短整数解問題

短整数解（SIS）問題と環SIS問題は、格子ベース暗号の構築において用いられる2つの平均ケース問題です。格子ベース暗号は、1996年にミクローシュ・アジタイ^[1]による独創的な研究から始まりました。彼はSIS問題に基づく一方向性関数の族を提示しました。彼は、最短ベクトル問題（ある定数に対して）が最悪のケースで困難であれば、平均ケースでは安全であることを示しました。 $\mathrm {SVP} _{\gamma }$ $\gamma =n^{c}$ $c>0$

平均ケース問題とは、ランダムに選択されたいくつかのインスタンスに対して解くのが困難な問題です。暗号アプリケーションにおいては、最悪ケースの複雑さだけでは不十分であり、平均ケースの複雑さに基づいて暗号構築が困難であることを保証する必要があります。

格子

フルランク格子 は、基底と呼ばれる線形独立ベクトルの整数線形結合の集合です。 ${\mathfrak {L}}\subset \mathbb {R} ^{n}$ $n$ $\{b_{1},\ldots ,b_{n}\}$

{\mathfrak {L}}(b_{1},\ldots ,b_{n})=\left\{\sum _{i=1}^{n}z_{i}b_{i}:z_{i}\in \mathbb {Z} \right\}=\{B{\boldsymbol {z}}:{\boldsymbol {z}}\in \mathbb {Z} ^{n}\}

ここで、は列に基底ベクトルを持つ行列です。 $B\in \mathbb {R} ^{n\times n}$

注意:格子の 2 つの基底が与えられている場合、となるユニモジュラ行列が存在します。 $B_{1},B_{2}$ ${\mathfrak {L}}$ $U_{1}$ $B_{1}=B_{2}U_{1}^{-1},B_{2}=B_{1}U_{1}$

理想的な格子

定義:上の回転シフト演算子はで表され、次のように定義されます。 $\mathbb {R} ^{n}(n\geq 2)$ $\operatorname {rot}$

\forall {\boldsymbol {x}}=(x_{1},\ldots ,x_{n-1},x_{n})\in \mathbb {R} ^{n}:\operatorname {rot} (x_{1},\ldots ,x_{n-1},x_{n})=(x_{n},x_{1},\ldots ,x_{n-1})

巡回格子

ミッチアンチョは、コンパクトナップサック問題を任意の環に一般化する研究において、巡回格子を導入した。^[2]巡回格子とは、回転シフト作用素に関して閉じた格子である。正式には、巡回格子は以下のように定義される。

定義:格子が巡回的である場合。 ${\mathfrak {L}}\subseteq \mathbb {Z} ^{n}$ $\forall {\boldsymbol {x}}\in {\mathfrak {L}}:\operatorname {rot} ({\boldsymbol {x}})\in {\mathfrak {L}}$

例: ^[3]

$\mathbb {Z} ^{n}$ それ自体は巡回格子である。
商多項式環の任意のイデアルに対応する格子は巡回的である。 $R=\mathbb {Z} [x]/(x^{n}-1)$

商多項式環を考え、を内の何らかの多項式、すなわちに対してとします。 $R=\mathbb {Z} [x]/(x^{n}-1)$ $p(x)$ $R$ $p(x)=\sum _{i=0}^{n-1}a_{i}x^{i}$ $a_{i}\in \mathbb {Z}$ $i=0,\ldots ,n-1$

埋め込み係数- モジュール同型を次のように定義します。 $\mathbb {Z}$ $\rho$

{\begin{aligned}\quad \rho :R&\rightarrow \mathbb {Z} ^{n}\\[4pt]p(x)=\sum _{i=0}^{n-1}a_{i}x^{i}&\mapsto (a_{0},\ldots ,a_{n-1})\end{aligned}}

をイデアルとする。イデアルに対応する格子はの部分格子であり、次のように定義される。 $I\subset R$ $I\subset R$ ${\mathfrak {L}}_{I}$ $\mathbb {Z} ^{n}$

{\mathfrak {L}}_{I}:=\rho (I)=\left\{(a_{0},\ldots ,a_{n-1})\mid \sum _{i=0}^{n-1}a_{i}x^{i}\in I\right\}\subset \mathbb {Z} ^{n}.

