Bài viết đề xuất khái niệm khả nghịch mở rộng, chúng tôi sẽ giới thiệu một lớp đặc biệt của các vành đa thức bậc hữu hạn hệ số nhị phân trong đó tất cả các đa thức đều khả nghịch hoặc khả nghịch mở rộng. Bằng cách khai thác các phần tử này, bài viết đề xuất một sơ đồ mật mã mới có tên là E-RISKE và chứng minh về mặt lý thuyết rằng hệ mật này không những tính toán hiệu quả mà còn chống lại được tấn công phân biệt bằng bản bản rõ được chọn (hay còn gọi là IND-CPA). Mời các bạn cùng tham khảo!
Hội Thảo Quốc Gia 2015 Điện Tử, Truyền Thông Công Nghệ Thông Tin (ECIT 2015) E-RISKE, sơ đồ mật mã khóa bí mật dựa phần tử khả nghịch khả nghịch mở rộng vành đa thức bậc hữu hạn hệ số nhị phân có hai lớp kề cyclic Cao Minh Thắng∗ , Nguyễn Bình∗ , Hồng Mạnh Thắng∗ , Nguyễn Ngọc Qn∗ ∗ Học Viện Cơng Nghệ Bưu Chính Viễn Thơng Email: {thangcm, nguyenbinh, thanghm, quannn}@ptit.edu.vn Tóm tắt—Các phần tử khả nghịch vành đa thức bậc hữu hạn khai thác để xây dựng số hệ mật khóa cơng khai thú vị NTRU pNE Trong báo này, sau đề xuất khái niệm "khả nghịch mở rộng", giới thiệu lớp đặc biệt vành đa thức bậc hữu hạn hệ số nhị phân tất đa thức khả nghịch khả nghịch mở rộng Bằng cách khai thác phần tử này, đề xuất sơ đồ mật mã có tên E-RISKE chứng minh mặt lý thuyết hệ mật tính tốn hiệu mà cịn chống lại công phân biệt bản rõ chọn (hay cịn gọi IND-CPA) Từ khóa—Sơ đồ mật mã, khóa bí mật, vành đa thức bậc hữu hạn hệ số nhị phân, hai lớp kề cyclic, phần tử khả nghịch mở rộng I GIỚI THIỆU Ứng dụng phần tử khả nghịch vành đa thức Rn,q = Zq [x]/(xn − 1) mật mã phổ biến, điển hình hệ mật khóa cơng khai xác suất tiếng NTRU [2] biến thể CTRU [3] đặc biệt pNE [6], hệ mật dựa vành R2s ,q |s ∈ Z + , coi biến thể nhật NTRU có độ an tồn chứng minh Lợi ích việc sử dụng phần tử khả nghịch mật mã tốc độ tính tốn Cụ thể là, phép nhân modulo vành đa thức Rn,q cần O(n2 ) phép tính Bằng cách khai thác đặc điểm này, với độ an toàn liên quan tới số tốn khó dàn, NTRU có tốc độ tính tốn nhanh sơ đồ mật mã dựa số nguyên logarit rời rạc trường hữu hạn đường cong eliptic Hệ là, hệ mật chuẩn hóa IEEE tiêu chuẩn P.1363.1 năm 2008 coi đề cử thay hệ mật khố cơng khai truyền thống Vành đa thức bậc hữu hạn hệ số nhị phân Rn = Z2 [x]/(xn + 1), lớp Rn,q , sử dụng phổ biến mã sửa sai không ứng dụng rộng rãi mật mã loại trừ lớp vành Rn,2 với n = 2N |N ∈ Z + Năm 2002, nhóm nhân cyclic R2k ,2 khai thác để để xây dựng hệ mật khóa bí mật [7] hệ mật sau để xuất phiên DES [8] Mục II báo trình bày số khái niệm sơ đồ mật mã độ an toàn chứng minh Trong mục III, với khái niệm "khả nghịch mở