CHƯƠNG 4. CÁC HỆ MẬT MỞ RỘNG DỰA TRÊN VÀNH ĐA THỨC CHẴN KẾT HỢP VỚI CÁC VÀNH ĐA THỨC KHÁC

21

Ý tưởng ở đây là, thay vì một đa thức f khả nghịch trong R

theo hai modulo p và q , ta sẽ sử dụng đa thức f khả nghịch đồng

thời trong hai vành



RS  Z 2 [x] / ( x S  1) và RL [ x]  Z 2 [x] / ( x L  1)

với S  N 2C , L  N 2k và S  L để xây dựng một biến thể của NTRU

có tên là DTRU.

4.2.2. Thủ tục tạo khóa

Bob chọn một đa thức f  RS khả nghịch đồng thời trên RS

và RL và tìm FS  RS và FL  RL thỏa mãn FL  f  1 trong RL và

FS  f  1 trong RS . Tiếp đó, Bob chọn ngẫu nhiên một đa thức khác



không g  RS và tính L bit khóa công khai h  g  FL  ( x S  1)  RL .

Bob giữ ( f , FS ) làm hai khóa bí mật ( FL có thể bỏ đi).

4.2.3. Thủ tục mã hóa

Để mã hóa S bit bản rõ m , Alice chọn ngẫu nhiên một đa

thức khác zero   RS và tính e    h  m  RL sau đó gửi L bit bản

mã e tới Bob.

4.2.4. Thủ tục giải mã

Khi nhận được e , Bob tính a  f  e  RL và dựa vào đó khôi

phục m  FS  a  RS .

4.2.5. Phân tích độ an toàn lý thuyết của DTRU

Xác suất để



 2 ( S 1) . Xác suất để



1



 2 ( S 1) . Nếu chọn S  1024 thì giá trị này rất nhỏ. Ưu điểm



f



RS



tấn công vét cạn thành công khóa bí mật là



1



tấn công vét cạn thành công bản rõ là



của DTRU là hai giá trị độ an toàn của bản rõ và khóa là luôn cân bằng.



22

Ngoài ra, DTRU là hệ mật có độ an toàn IND-CPA (được chứng minh

chi tiết trong Định lý 4-1 của luận án).

4.2.6. Phân tích hiệu năng lý thuyết của DTRU

Ưu điểm quan trọng của DTRU là tốc độ tính toán, cả hai thủ

tục mã hóa và giải mã trong DTRU đều là các phép nhân đa thức

modulo đơn giản với độ phức tạp O(n 2 ) . Tuy nhiên, bản mã trong

DTRU bị mở rộng so với bản rõ L / S lần (tối thiểu 3 lần). Kết quả so

sánh cho thấy, ở cùng mức độ an toàn tương đương, DTRU có kích

thước khóa (cả công khai và bí mật) và hệ số mở rộng bản tin nhỏ hơn

trong NTRU. Chi tiết so sánh được trình bày trong các bảng 4-4, 4-5

và 4-6 trong luận án.

4.3. HỆ MẬT KHÓA BÍ MẬT E-RISKE

4.3.1. Giới thiệu

Mục này đề xuất một sơ đồ mật mã hóa khóa bí mật xác suất

mới, được gọi là E-RISKE (Extended Random Invertible Secret-Key

Encryption). E-RISKE là một biến thể mở rộng của hệ mật RISKE đã

được trình bày trong mục 3.2 nhưng lại sử dụng cả các phần tử khả

nghịch và khả nghịch mở rộng trong vành R2C làm khóa.

4.3.2. Phân tích độ an toàn lý thuyết của E-RISKE

Tương tự như RISKE, E-RISKE có độ an toàn IND-EAV và

cao hơn là IND-CPA (được chứng minh chi tiết trong định lý 4-2 và

định lý 4-3) của luận án.

4.3.3. Phân tích hiệu năng lý thuyết của E-RISKE

Lợi thế quan trọng nhất của E-RISKE là tốc độ tính toán, thuật

toán mã hóa và giải mã của E-RISKE chỉ là một phép cộng và một

phép nhân đa thức trong Rn , n  N 2C và mất O(n) phép tính bit. Nhược

điểm của E-RISKE là mỗi phiên làm việc cần một khóa bí mật ngẫu

nhiên mới được chia sẻ giữa bên gửi và bên nhận.



23

4.3.4. Thủ tục tạo khóa

Alice và Bob chọn và chia sẻ một đa thức ngẫu nhiên s 

làm khóa bí mật chung. Vì deg( s)  N  1 nên ta có thể biểu diễn s

bằng N bit. Điều kiện deg( s )  0 đảm bảo rằng ta không sử dụng hai

đa thức tầm thường s  0 và s  1 làm khóa bí mật trong E-RISKE.

Khi đó |



1



||



2



| 2 N 1  1 và |



||



1



||



2



| 2 N  2 .



4.3.5. Thủ tục mã hóa

Để mã hóa n  1 bit bản rõ m , đầu tiên Alice tính n bit



M  ((w(m)  1) mod 2).x n 1  m sau đó tính n bit bản mã c  M * s

và gửi tới Bob.

