Các hệ mật dựa trên vành đa thức chẵn

TỔNGQ U A N V Ề M Ậ T M Ã V À C Á C H Ệ M Ậ T D Ự A T R Ê N VÀNHĐATHỨC 10

MỞĐẦUCHƯƠNG

Mậtmãcólịchsửpháttriểnlâuđờivớinhiềuloạihệmậtkhácnhauvớicáckỹthuậttrêncácc ấutrúcđạisốkhácnhautrongđócóvànhđathức.Đểcóthểđánhgiárõhiệntrạngứngdụng củavànhđathứctrong mật mãtừđóxácđịnhcácvấnđềcầnnghiên cứu, chương này sẽ trình bày một bức tranh tổng quan về mật mã và các hệmậtdựa trênvànhđathứcchẵn.

Mục1.2sẽ hệ thống hóa sự phát triển của mật mã và tập trung phân tích cáctham số, phương pháp đánh giá đặc biệt là đánh giá về độ an toàn của các hệ mật.Dựa trên đó, các hệ mật dựa trên vành đa thức chẵn nói riêng và vành đa thức nóichung sẽ được phân tích trong mục1.3 Từ các phân tích đó, mục1.4sẽ đưa ra cácvấnđềmởcầnnghiêncứuđểcóthểứngdụngthànhcôngvànhđathứcchẵntronglýthuyếtmật mã.

TỔNGQUANVỀMẬTMÃ

Mật mã khóa bí mật (hay còn gọi là mật mã khóa đối xứng) liên quan đến cácphương thức mật mã hóa trong đó cả bên gửi và bên nhận chia sẻ một khóa chung(hoặckhóakhácnhaunhưngcóquanhệvàdễdàngsuyratừnhau).Đâycũnglàloạimật mã có lịch sử lâu đời và duy nhất được biết cho đến tháng 6 năm 1976, khi mậtmãkhóacôngkhairađời[29].

Các kỹ thuật cơ bản thường được sử dụng để xây dựng mật mã khóa bí mậtbaogồm[64]:

- Thay thế (Subtitution): Với kỹ thuật này, chuỗimbit đầu vào sẽ được thaythế bởi một chuỗinbit đầu ra (hai giá trị này không nhất thiết phải bằngnhau)[14].Mộthộpthaythế(S-box)mnđ ư ợ cthựchiệnbằngmộtbảng tra cứu có2 m từ có độ dàinbit Có rất nhiều hệ mật khóa bí mật sử dụngkỹthuậtnàytừ cổđiển(Ceasar,Atbash,…)chođếnDES vàAES [6].

- Hoán vị (Permutation): Với kỹ thuật này, mỗi hộp hoán vị (P-box) nhậnchuỗimbit đầu vào và thực hiện xáo trộn theo một quy luật nào đó để choramộtchuỗimbitđầura.

- MạngThaythế-Hoánvị(SPN):Làsựkếthợpcủahaikỹthuậtthaythếvàhoán vị, mạng này có nhiều tầng, mỗi tầng sử dụng một hay nhiều S-boxhoặc P-box Mạng này là cơ sở của rất nhiều hệ mật khóa bí mật mà điểnhìnhlàAES [6].

- Mật mã tích: Ý tưởng của mật mã tích là kết hợp một số thuật toán mật mãriênglẻvàđơngiản(dịch,thaythế,hoánvị,XOR,biếnđổituyếntính,nhânmodulo,…) để tạo nên một hệ mật phức tạp và có độ an toàn cao hơn cácthuậttoánthànhphần.

- Mật mã lặp: Các hệ mật loại này sử dụng một hàm mã hóa/giải mã nhiềulần,mỗilầnsửdụngmộtkhóakhácnhau.MạngFeistel[73]haysơđồLai- Massey[57]cũngđượcxâydựngtrênýtưởng này.

Dựa trên các kỹ thuật cơ bản trên, một kiến trúc đặc biệt đã được thiết kế vàđược sử dụng cho rất nhiều các hệ mật khóa bí mật, chính là mạng Feistel, được đềxuất bởi Horst Feistel và Don Coppersmith vào năm 1973 [73] Mạng Feistel là mộtsơ đồ mật mã lặp [64] Cốt lõi của mạng Feistel là một hàm mã hóa giả ngẫu nhiên.Có rất nhiều mật mã khối hoạt động dựa trên sơ đồ Feistel, điển hình là mật mã khốiGOST trong tiêu chuẩn GOST 28147-89 của Nga, mật mã Lucifer [33] của IBM vàsauđólàDES.

Ngoài Feistel, sơ đồ Lai-Massey [57] cũng là một mật mã lặp nhưng ngoàihàm lặpF, sơ đồ này còn sử dụng thêm một hàmHk h ô n g l ặ p đ ể c h ố n g c á c t ấ ncông phân biệt tầm thường Sơ đồ này cũng có các đặc tính an toàn tương đương vớimạngFeistel.HệmậtđiểnhìnhhoạtđộngtrênsơđồnàylàIDEA[57],từngđượccoilàứngcử viênthaythếhệmậtDES.

Một trong những nhược điểm của mật mã khóa bí mật là sử dụng chung mộtkhóa cho việc mã hóa và giải mã một bản tin Khóa này được chia sẻ một cách antoàn giữa bên gửi và bên nhận [64] Các khóa này có thể dùng chung cho nhiều lầnmã hóa nhưng cũng có thể thay đổi theo từng bản tin Trong trường hợp lý tưởng,mỗi cặp thực thể trao đổi thông tin sử dụng một khóa thì số khóa cần thiết sẽ tăngbằng bình phương tổng số bên tham gia truyền tin, kéo theo sự phức tạp trong quảnlýkhóa[64].Ngoàira,sựkhókhăncủaviệctraođổigiữahaibênkhikhôngcókênhantoàn lạilàmộttháchthức thựctếvới ngườisử dụng mậtmã.

Trong bài báo mang tính đột phá được công bố năm 1976 [29], WithfieldDiffie và Martin Hellman đề xuất một khái niệm mới, mật mã khóa công khai haycònđượcgọilà mật mã khóabấtđốixứng.Trongđó,mộthệmậtsẽsửdụnghailoạikhóa,mộtloạiđượccôngkhaivàloạikia phảigiữbímật.Mộthệmậtkhóacôngkhaiđượcxâydựngsaochokhôngthểtínhtoánkhóabímậttừ khóacôngkhaidùchohaikhóa này có liên hệ với nhau Khóa công khai trong các hệ mật này được phân phốitự do trong khi khóa bí mật tương ứng cần đảm bảo tuyệt mật Mặc dù ở thời điểmđóDiffievàHellmankhôngđưarađượcmộthệmậtkhóacôngkhaicụthểnhưnghọlại đề xuất được một giao thức rất nổi tiếng cho phép hai bên trao đổi khóa bí mật,giao thức trao đổi khóa Diffie-Hellman

[29] Công bố này của Diffie và Hellman đãtrở thành một động lực thúc đẩy sự ra đời của nhiều hệ mật khóa công khai mới màtiêu biểu là hệ mật RSA do Ronal Rivest, Adi Shamir và Len Adleman đề xuất năm1978[80]. Đặc điểm của các hệ mật khóa công khai là đều có độ an toàn dựa trên hoặccó liên quan đến độ phức tạp tính toán của một hoặc một số bài toán khó Các bàitoánkhóvàcáchệmật tiêubiểutínhđếnnaycóthểkểđếnbaogồm:

- Bàitoánphântíchsốnguyênthànhcácthừasốnguyêntố(IFP):Cáchệmậttiêubiểudựatr ênbàitoánnàylàRSA(1978)[80]vàRabin(1979)[78].

- Bàitoánthặngdưbậchaitrênvànhsốnguyên(QRP):Goldwasser-Micali[40]làmộthệmậtxác suấtcóđộantoàndựatrênđộkhócủabàitoánnày.

- Bài toán logarit rời rạc (DLP): Đây là bài toán vẫn được coi là khó và hiệnchưacómộtgiảithuậttínhlogaritrờirạcvớithờigianchấpnhậnđược.Hệmật cóđộantoàn liênquanđếnbàitoánnàylàElGamal[32].

- Bàitoántổngtậpcon(SUBSET-SUM):Bàitoánnàylàmộttrườnghợpđặcbiệt của bài toán xếp ba lô Các hệ mật dựa trên độ khó của bài toán này làMerkle-Hellman[65]vàChor-Rivest[23].

- Bài toán giải mã tuyến tính ngẫu nhiên (RLCP): Bài toán này được chứngminh là NP đầy đủ không có giải thuật được biết trong thời gian đa thức[12].Dựatrênbàitoánnày,hệmậtMc.Eliece

- Các bài toán dựa trên dàn: Bài toán SVP, CVP trên dàn được coi là có độkhó tương đương SVP được sử dụng cho hệ mật Ajtai [7] còn CVP đượcsửdụngchohệmậtGGH[39].NTRU[44]làhệmậtcóđộantoàndùkhôngtươngđươ ngnhưngcóliênquan đếncácbàitoánnày.

- Bài toán Learning With Errors (LWE): Đây là một bài toán thuộc lĩnh vựchọcmáyđượcđềxuấtbởiOdedRegevđưanăm2005.Bàitoánnàyđược chứngminhlàtươngđươngvớimộtsốbàitoánkhóG a p S V P v à S I V P t trên dàn [79].Một số hệ mật dựa trên bài toán này gồm Oded Regev [79],Chris Peikert [76], Chris Peikert và Brent Waters [75], Craig Gentry, ChrisPeikert và Vinod Vaikuntanathan [38] Phiên bản Ring-LWE được đề xuấtnăm 2010

[60] đã cải thiện hiệu quả mã hóa trong khi vẫn đảm bảo độ khótươngđươngvớiLWE.

[55] và Victor S.Miller [66] vào năm 1985 Thực chất đây là biến thể củacác hệ mật khác với cấu trúc đại số dựa trên đường cong Eliptic Ưu điểmcủaloạihệmậtnàylàcókhóacôngkhainhỏhơncáchệmậtkháccóđộantoàntươ ngđương.

Nhìn chung, các bài toán có độ phức tạp tính toán cao luôn là cơ sở cần thiếtđểxâydựngcáchệmậtkhóacôngkhai.Tuynhiên,tronglịchsửpháttriển,cómột sk c 1 c 1 m

Pub (KEM sốhệmậtkhóacôngkhailúcbanđầuđượcđưarahoàntoànkhôngliênquanđếnbàitoánkhónàocả nhưngtrênthựctếlạichưacótấncôngnàotườngminhnênvẫnđượcxemxétlàantoàn.NTRU[44]l àmộtđiểnhìnhchotrườnghợpnày.

Các hệ mật khóa bí mật có hiệu quả tính toán cao (chủ yếu sử dụng các phépcộng, AND, OR,…) và có thể mã hóa một bản tin dài bằng một khóa bí mật ngắn.Tuy nhiên, nhược điểm của loại hệ mật này là khóa bí mật cần phải được chia sẻ trướcgiữahaibêngửivànhận[64].

Ngược lại, ưu điểm của các hệ mật khoá công khai là hai bên gửi nhận khôngphải thoả thuận khoá bí mật Tuy nhiên, nhược điểm của các hệ mật này là hiệu quảmã hoá thường không cao

[64] vì hệ số mở rộng bản tin lớn (luôn lớn hơn 1) và độphứctạptínhtoáncủacácthuậttoáncũngthườngcaohơnsovớicáchệmậtkhóabímật.

