgκ(K+1)N abzuschätzen. Somit versagt der Nachschlüssel mit dem Umhüllungsfaktor W, sofern die Parameter so gewählt werden, dass Wq ≤ c1(K + 1)LϕLgκ(K+1)N (7)erfüllt ist. (Dies kann mit der Entschlüsselungsungleichung (4) verglichen werden.)
Angriff mit großem Gitter auf eine einzelne Nachricht. Es gibt eine weitere Art eines Gitterangriffs, die betrachtet werden muss. Eher, als nach einem Schlüssel zu suchen, der jede Nachricht entschlüsselt, kann ein Angreifer ein Gitter konstruieren, um nach einer einzelnen Nachricht zu suchen. Es wird das folgende Gitter betrachtet. Es sei
das Gitter, das durch die Spalten der Matrix
erzeugt wird. Dieses Gitter genügt
und enthält (unter Verwendung der obigen Schreibweise) den Vektor [λϕ1, λϕ2, ..., λϕK, e – m]. (8)
Es enthält diesen Vektor, da die verschlüsselte Nachricht e gemäß der Vorschrift pϕ1 ⊛ h1 + pϕ2 ⊛ h2 + ... + pϕK ⊛ hK + m ≡ e(mod q)konstruiert wurde.
Selbstverständlich ist (8) wahrscheinlich kein kurzer Vektor, da die Koeffizienten von e – m(mod q) nicht klein sind. Allerdings kennt der Angreifer den Wert von e, sodass er nach einem Vektor in
suchen kann, der nahe bei dem bekannten Nicht-Gitter-Vektor [0, 0, ..., 0, e] ist. Der Abstand von dem gesuchten Gittervektor und dem bekannten Nicht-Gitter-Vektor ist die Länge des Vektors vtarg = [λϕ1, λϕ2, ..., λϕK, – m].
Dies ist ein Beispiel eines inhomogenen Gitterproblems. Inhomogene Probleme neigen dazu, etwas schwieriger als homogene Probleme zu sein, wobei hier aber, um auf Nummer sicher zu gehen, angenommen wird, dass der Angreifer inhomogene Probleme in genau dem gleichen Grad wie homogene Probleme lösen kann. Somit muss nachgesehen werden, ob der Angreifer einen Vektor der Länge |vtarg|2 = Lϕ√Kλ²p².ermitteln kann. (Es wird daran erinnert, dass für jedes m ∊
und für jedes ϕ ∊
|m|₂ = p|ϕ|₂ ist.) Gemäß Hypothese (H₂) schlägt der Angriff fehl, sofern
ist, oder, mit anderen Worten, falls
ist. Der Angreifer minimiert die linke Seite, indem er λ = p wählt (siehe Lemma A.1), sodass der Angriff fehlschlägt, sofern
ist. Dies kann mit (6) verglichen werden, das es ergänzt.
Zusammenfassung von Parameterbedingungen von Gitterangriffen. In den vorherigen Teilen dieses Abschnitts wurden verschiedene Gitterangriffe beschrieben und Bedingungen an die Parameter konstruiert, die verhindern, dass diese Angriffe erfolgreich sind. Es bleibt die Frage, ob es irgendwelche Parameterwahlen gibt, die alle Bedingungen erfüllen. Zweckmäßigkeitshalber werden hier alle Ungleichungen aus diesem Abschnitt zusammen mit der grundlegenden Ungleichung (4), die notwendig ist, falls der Inhaber des wahren Schlüssels f Nachrichten entschlüsseln können soll, aufgeführt. c2pLgLϕ(K + 1) < q. (4)
Wq ≤ c1(K + 1)LϕLgκ(K+1)N (7)
)
Es wird beobachtet, dass es für beliebige feste Werte c₁, c₂, p, L_ϕ > 0 und p, κ, W > 1 immer Lösungen N, K, L_g, q für diese Ungleichungen gibt. Es werden jetzt einige Anmerkungen als Hilfe beim Ermitteln von Lösungen gemacht.
Es wird damit begonnen, diese Ungleichungen auf verschiedene Weise zu kombinieren. Zunächst ergibt Kombinieren von (4) und (7) (nach einiger Algebra)
Es wird angemerkt, dass es (im Wesentlichen) keine Freiheit bei der Wahl von c₁, c₂ und κ gibt und dass W je nach dem gewünschten Sicherheitsgrad zwischen 5 und 10 gewählt wird. Dies lässt die Wahl von p, das normalerweise recht klein ist. Der Punkt ist hier, dass (10) eine untere Grenze für (K + 1)N gibt, über die es sehr wenig Kontrolle gibt.