4.3.6. Thủ tục giải mã

Để giải mã n bit bản mã c , đầu tiên Bob tính n bit M như

sau: Nếu s 



1



thì bên nhận tính M  c * s 1 còn khi s 



2



thì



M  e0 n  c * se1 . Sau đó Bob khôi phục n  1 bit bản rõ

m  M n1.x n1  M . Trong đó, M n 1 là hệ số của đơn thức x n 1 trong

biểu diễn đa thức của M , s 1 là nghịch đảo của s khi s 

là nghịch đảo mở rộng của s khi s 



2



1



và se1



.



4.3.7. Phân tích độ an toàn lý thuyết của E-RISKE

Tương tự với RISKE, E-RISKE có độ an toàn IND-EAV và

cao hơn là IND-CPA (được chứng minh chi tiết trong định lý 4-2 và

định lý 4-3 của luận án).

4.3.8. Phân tích hiệu năng lý thuyết của E-RISKE

Lợi thế quan trọng nhất của E-RISKE là độ phức tạp tính toán

thấp. Các thuật toán mã hóa và giải mã của E-RISKE chỉ là một phép

cộng và một phép nhân đa thức trong Rn và mất O ( n) phép tính bit.



24

Nhược điểm của E-RISKE là ta phải chọn khóa bí mật s 

nhiên và thống nhất giữa hai phía cho từng phiên.



ngẫu



4.4. HỆ MẬT LAI GHÉP HpNE

4.4.1. Giới thiệu

Một trong những biến thể quan trọng của NTRU là hệ mật khóa

công khai pNE hoạt động trên vành đa thức chẵn tuyệt đối hệ số

nguyên Rn,q , n  2k . Trong mục này, bằng cách kết hợp giữa pNE và

RISKE theo mô hình KEM/DEM, hệ mật lai ghép HpNE sẽ được đề

xuất với độ an toàn IND-CPA tương tự như pNE nhưng có hệ số mở

rộng bản tin linh hoạt hơn.

4.4.2. Sơ đồ hệ mật lai ghép HpNE

Sơ đồ hệ mật lai ghép HpNE được trình bày trên Hình 4-1.

Đây là sơ đồ chuẩn theo mô hình KEM/DEM.

Thám

mã



Mã hóa

s



 Pub (pNE )



m



 Sec (RISKE)



c1



Giải mã



c1

Kênh

mở



c2



 Pub (pNE )

sk



c2



m

 Sec (RISKE)



Hình 4-1: Sơ đồ mật mã lai ghép HpNE

Sơ đồ này sử dụng pNE dựa trên Rn,q | n  2k là phần KEM và

RISKE dựa trên RL | L  2l là phần DEM với l  k để xây dựng

HpNE. Điểm quan trọng ở đây là, trong pNE, ta cố định giá trị p  2

để độ dài bản rõ trong pNE là n và bằng độ dài khóa trong RISKE.



25

4.4.3. Thủ tục tạo khóa

Bob sử dụng thuật toán



pNE



để tạo khóa bí mật f , khóa công



khai h và gửi h tới Alice.

4.4.4. Thủ tục mã hóa

Đầu tiên, Alice chọn ngẫu nhiên một đa thức s 



RISKE



(khóa



bí mật của hệ mật RISKE) và mã hóa khóa này thành bản mã

c1  h * e  2.e  s mod q  Rn,q .

Sau đó, để mã hóa L  1 bit bản rõ m , đầu tiên Alice tính L

bit



M  (( w(m)  1) mod 2).x L 1  m  RL



và



L



bit



c2  M * s mod 2  RL . Cuối cùng Alice gửi L  n.log 2 q bit gồm hai

bản mã c1 và c2 tới Bob.

4.4.5. Thủ tục giải mã

Để giải mã các bản mã c1 và c2 , đầu tiên, Bob



C   f * c1 mod q  Rn,q từ đó tính s  C  mod 2  Rn,q . Sau đó, Bob

tính L bit M  t * c2 mod 2  RL với s  t  1mod 2  RL tính bởi Thuật

toán 2-1. Cuối cùng, Bob khôi phục L  1 bit bản rõ



m  M L 1.x L 1  M mod 2  RL .

4.4.6. Phân tích độ an toàn lý thuyết của HpNE

Do kế thừa các đặc tính của pNE và RISKE, HpNE có độ an

toàn IND-CPA (định lý 4-4).

4.4.7. Phân tích hiệu năng lý thuyết của HpNE

Các thuật toán của HpNE có độ phức tạp chỉ là O(n 2 ) . Ngoài

ra, hệ số mở rộng bản tin của HpNE, ký hiệu là X HpNE , được tính như

sau



26



X HpNE 



L  n.log 2 q

1  n.log 2 q

1

.

L 1

L 1



(2.3)



Dễ thấy, với n cố định, ta có thể tăng độ dài bản rõ L để giảm

thiểu X HpNE .