Giải pháp để khắc phục các nhược điểm cũng như tận dụng các ưu điểm củahai loại hệ mật trên là sử dụng mô hình mật mã lai ghép (hybrid cryptography). Ýtưởng này được khởi xướng bởi Cramer và Shoup trong [28] và [86] với mô hìnhKEM/DEM như trênHình 1-1 Mô hình KEM/DEM là một cách đơn giản để xâydựng các hệ mật khóa công khai hiệu quả và rất được chú ý nghiên cứu Vì đặc tínhđơngiảnvàlinhhoạtmôhìnhnàyđượcsửdụngtrongmộtsốtiêuchuẩnmãhóamới[87].

Hình1-1:Môhình mật mãlaighépKEM/DEM

Vớimôhìnhtrên,ởphíamã hóa,khóabímậts k c ủ a m ộ thệ mậtkhóabímật

(phầnDEM)sẽ đ ượ c m ã hóabằng m ộ t hệ m ậ t khóacôngkhai  Pu b (phần

KEM) với khóacông khai p k t h à n h bảnmãc1 cònbản tinm sẽ đượcmãhóa bằng mộthệmậtkhóabímật Sec t h à n hbảnmãc 2với khóabímậts k ởtrên.Bảnmãgửi từbênmãhóatớibêngiảimãsẽlà

(c1,c2).Tạiphíagiảimã,đầutiênthuậttoángiải mãcủaphầnKEMsẽđượcsửdụngđểgiảimãbảnmãc 1 lấykhóas k sauđódùng khóaskv à thuậttoángiảimãcủaphầnDEMđểkhôiphụcbảntinm

CÁCHỆMẬTDỰATRÊNVÀNHĐATHỨC

Trênthếgiới,trongcáckỹthuậtmậtmãkhóabímật,cácphéptoánđượcsửdụnghầu hếtđềuđượcthựchiệndựatrêncáckỹthuậtthaythếvàhoánvịtrêncác trườngnhịphân vớicáchệmậttiêubiểunhưDES[30]hayOTP[89].Điều nàylàdocácphépmãhóavàgiảimãtrong đều dựatrên phéptínhXOR đơn giảnvàdễthựcthibằngcảphầncứng lẫnphầnmềm.

Tại Việt Nam, việc ứng dụng các vành đa thức trong mật mã khóa bí mật lạicó nguồn gốc từ các nghiên cứu về xây dựng mã sửa sai, cụ thể là mã cyclic cục bộ[14],[15],[17],[18].Điềunàyphátsinhtừmộtsốphântíchđặctínhtoánhọccủa mộtsốlớpvànhđathức R n HailớpconquantrọngcủaR n baogồmlớpvànhđa thứcchẵn

Tuynhiên,năm2002,mộtlớpconcủa R n, lớpcácvànhchẵntuyệtđối R k , đãđượcsửdụngđểxâydựngmộthệmậtkhóabímật trongcôngtrình [16].Hệmật nàykhaithácđặctínhcủacáccấpsốnhâncyclictrênlớpvànhđathứcR k Lớpvành này có điểm đặc biệt là tất cả các đa thức có trọng số lẻ trong vành sẽ tạo thành mộtnhómnhânc y c licG.T ron g n h ó m nhân nà y sẽc ó nh iề u nh óm con c ó c ấ pb ằ ng ư ớ c của cấp củaG Ý tưởng của hệ mật này là sử dụng một ma trận mã hóaA đ ư ợ c t ạ o bởihaikhóabímậtlàhaiđathứccótrọngsốlẻ,,trongđól à phầntửsinhcủamột nhóm nhân cyclicnào đócònl àm ộ t đ a t h ứ c b ấ t k ỳ t h u ộ cG Với cách lựachọn này, việc giải mã sẽ thực hiện đơn giản bằng cách bình phương ma trậnAklần, vớik l à c ấ p c ủ ađ a t h ứ c Ngoài ra,n ế u t h a yb ằ n g đ ơ n t h ứ cx,m a t r ậ nA sẽlàcácmatrậnluânhoàn(circulantmatrix),matrậnmàtrongđómỗihàngđ ược

2 xác định bằng cách dịch vòng phải hàng đứng trên nó, và khi đó các phép tính trênvành ma trận phức tạp sẽ tương đương với phép tính đơn giản trên vành đa thức.Nhượcđiểmcủahệmậtnàylàhiệunăngtínhtoánkhôngcaovìphảithựchiệnnhiềulầnphé pbìnhphương đathứctrongkhigiải mã Bêncạnhđó,hệmậtnàycũngchưađượcđánh giákỹlưỡngvềđộantoàn.

Dựatrêncôngtrình[16],bàibáo[4]đãđềxuấtứngdụngcácđathứctrong nhómnhâncycliccóbậccựcđạicủavànhR kl à m khóatrongcácvònglặpcủahệ mậtDES.Tuynhiên,hệmậtnàychưađượcchứngminhlàđảmbảoantoàntrongkhiDESphiênbản gốchiệnnayđãkhôngcònđược sử dụng.

TạiViệtNam,hệmậtkhóacôngkhaiđầutiêndựatrênvànhđathứcR n được đưa ra năm 2005 trong công trình [5] Hệ mật này thực chất là một biến thể của hệmật Mc.Eliece, trong đó mã Goppa được thay thế bằng một mã cyclic cục bộ

(64, 7,32) kết hợp với một mã kiểm tra chẵn (8, 7, 2) Ưu điểm đầu tiên của hệ mật nàychính là dựa trên các sự linh hoạt lựa chọn tham số của mã cyclic cục bộ Tuy nhiên,nhược điểm của hệ mật này là độ phức tạp tính toán cao hơn hệ mật Mc.Eliece vàcũngnhưMc.Eliece,khôngkhảthitrongtriểnkhaithựctếvìkhóacôngkhaiquálớn. Ởnướcngoài,việcsửdụngcácvànhđathức R n,q đểxâydựngcáchệmật khóacôngkhai đượckhởi xướng từnhững năm1995 khihệmật NTRUlần đầu tiênđược giới thiệu tại Crypto’96 [43].Tạihội thảo ANTS’98, cáctácgiảcủaNTRU đã đưa ra phiên bản cải tiến trong đó đã đánh giá về độ an toàn của NTRU đối với cáctấn công dựa trên dàn [44] NTRU được IEEE bắt đầu chuẩn hóa từ năm 2008 [51]trongnhómtiêuchuẩnP.1363.1.Hiệnnay,NTRUđượccộngđồngmậtmãcoilàmộtthay thế hợp lý cho các hệ mật dựa trên các bài toán phân tích số nguyên thành thừasốnguyêntốvàcácthuậttoánlogaritrờirạctrêncáctrườnghữuhạnhoặccácđườngcongeliptic. Hệmậtnàycũngđượccoilàứngviênchothếhệmậtmãkhóacôngkhaicó khả năng chống lại các tấn công bằng máy tính lượng tử [77] Sau gần 20 năm kểtừkhirađời,NTRUđãthuhútrấtnhiềusựquantâmcủacộngđồngmậtmãvớinhiềukiểutấncôngvà nhiềubiếnthểkhácnhau.

- Sửdụngkhóangắnhơnso với cáchệmật khóacôngkhaikhácở cùngđộantoàn;

- Tốníttàinguyêntínhtoánnênđượcnghiêncứuứngdụngchocáchệthốngnhúngcótàing uyênhạnchế(RFID,cảmbiến,thiếtbịytế,…).

- Cóthểbịtấncôngtrêndàn,mặcdùđiềunàyrấtkhókhănkhisốchiềucủadàn(bậc củađathức)lớn;

Biếnthểđầu tiêncủaNTRU hoạtđộng trênvànhR n đượcđềxuấtnăm2002 cótênlàCTRU[36]trongđócáchệsốnguyêncủacácđathứctrongNTRUđược thay bằngcácđathứctrêncácvànhR n đểtránhcácloạitấncôngtrêndànnhưđối vớiNTRU.Tuynhiênhệmậtnàynăm2008đãbịphábởicáctấncôngbằngphươngphápgiảihệphư ơngtrìnhđạisốtuyếntính [90].

Mộtbiến thểkháccủaNTRU,hệmật pNE[88]đượcđềxuất năm2011,hoạt độngdựatrênlớpvànhđathứcchẵntuyệtđốihệsốnguyênR ,n2 k, kN  Hệ n,q mật này có ưu điểm là có độ an toàn ngữ nghĩa IND-CPA dựa trên độ khó của bàitoánR-

Nhìn chung, xây dựng các hệ mật khóa công khai trên vành đa thức mới chỉđượcđềcậpđếntrongcáccôngtrìnhnêutrên.Hoàntoànchưacócáchệmậtđược xâydựngdựatrêncác vànhđathứcchẵn R 2n

Do các hệ mật khóa công khai và khóa bí mật dựa trên các vành đa thức cònchưaphongphúnêncáchệmậtlaighépdựatrêncấutrúcđạisốnàycũngchưađượcxâydựng.

TIỀMNĂNGỨNGDỤNGCỦAVÀNHĐATHỨCCHẴNTRONGMẬTMÃVÀ CÁCVẤNĐỀMỞ

R 2 n nóiriêngtrong mậtmãcònnhiềuhạnchế.Cụthểlà: i MớichỉcócácvànhđathứcchẵntuyệtđốiR k cáchệ mật[3],[4]; đượcsửdụngđểxâydựng ii ChưacócáchệmậtcóđộantoànngữnghĩadựatrêncácvànhđathứcR2 n

R 2 n hoàntoànchưađượcsửdụngtrongmậtmã(mới chỉđượcứngdụngtrong mã sửasai[18]); iv Hầuhếtcáchệmậtkhóacôngkhaidựatrêncácbàitoánkhótruyềnthốnghiệnnaycóh iệunăngtínhtoánkhôngcao[44];

2 n v Cáchệmậtdựatrênvànhđathức R n,q điểnhìnhnhư NTRU cóhiệunăng tính toán tốt nhưng vẫn chưa thực sự phù hợp cho các hệ thống có tàinguyên tính toán hạn chế vì khóa và hệ số mở rộng bản tin vẫn khá lớn[44].

Mặcdùchưađượcứng dụngphổbiến,cácđặctínhtoánhọccủavành R 2 n lại chothấycácvànhnàycómộtsốđặcđiểmphùhợpcótiềmnăngứngdụngtrongmậtmã.

Thứnhất,trongR n nóichungvà R 2 n nóiriêngluôntồntạicácphầntửkhả nghịch,bêncạnhnhữngphầntửkhôngkhảnghịch.Nếuxácđịnhđượccácthuậttoánmật mã phù hợp, các phần tử khả nghịch sẽ chính là khóa để giải mã thông tin trongkhicácphầntửkhôngkhảnghịchsẽlàđốitượngđểchegiấuthôngtin,tươngtựnhưtrườnghợpc ủahệmật NTRU[44].Vấnđềđặtralàcầntìmđượccáclớpvànhcósốlượng phần tử khả nghịch đủ lớn, dễ xác định và dễ tính nghịch đảo để đơn giản hóacác thủ tục sinh khóa và đảm bảo độ an toàn của khóa với các tấn công sơ đẳng nhưtấncôngvétcạn.

Thứ hai, nếu có thể tìm được các cặp vành đa thức có chung một tập đủ lớncác phần tử khả nghịch thì có thể ứng dụng các cấu trúc đại số này để xây dựng cácbiếnthểưuviệthơn củahệmậtNTRU.