rộng", giới thiệu lớp đặc biệt Rn,2 có số phần tử khả nghịch (và tương ứng số phần tử khả nghịch mở rộng) lớn (Định lý 1) Bằng cách khai thác tập phần tử đó, phần IV, đề xuất sơ đồ mật mã khóa bí mật xác suất có tên E-RISKE (Extended Random Invertible Secret-Key Encryption scheme) với tốc độ tính tốn nhanh chứng minh an tồn với công nghe (INDEAV) định lý công phân biệt rõ chọn (IND-CPA) định lý Kết luận đề xuất hướng nghiên cứu đề cập mục V II CÁC KHÁI NIỆM IND-EAV VÀ IND-CPA Trong phần này, ta nhắc lại số khái niệm sơ đồ mật mã có độ an tồn chứng minh Định nghĩa Một sơ đồ mật mã Π(G, E, D, K, P, C), gồm thuật toán sinh khóa G, mã hóa E giải mã D với không gian không gian rõ P, khơng gian mã C, khơng gian khóa K Định nghĩa (Định nghĩa 3.4 [1]) Với n ∈ Z + , hàm f (n) gọi "không đáng kể" (negligible) với biến n với đa thức p(n) tồn số tự nhiên N0 thỏa mãn ∀n > N0 ta có f (n) < p(n) ISBN: 978-604-67-0635-9 240 Hội Thảo Quốc Gia 2015 Điện Tử, Truyền Thông Công Nghệ Thông Tin (ECIT 2015) Định đề 2−n theo khơng đáng kể với biến n 2(n−1) −1 hàm IND-EAV-ATK thành công không đáng kể hay + μ(n) Pr[SecKeav A,Π (n) = 1] ≤ với μ(n) hàm không đáng kể n Định đề Nếu p(n) đa thức n f (n) hàm khơng đáng kể với biến n p(n).f (n) hàm không đáng kể với biến n Định nghĩa [1] Một sơ đồ mã hóa khóa bí mật Π gọi an tồn với công phân biệt rõ chọn, viết tắt IND-CPA, xác suất để thí nghiệm IND-CPA-ATK thành công không đáng kể hay Định nghĩa Tấn công phân biệt nghe (INDEAV-ATK: Eavesdropping Indistinghuisability Attack) sơ đồ mã hóa khóa bí mật, ký hiệu SecKeav A,Π (n), mô tả sau:[1] + μ(n) với μ(n) hàm không đáng kể n Pr[SecKcpa A,Π (n) = 1] ≤ 1) Kẻ nghe (eavesdropper) A chọn cặp rõ m0 , m1 có chiều dài không gian rõ gửi tới mã hoá Chú ý độ dài cặp tin m0 , m1 khác độ dài n khố bí mật k 2) Bộ mã hố chọn ngẫu nhiên khóa k ∈ K có độ dài n bit chọn ngẫu nhiên bit b ← {0, 1} để tính mã c ← Ek (mb ) tính tốn trả lại cho A 3) Khi nhận c, A thực tính tốn đưa giá trị b� 4) Kết công trả b� = b trường hợp lại Nếu SecKeav A,Π (n) = nói A thực thành cơng loại cơng Có thể thấy, loại hình cơng IND-CPA-ATK, kẻ cơng truy cập khơng giới hạn tới thủ tục mã hóa E, mạnh cơng IND-EVA-ATK Do đó, ta coi IND-CPA an tồn IND-EAV III CÁC PHẦN TỬ KHẢ NGHỊCH VÀ KHẢ NGHỊCH MỞ RỘNG TRÊN VÀNH ĐA BẬC HỮU HẠN HỆ SỐ NHỊ PHÂN Trong phần này, tập trung vào vành đa thức nhị phân hữu hạn phân tử khả nghịch khả nghịch mở rộng Để thuận tiện, ta ký hiệu GF (2)[x]/(xn + 1)|n ∈ Z + Rn với giá trị ngầm định A Các định nghĩa ký hiệu Định nghĩa Vành đa thức bậc hữu hạn hệ số nhị phân