定理: が巡回的である場合、かつその場合のみ、商多項式環内の何らかのイデアルに対応する。 ${\mathfrak {L}}\subset \mathbb {Z} ^{n}$ ${\mathfrak {L}}$ $I$ $R=\mathbb {Z} [x]/(x^{n}-1)$

証明:以下があります: $\Leftarrow )$

{\mathfrak {L}}={\mathfrak {L}}_{I}:=\rho (I)=\left\{(a_{0},\ldots ,a_{n-1})\mid \sum _{i=0}^{n-1}a_{i}x^{i}\in I\right\}

をの任意の元とします。次に、を定義します。しかし、はイデアルなので、が成り立ちます。そして、です。しかし、です。したがって、は巡回的です。 $(a_{0},\ldots ,a_{n-1})$ ${\mathfrak {L}}$ $p(x)=\sum _{i=0}^{n-1}a_{i}x^{i}\in I$ $I$ $xp(x)\in I$ $\rho (xp(x))\in {\mathfrak {L}}_{I}$ $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ ${\mathfrak {L}}$

$\Rightarrow )$

を巡回格子とします。したがって。 ${\mathfrak {L}}\subset \mathbb {Z} ^{n}$ $\forall (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}:\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}$

多項式の集合を定義する： $I:=\left\{\sum _{i=0}^{n-1}a_{i}x^{i}\mid (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}\right\}$

は格子であり、したがっての加法部分群であるため、はの加法部分群です。 ${\mathfrak {L}}$ $\mathbb {Z} ^{n}$ $I\subset R$ $R$
は巡回的であるため、 . ${\mathfrak {L}}$ $\forall p(x)\in I:xp(x)\in I$

したがって、は理想であり、結果として、です。 $I\subset R$ ${\mathfrak {L}}={\mathfrak {L}}_{I}$

理想的な格子

出典: ^[4]

を次数の単項多項式とする。暗号アプリケーションでは、は通常、既約となるように選択される。によって生成されるイデアルは以下である。 $f(x)\in \mathbb {Z} [x]$ $n$ $f(x)$ $f(x)$

(f(x)):=f(x)\cdot \mathbb {Z} [x]=\{f(x)g(x):\forall g(x)\in \mathbb {Z} [x]\}.

商多項式環は、最大次数の多項式の同値類に分割されます。 $R=\mathbb {Z} [x]/(f(x))$ $\mathbb {Z} [x]$ $n-1$

R=\mathbb {Z} [x]/(f(x))=\left\{\sum _{i=0}^{n-1}a_{i}x^{i}:a_{i}\in \mathbb {Z} \right\}

ここで、加算と乗算はを法として約されます。 $f(x)$

埋め込み係数- 加群同型を考える。すると、の各イデアルは、イデアル格子と呼ばれるの部分格子を定義する。 $\mathbb {Z}$ $\rho$ $R$ $\mathbb {Z} ^{n}$

定義： イデアルに対応する格子はイデアル格子と呼ばれます。より正確には、商多項式環を考えます。ここでは次数多項式によって生成されるイデアルです。はの部分格子であり、次のように定義されます。 ${\mathfrak {L}}_{I}$ $I$ $R=\mathbb {Z} [x]/(p(x))$ $(p(x))$ $n$ $p(x)\in \mathbb {Z} [x]$ ${\mathfrak {L}}_{I}$ $\mathbb {Z} ^{n}$

{\mathfrak {L}}_{I}:=\rho (I)=\left\{(a_{0},\ldots ,a_{n-1})\mid \sum _{i=0}^{n-1}a_{i}x^{i}\in I\right\}\subset \mathbb {Z} ^{n}.

備考: ^[5]

イデアル格子上では、たとえ小さな値であっても、通常は容易に計算できることがわかります。直感的には、代数対称性により、イデアルの最小距離は狭く、容易に計算できる範囲内に収まると考えられます。 ${\text{GapSVP}}_{\gamma }$ $\gamma =\operatorname {poly(n)}$
理想格子に備わっている代数的対称性を利用することで、短い非零ベクトルを（ほぼ）同じ長さの線形独立ベクトルに変換することができます。したがって、理想格子上では、、およびはわずかな損失で同値です。^{[6]さらに、}量子アルゴリズムにおいても、、およびは最悪のシナリオでは非常に困難であると考えられています。 $n$ $\mathrm {SVP} _{\gamma }$ $\mathrm {SIVP} _{\gamma }$ $\mathrm {SVP} _{\gamma }$ $\mathrm {SIVP} _{\gamma }$