Danach werden (4) und (5) kombiniert, um
zu erhalten. Um eine gewisse Flexibilität bei der Wahl von q zu haben, ist es eine gute Idee, L_g (angenommen) 1,5- bis 2-mal größer als diese vorgeschriebene untere Grenze zu wählen.
Falls z. B.
und
wie zuvor beschrieben sind, ist Lϕ = √2d , wobei die meisten g ∊
der Beziehung |g|2 ≈ Lg = √N(r² – 1)/12 genügen. Somit kann, nachdem (11) dazu verwendet worden ist, L_g zu wählen, r = ⌊Lg √12/N⌋ verwendet werden, woraufhin die meisten g ∊
eine L²-Norm sehr nahe zu dem gewünschten L_g haben. Da der Codeerzeuger Dan der einzige ist, der Elemente aus
wählt, und da diese Wahlen darüber hinaus nur einmal getroffen zu werden brauchen, würde es ihm ferner nicht schwer fallen, die notwendigen K + 1 Polynome in
mit einer Norm näherungsweise von L_g zu ermitteln; wobei selbst mit der Längenbeschränkung die Anzahl dieser Polynome in
astronomisch größer ist, als ein Angreifer über eine erschöpfende Suche prüfen kann, da r^N in der Praxis dazu neigt, wenigstens 2⁵⁰⁰ zu sein.
IMPLEMENTIERUNGSBETRACHTUNGEN
Sicherheits- und Umhüllungsfaktoren. Es wird daran erinnert, dass der Umhüllungsfaktor W steuert, wie viel Umhüllung der Angreifer erwarten kann, wenn er einen durch Gitterreduktion erzeugten Nachschlüssel verwendet. Falls W zu klein ist, z. B. W = 1,5, kann der Angreifer viele (möglicherweise sogar die meisten) Koeffizienten wiedergewinnen, da ihre Werte dazu neigen, sich um den Mittelwert zu gruppieren. Genauer gewinnt der Angreifer (angenommen) 0,95N lineare Gleichungen für die N unbekannten Koeffizienten wieder, woraufhin eine Brechstangensuche den Angriff abschließt.
Coppersmith und Shamir [3] haben beobachtet, dass selbst dann, wenn W etwas größer als dies ist, angenommen W = 2,5, die Gruppierung zulässt, dass der Angreifer näherungsweise 0,67N lineare Gleichungen für die N Unbekannten erhält. Daraufhin beobachten sie, dass der Angreifer ausreichend viele unabhängige Gleichungen zum Lösen des Systems erhalten könnte, wenn er zwei unabhängige Nachschlüssel konstruiert und anwendet. Ferner merken sie an, dass die Verwendung mehrerer kurzer Vektoren für W = 4 zulassen könnte, dass der Angriff unter Nutzung einer Art Fehlerkorrekturtechnik erfolgreich ist, dass aber diese Art Angriff nicht erfolgreich ist, falls W so groß wie 10 ist. Für Einzelheiten wird auf [3] verwiesen.
Anhand dieser Betrachtungen wird hier zur Konstruktion von Beispielbetriebsparametern ein Umhüllungsfaktor von W = 10 verwendet.
Beispielbetriebsparameter. In diesem Abschnitt werden zwei Mengen verwendbarer Parameter für das NTRU-PKCS ausgearbeitet, die gemäß den oben beschriebenen Hypothesen sicher sind. Diese Parametersätze führen zu einer recht hohen Nachrichtenexpansion, sodass der Leser auf den folgenden Abschnitt für eine zweistufige Version des NTRU verwiesen wird, die die Nachrichtenexpansion auf ein zu bewältigendes 2 zu 1 reduziert.
Es wird mit drei Werten, die durch experimentellen Beweis auferlegt werden, und mit einem vierten Wert, der so gewählt wird, dass eine ausreichende Umhüllung sichergestellt wird, um einen Angriff mit einem Nachschlüssel zu vereiteln, begonnen:
c₁ = 0,08, c₂ = 0,24, W = 10 κ = 1,5^1/100 ≈ 1,0040628823.