Rn tập đa thức f có bậc nhỏ số nguyên n hệ số nằm GF (2) Định nghĩa Thí nghiệm cơng phân biệt rõ chọn (IND-CPA-ATK: Chosen Plain-text Attack Indistinghuishability Attack) sơ đồ mã hố khố bí mật [1], ký hiệu SecKcpa A,Π (n), mô tả sau: [1] Một phần tử f ∈ Rn biểu diễn n−1 fi f= 1) Kẻ công A quyền truy cập không giới hạn tới mã hoá A chọn cặp rõ m0 , m1 có chiều dài khơng gian rõ gửi tới mã hoá Chú ý độ dài cặp tin m0 , m1 khác độ dài n khố bí mật k 2) Bộ mã hố chọn ngẫu nhiên khóa k ∈ K có độ dài n bit chọn ngẫu nhiên bit b ← {0, 1} để tính mã c ← Ek (mb ) trả lại cho A 3) A tiếp tục truy nhập khơng giới hạn số lần tới mã hoá 4) Kết thí nghiệm trả b� = b trường hợp lại Nếu SecKcpa A,Π (n) = nói A thực thành công loại công i=0 định dạng đa thức f = (f0 , f1 , , fn−1 ) định dạng vector Trong Rn , toán tử nhân ký hiệu ∗, hiểu phép nhân module xn + 1, nghĩa h = f ∗ g h có hệ số hk = ( fi gj ) mod i+j=k mod n với ≤ k ≤ n − Bên cạnh đó, phép cộng Rn ký hiệu + h = f + g Định nghĩa [1] Một sơ đồ mã hóa khóa bí mật Π gọi an tồn với cơng phân biệt nghe lén, viết tắt IND-EAV, xác suất để thí nghiệm n−1 hi h= i=0 241 Hội Thảo Quốc Gia 2015 Điện Tử, Truyền Thông Công Nghệ Thông Tin (ECIT 2015) Bổ đề Trong Rn , tất đa thức có trọng số Hamming chẵn không khả nghịch với hi = (fi + gi ) mod Định nghĩa Trọng số Hamming đa thức f ∈ Rn ký hiệu w(f ) Chứng minh: Giả sử f ∈ Rn đa thức có trọng số Hamming chẵn Theo bổ đề ∀g ∈ Rn , w(f ∗ g) ln chẵn hay nói cách khác khơng tồn đa thức h thỏa mãn w(f ∗ h) lẻ Mặt khác w(1) = số lẻ Do đó, ta kết luận khơng tồn đa thức h thoả mãn w(f ∗ h) = hay f không khả nghịch Định nghĩa Một đa thức f ∈ Rn gọi khả nghịch tồn đa thức g ∈ Rn thỏa mãn f ∗ g = Để thuận lợi, ta ký hiệu tập đa thức khả nghịch Rn In Định nghĩa 10 Trong Rn , đa thức e gọi lũy đẳng e2 = e C Lũy đẳng nuốt khả nghịch mở rộng n−1 i Bổ đề Trong Rn , với e0n = i=0 x , ta ln có f ∗ e0n = (w(f ) mod 2).e0n ∀f ∈ Rn Trong Rn , e1 = lũy đẳng tầm thường Với n n−1 lẻ ta thấy e0n = i=0 xi lũy đẳng Định nghĩa 11 Tỉ lệ số phần tử khả nghịch tổng số đa thức Rn ký hiệu Kn f.x1 = fn−1 + f0 x + · · · + fn−2 xn−1 B Trọng số Hamming đa thức khả nghịch Bổ đề Trong Rn , w(f ) = 2k, w(g) = 2l|k, l ∈ Z + w(f + g) chẵn Chứng minh: Với N −1 i i=0 fi x g = N −1 h=f +g = i=0 n−1 ta có fj ) mod 2).xi i=0 j=0 hi xi n−1 (w(f ) mod 2).xi = (w(f ) mod 2) = i=0 xi i=0 = (w(f ) mod 2).e0n Bổ đề Trong Rn với n lẻ, đa thức e0n = n−1 i=0 fi xi lũy đẳng Chứng minh: Ta có Tổng quát hơn, h tổng đa thức có trọng số Hamming chẵn w(h) chẵn n−1 e20n = e0n ∗ (1 + Bổ đề Trong