短整数解問題

短整数解(SIS)問題と環SIS問題は、格子ベース暗号の構築において用いられる2つの平均ケース問題です。格子ベース暗号は、1996年にミクローシュ・アジタイ[1]による独創的な研究から始まりました。彼はSIS問題に基づく一方向性関数の族を提示しました。彼は、最短ベクトル問題ある定数 に対して)が最悪のケースで困難であれば、平均ケースでは安全であることを示しました。

平均ケース問題とは、ランダムに選択されたいくつかのインスタンスに対して解くのが困難な問題です。暗号アプリケーションにおいては、最悪ケースの複雑さだけでは不十分であり、平均ケースの複雑さに基づいて暗号構築が困難であることを保証する必要があります。

格子

フルランク格子 は、基底と呼ばれる線形独立ベクトルの整数線形結合の集合です

ここで、は列に基底ベクトルを持つ行列です。

注意:格子 の 2 つの基底が与えられている場合、となるユニモジュラ行列が存在します

理想的な格子

定義:上の回転シフト演算子は で表され、次のように定義されます。

巡回格子

ミッチアンチョは、コンパクトナップサック問題を任意の環に一般化する研究において、巡回格子を導入した。[2]巡回格子とは、回転シフト作用素に関して閉じた格子である。正式には、巡回格子は以下のように定義される。

定義:格子が巡回的である場合

例: [3]

  1. それ自体は巡回格子である。
  2. 商多項式環の任意のイデアルに対応する格子は巡回的である。

商多項式環 を考え、 を内の何らかの多項式すなわちに対してとします

埋め込み係数- モジュール同型を次のように定義します。

をイデアルとする。イデアル に対応する格子の部分格子であり、次のように定義される。

定理: が巡回的である場合、かつその場合のみ、商多項式環 内の何らかのイデアルに対応する

証明:以下があります:

を の任意の元とします次に、 を定義します。しかし、はイデアルなので、 が成り立ちます。そして、 です。しかし、です。したがって、は巡回的です。

を巡回格子とします。したがって

多項式の集合を定義する

  1. は格子であり、したがって の加法部分群であるためは の加法部分群です
  2. は巡回的であるため、 .

したがって、は理想であり、結果として、 です

理想的な格子

出典: [4]

を次数 の単項多項式とする暗号アプリケーションでは、は通常、既約となるように選択される。 によって生成されるイデアルは以下である。

商多項式環は、最大次数の多項式の同値類に分割されます

ここで、加算と乗算は を法として約されます

埋め込み係数- 加群同型を考える。すると、 の各イデアルは、イデアル格子と呼ばれるの部分格子を定義する

定義: イデアル に対応する格子 はイデアル格子と呼ばれます。より正確には、商多項式環 を考えます。ここでは次数多項式によって生成されるイデアルですは の部分格子 であり、次のように定義されます。

備考: [5]

  1. イデアル格子上では、たとえ小さな値であっても、通常は容易に計算できることがわかります。直感的には、代数対称性により、イデアルの最小距離は狭く、容易に計算できる範囲内に収まると考えられます。
  2. 理想格子に備わっている代数的対称性を利用することで、短い非零ベクトルを(ほぼ)同じ長さの線形独立ベクトルに変換することができます。したがって、理想格子上では、、およびはわずかな損失で同値です。[6]さらに、量子アルゴリズムにおいても、、およびは最悪のシナリオでは非常に困難であると考えられています。

短整数解問題

短整数解(SIS)問題は、格子暗号の構築に用いられる平均ケース問題である。格子暗号は、1996年にAjtai [1]による独創的な研究から始まった。彼はSIS問題に基づく一方向性関数の族を提示した。彼は、ある定数に対して)が最悪のシナリオで困難である場合、平均ケースではSIS問題が安全であることを示した。SIS問題とその変種は、古典暗号への応用に加え、CRYSTALS-DilithiumFalconなど、いくつかの量子耐性セキュリティ方式にも利用されている。[7] [8]

シスqnmβ

を の要素とし、一様乱数ベクトルで構成される行列としますあるノルム に対して となる非ゼロベクトルを求めます

SISの解は、解の長さ( )に関する必要な制約なしに、ガウス消去を用いて簡単に計算できます。また、 も必要です。そうでなければ、は自明な解です。

非自明で短い解決策を保証するには、次のものが必要です。

  • 、 そして

定理:任意の、任意の 、および十分に大きい任意の(任意の定数 に対して)について、無視できない確率で解くことは、最悪のシナリオで高い確率でおよびを解くことと同じくらい少なくとも困難です。