Die Werte von c₁ und c₂ sind durch umfangreiche numerische Tests in den gewünschten Bereichen bestimmt worden; allerdings haben die Anmelder auch eine recht gute Vorstellung davon, wie ihnen eine wahrscheinlichkeitstheoretische Rechtfertigung zu geben ist. Der Umhüllungsfaktor W = 10 wurde oben diskutiert. Schließlich ist die Wahl der Gitterreduktionskonstanten κ bereits diskutiert worden, obgleich der sicherheitsbewusste Anwender zum Schutz vor künftigen Verbesserungen bei der Gitterreduktionstechnologie stattdessen κ = 1,3^1/100 mit kleinen Änderungen der anderen Parameter wählen könnte.
Zunächst wird die Wahl p = 2 betrachtet. Die Ungleichung (10) besagt, dass (K + 1)N ≥ 1009,79gewählt werden muss, sodass
N = 167 und K = 6
sei. (Es ist zweckmäßig, aber nicht notwendig, dass sowohl N als auch (N – 1)/2 Primzahlen sind.) Diese Wahl bietet ausreichend Spielraum für die Wahl der verbleibenden Koeffizienten.
Wie in Abschnitt 2.2 wird
mit d = 20 gewählt, sodass #
= 167!/20!·20!·127! ≈ 2^165,85 ist, was ausreichend Sicherheit vor Angriffen des Treffens in der Mitte bietet. Ferner ist Lϕ = √2d ≈ 6,325, wobei Einsetzen dieser Wahlen in (11) L_g > 414,07 ergibt. Um einen gewissen Spielraum bereitzustellen, wird r = 167 gewählt, was den erwarteten Wert von L_g gleich 622,98 macht. Schließlich besagen die fünf grundlegenden Ungleichungen, dass q
2¹³,6924 < q ≤ max{2^14,2766, 2^14,7278, 2^14,6238, 2^52,481}
genügen muss. (Natürlich sind die Ungleichung (6k) tatsächlich 6 Ungleichungen, eine für jedes 1 < k ≤ 6.) Somit kann q = 2¹⁴ – 1 = 16383 gewählt werden. (Es wird angemerkt, dass ggT(p, q) = 1 erforderlich ist.) Um kurz zusammenzufassen, geben die folgenden Parameter ein sicheres NTRU-PKCS:
N = 167, k = 6, q = 16383 = 2¹⁴ – 1, p = 2, r = 167, d = 20, s = 3
wobei die Mengen
wie zuvor beschrieben gewählt sind. Für diese Parameter ist
Länge des öffentlichen Schlüssels = Nk log₂q = 14028 Bits
Länge des privaten Schlüssels = N log₂pr = 1400 Bits
Nachrichtenexpansion = log q/log p = 14 zu 1.
Unter Verwendung einer ähnlichen Analyse wird eine zweite Menge sicherer NTRU-Parameter mit einem größeren Wert von p konstruiert. Da alle Operationen an kleineren Zahlen als 2¹⁶ erfolgen und q eine Potenz von 2 ist, sodass die Division durch q mit Rest eine einfache Verschiebungsoperation ist, scheinen diese Parameter für die gegenwärtigen Mikroprozessoren gut geeignet. Es wird
N = 167, K = 6, q = 2¹⁶, p = 3, r = 354, d = 40, s = 7
gewählt. Diese Parameter ergeben #
= 167!/40!·40!·87!·2^239,3 und
Länge des öffentlichen Schlüssels = NK log₂q = 16032 Bits
Länge des privaten Schlüssels = N log₂pr = 1678 Bits
Nachrichtenexpansion = log q/log p = 10,1 zu 1.
Zweistufiges NTRU und verbesserte Nachrichtenexpansion. Die NTRU-PKCS für die oben dargestellten Beispielparameter haben recht große Nachrichtenexpansionen. Ein Verfahren zum Verringern dieser Ausdehnung ist die Verwendung eines größeren Werts von p, wobei dies aber zu wesentlich größeren Werten für (K + 1)N führt, was wiederum sowohl die Schlüsselgrößen erhöht als auch die Recheneffizienz verringert.
Ein weiteres Verfahren zum Verringern der Nachrichtenexpansion ist die Verwendung jeder NTRU-Nachricht als eine Art Einmalverschlüsselung zum Verschlüsseln der tatsächlichen Nachricht. In dieser zweistufigen Version des NTRU wählt der Verschlüssler Cathy ein Zufallspolynom m ∊
, während seine tatsächliche Klartextnachricht M ein beliebiges Polynom modulo q sein kann. Um seine Nachricht zu verschlüsseln, berechnet er die zwei Größen
und E ≡ m ⊛ h1 + M(mod q).
