Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1009.34 KB, 32 trang )
21
Ý tưởng ở đây là, thay vì một đa thức f khả nghịch trong R
theo hai modulo p và q , ta sẽ sử dụng đa thức f khả nghịch đồng
thời trong hai vành
RS Z 2 [x] / ( x S 1) và RL [ x] Z 2 [x] / ( x L 1)
với S N 2C , L N 2k và S L để xây dựng một biến thể của NTRU
có tên là DTRU.
4.2.2. Thủ tục tạo khóa
Bob chọn một đa thức f RS khả nghịch đồng thời trên RS
và RL và tìm FS RS và FL RL thỏa mãn FL f 1 trong RL và
FS f 1 trong RS . Tiếp đó, Bob chọn ngẫu nhiên một đa thức khác
không g RS và tính L bit khóa công khai h g FL ( x S 1) RL .
Bob giữ ( f , FS ) làm hai khóa bí mật ( FL có thể bỏ đi).
4.2.3. Thủ tục mã hóa
Để mã hóa S bit bản rõ m , Alice chọn ngẫu nhiên một đa
thức khác zero RS và tính e h m RL sau đó gửi L bit bản
mã e tới Bob.
4.2.4. Thủ tục giải mã
Khi nhận được e , Bob tính a f e RL và dựa vào đó khôi
phục m FS a RS .
4.2.5. Phân tích độ an toàn lý thuyết của DTRU
Xác suất để
2 ( S 1) . Xác suất để
1
2 ( S 1) . Nếu chọn S 1024 thì giá trị này rất nhỏ. Ưu điểm
f
RS
tấn công vét cạn thành công khóa bí mật là
1
tấn công vét cạn thành công bản rõ là
của DTRU là hai giá trị độ an toàn của bản rõ và khóa là luôn cân bằng.
22
Ngoài ra, DTRU là hệ mật có độ an toàn IND-CPA (được chứng minh
chi tiết trong Định lý 4-1 của luận án).
4.2.6. Phân tích hiệu năng lý thuyết của DTRU
Ưu điểm quan trọng của DTRU là tốc độ tính toán, cả hai thủ
tục mã hóa và giải mã trong DTRU đều là các phép nhân đa thức
modulo đơn giản với độ phức tạp O(n 2 ) . Tuy nhiên, bản mã trong
DTRU bị mở rộng so với bản rõ L / S lần (tối thiểu 3 lần). Kết quả so
sánh cho thấy, ở cùng mức độ an toàn tương đương, DTRU có kích
thước khóa (cả công khai và bí mật) và hệ số mở rộng bản tin nhỏ hơn
trong NTRU. Chi tiết so sánh được trình bày trong các bảng 4-4, 4-5
và 4-6 trong luận án.
4.3. HỆ MẬT KHÓA BÍ MẬT E-RISKE
4.3.1. Giới thiệu
Mục này đề xuất một sơ đồ mật mã hóa khóa bí mật xác suất
mới, được gọi là E-RISKE (Extended Random Invertible Secret-Key
Encryption). E-RISKE là một biến thể mở rộng của hệ mật RISKE đã
được trình bày trong mục 3.2 nhưng lại sử dụng cả các phần tử khả
nghịch và khả nghịch mở rộng trong vành R2C làm khóa.
4.3.2. Phân tích độ an toàn lý thuyết của E-RISKE
Tương tự như RISKE, E-RISKE có độ an toàn IND-EAV và
cao hơn là IND-CPA (được chứng minh chi tiết trong định lý 4-2 và
định lý 4-3) của luận án.
4.3.3. Phân tích hiệu năng lý thuyết của E-RISKE
Lợi thế quan trọng nhất của E-RISKE là tốc độ tính toán, thuật
toán mã hóa và giải mã của E-RISKE chỉ là một phép cộng và một
phép nhân đa thức trong Rn , n N 2C và mất O(n) phép tính bit. Nhược
điểm của E-RISKE là mỗi phiên làm việc cần một khóa bí mật ngẫu
nhiên mới được chia sẻ giữa bên gửi và bên nhận.
23
4.3.4. Thủ tục tạo khóa
Alice và Bob chọn và chia sẻ một đa thức ngẫu nhiên s
làm khóa bí mật chung. Vì deg( s) N 1 nên ta có thể biểu diễn s
bằng N bit. Điều kiện deg( s ) 0 đảm bảo rằng ta không sử dụng hai
đa thức tầm thường s 0 và s 1 làm khóa bí mật trong E-RISKE.
Khi đó |
1
||
2
| 2 N 1 1 và |
||
1
||
2
| 2 N 2 .
4.3.5. Thủ tục mã hóa
Để mã hóa n 1 bit bản rõ m , đầu tiên Alice tính n bit
M ((w(m) 1) mod 2).x n 1 m sau đó tính n bit bản mã c M * s
và gửi tới Bob.