Rn , w(f ) chẵn ∀g ∈ Rn , w(g ∗ f ) chẵn fi xi ) i=1 n−1 = e0n + e0n ∗ Chứng minh: Giả sử g có dạng n−1 g = i=0 gi xi ta có i=0 n−1 (( n−1 w(h) = w(f ) − |S| + w(g) − |S| = 2(k + l − |S|) h=g∗f = n−1 fi xi = f.e0n = với hi = (fi + gi ) mod Vì fi , gi ∈ GF (2) nên hi = fi = gi Gọi S tập hợp chứa giá trị i thỏa mãn fi = gi = Dễ thấy N −1 f.xn−1 = f1 + f2 x + · · · + f0 xn−1 i=0 N −1 i i=0 gi x fi xi ta có f.x0 = f0 + f1 x + · · · + fn−1 xn−1 Vì đa thức khả nghịch ln có trọng số Hamming lẻ nên giá trị lớn Kn max(Kn ) = max(|In |)/|Rn | = 1/2 f= n−1 i=0 Chứng minh: Giả sử f = Vì n lẻ, w( n−1 i=1 fi xi i=1 x ) chẵn nên theo bổ đề 4, i i n−1 gi x ∗ f e0n ∗ Vì w(gi x ∗ f ) = gi w(f ) ln chẵn đó, theo bổ đề 1, w(h) chẵn i =0 i=0 e20n = e0n Do đó, theo định nghĩa 10, e0n lũy đẳng Rn 242 Hội Thảo Quốc Gia 2015 Điện Tử, Truyền Thông Công Nghệ Thông Tin (ECIT 2015) Định nghĩa 12 Trong Rn , lũy đẳng e gọi lũy đẳng nuốt Bổ đề Trong Rn với n lẻ, chọn k ∈ En với nghịch đảo mở rộng ke−1 , biết c = m ∗ k w(m) ta tính f ∗ e = (w(f ) mod 2).e ∀f ∈ Rn Chú ý rằng, Rn với n lẻ e0n = lũy đẳng nuốt m = (w(m) mod 2).e0n + ke−1 ∗ c n−1 i=0 Chứng minh: Do ke−1 ∗ k = e0n + 1, nên x i ke−1 ∗ c = ke−1 ∗ c = ke−1 ∗ k ∗ m = (e0n + 1) ∗ m = m + (w(m) mod 2).e0n Định nghĩa 13 Trong Rn , đa thức f � = f + e0n gọi đa thức bù f Hệ là, m = (w(m) mod 2).e0n + ke−1 ∗ c Ví dụ, R5 , k = x2 + x nghịch đảo mở rộng ke−1 = x2 + Với m = x3 + x ta có Như vậy, rõ ràng f đa thức bù f � Rn Định nghĩa 14 Trong Rn với n lẻ, đa thức f gọi khả nghịch mở rộng tồn thức g ∈ Rn thỏa mãn f ∗ g = (e0n + 1) c = m ∗ ke−1 = x4 + x3 + x2 + w(m) mod = nên m = k ∗ c = (x2 + x) ∗ (x4 + x3 + x2 + 1) = (x3 + x) Trong trường hợp này, g gọi nghịch đảo mở rộng f Rn Trong trường hợp m = x3 + x + 1, ta có Để thuận tiện, ta ký hiệu tập đa thức khả nghịch mở rộng Rn En c = m ∗ ke−1 = (x3 + x2 + x + 1) w(m) = hay w(m) mod = 1, nên Bổ đề Trong Rn với n lẻ, đa thức f khả nghịch với nghịch đảo g m = e05 + k ∗ c = (x4 + x3 + x2 + x + 1) f � = f + e0n + (x2 + x) ∗ (x3 + x2 + x + 1) đa thức khả nghịch mở rộng với nghịch đảo mở rộng g � = g + e0n = (x3 + x + 1) D Khả nghịch khả nghịch mở rộng vành đa thức hữu hạn có hai lớp kề cyclic Chứng minh: Ta có Định nghĩa 15 Tập số nguyên n thỏa mãn n−1 xn + = (x + 1) ∗ T với T = i=0 xi đa thức bất khả quy GF (2) ký hiệu N2C Trong trường hợp này, Rn gọi vành đa thức bậc hữu hạn hệ số nhị phân có hai lớp kề cyclic f � ∗ g � = (f + e0n ) ∗ (g + e0n ) = (f ∗ g + e20n + (f + g) ∗ e0n ) = (1 + e0n + (f + g) ∗ e0n ) Vì w(f ) w(g) lẻ, nên w(f + g) chẵn Do đó, theo