Die verschlüsselte Nachricht ist das Paar (e, E).
Der Entschlüsselungsprozess ist ähnlich wie zuvor, jedoch mit einem Zusatzschritt. Somit befolgt der Entschlüssler Dan die zuvor beschriebene Prozedur, um das Polynom m zu berechnen. Daraufhin gewinnt er durch Berechnen von E – m ⊛ h1(mod q)die Nachricht wieder. Es wird beobachtet, dass die Klartextnachricht M die Länge N log₂q Bits hat, während die verschlüsselte Nachricht (e, E) die Länge 2N log₂q Bits hat, sodass die Nachrichtenexpansion um 2 zu 1 verkleinert ist.
Es folgt eine weitere Anmerkung. Cathy verwendet dasselbe Polynom und denselben Modul, um sowohl m als auch M zu verschlüsseln. Es wird nicht davon ausgegangen, dass dies die Sicherheit gefährdet, wobei sie aber zur zusätzlichen Sicherheit E ≡ m ⊛ H + M(mod Q) für ein anderes (öffentliches) Polynom N und für einen anderen Modul Q berechnen könnte.
Theoretische Betriebsspezifikationen. In diesem Abschnitt werden die theoretischen Betriebseigenschaften des NTRU-PKCS betrachtet. Es gibt vier ganzzahlige Parameter (N, K, p, q), drei Mengen
die in dieser Reihenfolge wie zuvor beschrieben durch ganze Zahlen r, d, s bestimmt sind, drei experimentell bestimmte Konstanten c₁, c₂ κ und eine Umhüllungskonstante W. Um die Sicherheit sicherzustellen, müssen diese Parameter so gewählt werden, dass sie die zuvor aufgeführten Ungleichungen erfüllen. Die folgende Tabelle fasst die NTRU-PKCS-Betriebseigenschaften hinsichtlich dieser Parameter zusammen.

* genau 4KN² Additionen und KN Divisionen durch q mit Rest

Für ein zweistufiges NTRU ändern sich die folgenden Positionen:
Weitere Implementierungsbetrachtungen. Es werden kurz einige zusätzliche Faktoren betrachtet, die bei der Implementierung des NTRU betrachtet werden sollten.

(1) Es ist wichtig, dass der ggT(q, p) = 1 ist. Obgleich das NTRU im Prinzip ohne diese Anforderung funktioniert, verringert ein ggT(q, p) > 1 in der Praxis die Sicherheit. Falls im extremen Bereich p|q ist, dann (Übung) genügt die verschlüsselte Nachricht e ≡ m(mod p), sodass sie vollständig unsicher ist.
(2) Es ist erwünscht, dass die meisten f Inverse modulo p und modulo q haben, da es andernfalls schwer ist, Schlüssel zu erzeugen. Eine erste notwendige Anforderung ist, dass das ggT(f(1), pq) = 1 ist, wobei der Codeerzeuger aber stattdessen angenommen f(X) + 1 oder f(X) – 1 wählen kann, falls dies für ein gewähltes f fehlschlägt. Unter der Annahme ggT(f(1), pq) = 1 haben praktisch alle f die geforderten Inversen, falls N als eine Primzahl gewählt wird und gefordert wird, dass für jede Primzahl P, durch die p und q teilbar sind, die Größenordnung von P in (Z/NZ)* groß, angenommen entweder N – 1 oder (N – 1)/2, ist. Zum Beispiel ist dies wahrscheinlich war, falls (N – 1)/2 selbst eine Primzahl ist (d. h., falls N eine Sophie-Germain-Primzahl ist). Beispiele solcher Primzahlen enthalten 107 und 167.