Thứba,khác vớicácvànhR n với n lẻtrongđómọiphầntửđềulàthặngdư bậchai,trongR chỉ có2 nthặng dư bậchai.Tuynhiên, điểmđặcbiệt là mỗi thặng dư bậc hai lại có đến2 ncăn bậc hai [

15] Điều này cho thấy là nếu biết một căn bậchai sẽ dễ dàng suy ra thặng dư bậc hai tương ứng nhưng điều ngược lại là rất khókhăn vì có đến2 nphương án lựa chọn, đặc biệt khi nlớn Đặc tính “một chiều” nàyhoàn toàn có thể khai thác để xây dựng các các hệ mật Tuy nhiên, cần tìm ra cáchthức để tính căn bậc hai của một thặng dư bậc hai một cách hiệu quả khi có khóa vàngượclạirấtkhótínhkhai cănnếukhôngcókhóaphùhợp.

Nhìnchung,cũngnhưcácvànhđathứckhác,cácphéptínhtrênvành R 2n c ó độphứctạptínhtoánthấp,cụthểlà O(n) vớiphépcộngvà O(n 2 ) vớiphépnhân. ĐặcbiệtlàcácphépcộngtrongvànhđathứcchỉlàmộtchuỗicácphéptínhXORrấtđơngiảntrên trườngnhịphân( 2 ) Vấnđềchínhđặtralàcầnphảixâydựngcáchệ mật có các thuật toán tạo khóa, mã hóa và giải mã tường minh khai thác triệt đểcác phần tử đặc biệt (các phần tử khả nghịch, các thặng dư bậc hai,…) cũng như cácphéptoántrênvànhđathứcnàytrongkhivẫnđảmbảoantoànvàtốtnhấtlàđạtmộtmức an toàn ngữ nghĩa nhất định, ví dụ như IND-CPA Các hệ mật có thể xây dựngtheo mộtsốhướng: i Xây dựng các hệ mật hoàn toàn mới dựa trên các phép tính đơn giản nhưphépcộng,phépnhântrênvành; ii Cảitiếncáchệmậtsẵn có(NTRU,pNE,…)theohướngđơngiảnhóa cácthuậttoán,nângcaotốcđộtínhtoánhoặcnângcaođộantoàn; iii Sử dụng các sơ đồ mật mã lai ghép, đặc biệt là theo mô hình lai ghépKEM/DEMđểcảithiệncáchệmậtsẵncó.

KẾTLUẬNCHƯƠNG

Từ nội dung tổng quan có thể thấy việc đi tìm các cấu trúc đại số mới để xâydựng và cải tiến các hệ mật là một quá trình liên tục trong lịch sử phát triển của mậtmã Trong các cấu trúc đại số đó, vành đa thức mới được khai thác trong mật mãkhoảng 20 năm trở lại đây và có nhiều tiềm năng khi các hệ thống truyền thông pháttriển theo xu hướng IoT Các hệ mật dựa trên vành đa thức vẫn chưa phong phú vàcònmộtsốhạnchếnhưhiệunăngchưacao,chưacóđộantoànngữnghĩa,…Mặc dùvậy,vànhđathứcnóichungvàvànhđathứcchẵn R 2 n nóiriênglàcáccấutrúc đạisốcónhiềutiềmnăngứngdụngtrongmậtmã.Tuynhiên,đểcóthểxâydựng đượccáchệmậtdựatrên

Thứnhất,đểcóthểxâydựngcáchệmậtdựatrên R 2 n trướchếtcầnnghiên cứukỹvềđặctínhtoánhọccủacấutrúcđạisốnày.Mộtsốbàitoáncầngiảiquyếtcụthểnh ưcáchthứcxácđịnhcácphầntửkhảnghịch,cáchtínhnghịchđảocủacác phầntửkhảnghịch,cáchtínhcáccănbậchaichínhcủathặngdưbậchaivàcácphầntửliênhợpcủa chúng,…Đâycũnglànội dungchínhtrongchương2củaluậnán.

Thứhai,dựatrêncácđặctínhtoánhọccủa R 2n, cầnnghiêncứuxâydựngcác giải pháp khắc phục các hạn chế đã phân tích của các hệ mật dựa trên vành đa thức.Các hệ mật cần được đề xuất với các mô tả tường minh về các không gian (bản rõ,bản mã và khóa), các thuật toán (tạo khóa, mã hóa và giải mã) và đặc biệt là đượcđánhgiávềđộantoàntheophươngphápđánhgiáđộantoànngữnghĩađãđượcnêutrong mục1.2 Các nội dung nghiên cứu này sẽ được trình bày chi tiết trong chương3vàchương4.

VÀNHĐATHỨC CHẴN

MỞĐẦUCHƯƠNG

R 2 n và mộtsố lớpvànhđặc biệtnhưR k vàR 2C sẽđược trình bày với các chứng minh chi tiết Các kết quả này bao gồm 1 thuật toán, 4 địnhlý và 10 bổ đề phụ trợ được tổng hợp từ các nội dung nghiên cứu về cơ sở toán họctrong toàn bộ 6 công trình đã công bố của nghiên cứu sinh Để tiện theo dõi, các kếtquả tham chiếu từ công trình của các tác giả khác sẽ chỉ được phát biểu, có ký hiệutríchdẫnvàkhôngkèmchứngminh.

Bốcụccủachươngđượcsắpxếpnhưsau:Cáckiếnthứctổngquanvàkếtquảnghiên cứu về vành đa thức nói chung sẽ được trình bày trong mục2.2; Trong mục2.3,cáckếtquảnghiêncứuvềvớicácthặngdưbậchaivàcácphầntửliênhợpcủa chúngvànhđathứcchẵn R 2 n cũngnhưcácphầntửkhảnghịchtrênvànhnàysẽđược trìnhbàychitiết;Mục2.4và2.5môtảcáckếtquảnghiêncứuvềcácphầntửkhả nghịchtrongvànhđathứcchẵntuyệtđốiR k vàvànhđathứcchỉcóhailớpkềcyclic

TỔNGQUANVỀVÀNHĐATHỨC

Bậccủamộtđathức f(x) trongvànhđượckýhiệulàd e g (f).Docóbậctối đalà n1,mọiđa thứctrong R n,qc ó thểbiểudiễndướidạngtổngquátlà f(x) n1 fx i , fZ (2.1) hoặcdướidạngvéc-tơ i i q i0 f(x)(f 0 ,f 1 , ,f n1 )|f i Z q (2.2) a axv à b   bx, phépcộnghaiđathức cab cx (2.3) a axv à b   bx, phépnhânhaiđathức cab cx

 a ax Để thuậnlợi trongtrình bày,một đa thức f(x) thuộcvànhsẽđượcviết dạng rútgọnlàf.Quyướcnàyđượcsử dụng nhấtquántrong toànbộluậnán. b) Trọngsố Hammingcủamộtđathức

Trong R n,q, trọngsốHammingcủamộtđa thức[64]f ,kýhiệubởi w(f),l à tổngsốcácđơnthứccóhệsốkhác0trongbiểudiễncủađathức đó. c) Phépcộng haiđathức trongvànhđathức

R n,q ,vớihaiđathức n1 i i i0 n1 i i i0 đượckýhiệulà‘+’.Đ a thứccl àtổngcủaa v àbđ ư ợ c xácđịnh là n1 i i

Trongđó, c i a i b i modq i0 và phépcộng các hệ sốa i và b i đượcthựchiện trênvành

Z q Bậccủac c ó q u a nhệvớibậccủaa v à bn h ưsau[58] degcmax(dega,degb) (2.4) d) Phépnhânhai đathứctrongvànhđathức

R n,q ,vớihaiđathức n1 i i i0 n1 i i i0 được ký hiệu là‘*’ Đathứcc l à t í c h c ủ aa v à b đ ư ợ c x á cđịnh là n1 k k (2.5) trongđó c n1 k0 a.bmodq

R n,q, k ế t q u ả p h é p t í n h m o d u l o m ộ t đ a t h ứ c n1 i i i0 vớim ộ t s ố nguyênp, ký hiệubởia modp, làmộtđathức c cx

2.2.2 LũyđẳngtrongvànhđathứcR n a) Địnhnghĩa Địnhnghĩa2-1[17]:Trong R n ,mộtđathức eđ ư ợ c gọilàlũyđẳngnếue 2 e.

Trongmọivành R n , cóthểthấy e1c h í n h làmộtlũyđẳng. Địnhnghĩa2-2[14]:Trongcácvành R n ,m ộ t lũyđẳngeđượcgọilàlũyđẳngnuốt (SwallowingIdempotent)nếu fe w(f)mod2 e,f  R n

TừĐịnhnghĩa2-2cóthểthấyphépnhâncủamộtđathứcf bấtkỳvớilũy đẳngnuốte s ẽbằng0hoặce t ù y t h e otínhchẵnlẻcủaw(f).Haynóicáchkhác, từtíchf

e,takhôngthể biếtthôngtingìvềf ngoạitrừgiátrị trọngsố củanólà chẵnhaylẻ. b) Lũyđẳngnuốtt r o n gR n vớinlẻ

Bổđề2-2:TrongcácvànhR n vớ i nlẻ,e 0n  n1 x i i0 làmộtlũyđẳngnuốt.

Vídụ,trongvànhR ,d ễ kiểmtrae 1xx 2  x 3  x 4 là mộtlũyđẳng.

2.2.3 CácphầntửkhảnghịchtrongR n a) Địnhnghĩa Địnhnghĩa2-3[44]:Trong R n,q ,mộtđathứcf làkhảnghịchnếutồntạimộtđa thứ c gR n,q thỏa mãn gf 1. Đathứcg t r o n gtrườnghợpnàyđượcgọilànghịchđảocủađathứcf.Theo thônglệ,nghịchđảocủađathứcf đ ư ợ c kýhiệu là f  1 Đểthuậntiệntakýhiệutậpcácphầntửkhảnghịchvàtỉlệgiữasốphầntử khảnghịchtrêntổngsốđathứccủavànhlầnlượtlàI nv à K n b) TrọngsốHammingcủacácphầntửkhảnghịchtrongR n

Bổđề2-3:Trong R n ,nếu w (f) vàw(g) cùngchẵnthì w(f g) cũngchẵn.

Chứngminh:Giả sử w(f)2k, w(f)2l vớif n1 i i i0 n1 i và i0 hf

g,khiđótacó h i  f i g i  mod20 khivàchỉkhi f i g i GiảsửSl à tậphợpcácgiátrịiđ ể f i g i 1,dễthấyrằng w(h)w(f)S w(g)S 2(klS).

Tổngquáthơn,cóthểthấynếuh l àtổngcủacácđathứccótrọngsốchẵn trongR n thìh c ũ n gcótrọng số chẵn.

Bổđề2-4:Trong R n ,nếu f làmộtđathứccótrọngsốchẵnthìtíchcủaf vớimột đathứcbấtkỳ i gR n cũngl à mộtđ athứ ccótr ọngs ốchẵ n. g gx

Vìw(g.x i  f)g.w(f) i0 làmộtsốchẵnnên,theoBổđề2-3,w(h)cũngluôn chẵnvàtacó điềuphảichứng minh.

Chứngminh:Giảsử fR n c ó w (f) chẵn.TheoBổđề2-4, gR n luôn ców(fg) chẵn.Vì w(1)1nênkhôngthểtồntạibấtkỳđathứch n à othỏamãn w(fg)1nênfk h ô n g k h ảnghịch.Vậyta có điềuphảichứng minh.

Bổđề2-6:Trong R n ,nếuf làmộtđathứccóbậccựcđạilà (n2) thìđathức s(w(f)1)mod2.x n  1  f luôncótrọngsố lẻ.

Chứng minh: Do degf g w(f)1 mod2.x n  1

1vàdo đótrọng sốcủa w(s)l à một sốlẻ.Ngượclại,nếu w(f) lẻthì w(g)0 hay w(s)w(f) làmộtsốlẻ.Vậytacó điềuphảichứngminh.