bổ đề 5, (f + g) ∗ e0n = Hệ là, Theo thuật toán [4], ta tính N2C Một vài giá trị ví dụ n ∈ N2C f � ∗ g � = e0n + {3, 5, 11, 13, 19, 29, 37, 53, 59, 61, 67, 83, 101, 1019, 1061, 1091, 1109, 1117, 1123, 1171, 1187, 2053, 2069, 2083, 2099, 2131, 2141, 2213, 2221, Vì w(f ) w(e0n ) lẻ n lẻ nên w(f � ) = w(f + e0n ) chẵn Do đó, thấy trọng số Hamming đa thức khả nghịch mở rộng ln chẵn Ví dụ, R5 , f = x4 + x3 + khả nghịch với nghịch đảo làg = x4 + x3 + x Đa thức f � = f + e05 = x2 + x khả nghịch mở rộng với nghịch đảo mở rộng g � = g + e05 = x2 + 4091, 4093, 4099, 4133, 4139, 4157, 4219, 4229, } [4] tất n ∈ N2C nguyên tố lẻ Định lý Trong Rn |n ∈ N2C , tất đa thức In \T khả nghịch Do số phần tử khả nghịch vành đa thức 2n−1 − 243 Hội Thảo Quốc Gia 2015 Điện Tử, Truyền Thông Công Nghệ Thông Tin (ECIT 2015) Bảng I CẤU TRÚC ĐẠI SỐ NỀN TẢNG CỦA E-RISKE Chứng minh: Theo [4], Rn |n ∈ N2C n lẻ, w(T ) lẻ Vì deg T = n−1 có giá trị lớn max deg f |f ∈ Rn T bất khả quy GF (2) nên theo định nghĩa ??, gcd(f, T ) = ∀f ∈ In \ T Hơn nữa, f ∈ I2C [x] \ T gcd(f, xn + 1) = gcd(f, (x+1)∗T ) = Theo định lý Euclid, tồn hai đa thức u, v ∈ Rn thỏa mãn u ∗ f + v ∗ (xn + 1) = hay u ∗ f = Điều chứng tỏ f khả nghịch với phần tử nghịch đảo u Theo [5], m = 2n−1 − cấp lớn đa thức In \T tức là, f m = u = f m−1 nghịch đảo f Rn |n ∈ N2C Để tính tốn nghịch đảo đa thức Rn ta sử dụng thuật toán [9] dựa thuật toán Euclid mở rộng cho đa thức Chú ý, Rn |n ∈ N2C , với đa thức f có trọng số Hamming lẻ ln tồn đa thức g = e0n + f có trọng số Hamming chẵn Mặt khác, theo bổ đề 6, g nghịch đảo mở rộng Do đó, tập En |n ∈ N2C bao gồm tất đa thức có trọng số Hamming chẵn |En | = 2n−1 − (trừ đa thức tầm thường g = 0) Ví dụ, R3 , có 22 = đa thức khả nghịch {1, x, x2 , + x + x2 } tương ứng 22 − = đa thức khả nghịch mở rộng {x + x2 , + x2 , + x}, trừ đa thức Tham số Giá trị Vành đa thức RL = Z2 [x]/(xL + 1)|L ∈ R2C Không gian rõ P = {m ∈ RL , deg(m) < L − 1} Không gian mã C = RL Chiều dài rõ, mã L − 1, L Kích thước khóa N để đảm bảo ta không sử dụng hai đa thức tầm thường k = k = làm khóa bí mật E-RISKE, Do đó, (1) |K| = |K1 | + |K2 | = 2N − (2) (4) Chú ý w(M ) ln lẻ M c khả nghịch RL Bên cạch đó, theo bổ đề 1, k ∈ K1 w(c) lẻ, c khả nghịch cịn k ∈ K2 w(c) chẵn c khả nghịch mở rộng RL Trong phần III, ta thấy tất đa thức R2C khả nghịch khả nghịch mở rộng Bằng cách khai thác đặc tính này, phần chúng tơi đề xuất sơ đồ mật mã hóa khóa bí mật xác suất mới, gọi E-RISKE (Extended Random Invertible SecretKey Encryption scheme), Sơ đồ chứng minh an tồn với cơng IND-CPA (hay gọi