ANGEMESSENE SICHERHEITSPARAMETER FÜR DAS NTRU
In der realen Welt gibt es viele Situationen, in denen die Anforderungen hoher Geschwindigkeit und/oder wenig Speichers wichtig sind und ein angemessener Sicherheitsgrad akzeptabel ist. In diesem Kontext wird beobachtet, dass die tatsächlichen Gitterreduktionsverfahren [11, 12] äußerst CPU-aufwändig sind und in der Praxis einen großen Aufwand an Rechenzeit erfordern, um an einem Gitter der Dimension 200 bis 300 eine Gitterreduktion auszuführen. Natürlich ist "groß" hier ein relativer Begriff, wobei es sich aber wahrscheinlich nicht lohnen würde, eine 300-dimensionale Gitterreduktion auszuführen, um etwas zu stehlen, das einen Bruchteil eines Cent wert ist, während es wahrscheinlich sehr teuer (falls nicht vollständig unmöglich) wäre, derzeitige Verfahren zu verwenden, um eine solche Gitterreduktion in einer kurzen Zeitdauer (d. h. in wenigen Minuten) auszuführen. Somit lohnt es, eine Menge von NTRU-Parametern zu erzeugen, die in Situationen verwendet werden können, wo der Anwender gewillt ist, die Möglichkeit hochdimensionaler Gitterangriffe zuzulassen.
Falls die von Gitterangriffen kommenden Parameterbedingungen beseitigt werden, verbleiben lediglich die Entschlüsselungsbedingung c2pLgLϕ(K + 1) < q (4)und die Bedingung, dass die Suchräume für f, g und ϕ groß genug sind, dass ein Brechstangenangriff (oder möglicherweise ein Angriff des Treffens in der Mitte) verhindert wird. Der Einfachheit halber wird K = 1 gewählt. Alle f, g, ϕ werden so gewählt, dass sie in der Menge
, d. h. in der Menge von Polynomen mit d Koeffizienten gleich 1, d Koeffizienten gleich –1 und den anderen N – 2d Koeffizienten gleich 0 liegen. (Genauer wird f so gewählt, dass es 1 zusätzlichen Koeffizienten hat, da f modulo p und q invertierbar sein muss, wobei dies aber auf die folgende Analyse wenig Auswirkung hat, sodass es hier ignoriert wird.) Wie üblich unter Verwendung von c₂ = 0,24 wird die Entschlüsselungsbedingung einfach q > 2pd (4)
Die weitere Bedingung ist hier
wo σ der gewünschte Sicherheitsgrad ist. Es wird angemerkt, dass für Implementierungen mit angemessener Sicherheit ein Sicherheitsgrad um 2⁴⁰ allgemein ausreicht, sodass σ ≈ 40 gewählt wird.
Die folgende Tabelle gibt einige akzeptable Betriebsparameter für eine Implementierung des NTRU mit angemessener Sicherheit. Bei der Bewertung der Sicherheit wird angemerkt, dass verfügbare Gitterangriffe ein Gitter der Dimension 2N verwenden. Außerdem wird angemerkt, dass der aufgeführte Wert von q der kleinste zulässige ist, dass aber ein etwas größeres q, das ggT(p, q) = 1 genügt, akzeptabel ist. Insbesondere sind besonders schnelle Implementierungen verfügbar, indem q = 64 genommen wird.
Schließlich wird beobachtet, dass die Schlüsselgrößen sehr klein sind,
öffentlicher Schlüssel: N log₂(q) Bits
privater Schlüssel: 2N log₂(p) Bits
Zum Beispiel gibt (N, d, p, q) = (167, 7, 3, 64) ein System mit einem öffentlichen und mit einem privaten Schlüssel mit der Länge von 1002 Bits bzw. 530 Bits.
VERGLEICH MIT ANDEREN PKCS
In der Literatur gibt es derzeit eine Anzahl von Kryptosystemen mit öffentlichem Schlüssel einschließlich des Systems von Rivest, Shamir und Adelman (RSA [10]), das auf der Schwierigkeit der Faktorisierung beruht, des Systems von McEliece [9], das auf Fehlerkorrekturcodes beruht, und des neuesten Systems von Goldreich, Goldwasser und Halevi (GGH [5]), das auf der Schwierigkeit beruht, kurze, fast orthogonalisierte Basen in einem Gitter zu ermitteln.
Das NTRU-System hat dahingehend einige Merkmale gemeinsam mit dem McEliece-System, dass die ⊛-Multiplikation in dem Ring R als Multiplikation von Matrizen (einer speziellen Art) formuliert werden kann und daraufhin die Verschlüsselung in beiden Systemen als eine Matrixmultiplikation E = AX + Y geschrieben werden kann, wobei A der öffentliche Schlüssel ist. Ein kleiner Unterschied zwischen den zwei Systemen ist, dass für eine NTRU-Verschlüsselung Y die Nachricht und X ein Zufallsvektor ist, während das McEliece-System diese Zuweisungen umkehrt. Der wirkliche Unterschied ist aber die zugrundeliegende Falltür, die die Entschlüsselung zulässt. Für das McEliece-System wird die Matrix A einem Fehlerkorrekturcode (Goppa-Code) zugeordnet, wobei die Entschlüsselung funktioniert, da die Zufallsverteilung klein genug ist, um durch den Goppa-Code "korrigiert" zu werden. Für das NTRU ist die Matrix A eine zyklische Matrix, wobei die Entschlüsselung von der Zerlegung von A in ein Produkt von zwei Matrizen mit einer speziellen Form zusammen mit einem Anheben von mod q auf mod p abhängt.