Bổđểnàychophépxâydựngmộtđathứcscóbậccựcđạin1(tươngđương vớimộtchuỗinbit)vàluôncótrọngsốlẻtừmộtđathứccóbậccựcđạin2( t ư ơ n g đươngvớimộtchuỗi n1bit)trong R n Vềhìnhthức,sovớif ,đathứcs đượcbổ sungt h ê m m ộ t đ ơ n t h ứ c g w(f)1 mod2.x n  1 H ệ s ố c ủ a đ ơ n t h ứ c n à y c ũ n g chínhlàhệsốcủađơnthức x n  1t r o n g biểudiễncủas Nếuký hiệuhệsốnàylà s n1 tacóthểtínhngược ft ừs b ằ n gcôngthức n1

2.2.4 ĐathứcbùvànghịchđảomởrộngtrongcácvànhR n với n l ẻ Địnhnghĩa2-4:TrongR n vớ i nlẻ,đ a thức f f e 0n đượcgọilàđathứcbùhay phầnbùcủaf. trong

R n f(f e 0n )e 0n  f e 0 n nênf c ũ n g chínhlàphầnbùcủaf Địnhnghĩa2-5:TrongR n vớ i nl ẻ , mộtđathứcf đượcgọilà“khảnghịchmở rộng”nếutồntạimộtđathức gR n thỏamãn gf e 0n 1vàg đượcgọilà nghịchđảo mởrộngcủaf. Địnhlý2-1:TrongR n vớ i nl ẻ , nếuf là khảnghịch vớiphầntử nghịchđảog thì f làkhảnghịchmởrộng vớinghịchđảomởrộnglà gge 0n

e 2 Vìw(f g) luônchẵn, theoBổđề2-1,(f g)e 0n 0n ê n fge 0n 1.Vậyta cóđiềuphải chứng minh. Định lý này cho ta một công cụ để xác định các phần tử nghịch đảo mở rộngtrong vành lẻ và nghịch đảo mở rộng của chúng từ các phần tử khả nghịch truyềnthốngvànghịch đảotươngứng.

Vídụ,trong R 5 , f x 4  x 3  1cóphầntửnghịchđảolà gx 4  x 3 x.Đa thức ff e 0 n x 2  x làkhảnghịch mở rộngvớiphầntửnghịchđảo mởrộnglà gge 0n

1. Địnhlý2-2:TrongR n vớ i nl ẻ , giảsử klànghịchđảomởrộngcủa ,nếubiết cm và w(m),tacóthểtínhđược

kc(x 4  x 3  x 2  x1)(x 2  x)(x 2  x)x 3  x1. Định lý này chỉ ra rằng các phần tử nghịch đảo mở rộng hoàn toàn có thể sửdụnglàmkhóabí mậttrongcáchàmmãhóavàgiải mãcủacáchệ mậttươngtựnhưcácphầntửnghịchđảotruyềnthống.HệmậtE-

VÀNHĐATHỨCCHẴN,CÁCTHẶNGDƯBẬCHAIVÀCÁCPHẦNTỬL IÊNHỢP

Trongmụcnày,vànhđathứcbậchữuhạnchẵnhệsốnhịphân R2 n ,gọitắtlà vànhđathứcchẵn,sẽđượcxemxétkỹlưỡngcùngcácthặngdưbậchai(QR)vàcácphầntử liênhợp(CE)tươngứngvớichúng. n f f f f f 1 x 2 x 4

,căn bậchaichínhcủa mộtđơnthức fx 2i , i kýhiệubởi vàđ ư ợ c xácđịnhbằngcôngthức x i

Vídụ,trong R 32 ,với fx 18 t h ì cănbậchaichínhcủaf l à x 9 Địnhnghĩa2-7[15]:Trong R2 n ,đathứcf làmộtthặngdưbậchai(QR)nếutồn tạiđathức gR 2n thỏamãn g 2  f

Khiđóg đ ư ợ cgọilàcăn bậchaicủaf. Địnhnghĩa2-8[15]:Tậpcácthặngdưbậc hait r o n g R 2n đượckýhiệulàQ 2n Địnhnghĩa2-9[15]:Cănbậchaichính củamộtthặng dưbậchaif hiệulà ,làtổngcáccănbậchaichínhcủacácđơnthứctrongf tron g

Bổđề2-7[15]:Đ a thứcf cósốmũchẵn. nằmtrongQ 2n khivàchỉkhif chứatoàncácđơnthức

Từbổđềnàycóthểthấy,lựclượngcủaUlàU 2 n  1.Ngoàira,mỗiQR trongvànhR cótấtcả2 ncăn bậc hai(kểcảcănbậchaichính).

R có2 n QR, mỗiQRcó2 n căn bậchai,dovậycótấtcả 2 2n cănbậchaitrongvành.

R 2n c ó 2 2nđ a thức(lựclượngcácphầntửtrongvànhđược tính bằng2 2n) dovậycáccănbậchai củaQRtạonêntoànbộ vànhnày.

- Trongtrườngsốphức,cănbậchaicủa(-1)làjđượcgọilàcácphầntử liênhợp(CE:ConjugateElenment)[15]tươngứngvới(-1).Tươngtựnhưvậy, sau đây ta sẽ gọi các căn bậc hai của cùng một QR là các CE tươngứngvới QRđó.

Dựa theo các đặc tính trên ta sẽ chứng minh hai bổ đề liên quan đến việc xácđịnh căn bậc hai chính và phần tử liên hợp từ một thặng dư bậc hai của đa thức bấtkỳ.

 i l lxl à căn bậc hai chính của   fx Vì i i i i i i f 2 ( f i0 n1

Bổ đề này cho phép tính các căn bậc hai chính của bình phương một đa thứcbất kỳ trong vành đa thức chẵn với độ phức tạp tính toánO(n) , tương đương với độphứctạptínhtoáncủaphépcộngđathứctrongvành.Phéptínhkhaicănnàysẽđượcsửdụngtr ong thuậttoánmãhóacủa hệmậtQRHE(mục3.3).

Bổđềnàychophépxácđịnhcácphầntửliênhợpcủamộtthặngdưbậchailà bình phương củamột đathứcbất kỳtrong vànhđathức

R 2n Côngthứcnàysẽđược sửdụngtrong thủtục tạokhóacủahệmậtQRHE(mục3.3).

2.3.3 TínhchấtcủacácCEcủalũyđẳng e 1 1 trên vành đa thức chẵn

Vìe 2  e 1,c ó t h ể t h ấ y cá c C E c ủ a e 1 1 luônkhảnghịchvàcóphầntử nghịchđảolàchínhCEđó.TínhchấtnàychỉrarằngtrongvànhđathứcR2 n tại2 nphần tửkhảnghịchcódạng luôntồn f1(1x n )

R 2n ĐiềunàycũngchỉrarằngtrongvànhđathứcchẵnR cótốithiểu2 nphần tử khảnghịch.Nếuxétvềtỉlệvớitổngsố2 2nđa thứctrongvành,tập2 np h ầ n tửnày chỉchiếm mộttỉlệlà12 n v àchưaphảilàgiátrịcựcđạitheoBổđề2-5.Vấnđềđặt raởđâylàliệucómộtlớpvànhconnàocủa R 2 n cótậpcácphầntửkhảnghịchlớn hơnkhông,tậpđóđượcxácđịnhnhưthếnào.Câutrảlờisẽđượctrìnhbàyởphầntiếptheo.

VÀNHĐATHỨCCHẴNTUYỆTĐỐIR k

2.4.1 Tậpcácphầntử khảnghịchtrongR k Địnhlý2-3:Mọiđathức fR k làkhảnghịchkhivàchỉkhif cótrọngsốlẻvà hệ quả làcựcđại.

Khif c ó trọngsốlẻ,hay w(f)mod21,thì f 2 k 1.Khiđó,với g  f 2 k  1 gf

f 2 k  1  f f 2 k1 hayg lànghịch đảocủaf t r o n g R k Dễ thấyg c ũ n g có trọngsốlẻ.

Ngượclại,nếu w(f) chẵn,theoBổđề2-5,f k h ô n g khảnghịch.

Vídụ:Trongvành R 4, cótổngsố16đathức(tínhcảphầntửzero)trongđó tập I 4có 8 phần tửkhảnghịchbaogồm

I  1  {1,x 3 , x 2 , x,1+x 2 + x 3 ,1+ xx 3 ,1+ x+x 2 , x+x 2 + x 3 } ĐịnhlýnàychỉrarằngR klà một vành chẵnrấtđặcbiệtcó mộttậpcácphần tửkhảnghịchrấtlớnvàrấtdễxácđịnh.Điềunàyrấtthuậnlợiđểxâydựngcáchệ mậtcókhóalàcácphầntửkhảnghịchtrênR kvì thuậttoántạokhóarấtđơngiảnvà không gian khóa đủ lớn để chống lại các tấn công vét cạn khóa Định lý này sẽ đượcứngdụngđểxâydựngcáchệmậtRISKE(mục3.2),IPKE(mục3.4)vàDTRU(mục4.2). f

Chứngminh:Vìw(g)l u ô n làsốchẵnnênw(g)mod20.TheoĐịnhlý2-3, gkhôngkhảnghịch.Vậytacóđiềuphảichứngminh.

Chứng minh:Vìd e gf p1,tacóthểbiểudiễn p1 f fx i | f Z i0 2 và p1 p1 p1 p1 g fx i  x p

 fx i   fx i   fx i  p Đổibiếni jp i0 tacó i0 i0 i0 p1 2p1

 fx ip   fx j vàg   p1 fx i   2p1 fx i i0 i j jp i0 i i ip minh.

Bổđềnàychỉrarằngnếubậccủađathứcfđ ủ nhỏthìtacóthểtìmđathức nàymộtcáchdễdàngtừđathức gf(1x p) Cùng vớiBổđề 2-11,bổđềnàylà nềntảngđểxâydựnghệmậtkhóacôngkhai IPKE(mục3.4).

NhưđãchứngminhtrongĐịnhlý2-3,mọiphầntử fR k cótrọngsốlẻđều khảnghịch.Vấnđềđặtralànếusửdụngfl à mkhóatrongthủtụcmãhóacủacáchệmậtthì đểgiải mãthànhcôngcầnphảibiết nghịch đảog c ủ anó.

Tuyn h i ê n , c ũ n g t h e o [ 17],t r o n g R k ord(f) luônl à ư ớ c c ủ a 2 k hay ord(f)2 i| i[1,k].Dođó,tacóthểtínhnghịchđảocủaf b ằ n gthuậttoánsau hiệuquảhơnphéptính gf 2 k  1

THUẬTTOÁN: g  f ; af 2 ; fori1tok1{ if g f 1exit; gga; aa 2 ; }.

Lấyvídụ, trong I 3,đểtính nghịch đảoc ủ a fx 5  x 4  x 3 ,vì ord(f)2 2  4,s ử dụngthuậttoántrên,tacóthểtính gf 3 tạibướci2,thayvì phảitính gf 7

Thuậtto án nà y cós ố b ư ớ c l ặp t ố i đ a l à k1.V ớ i cá c g i á t r ị đ ộ d à i k h ó a n1024, ứng vớik10, số vòng lặplà không đáng kể.