短整数解問題

短整数解（SIS）問題は、格子暗号の構築に用いられる平均ケース問題である。格子暗号は、1996年にAjtai ^[1]による独創的な研究から始まった。彼はSIS問題に基づく一方向性関数の族を提示した。彼は、（ある定数に対して）が最悪のシナリオで困難である場合、平均ケースではSIS問題が安全であることを示した。SIS問題とその変種は、古典暗号への応用に加え、CRYSTALS-DilithiumやFalconなど、いくつかの量子耐性セキュリティ方式にも利用されている。^[7]^[8] $\mathrm {SVP} _{\gamma }$ $\gamma =n^{c}$ $c>0$

シス_{q、n、m、β}

をの要素とし、一様乱数ベクトルで構成される行列とします。あるノルムに対してとなる非ゼロベクトルを求めます。 $A\in \mathbb {Z} _{q}^{n\times m}$ $n\times m$ $\mathbb {Z} _{q}$ $m$ ${\boldsymbol {a_{i}}}\in \mathbb {Z} _{q}^{n}$ $A=[{\boldsymbol {a_{1}}}|\cdots |{\boldsymbol {a_{m}}}]$ ${\boldsymbol {x}}\in \mathbb {Z} ^{m}$ $\|\cdot \|$

$0<\|{\boldsymbol {x}}\|\leq \beta$ 、
$f_{A}({\boldsymbol {x}}):=A{\boldsymbol {x}}={\boldsymbol {0}}\in \mathbb {Z} _{q}^{n}$ 。

SISの解は、解の長さ（）に関する必要な制約なしに、ガウス消去法を用いて簡単に計算できます。また、も必要です。そうでなければ、は自明な解です。 $\|{\boldsymbol {x}}\|\leq \beta$ $\beta <q$ ${\boldsymbol {x}}=(q,0,\ldots ,0)\in \mathbb {Z} ^{m}$

非自明で短い解決策を保証するには、次のものが必要です。 $f_{A}({\boldsymbol {x}})$

$\beta \geq {\sqrt {n\log q}}$ 、そして
$m\geq n\log q$

定理:任意の、任意の、および十分に大きい任意の(任意の定数に対して)について、無視できない確率で解くことは、最悪のシナリオで高い確率でおよびを解くことと同じくらい少なくとも困難です。 $m=\operatorname {poly} (n)$ $\beta >0$ $q\geq \beta n^{c}$ $c>0$ $\operatorname {SIS} _{n,m,q,\beta }$ $\operatorname {GapSVP} _{\gamma }$ $\operatorname {SIVP} _{\gamma }$ $\gamma =\beta \cdot O({\sqrt {n}})$

R-SIS_{q、n、m、β}

理想環上で解かれるSIS問題は、Ring-SIS問題またはR-SIS問題とも呼ばれます。^[2]^[9]この問題は、ある整数に対しての商多項式環とあるノルムを持つ商多項式環を考えます。特に興味深いのは、となる整数が存在する場合で、これが商を円分多項式に制限する場合です。^[10] $R_{q}=\mathbb {Z} _{q}[x]/(f(x))$ $f(x)=x^{n}-1$ $n$ $\|\cdot \|$ $k$ $n=2^{k}$

次に、問題を次のように定義します。

独立な一様ランダム要素を選択する。ベクトルを定義する。次を満たす非ゼロベクトルを求める。 $m$ $a_{i}\in R_{q}$ ${\vec {\boldsymbol {a}}}:=(a_{1},\ldots ,a_{m})\in R_{q}^{m}$ ${\vec {\boldsymbol {z}}}:=(z_{1},\ldots ,z_{m})\in R^{m}$

$0<\|{\vec {\boldsymbol {z}}}\|\leq \beta$ 、
$f_{\vec {\boldsymbol {a}}}({\vec {\boldsymbol {z}}}):={\vec {\boldsymbol {a}}}^{T}.{\vec {\boldsymbol {z}}}=\sum _{i=1}^{m}a_{i}.z_{i}=0\in R_{q}$ 。

SIS問題の解の存在を保証するにはが必要であることを思い出してください。しかし、リングSIS問題はより簡潔で効率的です。リングSIS問題の解の存在を保証するにはが必要です。 $m\approx n\log q$ $m\approx \log q$

定義:の負循環行列は次のように定義されます。 $b$

{\text{for}}\quad b=\sum _{i=0}^{n-1}b_{i}x^{i}\in R,\quad \operatorname {rot} (b):={\begin{bmatrix}b_{0}&-b_{n-1}&\ldots &-b_{1}\\[0.3em]b_{1}&b_{0}&\ldots &-b_{2}\\[0.3em]\vdots &\vdots &\ddots &\vdots \\[0.3em]b_{n-1}&b_{n-2}&\ldots &b_{0}\end{bmatrix}}