Aus Sicht der Anmelder hat das NTRU-System wenig mit dem RSA-System gemeinsam. Obgleich das NTRU-System so aufgebaut werden muss, dass Gitterreduktionsangriffe verhindert werden, ist das zugrundeliegende Entschlüsselungsverfahren ähnlich sehr verschieden von dem GGH-System, in dem die Entschlüsselung auf der Kenntnis kurzer Gitterbasen beruht. In diesem Aspekt ähnelt das GGH tatsächlich dem McEliece-System, da die Entschlüsselung in beiden Fällen durch Erkennen und Beseitigen einer kleinen Zufallsverteilung ausgeführt wird. Im Gegensatz dazu beseitigt das NTRU eine viel größere Zufallsverteilung über Teilbarkeitsbetrachtungen (d. h. Kongruenzbetrachtungen).
Die folgende Tabelle vergleicht einige der theoretischen Betriebseigenschaften des RSA-, des McEliece-, des GGH- und des NTRU-Kryptosystems. Die Zahl N repräsentiert in jedem Fall einen natürlichen Sicherheits/Nachrichtenlängen-Parameter.
EIN ELEMENTARES LEMMA
Das folgende Ergebnis ist für die Optimierung von Gitterangriffen nützlich.
Lemma A.1 Für alle A, 8, α, β ≥ 0 mit α + β = 1 ist
wobei das Infimum bei x = βB/αA auftritt.
Beweis. Es sei f(x) = Ax^α + bx^–β. Dann ist f'(x) = αAx^α-1 – βBX^–ß-1 = x^β+1(αAx – βB). Somit ist das absolute Minimum bei x = βB/αA. (Es wird angemerkt, dass f(x) → ∞ für x → 0⁺ und für x → ∞.)
LITERATURHINWEISE

1. M. Blum, S. Goldwasser, An efficient probabilistic public-key encryption scheme which hides all partial information, Advances in Cryptology: Proceedings of CRYPTO 84, Lecture Notes in Computer Science, Bd. 196, Springer-Verlag, 1985, S. 289–299.
2. H. Cohen, A course in computational algebraic number theory, Graduate Texts in Math., Bd. 138, Springer Verlag, Berlin, 1993.
3. D. Coppersmith, A. Shamir, Lattice attacks on NTRU, Preprint, 5. April 1997; vorgestellt auf der Eurocrypt 97.
4. W. Diffie, M. E. Hellman, New directions in cryptography, IEEE Trans. on Information Theory 22 (1976), 644–654.
5. O. Goldreich, S. Goldwasser, S. Halevi, Public-key cryptosystems from lattice reduction problems, MIT – Laboratory for Computer Science, Preprint, November 1996.
6. S. Goldwasser und A. Micali, Probabilistic encryption, J. Computer and Systems Science 28 (1984), 270–299.
7. J. Hoffstein, J. Pipher, J. H. Silverman, NTRU: A new high speed public key cryptosystem, Preprint; vorgestellt auf der Rumpfsitzung der Crypto 96.
8. A. K. Lenstra, H. W. Lenstra, L. Lovśz, Factoring polynomials with polynomial coefficients, Math. Annalen 261 (1982), 515–534.
9. R. J. McEliece, A public-key cryptosystem based on algebraic coding theory, JPL Pasadena, DSN Progress Reports 42–44 (1978), 114–116.
10. R. L. Rivest, A. Shamir, L. Adleman, A method for obtaining digital signatures and public key cryptosystems, Communications of the ACM 21 (1978), 120–126.
11. C. P. Schnorr, Block reduced lattice bases and successive minima, Combinatorics, Probability and Computing 3 (1994), 507–522.
12. C. P. Schnorr, H. H. Hoerner, Attacking the Chor Rivest cryptosystem by improved lattice reduction, Proc. EUROCRYPT 1995, Lecture Notes in Computer Science 921, Springer-Verlag, 1995, S. 1–12.