Thuậttoánđểxácđịnh nN 2C (tậpcácsốnguyênđểR n làmộtvànhđathức chỉcóhailớpkềcylic)đượcmôtảtrong [14].Điểmđặcbiệtlà cácphần tử nN 2C đềulàcácsốnguyêntố.Mộtsốphầntửlục1 nN 2 C ,n10000 đượctrìnhbàytrongphụ

2.5.2 Tậpcácphầntửkhảnghịchtrênvành R 2C Địnhlý2-4:Trong R n ,nN2 C , m ọ i đ a t h ứ c fl à khảnghịchkhivàchỉkhi fc ó trọngsốlẻvà,hệquảlà

Chứngminh: Theo[18], nếuluônchẵn. nN 2C thì n l àmộtsốnguyêntốlẻvàvìvậy

Khi w(f) lẻt hì g c d (f,x n  1)gcd(f,(x1)T)1.Th eo đị nh lý Eu cl id , luôntồn tạiu,vR 2C saocho uf v(x n 

Ngoàira,vìtấtcảcácphầntửcótrọngsốlẻtrongvànhđềukhảnghịchmàsố cácphầntửnàychiếmmộtnửatổngsốđathứctrongvànhnênrõràngsốtỉlệđạtcực đạilà1/2 Vậytacóđiềuphảichứngminh.

1h a y uf m  1 l à nghịchđảocủaf t r o n g R n | nN 2C Vídụ,trong R 5,đểtìmnghịchđảo của fx 4  x 3 

1, do max(ord(f))2 5  1 115, ta có thể tính uf 15  1  x 4  x 3  x.

Bên cạnh đó,trong R2 C, vớimỗimộtđathứcfc ó trọngsốHamminglẻthì luôntồntạimộtđathức ge 0n  f cótrọngsốHammingchẵn.Mặtkhác,theoĐịnh lý2-2,g l à nghịchđảomởrộngcủaf Dođó,tập

E n | nN 2C sẽbaogồmtấtcả cácđathức cótrọng sốHamming chẵnvà

1 (trừđathức tầmthường g0).Vídụ,trong R 3 ,có 2 2  4 đathứckhảnghịch{ 1 ,x,x 2 ,1

C vìthuậttoántạokhóarấtđơngiảnvàkhông giankhóađủlớn đểchốnglạicáctấncôngvétcạnkhóa. ĐịnhlýnàysẽđượcứngdụngđểxâydựnghệmậtE-RISKE(mục4.3).

C vớivànhR k Điểmtươngđồngcủahailớpvànhnàylàcótỉlệsốphầntửkhảnghịchtrêntổngsốđa thứctrongvànhlàcaonhấtvàlà1/2.Vàcóthểthấymộtđathứcf c ó khảnghịchtrongmộtvành R 2C

5 nàođóthìcũngsẽkhảnghịcht rongmộtvànhR k nàođómiễnlàf c ũ n g thuộcvành đóvà ngượclại.

Không những thế, một đặc điểm quan trọng nữa là bậc hữu hạn của hai lớpvànhnàyluônnguyêntốcùngnhau.ĐặcđiểmnàysẽđượckhaithácđểxâydựnghệmậtDTRU(mục4.2).

KẾTLUẬNCHƯƠNG

Kết quả nổi bật nhất trong chương này là nghiên cứu sinh đã chứng minh hailoạivànhđathứcđặcbiệt(R

2 k, R 2C) cótỉlệgiữasốphầntửkhảnghịchtrêntổngsốđathứccủa vànhlàcựcđại(Địnhlý2-3,Địnhlý2-4)vàđãđềxuấtđượcmộtthuật toánhiệuquảđểxácđịnhnghịchđảocủacácphầntửkhảnghịchtrênvànhR k( Thuật toán2-1).CáckếtquảnàylàcơsởđểđềxuấtcáchệmậtRISKE(mục3.2),IPKE(mục3.4) và DTRU(4.2).

Mộtkếtquảđángchúýkháccủanghiêncứusinhlàchỉratrongcácvànhđa thứcR n vớin l ẻcòntồntạimộtlớpphầntửđặcbiệt,cácphầntửkhảnghịchmở rộng có đặc tính tương đồng với các khả nghịch truyền thống (Định nghĩa 2-5). Cácphầntửnàycũngcóthểđượcsửdụnglàmkhóatrongcáchệmật(Địnhlý2-2)tươngtự như các phần tử khả nghịch truyền thống Kết quả này cho phép linh hoạt tronglựachọnvànhđathứcnềntảngđểxâydựngcáchệmậtvàđượccụthểhóabằngmột hệmậtE-RISKE(mục4.4)hoạtđộngcảtrên R 2C, mộtcảitiếncủahệmậtRISKE vốnchỉhoạtđộngtrênR k

R 2 n đượcnghiêncứusinhxâydựng(Bổđề2-9vàBổđề2-10)lànền tảngquantrọngđểđề xuấthệmật laighépQRHEtrongmục3.3.

CÁCHỆMẬTDỰATRÊNVÀNHĐATHỨCCHẴN

MỞĐẦUCHƯƠNG

R 2 n baogồmRISKE,QRHEvàIPKEtươngứngvớibacôngtrình[C2],[J1]và[J3] củanghiêncứusinh.Trongđó:RISKE,mộthệmậtkhóabímậtcóđộantoànIND-

CPA,đượcxâydựng dựatrêncácphầntửkhảnghịchtrong vànhđathứcchẵntuyệt đốiR ksẽ đượctrìnhbàytrongmục3.2;Hệmậtlai ghépQRHEhoạtđộng dựatrên đặctínhcủacácthặngdưbậchaivàcácphầntửliênhợpcủachúngtrongvànhchẵn

R 2 n sẽ đượcmôtảtrongmục3.3; Cuối cùng,hệmậtkhóacôngkhaiIPKEcácphần tửkhảnghịchtrongvànhR klàm cửa sậpsẽđượcđềxuấttrongmục3.4.

Ngoài các tấn công vét cạn để đánh giá độ an toàn bản rõ và độ an toàn khóa,tấn công CPA sẽ được sử dụng trong thí nghiệm đánh giá độ an toàn không thể phânbiệtđểđánhgiáđộantoànngữ nghĩa củacáchệmậtđược đềxuất.

Trong các thuật toán tạo khóa, mã hóa và giải mã của các hệ mật, ta quy ướcAlicelàbênmãhóa vàgửibản mãcònBoblàbênnhậnbảnmãvàgiảimã.

HỆMẬTKHÓABÍMẬTRISKE

Hệ mật OTP (One-Time Pad) được Vernam đề xuất vào những năm 1920 vàđược Shannon chứng minh là có độ an toàn hoàn hảo vào năm 1949 [89] OTP hoạtđộngtrên tr ườ n g( 2 ) vớicácphépm ãhóavàgiải m ã đều l à các p h é p tínhXOR rấtđơngiảnvớiđộphứctạptínhtoánlà O(n) trongđón l àđộdàikhóa.Ngoàira,OTP hiện vẫn là hệ mật an toàn và vẫn được sử dụng trong các lĩnh vực rất đặc thùđòi hỏi độ an toàn rất cao như quốc phòng, an ninh và ngoại giao Tuy nhiên,nhượcđiểm lớn nhất của OTP là khóa bí mật phải được chọn ngẫu nhiên và chỉ được sửdụngduynhấtmộtlầnđểtránhtấncôngKPA.Ngoàira,khóabímậtcủaOTPcầncóđộdàiítnhất bằngđộdàibảnrõdẫnđếnhiệuquảmãhóakhôngcao.Nhữngnhược

* điểm này khiến cho OTP không phù hợp với các ứng dụng trong thương mại. Trênthựctế,cácnghiêncứumậtmãkhóabímậtcũngđềuđitheohướngxâydựngcáchệmật có khả năng mã hóa những bản tin dài với khóa ngắn và có thể tái sử dụng màvẫn đảm bảo độ an toàn ngữ nghĩa thay vì xây dựng các hệ mật có độ an toàn hoànhảo[89].

Vấnđềđặtralàcóthểsửdụngvànhđathứcchẵn R 2 n đểxâydựngmộthệ mật có độ phức tạp mã hóa và giải mã tương đương với OTP nhưng có khóa bí mậtngắn hơn độ dài của bản tin mà vẫn đảm bảo hệ mật có độ an toàn chứng minh đượchaykhông.

Quansátkỹtathấy,thuậttoánmãhóavàgiảimãtrongOTPthựcralàmột phépcộngtrongvànhđathức R n, trongđóđộdàibảnrõ,bảnmãvàkhóađềulàn bit.ÝtưởngởđâynếuthaythếphépcộngđathứctrongOTPbằngmộtphépnhân trongvànhđathứcthìtacóthểsửdụngcácphầntửkhảnghịchtrongR n đểlàmkhóa cho một hệ mật khóa bí mật và nếu tập này đủ lớn thì hệ mật sẽ đạt mức an toàn ngữnghĩanàođó.Ngoàira,nếuchọnkhóangắnhơnbảnrõmàvẫnđảmbảomứcantoànngữnghĩath ìhệmậtđược đềxuấtsẽhiệuquảhơnOTP.

VớiĐịnhlý2-3,tathấyrằng,tấtcảcácđathứccótrọngsốHamminglẻtrong lớpvànhđathứcchẵntuyệtđốiR klà khảnghịch.Nhưvậy,tậpnàyđủlớnđểcóthể sửdụnglàmkhóatronghệmậtnêutrên.DựatrêncácphầntửkhảnghịchtrênR k, nghiên cứu sinh sẽ đề xuất một hệ mật khóa bí mật, có tên là RISKE (RandomInvertible Secret-Key Encryption scheme) có độ phức tạp tính toánO(n 2 ) với độ dàikhóakhôngnhấtthiếtphảibằngđộdàibản tin màvẫncóđộantoànIND-CPA.

CấutrúcđạisốnềntảngcủaRIKSEsosánhvớiOTPvớicùngkíchthước khóa vịbit N đượctómtắttrongBảng3-1.Cácgiátrịkíchthướcđượctínhtheođơn n

R,n2 k vàđộdài bản rõcùngmộtsốnguyên N2 k để xác định độ dài khóa bí mật Việc lựa chọn độ dài khóaNnhỏ hơn độ dài của bảnrõnnhằm đảm bảo hiệu quả mã hóa của RISKE so với OTP, trong đó khóa và bảnrõcó cùngđộdàiN

Với {sI n| 0degsN1},A l i c e v à B o b c h i a s ẻ m ộ t đ a t h ứ c k h ả nghịchngẫunhiêns làmkhóabímậtchung.DodegsN1tacóthểbiểudiễn sb ằ n gN b i t.Điềukiệnd e gs0đ ể đảmbảotakhôngthểdùngmật trongRISKE.Hệquảlà, s1l à m khóabí

TheoBổđề2-6, w(M) luônlẻdođó,theoĐịnhlý2-3,cảM v à c đ ề ucó trọngsốlẻvàkhảnghịchtrong

Mcs  1 (3.4) trongđó s 1 lànghịchđảocủas trong R kt í n h bằngThuậttoán2-1,từđósửdụng côngthức(2.15)khôiphục n 1bitbảnrõ mM x n  1 

Alicev à B o b c h i a s ẻ 5 b i t k h ó a b í m ậ t s(00111) dạngn h ị p h â n h a y sx 2  x1 dạngđathức.Vì w(s)3 nênnghịchđảocủas t r o n g

Thuậttoán2-1,là b) Mãhóa s  1  x 7  x 5  x 4  x 2  x. Đểm ã h ó a 7 b i t b ả n r õ m(1010011) dướid ạ n g n h ị p h â n h o ặ c mx 6  x 4  x1 dạngđ a t h ứ c , A l i c e đ ầ u t i ê n , b ằ n g c ô n g t h ứ c ( 3 2 ) , t í n h 8 b i t