商多項式環がのとき、環の乗算は、まずの負循環行列を形成し、次にの埋め込み係数ベクトル（または、標準係数ベクトル）を乗算することによって効率的に計算できます。 $R=\mathbb {Z} [x]/(x^{n}+1)$ $n=2^{k}$ $a_{i}.p_{i}$ $\operatorname {rot} (a_{i})$ $a_{i}$ $\operatorname {rot} (a_{i})$ $\rho (p_{i}(x))\in Z^{n}$ $p_{i}$ $\sigma (p_{i}(x))\in Z^{n}$

さらに、R-SIS問題はSIS問題の特殊なケースであり、SIS問題における行列は負の巡回ブロックに制限される。^[10] $A$ $A=[\operatorname {rot} (a_{1})|\cdots |\operatorname {rot} (a_{m})]$

M-SIS_{q、n、d、m、β}

モジュール格子上で解かれるSIS問題は、モジュールSIS問題またはM-SIS問題とも呼ばれます。R-SIS問題と同様に、この問題は、が2のべき乗である場合に特に注目して、の商多項式環とを考えます。次に、が階数のモジュールであってとなるものとし、が上の任意のノルムであるとします。 $R=\mathbb {Z} [x]/(f(x))$ $R_{q}=\mathbb {Z} _{q}[x]/(f(x))$ $f(x)=x^{n}-1$ $n$ $M$ $d$ $M\subseteq R^{d}$ $\|\cdot \|$ $R_{q}^{m}$

次に、問題を次のように定義します。

独立な一様ランダム要素を選択する。ベクトルを定義する。次を満たす非ゼロベクトルを求める。 $m$ $a_{i}\in R_{q}^{d}$ ${\vec {\boldsymbol {a}}}:=(a_{1},\ldots ,a_{m})\in R_{q}^{d\times m}$ ${\vec {\boldsymbol {z}}}:=(z_{1},\ldots ,z_{m})\in R^{m}$

$0<\|{\vec {\boldsymbol {z}}}\|\leq \beta$ 、
$f_{\vec {\boldsymbol {a}}}({\vec {\boldsymbol {z}}}):={\vec {\boldsymbol {a}}}^{T}.{\vec {\boldsymbol {z}}}=\sum _{i=1}^{m}a_{i}.z_{i}=0\in R_{q}^{d}$ 。

M-SISはR-SISほどコンパクトではないものの、M-SIS問題は漸近的に少なくともR-SISと同程度に困難であるため、SISの困難性仮定に対してより厳密な境界値を与える。そのため、M-SISの困難性を仮定することは、R-SISと比較してより安全ではあるものの、基礎となる仮定としては効率性が低い。^[10]

参照

参考文献

^ ab Ajtai, Miklós. [格子問題の困難なインスタンス生成] 第28回ACMコンピューティング理論シンポジウム議事録. ACM, 1996.
^ ab Micciancio, Daniele. [一般化されたコンパクトナップサック、巡回格子、そして最悪ケースの計算量仮定に基づく効率的な一方向性関数。] Foundations of Computer Science, 2002. Proceedings. The 43rd Annual IEEE Symposium on. IEEE, 2002.
^ Fukshansky, Lenny, Xun Sun. [巡回格子の幾何学について] Discrete & Computational Geometry 52.2 (2014): 240–259.
^ Craig Gentry. 理想格子を用いた完全準同型暗号化.第41回ACMコンピューティング理論シンポジウム（STOC） , 2009年.
^ ペイカート、クリス。[格子暗号の10年] Cryptology ePrint Archive、レポート2015/939、2015年。
^ Peikert, Chris, and Alon Rosen. [巡回格子における最悪ケース仮定に基づく効率的な衝突耐性ハッシュ法] 暗号理論. Springer Berlin Heidelberg, 2006. 145–166.
^ 白、史;デュカス、レオ。キルツ、アイク。ルポイント、タンクレード。リュバシェフスキー、ヴァディム。シュワーベ、ピーター。ザイラー、グレゴ4;ダミアン・シュテーレ（2020年10月1日）。「CRYSTALS-Dilithium:アルゴリズム仕様とサポートドキュメント」(PDF)。PQ-Crystals.org 。2023 年11 月 13 日に取得。{{cite web}}: CS1 maint: numeric names: authors list (link)
^ Fouque, Pierre-Alain; Hoffstein, Jeffrey; Kirchner, Paul; Lyubashevsky, Vadim; Pornin, Thomas; Prest, Thomas; Ricosset, Thomas; Seiler, Gregor; Whyte, William; Zhang, Zhenfei (2020年10月1日). 「Falcon: Fast-Fourier Lattice-based Compact Signatures over NTRU」 . 2023年11月13日閲覧。
^ Lyubashevsky, Vadim, et al. [SWIFFT: FFTハッシュのための控えめな提案。] 高速ソフトウェア暗号化。Springer Berlin Heidelberg、2008年。
^ abc Langlois, Adeline, Damien Stehlé. [モジュール格子の最悪ケースから平均ケースへの縮約] Designs, Codes and Cryptography 75.3 (2015): 565–599.