IND-CPAsecure) Các cấu trúc đại số tảng E-RISKE tóm tắt bảng I |K1 | = |K2 | = 2N −1 − (3) sau khơi phục (L − 1) bit rõ m = ML−1 xL−1 + M (7) Ở ML−1 hệ số đơn thức xL−1 biểu diễn đa thức M Chú ý k −1 nghịch đảo k k ∈ K1 ke−1 nghịch đảo mở rộng k k ∈ K2 244 Hội Thảo Quốc Gia 2015 Điện Tử, Truyền Thông Công Nghệ Thông Tin (ECIT 2015) D Một ví dụ nhỏ Trong ví dụ này, ta chọn L = 5, N = sử dụng R5 để xây dựng E-RISKE Giả sử bên gửi muốn gửi bit tin 0011 tương đương với đa thức m = x + tới bên nhận 1) Khi k ∈ K1 : Giả sử bên gửi bên nhận dùng khóa bí mật chung k = x2 +x+1 với nghịch đảo k −1 = x4 + x2 + x Để mã hóa m, bên gửi tính M = x4 +x+1 sau tính c = M ∗k = x4 +x3 +x gửi c tới bên nhận Khi nhận c, bên nhận sử dụng k −1 để tính M = c ∗ k −1 = x4 + x + sau khơi phục m = x4 + (x4 + x + 1) = x + 2) Khi k ∈ K2 : Giả sử bên gửi bên nhận dùng khóa bí mật chung đa thức khả nghịch mở rộng k = e05 + (x2 + x + 1) = x4 + x3 với c−1 c−1 e nghịch đảo nghịch đảo mở rộng c RL Lưu ý rằng, RL , c khả nghịch khả nghịch mở rộng Vì k lựa chọn ngẫu nhiên phân bố K1 K2 M c cho trước Như hệ quả, Pr[k −1 = M ∗ c−1 ] = |K1 | Pr[k −1 = e0L + (M + e0L ) ∗ c−1 e ]= |K2 | Cuối cùng, ta có Pr[M � = M ] = với nghịch đảo mở rộng |K2 | |K1 | + = |K| |K1 | |K| |K2 | |K| Trong công IND-EAV-ATK, kẻ cơng A đạt b� = b cách đoán đơn giản với xác suất 1/2 thử tất khoá k ∈ K1 k ∈ K2 tính M � thủ tục giải mã M � = Mb Giả sử A p(N ) lần thử k để thu M � = Mb , với p(N ) đa thức N , ta có ke−1 = e05 + (x4 + x2 + x) = x3 + Để mã hoá m, bên gửi tính M = x4 + x + sau tính c = e05 + M ∗ k = x2 + gửi c tới bên nhận Khi nhận c, bên nhận sử dụng ke−1 để tính Pr[SecKeav A,Π = 1] = + p(N ) Pr[M � = Mb ] + p(N ).(Pr[M � = M0 ] Pr[b = 0] + Pr[M � = M1 ] Pr[b = 1]) 2 + ) = + p(N ).( 2 |K| |K| p(N ) = + N −1 = + p(N ) |K| 2 −1 M = e05 + c ∗ ke−1 = = e05 + (x2 + 1) ∗ (x3 + 1) = x4 + x + sau khôi phục m = x4 + (x4 + x + 1) = x + E Phân tích độ an toàn lý thuyết E-RISKE 1) Khả chống cơng IND-EAV-ATK: Định lý E-RISKE an tồn với cơng IND-EAVATK Vì p(N ) đa thức (để đảm bảo công khả thi thời gian đa thức), theo định lý 2, Chứng minh: Nhớ lại rằng, với mã c bên nhận tìm rõ M cơng thức (5) (6) biết k Mặc dù khơng có khố, kẻ nghe thử khố k khơng gian khố giải mã rõ M � ∈ P Xác suất để kẻ nghe giải mã thành công p(N ) 2N −1 − hàm không đáng kể N Kết là, theo định nghĩa 5, E-RISKE coi an tồn với cơng INDEAV-ATK 2) Khả chống công IND-CPA-ATK: Pr[M � = M ] = Pr[k −1 ∗ c = M ] Pr[k ∈ K1 ] + Pr[e0L + ke−1 ∗ c = M ] Pr[k ∈ K2 ] |K1 | = Pr[k −1 = M ∗ c−1 ] |K| |K2 | + Pr[ke−1 = e0L + (M + e0L ) ∗ c−1 e ] |K| Định lý E-RISKE an tồn với cơng IND-CPAATK Chứng minh: Với rõ M mã tương ứng c cho trước ta có c� mã M với 245 Hội Thảo Quốc Gia 2015 Điện Tử, Truyền Thông Công Nghệ Thông Tin (ECIT 2015) khóa k � Pr[c = c] = Pr[k −1 F Phân tích hiệu lý thuyết Lợi quan trọng E-RISKE tốc độ tính tốn, thuật tốn mã hóa giải mã E-RISKE phép cộng phép nhân đa thức RL O(L2 ) phép tính bit Dễ thấy L lớn so với N E-RISKE có hiệu mã hố cao Nhược điểm E-RISKE ta phải chọn k ∈ K ngẫu nhiên thống hai phía, phiên làm việc cần khóa bí mật ngẫu nhiên chia sẻ bên gửi bên nhận Vì lý này, E-RISKE cần sử dụng kết hợp với hệ mật khóa cơng khai để xây dựng hệ mật lai ghép theo mơ hình KEM (Key Encapsulation Mechanism) với rõ có kích thước lớn mã hóa E-RISKE cịn khóa bí mật ngẫu nhiên k phiên E-RISKE mã hóa hệ mật khóa cơng khai Nếu chọn hệ mật khố cơng khai có đặc tính IND-CPA thì, theo [1], sơ đồ lai ghép cấu thành kế thừa đặc tính IND-CPA E-RISKE Khơng thế, hiệu mã hố cao, sử dụng sơ đồ lai ghép ta có E-RISKE để cải thiện hiệu hệ mật khố cơng khai có hệ số mở rộng tin lớn NTRU pNE (khoảng lần) ∗ M = c] Pr[k ∈ K1 ] ke−1 ∗ M = c] Pr[k ∈ K2 ] |K1 | = Pr[k −1 = M −1 ∗ c] |K| |K2 | + Pr[ke−1 = e0L + M −1 ∗ (c + e0L )] |K| + Pr[e0L + với M −1 nghịch đảo M RL Nhắc lại rằng, theo công thức (3), w(M ) lẻ nên M khả nghịch RL Vì k lựa chọn ngẫu nhiên phân bố K M c cố định nên ta có Pr[k −1 = M −1 ∗ c] = |K1 | Pr[ke−1 = e0L + M −1 ∗ (c + e0L )] = |K2 | Hệ là, |K2 | |K1 | Pr[c� = c] = + = |K1 | |K| |K2 | |K| |K| Trong cơng IND-CPA-ATK, kẻ cơng A đạt b� = b hai cách sau: 1) Sử dụng thuật tốn để tìm b công IND-EAV-ATK; 2) Với c mã hai rõ m0 , m1 nhận từ mã hố Kẻ cơng lựa chọn ngẫu nhiên b ∈ {0, 1} truy vấn mã hóa q(N ) lần với đầu vào mb có rõ đầu c� = c Lưu ý q(N ) đa thức N , ràng buộc đảm bảo cơng thực thời gian đa thức Khi ta có G Lựa chọn tham số Mặc dù xác suất để kẻ cơng phá E-RIKSE lý thuyết vô nhỏ thực tế để đảm bảo khả chống công vét cạn giá trị N phải đủ lớn Đối với ứng dụng thực tế, nhóm nghiên cứu đề xuất L ≥ N ≥ 1024 Trong trường hợp đó, độ mật khoá (key-security) độ mật tin (message-security) E-RISKE 2N − = 21024 − Đối với ứng dụng yêu cầu độ mật cao hơn, khuyến nghị L ≥ N ≥ 4096 Pr[SecKcpa A,Π = 1] Pr[SecKeav A,Π V KẾT LUẬN � = 1] + q(N ) Pr[c = c] = Pr[SecKeav A,Π = 1] + q(N ) |K| = + (p(N ) + q(N )) |K| p(N ) + q(N ) = + 2N −1 − Vì g(N ) = p(N ) + q(N ) đa thức, theo định đề 2, g(N ) 2N −1 − hàm không đáng kể N Kết là, theo định nghĩa 5, E-RISKE IND-CPA = Như đề cập, E-RISKE có hiệu tính tốn cao nhiên phải sử dụng khoá phiên, việc