Mx 7  x 6 x 4 x1sauđó,bằngcôngthức(3.3),tínhvàgửi8bitbảnmã cMsx 5  x 4  x 3  x1 dạngđathứchoặc c) Giảimã c(00111011)dạngnhịphântớiBob. Đểgiảimã8bitbảnmãtính

3.2.7 Phântích độan toànlýthuyếtcủaRISKE Đểđánhgiá độantoànchohệmật RISKE, trướchết,ta sẽchứngminh bổđềsauđây.

Theo[54],2  n làmộthàmkhôngđángkểvàvìtổngcủahaihàmkhôngđáng kểcũng làmộthàmkhôngđáng kể nên tacó

2 (n2) 2 2n 4.2 n là một hàmkhông đángkể.TheoĐịnhnghĩa1-4,vớimọihằngsốc l u ô ntồntạin 0

Vì2 n1 2 1(n2)  2.2 n2 và2 n  2 1khin2,taluôncó2 n2 2 n1 2 n2 1 hay

. b) Vớicáctấncông EAV Địnhlý3-1:RISKElà hệmậtcóđộantoànIND-EAV. cònlớnhơncảđộan

Chứngminh:Nhắclạirằng, với cM*s tacóthểtính Ms  1  c với s 1 lànghịchđảocủas t r o n gR k Mặcdùkẻtấncông khôngbiếtkhóabímật, vẫncóthểthửtừnggiátrị s' đểtính M'(s')  1  c chođếnkhi M'M.Bằng cáchnày,xác suấtđể giải mãthànhcôngmà khôngcần biếtkhóabímậtlà

TrongtấncôngEAV,vớibảnmãtháchthức cM b s nhậnđượctừthủtục mãhóa, cóthểtínhbb bằng cáchđoánđơngiảnvớixácsuất1/2hoặcthửlần lượtt ấ t c ả c á c k h ó a s' đểtính M'(s')  1  c chođ ế n k h i M'M 0 hoặc M'M1.Giảsửrằng phảithửp (N)l ầ n đểcóM 'M 0 h o ặ c M 'M1,trongđó p(N)l à mộtđathứccủaN ( đ ể chắcchắnrằngtấncôngnày cóthểthựchiệntrong thờigian đathức),tacó

1)  1 l à mộthàmkhôngđángkểcủabiếnNđ ồ n g thờido p(N)l à một đathứcnên,theoBổđề 1-2, p(N)2 (

EAV vàtacóđiềuphảichứng minh. c) VớicáctấncôngCPA Địnhlý3-2:RISKElà hệmật cóđộantoànIND-CPA.

Chứngminh:Nhắclạirằng,vớibảnmãthuđược cM b * s,b{0,1}.Nếu c'M b s'với s' thìxácsuấtđể cc'l à

Dos ' đượcbộmãhóachọnngẫunhiêntrong tạimỗiphiêntrongkhi  1 vàc k h ô n gđổi nên

Quaytrởlạithínghiệm SecK cpa (N) ),vớibảnmãtháchthức cM b *s, cóthểđoánđúngbb bằngmộttrong haicách sau:

2 Chọnngẫunhiên b'{0,1}v à tiếptụctruyvấnbộmãhóa q(N)l ầ n vớiđầu vào M b' v à nhậnvềbảnmãtươngứngc ' chođếnkhic 'c.Ởđây, q(N)l à mộtđathứccủaN đểđảmbảochắcchắntấncôngnàycóthểthựcthitrongthờigianđat hức.

Pr[SecK cpa (N)1]Pr[SecK eav (N)1]q(N).Pr[c'c]

1)  1 l à mộthàmkhôngđángkểcủabiếnNđ ồ n g thờido g(N)p(N)q(N) cũnglà mộtđa thứcnên,theoBổđề1-2, g(N)2 (

N1)1 là hàm không đáng kể củaN Hệ quả là, theoĐịnh nghĩa 1-7, RISKE có độ an toànIND-CPAvàtacóđiều phảichứngminh.

3.2.8 PhântíchhiệunănglýthuyếtcủaRISKE ƯuđiểmquantrọngcủaRISKElàđộphứctạptínhtoánthấp,cảthuậttoánmã hóavàgiảimãchỉsửdụngmộtphépcộngvànhânđathứctrongvànhđathức chẵntuyệtđối

.SovớihệmậtOTP,khóabímật st r o n gRISKEcóđộdàiN n h ỏhơnđộdàin của bảnrõ.

Tương tự OTP, nhược điểm của RISKE là phải thay đổi khóa ngẫu nhiên mớis theo từng phiên Vì lý do này, RISKE nên được sử dụng kết hợp với một hệmậtkhóacôngkhainàođóđểxây dựngmộthệmậtlaighéptheomôhìnhKEM/DEM Nếu hệ mật khóa công khai được chọn có độ an toàn IND-CPA thì hệmật lai ghép cũng sẽ có độ an toàn IND-CPA

[28] Ngoài ra, nếu hệ mật khóa côngkhai được chọn có hệ số mở rộng bản tin lớn, ta có thể điều chỉnhNv à nđể giảmgiátrịnày.

Vì RISKE có độ an toàn IND-CPA, xác suất để tấn công được RIKSE làkhôngđángkể.Tuynhiên,đểngănchặncáctấncôngvétcạn,giátrịN c ầ nđủlớn.

2 2013 Đốivới cácứngdụngđòihỏiđộantoàn cao,giá trịkhuyếnnghịlà N4096.

Ngoài ra, doncàng lớn hơn so vớiNthì hiệu quả mã hóa của RISKE càngcao.Điềunàyđặcbiệthữuíchđểcảithiệnhệsốmởrộngbảntincủacáchệmậtkhóacôngkhaitr ongsơđồlaighépvớiRISKE.Mặcdùvậy,giátrịnàycầnphảiđượclựachọnphùhợpchotừngứng dụngcụthể.

Các so sánh về độ an toàn và hiệu năng của RIKSE với OTP được tóm tắttrongBảng 3-2 Với cùng kích thước bản rõ làn, khóa bí mậtscủa RISKE có kíchthước nhỏ hơn Ngoài ra, khác với OTP, khóa bí mậtstrong RISKE có thể sử dụnglại miễnlàđảmbảo phânbốđềutrongkhônggiankhóa.

Tuyvậy,đểcóthểsửdụngcáckhóangắnhơnbảnrõ,thuậttoánmãhóavà giảimãtrongRISKEphảisửdụngphépnhânđathứcvớiđộphứctạpO(n 2) Đây cũnglàmộtnhượcđiểmcủaRISKEsovớiOTPnhưngcóthểchấpnhậnđượcvìcácphépnhânđath ứctrongvànhrấtdễthựchiện bằngcảphầncứnglẫn phần mềm.

Bảng3-2:Sosánh hiệu năngvàđộantoàncủa RISKEvàOTP

O(n 2 ) O(n) Độantoàn IND-CPA Độantoànhoàn hảo

CóthểcoiRISKElàmộtbiếnthểcủaOTPtrênvànhđathứcR k vớimộtsố ưuđiểmvềsựlinhhoạttronglựachọnvàquảnlýkhóabímật.Tuynhiên,đểđưavàosử dụng trên thực tế, việc lựa chọn một hệ mật khóa công khai phù hợp để chia sẻkhóa phiên của RISKE là một vấn đề mở Một kết quả của hướng nghiên cứu này sẽđượctrìnhbàytrongmục4.4.

Bêncạnhđó,doRISKEhoạtđộngdựatrêntậpcácphầntửkhảnghịchnên tìmracáclớpconcủaR n kháccóhệsố K nđ ạ t cựcđạihoặc gầncựcđạiđểlựachọn linh hoạt cấu trúc đại số nền tảng của RISKE cũng là một hướng nghiên cứu đángquantâm.

HỆMẬTLAIGHÉPQRHE

Nhưđãđánhgiá,mặcdùcóđộantoànIND-CPA,hệmậtkhóabímậtRISKEvẫn có một nhược điểm là phải sử dụng khóa phiên (session-key) giống như hệ mậtOTP Để phù hợp với các ứng dụng thực tế, RISKE cần phải được sử dụng kết hợpvới một hệ mật khóa công khai phù hợp và thường là theo mô hình KEM/DEM nhưđãgiớithiệuởmục1.2.3.Bêncạnhđó,xétvềhiệunăng,phépmãhóavàgiảimãcủa

. Vấn đề đặt ra là có thể xây dựng một hệ mật lai ghép trong đó các thuật toánmãhóavàgiảimãđơngiảnhơn,vídụnhưsửdụngphépcộngtrongvànhđathứcvớiđộphứctạp

Nhưđãphântíchtrongmục2.3,mỗitrongtổngsố2 2nđa thứcmR đềulà mộtphầntửliênhợpvớithặngdưbậchai fm 2 Điềunàycónghĩalàmọiđathức, tươngứngvớimọibản tin2nb i t ,trong R 2 n luôncóthểbiểudiễn dướidạng: m(1x n )

kl (3.7) trongđó,l vàk x t đ ề u làcác đathứcbậctốiđa(n1)v à đượcbiểudiễn tU bởicácchuỗin b it.

Vớiphântíchnhưtrên,nếucoik làmộtkhóabímậtvàchegiấukhóanàybằng mộthệmậtkhóacôngkhainàođó theomô hìnhKEM/DEMthì l(1x n )

km (3.8) làmột bảnmãmà ,nếukhôngbiếtk sẽ khôngthể pháthiệnram dùthuđượcl.

TừBổđề2-9vàBổđề2-10,cácphéptínhl vàk x t tU đềurấtđơngiảnvới độ phứctạp tínhtoánchỉlàO(n).

Vớiýtưởngtrên,trongmụcnày,nghiêncứusinhđềxuấtmộthệmậtlaighéptheomôhìnhK EM/DEMcótênlàQRHEdựatrênthặngdưbậchaivàcácphầntử liên hợptrongvành đathức R 2 n vớicácthuậttoántạokhóa,mãhóavàgiảimãđơn giảnhơn đồngthờikhôngcầnsử dụngkhóaphiênnhưhệmậtRISKE.

Sơ đồ hệ mật lai ghép QRHE (Quadratic Residue Hybrid Encryption scheme)theoýtưởngtrênđượcmôtảchitiếttrongHình3-

2.Vớikhốidữliệuthứicầntruyềnđidài2nb i ttương ứngvớiđathức m2n1 mx j (3.9)

Alicesẽtínhtoánvàmãhóakhóak i i ij j  0 thànhbảnmã c 2,i(độ dàibitphụthuộcvàophép mãhóakhóa)rồitruyềntớiBobquakênhmở.Ởphíanhận,Bobsẽgiảimã c 2,i đ ể lấykhóa k is a u đósửdụngkhóanàyđểkhôi phụcđượcbảnrõ m i t ừ c 1,i  i m i 2 m i c 1,i k i

1-1vìkhóabímậtk i khôngtồntạiđộclậpmàđượctínhtoántừbảnrõm i bằngcách phântíchnóthànhmộtphầntửliênhợpcủathặngdưbậchaim 2n h ư trongbiểuthức

3.Cácgiátrịkíchthướcđượctínhtheođơnvịbit.Đểxâydựnghệmật,AlicevàBobthốngnhấ t giátrịn đểxácđịnhvànhđathứcchẵnKEM R 2n vàmộthệ mậtkhóacôngkhai làmphần

TrongcấutrúcđạisốcủaQRHE,kíchthướcbảnrõm l ớ ngấphailầnkíchthướck hóak Khóanàyđượcsinhratừchínhbảnrõm vàchứamộtphầnthôngtin từm Ngoàira,kíchthướcbảnmãc 1l à n b i ttrongkhikíchthướcbảnmãc 2 lạiphụ thuộcv à o h ệ m ậ t đ ư ợ c s ử d ụ n g l à m p h ầ n K E M v à t h ư ờ n g l ớ n h ơ nn.N h ì n c h u n g , hệ số mở rộng bản tin của QRHE sẽ lớn hơn 1 Do đó, cần lựa chọn phần KEM phùhợp để đảm bảo hệ số mở rộng bản tin của QRHE không quá lớn qua đó đảm bảohiệuquảmãhóa.