R-SISqnmβ

理想環上で解かれるSIS問題は、Ring-SIS問題またはR-SIS問題とも呼ばれます。[2] [9]この問題は、ある整数に対して の商多項式環あるノルム を持つ商多項式環を考えます。特に興味深いのは、となる整数 が存在する場合で、これが商を円分多項式に制限する場合です。[10]

次に、問題を次のように定義します。

独立な一様ランダム要素を選択する。ベクトルを定義する。次を満たす非ゼロベクトルを求める。

SIS問題の解の存在を保証するには が必要であることを思い出してください。しかし、リングSIS問題はより簡潔で効率的です。リングSIS問題の解の存在を保証するには が必要です

定義:負循環行列はのように定義されます。

商多項式環がのとき、環の乗算は、まず の負循環行列を形成し、次に の埋め込み係数ベクトル(または、標準係数ベクトル )を乗算することによって効率的に計算できます。

さらに、R-SIS問題はSIS問題の特殊なケースであり、SIS問題における行列は負の巡回ブロックに制限される[10]

M-SISqndmβ

モジュール格子上で解かれるSIS問題は、モジュールSIS問題またはM-SIS問題とも呼ばれます。R-SIS問題と同様に、この問題は、が2のべき乗である場合に特に注目して、 の商多項式環とを考えます。次に、 が階数のモジュールであって となるものとし上の任意のノルムであるとします

次に、問題を次のように定義します。

独立な一様ランダム要素を選択する。ベクトルを定義する。次を満たす非ゼロベクトルを求める。

M-SISはR-SISほどコンパクトではないものの、M-SIS問題は漸近的に少なくともR-SISと同程度に困難であるため、SISの困難性仮定に対してより厳密な境界値を与える。そのため、M-SISの困難性を仮定することは、R-SISと比較してより安全ではあるものの、基礎となる仮定としては効率性が低い。[10]

参照

参考文献

  1. ^ ab Ajtai, Miklós. [格子問題の困難なインスタンス生成] 第28回ACMコンピューティング理論シンポジウム議事録. ACM, 1996.
  2. ^ ab Micciancio, Daniele. [一般化されたコンパクトナップサック、巡回格子、そして最悪ケースの計算量仮定に基づく効率的な一方向性関数。] Foundations of Computer Science, 2002. Proceedings. The 43rd Annual IEEE Symposium on. IEEE, 2002.
  3. ^ Fukshansky, Lenny, Xun Sun. [巡回格子の幾何学について] Discrete & Computational Geometry 52.2 (2014): 240–259.
  4. ^ Craig Gentry. 理想格子を用いた完全準同型暗号化.第41回ACMコンピューティング理論シンポジウム(STOC) , 2009年.
  5. ^ ペイカート、クリス。[格子暗号の10年] Cryptology ePrint Archive、レポート2015/939、2015年。
  6. ^ Peikert, Chris, and Alon Rosen. [巡回格子における最悪ケース仮定に基づく効率的な衝突耐性ハッシュ法] 暗号理論. Springer Berlin Heidelberg, 2006. 145–166.
  7. ^ 白、史;デュカス、レオ。キルツ、アイク。ルポイント、タンクレード。リュバシェフスキー、ヴァディム。シュワーベ、ピーター。ザイラー、グレゴ4;ダミアン・シュテーレ(2020年10月1日)。 「CRYSTALS-Dilithium:アルゴリズム仕様とサポートドキュメント」(PDF)PQ-Crystals.org 2023 年11 月 13 日に取得{{cite web}}: CS1 maint: numeric names: authors list (link)
  8. ^ Fouque, Pierre-Alain; Hoffstein, Jeffrey; Kirchner, Paul; Lyubashevsky, Vadim; Pornin, Thomas; Prest, Thomas; Ricosset, Thomas; Seiler, Gregor; Whyte, William; Zhang, Zhenfei (2020年10月1日). 「Falcon: Fast-Fourier Lattice-based Compact Signatures over NTRU」 . 2023年11月13日閲覧
  9. ^ Lyubashevsky, Vadim, et al. [SWIFFT: FFTハッシュのための控えめな提案。] 高速ソフトウェア暗号化。Springer Berlin Heidelberg、2008年。
  10. ^ abc Langlois, Adeline, Damien Stehlé. [モジュール格子の最悪ケースから平均ケースへの縮約] Designs, Codes and Cryptography 75.3 (2015): 565–599.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Short_integer_solution_problem&oldid=1316776184"