4.3.6. Thủ tục giải mã
Để giải mã n bit bản mã c , đầu tiên Bob tính n bit M như
sau: Nếu s
1
thì bên nhận tính M c * s 1 còn khi s
2
thì
M e0 n c * se1 . Sau đó Bob khôi phục n 1 bit bản rõ
m M n1.x n1 M . Trong đó, M n 1 là hệ số của đơn thức x n 1 trong
biểu diễn đa thức của M , s 1 là nghịch đảo của s khi s
là nghịch đảo mở rộng của s khi s
2
1
và se1
.
4.3.7. Phân tích độ an toàn lý thuyết của E-RISKE
Tương tự với RISKE, E-RISKE có độ an toàn IND-EAV và
cao hơn là IND-CPA (được chứng minh chi tiết trong định lý 4-2 và
định lý 4-3 của luận án).
4.3.8. Phân tích hiệu năng lý thuyết của E-RISKE
Lợi thế quan trọng nhất của E-RISKE là độ phức tạp tính toán
thấp. Các thuật toán mã hóa và giải mã của E-RISKE chỉ là một phép
cộng và một phép nhân đa thức trong Rn và mất O ( n) phép tính bit.
24
Nhược điểm của E-RISKE là ta phải chọn khóa bí mật s
nhiên và thống nhất giữa hai phía cho từng phiên.
ngẫu
4.4. HỆ MẬT LAI GHÉP HpNE
4.4.1. Giới thiệu
Một trong những biến thể quan trọng của NTRU là hệ mật khóa
công khai pNE hoạt động trên vành đa thức chẵn tuyệt đối hệ số
nguyên Rn,q , n 2k . Trong mục này, bằng cách kết hợp giữa pNE và
RISKE theo mô hình KEM/DEM, hệ mật lai ghép HpNE sẽ được đề
xuất với độ an toàn IND-CPA tương tự như pNE nhưng có hệ số mở
rộng bản tin linh hoạt hơn.
4.4.2. Sơ đồ hệ mật lai ghép HpNE
Sơ đồ hệ mật lai ghép HpNE được trình bày trên Hình 4-1.
Đây là sơ đồ chuẩn theo mô hình KEM/DEM.
Thám
mã
Mã hóa
s
Pub (pNE )
m
Sec (RISKE)
c1
Giải mã
c1
Kênh
mở
c2
Pub (pNE )
sk
c2
m
Sec (RISKE)
Hình 4-1: Sơ đồ mật mã lai ghép HpNE
Sơ đồ này sử dụng pNE dựa trên Rn,q | n 2k là phần KEM và
RISKE dựa trên RL | L 2l là phần DEM với l k để xây dựng
HpNE. Điểm quan trọng ở đây là, trong pNE, ta cố định giá trị p 2
để độ dài bản rõ trong pNE là n và bằng độ dài khóa trong RISKE.
25
4.4.3. Thủ tục tạo khóa
Bob sử dụng thuật toán
pNE
để tạo khóa bí mật f , khóa công
khai h và gửi h tới Alice.
4.4.4. Thủ tục mã hóa
Đầu tiên, Alice chọn ngẫu nhiên một đa thức s
RISKE
(khóa
bí mật của hệ mật RISKE) và mã hóa khóa này thành bản mã
c1 h * e 2.e s mod q Rn,q .
Sau đó, để mã hóa L 1 bit bản rõ m , đầu tiên Alice tính L
bit
M (( w(m) 1) mod 2).x L 1 m RL
và
L
bit
c2 M * s mod 2 RL . Cuối cùng Alice gửi L n.log 2 q bit gồm hai
bản mã c1 và c2 tới Bob.
4.4.5. Thủ tục giải mã
Để giải mã các bản mã c1 và c2 , đầu tiên, Bob
C f * c1 mod q Rn,q từ đó tính s C mod 2 Rn,q . Sau đó, Bob
tính L bit M t * c2 mod 2 RL với s t 1mod 2 RL tính bởi Thuật
toán 2-1. Cuối cùng, Bob khôi phục L 1 bit bản rõ
m M L 1.x L 1 M mod 2 RL .
4.4.6. Phân tích độ an toàn lý thuyết của HpNE
Do kế thừa các đặc tính của pNE và RISKE, HpNE có độ an
toàn IND-CPA (định lý 4-4).
4.4.7. Phân tích hiệu năng lý thuyết của HpNE
Các thuật toán của HpNE có độ phức tạp chỉ là O(n 2 ) . Ngoài
ra, hệ số mở rộng bản tin của HpNE, ký hiệu là X HpNE , được tính như
sau
26
X HpNE
L n.log 2 q
1 n.log 2 q
1
.
L 1
L 1
(2.3)
Dễ thấy, với n cố định, ta có thể tăng độ dài bản rõ L để giảm
thiểu X HpNE .