lựa chọn hệ mật khố cơng khai phù hợp để mã hố chia sẻ khố bí mật ngẫu nhiên E-RISKE theo mơ hình KEM nêu vấn đề mở thú vị Ngoài ra, E-RISKE hoạt động dựa phần tử khả nghịch khả nghịch mở rộng, tìm kiếm lớp vành Rn có hệ số Kn lớn (tối đa gần tối đa) vấn đề mở khác cho nghiên cứu tương lai TÀI LIỆU THAM KHẢO [1] Jonathan Katz, Yehuda Lindell (2007), Introduction to Modern Cryptography: Principles and Protocols, Chapman Hall/CRC Cryptography and Network Security Series 246 Hội Thảo Quốc Gia 2015 Điện Tử, Truyền Thông Công Nghệ Thông Tin (ECIT 2015) [2] Jeffrey Hoffstein, Jill Pipher, Joseph H Silverman NTRU: Alice ring-based public key cryptosystem Lecture Notes in Computer Science Volume 1423, pp 267-288, Springer Verlag 1998 [3] Gaborit, P., Ohler, J., Sole, P.: CTRU, a Polynomial Analogue of NTRU, INRIA Rapport de recherche, N.4621 (November 2002), (ISSN 0249-6399) [4] Dang Hoai Bac, Nguyen Binh, Nguyen Xuan Quynh , Young Hoon Kim (2007) Polynomial rings with two cyclotomic cosets and their applications in Communication, MMU International Symposium on Information and Communications Technologies 2007, Malaysia, ISBN: 983-43160-0-3 [5] Nguyen Binh, Le Dinh Thich (2002), The order of polynomials and algorithms for defining Oder of Polynomial over polynomial rings, VICA-5, Hanoi, Vietnam [6] Stehle,D., Steinfeld,R.:Making NTRU as secure as worst-case problems over ideal lattices In:Paterson,K.G.(ed.) EUROCRYPT 2011 LNCS, vol 6632, pp 27–47 Springer, Heidelberg (2011) [7] Nguyen Binh Crypto-system based on cyclic geometric progressions over polynomial ring (Part I) REV’02.2002 [8] Ho Quang Buu, Ngo Duc Thien, Tran Duc Su Constructing secret-cryptosystem based on cyclic multiplicative progress over polynomial rings, Journal of Science and Technology, Posts and Telecommunication Institute of Technology, 50 (2A), 2012, pp 109-119 In Vietnamese [9] Menezes A J, Van Oorchot P C (1998), Handbook of Applied Cryptography, CRC Press 247 ... giới hạn tới thủ tục mã hóa E, mạnh cơng IND-EVA-ATK Do đó, ta coi IND-CPA an tồn IND-EAV III CÁC PHẦN TỬ KHẢ NGHỊCH VÀ KHẢ NGHỊCH MỞ RỘNG TRÊN VÀNH ĐA BẬC HỮU HẠN HỆ SỐ NHỊ PHÂN Trong phần này,... + 1) D Khả nghịch khả nghịch mở rộng vành đa thức hữu hạn có hai lớp kề cyclic Chứng minh: Ta có Định nghĩa 15 Tập số nguyên n thỏa mãn n−1 xn + = (x + 1) ∗ T với T = i=0 xi đa thức bất khả quy... trung vào vành đa thức nhị phân hữu hạn phân tử khả nghịch khả nghịch mở rộng Để thuận tiện, ta ký hiệu GF (2)[x]/(xn + 1)|n ∈ Z + Rn với giá trị ngầm định A Các định nghĩa ký hiệu Định nghĩa Vành