4.5. KẾT LUẬN CHƯƠNG

Trong chương này, bằng cách kết hợp vành đa thức chẵn tuyệt

đối R2k , một lớp con của các vành đa thức chẵn R2n với các loại vành

đa thức khác, nghiên cứu sinh đã đề xuất ba hệ mật mới có nhiều đặc

tính cải tiến so với các hệ mật gốc. Hệ mật DTRU, một biến thể mới

của hệ mật nổi tiếng NTRU, có thể coi là một ứng viên tiềm năng hơn

NTRU trong các ứng dụng cho các thiết bị có tài nguyên tính toán hạn

chế. Dựa trên các phần tử nghịch đảo mở rộng trong vành đa thức R2C

, hệ mật E-RISKE cho phép lựa chọn các tham số của hệ mật RISKE

(độ dài khóa, độ dài bản mã,…) linh hoạt hơn cho các ứng dụng mật

mã cụ thể. Cuối cũng, HpNE là một sự lai ghép phù hợp giữa RISKE

(dựa trên các vành R2k ) và hệ mật pNE (dựa trên các vành R2k , q ) theo

mô hình KEM/DEM, tận dụng ưu điểm cũng như khắc phục nhược

điểm của cả hai hệ mật này.

Các kết quả trong chương này cũng khẳng định, việc kết hợp

vành đa thức chẵn với các vành đa thức có cấu trúc đặc biệt khác để

xây dựng các hệ mật là hướng nghiên cứu hữu ích và khả thi.



27

KẾT LUẬN

Các kết quả đạt được:

Sau một thời gian nghiên cứu với sự nỗ lực của bản thân và sự

hướng dẫn tận tình của GS.TS. Nguyễn Bình, đề tài “Các hệ mật dựa

trên vành đa thức chẵn” của nghiên cứu sinh đã hoàn thành với một

số kết quả sau đây.

Về mặt toán học, luận án đã chứng minh một số đặc tính toán

học mới của các vành đa thức chẵn cùng một số loại vành đa thức đặc

biệt. Cụ thể là:

1) Tìm ra hai loại vành đa thức có tỉ lệ giữa số phần tử khả nghịch

trên tổng số đa thức của vành là cực đại, vành đa thức chẵn

tuyệt đối R2k và vành đa thức chỉ có hai lớp kề cyclic R2C .

2) Đề xuất được một thuật toán hiệu quả để xác định nghịch đảo

của các phần tử khả nghịch trên vành đa thức chẵn tuyệt đối



R2k .

3) Đề xuất được một công thức để xác định nghịch đảo mở rộng

của các phần tử khả nghịch mở rộng trên các vành Rn với n

lẻ (trong đó có vành R2C ). Đề xuất một thuật toán sử dụng các

phần tử khả nghịch mở rộng làm khóa của các hệ mật trước

đây chỉ có thể sử dụng các phần tử khả nghịch làm khóa.

4) Đề xuất các công thức tính căn bậc hai chính của một thặng dư

bậc hai trong vành



R2n và phần tử liên hợp của chúng.



Về các ứng dụng trong mật mã, luận án đã:



28

1) Đề xuất được 03 hệ mật trên vành đa thức chẵn (bao gồm

RISKE, QRHE và IPKE), trong đó có hai hệ mật có độ an

toàn IND-CPA;

2) Đề xuất được 03 hệ mật dựa trên sự kết hợp của vành đa

thức chẵn và một số loại vành đa thức đặc biệt khác

(DTRU, E-RISKE và HpNE). Ba hệ mật này đều có độ an

toàn IND-CPA.

Các hệ mật được đề xuất nhìn chung đều có độ phức tạp tính

toán thấp và an toàn với các tấn công phổ biến đã khẳng định ưu điểm

của vành đa thức chẵn R2n nói riêng và vành đa thức Rn nói chung so

với các cấu trúc đại số khác trong các ứng dụng mật mã. Các hệ mật

này có thể được xem xét ứng dụng trong các thiết bị có tài nguyên tính

toán hạn chế rất phổ biến trong môi trường IoT.

Một số khuyến nghị về các hướng nghiên cứu tiếp theo:

1) Nghiên cứu xây dựng các hệ mật dựa trên các lớp vành đa thức có

tỉ lệ số phần tử khả nghịch hoặc khả nghịch mở rộng trên tổng số

đa thức trong vành đạt cực đại hoặc gần cực đại.

2) Nghiên cứu đưa các hệ mật khóa công khai IPKE và DTRU về các

bài toán khó cơ sở đã được chứng minh về độ an toàn để tăng cường

độ tin cậy của các hệ mật này.

3) Đánh giá thử nghiệm các hệ mật đã đề xuất trên các hệ thống phần

cứng cụ thể, đặc biệt là các hệ thống có tài nguyên hạn chế để đánh

giá chính xác ưu điểm về tốc độ tính toán của các hệ mật đã xây

dựng được cũng như cải tiến các hệ mật này cho phù hợp với các

thiết bị có tài nguyên hạn chế trong môi trường IoT.

4) Nghiên cứu độ an toàn của các hệ mật đã đề xuất trong môi trường

xử lý song song.