4.5. KẾT LUẬN CHƯƠNG
Trong chương này, bằng cách kết hợp vành đa thức chẵn tuyệt
đối R2k , một lớp con của các vành đa thức chẵn R2n với các loại vành
đa thức khác, nghiên cứu sinh đã đề xuất ba hệ mật mới có nhiều đặc
tính cải tiến so với các hệ mật gốc. Hệ mật DTRU, một biến thể mới
của hệ mật nổi tiếng NTRU, có thể coi là một ứng viên tiềm năng hơn
NTRU trong các ứng dụng cho các thiết bị có tài nguyên tính toán hạn
chế. Dựa trên các phần tử nghịch đảo mở rộng trong vành đa thức R2C
, hệ mật E-RISKE cho phép lựa chọn các tham số của hệ mật RISKE
(độ dài khóa, độ dài bản mã,…) linh hoạt hơn cho các ứng dụng mật
mã cụ thể. Cuối cũng, HpNE là một sự lai ghép phù hợp giữa RISKE
(dựa trên các vành R2k ) và hệ mật pNE (dựa trên các vành R2k , q ) theo
mô hình KEM/DEM, tận dụng ưu điểm cũng như khắc phục nhược
điểm của cả hai hệ mật này.
Các kết quả trong chương này cũng khẳng định, việc kết hợp
vành đa thức chẵn với các vành đa thức có cấu trúc đặc biệt khác để
xây dựng các hệ mật là hướng nghiên cứu hữu ích và khả thi.
27
KẾT LUẬN
Các kết quả đạt được:
Sau một thời gian nghiên cứu với sự nỗ lực của bản thân và sự
hướng dẫn tận tình của GS.TS. Nguyễn Bình, đề tài “Các hệ mật dựa
trên vành đa thức chẵn” của nghiên cứu sinh đã hoàn thành với một
số kết quả sau đây.
Về mặt toán học, luận án đã chứng minh một số đặc tính toán
học mới của các vành đa thức chẵn cùng một số loại vành đa thức đặc
biệt. Cụ thể là:
1) Tìm ra hai loại vành đa thức có tỉ lệ giữa số phần tử khả nghịch
trên tổng số đa thức của vành là cực đại, vành đa thức chẵn
tuyệt đối R2k và vành đa thức chỉ có hai lớp kề cyclic R2C .
2) Đề xuất được một thuật toán hiệu quả để xác định nghịch đảo
của các phần tử khả nghịch trên vành đa thức chẵn tuyệt đối
R2k .
3) Đề xuất được một công thức để xác định nghịch đảo mở rộng
của các phần tử khả nghịch mở rộng trên các vành Rn với n
lẻ (trong đó có vành R2C ). Đề xuất một thuật toán sử dụng các
phần tử khả nghịch mở rộng làm khóa của các hệ mật trước
đây chỉ có thể sử dụng các phần tử khả nghịch làm khóa.
4) Đề xuất các công thức tính căn bậc hai chính của một thặng dư
bậc hai trong vành
R2n và phần tử liên hợp của chúng.
Về các ứng dụng trong mật mã, luận án đã:
28
1) Đề xuất được 03 hệ mật trên vành đa thức chẵn (bao gồm
RISKE, QRHE và IPKE), trong đó có hai hệ mật có độ an
toàn IND-CPA;
2) Đề xuất được 03 hệ mật dựa trên sự kết hợp của vành đa
thức chẵn và một số loại vành đa thức đặc biệt khác
(DTRU, E-RISKE và HpNE). Ba hệ mật này đều có độ an
toàn IND-CPA.
Các hệ mật được đề xuất nhìn chung đều có độ phức tạp tính
toán thấp và an toàn với các tấn công phổ biến đã khẳng định ưu điểm
của vành đa thức chẵn R2n nói riêng và vành đa thức Rn nói chung so
với các cấu trúc đại số khác trong các ứng dụng mật mã. Các hệ mật
này có thể được xem xét ứng dụng trong các thiết bị có tài nguyên tính
toán hạn chế rất phổ biến trong môi trường IoT.
Một số khuyến nghị về các hướng nghiên cứu tiếp theo:
1) Nghiên cứu xây dựng các hệ mật dựa trên các lớp vành đa thức có
tỉ lệ số phần tử khả nghịch hoặc khả nghịch mở rộng trên tổng số
đa thức trong vành đạt cực đại hoặc gần cực đại.
2) Nghiên cứu đưa các hệ mật khóa công khai IPKE và DTRU về các
bài toán khó cơ sở đã được chứng minh về độ an toàn để tăng cường
độ tin cậy của các hệ mật này.
3) Đánh giá thử nghiệm các hệ mật đã đề xuất trên các hệ thống phần
cứng cụ thể, đặc biệt là các hệ thống có tài nguyên hạn chế để đánh
giá chính xác ưu điểm về tốc độ tính toán của các hệ mật đã xây
dựng được cũng như cải tiến các hệ mật này cho phù hợp với các
thiết bị có tài nguyên hạn chế trong môi trường IoT.
4) Nghiên cứu độ an toàn của các hệ mật đã đề xuất trong môi trường
xử lý song song.