13. D. Stinson, Cryptography: Theory and Practice, CRC Press, Boca Raton, 1995.

Claims

Verfahren mit öffentlichem Schlüssel, in dem eine digitale Nachricht m mit einem öffentlichen Schlüssel verschlüsselt wird und die verschlüsselte Nachricht danach mit einem privaten Schlüssel entschlüsselt werden kann, gekennzeichnet durch die folgenden Schritte: Auswählen von Idealen p und q eines Rings R; Generieren von Elementen f und g des Rings R und Generieren von Element F_q, das eine Inverse von f(mod q) ist, und Generieren von Element F_p, das eine Inverse von f(mod p) ist; Erzeugen eines öffentlichen Schlüssels, der h enthält, wobei h kongruent mod q mit einem Produkt von F_q und einem zweiten, aus g abgeleiteten, Faktor ist; Erzeugen eines privaten Schlüssels, aus dem f und F_p abgeleitet werden können; Erzeugen einer verschlüsselten Nachricht e durch Verschlüsseln der Nachricht m unter Verwendung des öffentlichen Schlüssels und eines Zufallselementes ø durch Additions- und Multiplikationsoperationen in dem Ring R modulo des Ideals q, die die Nachricht m, das Zufallselement ø und den öffentlichen Schlüssel involvierend, und Erzeugen einer entschlüsselten Nachricht durch Entschlüsseln der verschlüsselten Nachricht e durch Additions- und Multiplikationsoperationen in dem Ring R modulo des Ideals q und in dem Ring R modulo des Ideals p, wenigstens die verschlüsselte Nachricht e und den privaten Schlüssel involvierend.
Verfahren nach Anspruch 1, wobei der Ring R ein Modul über einem Ring Z ist.
Verfahren nach Anspruch 1, wobei die Dimension von R durch Z gleich N ist und wobei N eine ganze Zahl, größer als 1, ist.
Verfahren nach Anspruch 3, wobei der Ring R ein Ring von Polynomen modulo eines bestimmten Polynoms ist.
Verfahren nach Anspruch 1, wobei der Schritt des Generierens von Elementen des Weiteren Generieren von Element G_q, das eine Inverse von g(mod q) ist, und Generieren von Element G_p, das eine Inverse von g(mod p) ist, umfasst.
Verfahren nach Anspruch 5, wobei das Element G_q bei der Ableitung des öffentlichen Schlüssels verwendet wird und das Element G_p Teil des privaten Schlüssels ist.
Verfahren nach Anspruch 1, wobei der Auswählschritt des Weiteren das Auswählen einer positiven ganzen Zahl K einschließt und wobei das Element g jeweilig g_i, mit i = 1, 2, ..., K, umfasst und wobei h jeweilig h_i, mit i = 1, 2, ..., K, umfasst.
Verfahren nach Anspruch 7, wobei das Zufallselement ø jeweilig ø_i in dem Ideal p, mit i = 1, 2, ..., K, umfasst und wobei die verschlüsselte Nachricht erzeugt wird als
Verfahren nach Anspruch 1, wobei der öffentliche und der private Schlüssel jeder des Weiteren p und q enthalten.
Verfahren nach Anspruch 1, wobei die Ideale p und q durch teilerfremde ganze Zahlen erzeugt werden.
Verfahren nach Anspruch 10, wobei die verschlüsselte Nachricht kongruent mod q mit der Summe der Nachricht m und einem Produkt, das ø und h enthält, ist.
Verfahren nach Anspruch 10, wobei die ganzen Zahlen p und q ungleich sind und sowohl p als auch q größer als 1 sind.
Verfahren nach Anspruch 1, wobei die verschlüsselte Nachricht durch einen Benutzer an einem Ort erzeugt wird, von diesem einen Ort zu einem anderen Ort gesendet wird und durch einen Benutzer an dem anderen Ort entschlüsselt wird.
Verfahren nach Anspruch 1, wobei R der Ring von Polynomen mit ganzzahligen Koeffizienten ist, die Ideale von R durch ganze Zahlen p und q generiert werden und der öffentliche Schlüssel das Polynom h enthält, wobei h = Fq × g(mod q).
Verfahren nach Anspruch 14, wobei die verschlüsselte Nachricht e erzeugt wird als e ≡ pø × h + m(mod q).