[Ajtai,_Miklós_1996-1] Ajtai, Miklós. [格子問題の困難なインスタンス生成] 第28回ACMコンピューティング理論シンポジウム議事録. ACM, 1996.

[micciancio2002generalized-2] Micciancio, Daniele. [一般化されたコンパクトナップサック、巡回格子、そして最悪ケースの計算量仮定に基づく効率的な一方向性関数。] Foundations of Computer Science, 2002. Proceedings. The 43rd Annual IEEE Symposium on. IEEE, 2002.

[3] Fukshansky, Lenny, Xun Sun. [巡回格子の幾何学について] Discrete & Computational Geometry 52.2 (2014): 240–259.

[4] Craig Gentry. 理想格子を用いた完全準同型暗号化.第41回ACMコンピューティング理論シンポジウム（STOC） , 2009年.

[5] ペイカート、クリス。[格子暗号の10年] Cryptology ePrint Archive、レポート2015/939、2015年。

[6] Peikert, Chris, and Alon Rosen. [巡回格子における最悪ケース仮定に基づく効率的な衝突耐性ハッシュ法] 暗号理論. Springer Berlin Heidelberg, 2006. 145–166.

[Crystals-Dilithium-7] 白、史;デュカス、レオ。キルツ、アイク。ルポイント、タンクレード。リュバシェフスキー、ヴァディム。シュワーベ、ピーター。ザイラー、グレゴ4;ダミアン・シュテーレ（2020年10月1日）。「CRYSTALS-Dilithium:アルゴリズム仕様とサポートドキュメント」(PDF)。PQ-Crystals.org 。2023 年11 月 13 日に取得。{{cite web}}: CS1 maint: numeric names: authors list (link)

[FALCON-8] Fouque, Pierre-Alain; Hoffstein, Jeffrey; Kirchner, Paul; Lyubashevsky, Vadim; Pornin, Thomas; Prest, Thomas; Ricosset, Thomas; Seiler, Gregor; Whyte, William; Zhang, Zhenfei (2020年10月1日). 「Falcon: Fast-Fourier Lattice-based Compact Signatures over NTRU」 . 2023年11月13日閲覧。

[9] Lyubashevsky, Vadim, et al. [SWIFFT: FFTハッシュのための控えめな提案。] 高速ソフトウェア暗号化。Springer Berlin Heidelberg、2008年。

[LangloisStehle2015-10] Langlois, Adeline, Damien Stehlé. [モジュール格子の最悪ケースから平均ケースへの縮約] Designs, Codes and Cryptography 75.3 (2015): 565–599.

v t e 計算困難性の仮定
数論的	整数因数分解ファイ隠蔽 RSA問題強力なRSA 二次残差決定的複合残余高い残留性
群論的	離散対数ディフィー・ヘルマン決定的ディフィー・ヘルマン計算的ディフィー・ヘルマン
ペアリング	外部ディフィー・ヘルマンサブグループの非表示決定線形
格子	最短ベクトル問題（ギャップ）最近似ベクトル問題（ギャップ）間違いから学ぶエラーを伴うリング学習短整数解
非暗号化	指数時間仮説ユニークゲーム予想植え付けられたクリークの推測

短整数解問題

格子

理想的な格子

巡回格子

理想的な格子

短整数解問題

シスq、n、m、β

R-SISq、n、m、β

M-SISq、n、d、m、β

参照

参考文献

シス_{q、n、m、β}

R-SIS_{q、n、m、β}

M-SIS_{q、n、d、m、β}