Với2nb i tbảnrõ m i, dựatrênBổđề2-10,Alicesẽtínhn b i tkhóabímậtk i vớicáchệsố k ij |0 jn1được xácđịnh nhưsau: k ij m i(jn) (3.10)

Khóa bí mật này sau đó sẽ được mã hóa bằng một hệ mật khóa công khai nàođó (phần KEM), ví dụ như hệ mật RSA để tạo từ mã c 2,i Kích thước của c 2,i còn phụ thuộcvào hệmậtkhóacôngkhaiđược chọn.

BằngBổđề2-9,Alicesẽxácđịnhđượccáchệsốcủabảnmãc 1,i nhưsau: c 1,ij (m ij  m i(jn) )mod2|0 jn1 (3.11)

2) Sửdụngk i đểtínhtínhm i từ c 1,i với m ij (c 1,ij  k ij )mod2|0 jn1

R 64 với n32.ChọnhệmậtRSAđểmãhóakhóa vớicácthamsố: p127487,q101939,e65537,Np.q12995897293(hay viết dưới dạng chuỗi nhị phân 34 bit11 00000110 10011101 10100111

Giảsử64bitbảnrõcần mãhóalà m i 01110000011101000110100101110100 00101110011001010110010001110101. tươngứngvới đathức m x 62  x 61  x 54  x 53  x 52  x 50  x 46  x 45  x 43  x 40  x 38  x 37  x 36  x 34

Sửdụngthuật toántạo khóa,Alicesẽtính được32bitkhóa: k i 01110000011101000110100101110100 vớigiátrị thậpphântươngứng k i  1886677364.

Dok i k i1 ,Alicemãhóakhóak i bằnghệ mậtRSAđã chọnnhưsau: c k e mod

Sửdụngthuật toán mãhóa,Alicetínhđược32 bitbảnrõ c 1,i 01011110000100010000110100000001 vàgửi64bitcặpbảnmãc 1,i

Thủ tục giải mã: vàc 2,i tớiBob.

2,i  4016776971,BobsẽtiếnhànhgiảimãRSAvớikhóabímật d B để khôiphục k(c) d B m odN1886677364 haydướidạngchuỗi nhịphân32bit k i  01110000011101000110100101110100.

2 n làmộthàmkhôngđáng kểcủabiếnn nêncóthểcoi làantoànvới tấncông này.Trênthựctếcầnchọn n1024 vàcỡkhoảng4096(tươngứngvớiđộdàibit của giá trị modulus được khuyến nghị của hệ mật RSA trên thực tế [64]) Trên lýthuyết, có thể sử dụng tấn công vét cạn để tìm bản rõ nhưng điều này là khôngthựctếvìtrongQRHE,độan toàn bảnrõ cònlớngấpđôiđộantoànkhóa. b) VớicáctấncôngCPA

CóthểthấycácthuậttoánmãhóavàgiảimãcủaQRHEphụthuộcvàohệmậtkhóa công khai dùng để mã hóa khóak Để tránh được các tấn công EAV vàCPA,thuậttoánmãhóacủaQRHEcầnđảmbảocácbảnmãcủacùngmộtbảnrõởcáclầnmã hóa khác nhau phải khác nhau Trong trường hợp sử dụng RSA làm phần KEMnhư ví dụ trên, cần lựa chọn giải phápOAEP-RSA [34] Ngoài ra, để khắc phục nhượcđiểmnày,cóthểsửdụngQRHEởchếđộCBCnhưtrongHình3-2dướiđây. l i 2 m i l i c 1,i k 0 || c 1,0  IV

Trongmôhìnhnày,2nb i t k i1 ||c 1,i1 của phiênthứ i1sẽđượchồitiếpvà cộng modulo2vớim i đểtạothànhbảnrõtrunggianl i trướckhitiếnhànhthủtục mãhóaởphiênthứ i.Đồngthời,ởphíagiảimã,saukhitìmđượcl itừ c 1, i vàk i ,

Bobphảisửdụng2nb i t k i1 ||c 1,i1 đểkhôiphụcm i từl i Để có thể hoạt động ở chế độ CBC, Alice và Bob cần thống nhất 2nbit giảngẫu nhiênk 0|| c 1,0trước khi tiến hành truyền dữ liệu Giá trị này cần được chọn ngẫunhiên và phải được giữ bí mật. Với mô hình này, các cặp bản mã(c 1,i ,c 2,i ) và (c 1,j ,c 2,j ) tại các phiên thứiv à j v ớ ic ủ a c ù n g m ộ t b ả n r õ mlà không giống nhau vàcóthểhạnchếđượccáctấncôngCPA.

R 2 n vớiđộphứctạptínhtoánchỉlà O(n).Cácthuậttoán nàycóthểdễdàngthựchiệnbằng phầncứng vàphần mềm.

Mặc dùncàng lớn thì hiệu quả mã hóa của hệ mật càng cao nhưng không thểchọnn q u álớndogiátrịnàycầnphùhợpvớitàinguyênxửlývàđặctínhcủacác i n hệmậtmãđượcsửdụngđểtruyềnkhóabímật.VídụnếuchọnRSAvớiđộdàikhóa

Khikhóabímật k0,tươngứngvớitrườnghợpbảnrõlà mộttrong2 ncăn bậc hai chính trong vành, về lý thuyết thì các bản rõ là không thể che giấu vì chỉ cầnbình phương bản mã là có ngay bản rõ Tuy nhiên cũng không quyết định đượcbản rõ có chính xác không vì có2 nb ả n r õ c ó k h ó a k h á c n h a u c h u n g b ả n m ã n à y

Mặcdù vậy,đâycũnglàcác khóakhôngantoànvànêntránhsử dụng.

R,n2 k lt r o n gđól l ẻnhằmápdụngđệquysơđồmãhóa,làmtănghiệuquảmã hóalênk lần.

3.3.11 KếtluậnvềQRHE Đặc điểm nổi bật của hệ mật QRHE là có thuật toán tạo khóa, mã hóa và giảimãrấtđơngiản.SovớiRISKE,QRHEkhôngcầnsửdụngkhóangẫunhiêncho mỗiphiên vì khóa của hệ mật này được sinh từ bản rõ cần mã hóa Ngoài ra, hệ mật nàycho phép giảm được khối lượng bản mã cần truyền tải mà vẫn đảm bảo tính bí mật,đặc biệt khi giá trịn1024 thì rất khó cho có thể tấn công bằng phương pháp vétcạn khóa Tùy theo việc sử dụng thuật toán mã hóa khóa công khai để truyền khóamàhệmậtnàycónhiềubiếnthểkhácnhau,trongđóOAEP-RSA[34]làsựlựachọnphùhợp.

HỆMẬTKHÓACÔNGKHAIIPKE

Nhưđãgiớithiệu,việcsửdụngcácphầntửkhảnghịchtrênvành R n,q trong mậtmãkhóacôngkhaiđãđượchiệnthựchóavớihệmậtNTRU[44].Tuynhiên,mộtt rongnhữngnhượcđiểmcủaNTRUlàcầncómộtphầntửfk h ảnghịchđồng thờitheohaimodulop v à q t r ê nvành R n,q ĐiềunàykhiếnchoNTRUphảilưuhai khóa bímật làf v à F p , trongđóF p làphầntửnghịchđảocủaf t h e o modulop

Ngoàira,hệsốmởrộngbảntintrongNTRUcũngkhálớn(khoảngtừ3đến5)vớibachếđộ hoạtđộngđượckhuyếnnghị[44].

Vấnđềđặtralàcóthểxâydựngmộthệmậtkhóacôngkhaidựatrêncácphần tửkhảnghịchtrênvànhđathứcchẵnR kt r o n g đócácthuậttoántạokhóa,mãhóa vàgiảimãsửdụngphépnhânđathứcđơngiảnnhưNTRUnhưngcókíchthướckhóabí mậtnhỏvàhệsốmởrộngbảntinthấphaykhông.

Trongmục3.2,cóthểthấyviệcsửdụngphépnhânchophéplàmchocáchàmmãhóavàgiải mãcủahệmật khóabímật RISKE rấtđơn giản vàhiệu quả Vớibản mãcMs cóthểtìmbảnrõmộtcáchdễdàngbằngcôngthức Ms  1  c.Tuy nhiên,điềukiệnđểcóthểthựcthiđượccácthuậttoántrênlàs phảikhảnghịchtrong

R k với s 1 làphầntửnghịchđảovàphảiđượcgiữbímật.Ýtưởngnảysinhởđây làthayvìchọns l àmộtkhóakhảnghịchvàgiữbímật,liệucóthểsửdụngmộtđa thứckhôngkhảnghịchh trongR klàm khóacôngkhaiđểchedấubảnrõbằngphép nhânđathứccMhm àvẫngiảimãđượcbảnrõMn ế ubiếtmộtcửasậpbímậtnàođó.

Vớiý tưởngnhưvậy, trongmụcnày, nghiêncứu sinhsẽđềxuấtmột phương phápxâydựnghàmcửasậpdựatrêncácphầntửkhảnghịchtrongR kqua đóđềxuất mộthệ mậtkhóacông khaicótênlàIPKEcóthủtụctínhtoánđơngiản,chỉsửdụngmộtkhóabímậtcókíchthướcnhỏ,hệs ốmởrộngbảntinthấpvàcóđộantoànIND-CPA.

Giảsử hs(1x p ) vàcmh với h,s,m,c l à cácđathứctrong R k Rõ rànghluôncótrọngsốchẵn.Vìvậy,theoBổđề2-5,hkhôngkhảnghịchhaykhông thểtìmđược h  1 

R đểh  1 h1.Dođó,chỉvớih ,takhôngthểtínhđượcm t ừ cb ằ n gcôngthức mh  1  c (3.13)

(3.15) giốngnhưm ộ t hàmcửasậptrongđódễ dàngtínhc từm n h ư n gkhôngthểtínhngư ợcm t ừc n ế ukhôngbiếtcửasập.

TừBổđề 2-12,nếubậccủas n h ỏhơnp1việctìms t ừh l àquá dễdàng.

Dođó,đểtránhlộstừh,bậccủasc ầ nlớnhơndạng p 1.Nếuchọn p2 k1 thìs c ó với s 1 ,s 2 R 2 k  1 ss.x 2 k1 1 s sẽ đảmbảokhôngxảyranguycơtrên.

Ngoàira,nhưđãđềcậpởtrên,cửasậptồntạikhivàchỉkhis k h ảnghịch haytheoĐịnhlý2-3, sI k Khiđós c ótrọngsốlẻhay w(s)w(s 1 )w(s 2 )2l1|l (3.17)

Bổđề3-2:GọiS k làtậpcácđathức sR k thỏamãnhaiđiềukiện(3.16)và(3.17) khiđó,khônggiancửasậpsẽlà

Chứngminh:Nhắclạirằng,trong R, n luôncótổngsố2 n  1 phầntửcó trọng sốlẻvà2 n  1 

1p h ầntửkháczerocótrọngsốchẵn. Điềukiện(3.16)đượcthỏamãnkhivàn gược lại.Dođó,tacó w(s 1 ) hoặc w(s 2 ) lẻcòngiátrịkiachẵn

Kếtquảnàychỉrarằngkhôngphảitấtcả 2 2k  1 phầntửkhảnghịchtrongI đềucóthểsử dụngđểxâydựnghàmcửa sập(3.16).