Verfahren nach Anspruch 15, wobei die entschlüsselte Nachricht erzeugt wird durch Berechnen von a ≡ f × e(mod q)und anschließendes Berechnen der entschlüsselten Nachricht m' als m' ≡ Fp × a(mod p).
Verfahren nach Anspruch 14, wobei der Schritt des Generierens von f und g Auswählen einer positiven ganzen Zahl K und Generieren von K Polynomen g als g₁, g₂, ..., g_K einschließt und wobei der öffentliche Schlüssel h₁, h₂, ..., h_K umfasst, wobei hi ≡ Fq × gi(mod q),mit i = 1, 2, ..., K ist.
Verfahren nach Anspruch 17, wobei die verschlüsselte Nachricht erzeugt wird als e ≡ pø1 × h1 + pø2 × h2 + ... + pøK × hK + m(mod q),wobei ø₁, ø₂, ..., ø_K K Zufallspolynome sind.
Verfahren nach Anspruch 14, wobei die verschlüsselte Nachricht durch einen Benutzer an einem Ort erzeugt wird, von diesem einen Ort zu einem anderen Ort gesendet wird und durch einen Benutzer an dem anderen Ort entschlüsselt wird.
Verfahren nach Anspruch 1, wobei der Ring R ein Matrizenring mit ganzzahligen Koeffizienten ist und wobei die Ideale p und q durch teilerfremde ganze Zahlen generiert werden und wobei das Generieren der Elemente von Ring R Auswählen einer von Null verschiedenen ganzen Zahl K und Erzeugen von K + 2 Matrizen f, g, w₁, w₂, ..., w_K aus dem Ring R, mit w_i ≡ 0(mod p) für i = 1, 2, ..., K, und Erzeugen von inversen Matrizen F_p, F_q, G_p und G_q aus R einschließt, wobei fFp ≡ I(mod p) fFq ≡ I(mod q) gGp ≡ I(mod p) gGq ≡ I(mod q),wobei I eine identische Matrix ist und wobei das Erzeugen eines öffentlichen Schlüssels das Erzeugen einer Liste von K Matrizen (h₁, h₂, ..., h_k) einschließt, wobei hi ≡ FqwiGq(mod q),i = 1, 2, ..., K und wobei Erzeugen des privaten Schlüssels Erzeugen einer Matrizenliste (f, g, F_p, G_p) einschließt und wobei Erzeugen einer verschlüsselten Nachricht e Verschlüsseln der Nachricht m unter Verwendung des privaten Schlüssels und von zufälligen ganzen Zahlen ø₁, ø₂, ..., ø_K als e ≡ ø1h1 + ø2h2 + ... + øKhK + m(mod q)einschließt und wobei Erzeugen einer entschlüsselten Nachricht m' Berechnen von a ≡ feg(mod q)und b ≡ a(mod p)und anschließendes Berechnen der entschlüsselten Nachricht m' als m' ≡ FpbGp(mod p)einschließt.
System mit öffentlichem Schlüssel, in dem eine digitale Nachricht m mit einem öffentlichen Schlüssel verschlüsselt wird und die verschlüsselte Nachricht danach mit einem privaten Schlüssel entschlüsselt werden kann, gekennzeichnet durch: Mittel zum Auswählen von Idealen p und q eines Rings R; Mittel zum Generieren von Elementen f und g des Rings R und Generieren von Element F_q, das eine Inverse von f(mod q) ist, und Generieren von Element F_p, das eine Inverse von f(mod p) ist; Mittel zum Erzeugen eines öffentlichen Schlüssels, der h enthält, wobei h kongruent mod q mit einem Produkt von F_q und einem zweiten, aus g abgeleiteten, Faktor ist; Mittel zum Erzeugen eines privaten Schlüssels, aus dem f und F_p abgeleitet werden können; Mittel zum Erzeugen einer verschlüsselten Nachricht e durch Verschlüsseln der Nachricht m unter Verwendung des öffentlichen Schlüssels und eines Zufallselementes ø durch Additions- und Multiplikationsoperationen in dem Ring R modulo des Ideals q, die die Nachricht m, das Zufallselement ø und den öffentlichen Schlüssel involvierend, und Mittel zum Erzeugen einer entschlüsselten Nachricht durch Entschlüsseln der verschlüsselten Nachricht e durch Additions- und Multiplikationsoperationen in dem Ring R modulo des Ideals q und in dem Ring R modulo des Ideals p, wenigstens die verschlüsselte Nachricht e und den privaten Schlüssel involvierend.