- Thốngnhấtmộtsốnguyêndương p2 k1 xácđ ịnh độ d à ib ả n rõm Lý dochọn p2 k  1đ ể độdàibảnrõluônnhỏhơn1/2bảnmãđảmbảocóthể giảimãbản rõm từđathứcd trongbiểuthức(3.14).

1 Chọn ngẫu nhiên hai đa thức khác zero s

2 Sử dụngThuậttoán 2-1đ ể tính2 k bit khóabímậtv ớ i đầuvàos;

3 Tính2 k bit khóacôngkhai vàgửih t ớ iAlice. hs(x p 

Dokhóas c ầ nphảithayđổitheophiênnênh c ũ n gcầnthayđổitheotừngphiên đểđảmbảokhảnăngchốngtấncôngCPAnhư sẽtrìnhbàydướiđây.

M dx i (3.23) với i0 d i ,i[0,p1]l à cáchệsốcủađathứcdt r o n gbiểudiễn d dx p1 i p1

Bằngcáchchọn k 3và p3,AlicevàBobsửdụngvành R 8 đểxây dựnghệ mậtIPKEcókíchthướckhóacôngkhai8 bit vàkích thướcbảnrõ3bit.

Saukhinhậnđượch,đểmãhóabảntin3bit( 0 1 1 ) d ạ n g n h ị p h â n h a y mx1dạ ngđathức,đầutiên,bằngcôngthức(3.20),Alicetính

(x1). Tiếpđó,sử dụngcôngthức(3.21),Alicetính c(x 7  x 4  x 3  x)(x 2  x1)x 7  x 6  x 2  1 vàgửi8bitbảnmãc(11000101)d ạ n g nhịphântớiBob.

Khinhận được c , ápdụngcông thức(3.22), Bobtính 8bit d(x 7  x 5  x 3  x 2  x1)(x 7  x 5  x 4  x 3  x 2 )

Mx 2  x1.Cuốicùng,Alicekhôiphục vớicôngthức(3.24). b) MộthệmậtIPKE64bit mx 2 

Trongvídụnày,AlicevàBobthốngnhất k6v à p31đ ể xâydựngmột hệmậtIPKE64bittrênvành

Có thể kiểm tras1trong

Vìm cótrọngsốlẻnênAlicesử dụng côngthức(3.21)tính cx 62  x 61  x 60  x 59  x 56  x 54  x 53 x 52  x 51  x 50  x 49  x 48  x 45 x 42

Khinhậnđượcc t ừAlice,sử dụngcôngthức(3.22),Bobtính dx 61  x 59  x 53  x 51  x 49  x 45  x 42  x 39  x 37  x 35  x 33

3.4.10 Phântích độan toànlýthuyếtcủaIPKE a) Cáctấncôngkiểuvét cạn

Kẻtấn công nhậnđượcc c óthểthửvétcạn2 pbản rõm c h ođếnkhiđạt đượcmhc

2 1023 và(2 2047 2 1024 ) xácsuấtđểkẻtấncôngvétcạnkhóavàbảntinlà khôngđángkểvà cóthểcoiIPKElàantoànvớicáctấncôngkiểu này. b) VớicáctấncôngCPA ĐểđánhgiáđộantoànchohệmậtIPKEvớitấncôngCPA,trướchết,tasẽchứng minhhai bổđềsauđây.

 n f(n)2 2 là hàm không đáng kểcủabiếnn.

2 2 2 2log 2 n (2 log 2 n ) 2log 2 n  n 2log 2 n Với nn 0 , n log  n 0

2 2 ) 1 là hàm không đángkể của biếnn.

Chứngminh:Vì2 2 làmộthàmkhôngđángkể, theoBổđề1-1 ,rõrà ng 4.2

22 ( n 2)2 cũnglàmộthàmkhôngđángkểcủan.Tứclàvớimọihằngsố cl u ô ntồntại n 0 đểkhi nn 0 thì ( n  2)

2 2 12 2 với n4.Dođó,vớimọihằngsốc l u ô ntồntại N 0 max{n 0 ,4}để saochokhi nN 0 thì n f(n)(2 n  1 

2 2 ) 1 làmộthàmkhôngđángkểvớibiếnn v àtacóđiều phảichứngminh. Địnhlý3-3:IPKEcóđộantoànIND-CPAnếucửasập s đượcchọnngẫunhiên phânbố đều trongS k

Chứngminh:Đểtiện chứngminhtađặt n2 k Trong thủ tụctấncông phân biệtbằngbảnrõđượcchọn,saukhinhậnđượcbảnmãtháchthứcc t ư ơ n gứngvới bảnrõ m, chỉcó thểđoán đúngbb bằngmộttronghaicáchsau:

2 Chọn ngẫunhiên b'{0,1}v à truyvấnbộmãhóa p(n) lầnvớiđầuvàom b đểtínhvànhậnlạibản mã c'c h o đếnkhi c'c.Ởđây, p(n) làmột đathức củan đ ểđảmbảochắcchắntấncôngnàycóthểthựcthitrongthờigianđathức.Khiđó,xác suấtđể đoánthànhcônglà

2 n/2 (2 n/21 1) làmộthàmkhôngđángkểcủan theoBổđề3-4.Đồngthời, donên,theoBổđề1-2, p(n) làmộtđathức p(n)

MộtnhượcđiểmcủahệmậtIPKElàhệsốmởrộngbảntinlà 2 k/ p Dophải chọn p2 k1 nênhệsốnàyluônlớnhơn2 h a ybảnmãdàigấphơnhailầnbảnrõ, tươngtựhệmậtElGamal[32].Dođó,mặcdùk cànglớnthìkhảnăngbảomậtcủahệmậtcàng cao,tacầnphảichọnk phùhợpđểđảmbảohiệuquảmãhóa.

Thuậttoántí nh khóa b í m ậ tc ầ n n hi ều n h ấ t k 1 bước.T h ậ m c h í t r o n g trườnghợpđộdàikhóacôngkhairấtlớncỡ4 0 9 6 ứ n gvớihư ởngđếnthủtục tạokhóa. k12 cũngkhôngảnh

Bảng 3-5tóm tắt các tham số hiệu năng lý thuyết của hệ mật IPKE so với vớihệmậtRSAvàNTRU khisửdụngcùngkhóacôngkhaicócùngđộdàikhóan2 k

Kíchthướcbản mã(bits) n n n Độphứctạp mãhóa

Một ưu điểm quan trọng của hệ mật IPKE là cả hai thuật toán mã hóa và giảimã đều sử dụng phép nhân đa thức modulo rất đơn giản tương tự như NTRU trongkhiRSAphảisửdụnghàmmũmodulovớiđộphứctạpO(n 3 )

Ngoàira,vớicùngđộdàikhóacôngkhai,IPKEchỉcầnsửdụngn bitkhóabí mậts t r o n gkhi NTRUsửdụnghai khóaf v à F p

3.4.12 Lựachọnthamsố với tổng độdài là2nb i t

Bảng3-6:Cácchế độ hoạtđộng củaIPKE Độantoàn k Độdàikhóa Độantoànbản rõ Độantoànkhóa

6đưarabachếđộhoạtđộngvớibamức độ antoàn khácnhaucủaIPKE. Đểđơngiảntrongtínhtoán,tacóthểchọnk7.Chếđộnàyphùhợpvớicáchệthốngcónhi ều giớihạnvềtàinguyên(CPU,bộnhớ,pin,…).

Với cácứngdụngyêucầuđộan toàncao giátrịkhuyếnnghịlàk12v ớ iđộ dàikhóacôngkhailà4096.Trongchếđộnày,cáckiểutấncôngđãphântíchđềurấtkhóthực thi vìđộ antoànbảnrõvàđộantoànkhóa đềulà cácsốrấtlớn.

Các giá trịkcao hơn cần được xem xét kỹ lưỡng để đảm bảo cân bằng giữamứcđộan toànvàhiệuquảmãhóa.

Một số phân tích trên lý thuyết cho thấy IPKE có một số ưu điểm và có thểxemxétkỹlưỡnghơn(đảmbảocânbằnggiữakhônggianbảnrõvàkhônggiankhóa,mở rộng không gian khóa, thử các loại tấn công khác,…) cho các ứng dụng thực tếđặcbiệtlàcácứngdụngđòihỏitốc độtínhtoáncaovới tàinguyênhạnchế.

KẾTLUẬNCHƯƠNG

Bahệmậtđượcgiớithiệutrongchươngnàyvềcơbảnchứngminhvànhđathức chẵn R 2n hoàntoàncóthểứngdụngđượctrongmậtmã.Cụthểhơn,bahệmậtxây dựngđượctrênvànhchẵn

R 2 n đềucóthuậttoántạokhóa,mãhóavàgiảimãđơn giản,đòihỏiíttài nguyêntínhtoánvàcóhệsốmởrộng bảntin nhỏ.

Nếu như RISKE là một hệ mật khóa bí mật có độ an toàn chứng minh đượcIND-CPA nhưng có nhược điểm phải sử dụng khóa phiên thì QRHE là một biến thểhoạt động theo mô hình lai ghép với khóa bí mật tự sinh từ nội dung bản tin và cóhiệu quả mã hóa rất cao. Bên cạnh đó, trong khi QRHE phải hoạt động dựa trên mộthệmậtkhóacôngkhaicósẵntheomôhìnhlaighépKEM/DEMthìIPKElàmộthệ mậtkhóacôngkhaicóthểhoạtđộngđộclậptrênvànhchẵnR k antoànkhácnhau. vớinhiềumứcđộ

Ngoài ra, các hệ mật như QRHE và RISKE là nền tảng phù hợp để xây dựngcác hệ mật lai ghép có đặc tính tốt Các hệ mật này hứa hẹn sẽ cải thiện tốt hệ số mởrộngbảntincủa mộthệmậtkhóacôngkhainhưElgamnal, NTRU,pNE…).

CÁCHỆMẬTMỞRỘNGDỰATRÊNVÀNHĐATHỨCCHẴNKẾTHỢP VỚICÁC VÀNHĐATHỨC KHÁC

MỞĐẦUCHƯƠNG

Nộidungchương3chothấyvànhđathứcchẵnđứngđộclậpđãcóthểứngdụng đểxâydựngmộtsốhệmậtcóđặctính tốt.Tuynhiên, sựkết hợpgiữavànhđa thứcchẵn R 2n vàcácvànhđathứckhácmởranhiềuhướngứngdụngkháccủavành đathứctrong mậtmã.

Trongchươngnày,bằngcáchkết hợpvànhđathứcchẵntuyệtđốiR k vàvành đathứcchỉcóhailớpkềcyclic R 2C, luậnánđềxuấtbahệ mậtmớibao gồmDTRU,

[C3]và[C1]củanghiêncứusinh.Trongđó:Hệmậtkhóacôngkhai DTRU, một biến thểcủahệmật NTRUhoạt độngdựatrênhailớpvànhR k vàR 2C, sẽđượctrìnhbàytrongmục4.2;Hệmậtkhóa bímậtE-

RISKE,đượcmôtảtrongmục4.3,làmộtphiênbảnmởrộngcủahệmậtRISKEchophéps ửdụngkhóabímậtlàcácphầntửnghịchđảomởrộngtrêncác vành R 2

C thayvìchỉsửdụngcácphầntửnghịchđảotruyềnthốngtrên R k ;Cuối cùng,hệmậtHpNE,dựatrênsựlaighépgiữaRISKE/E-

Ngoài các tấn công vét cạn để đánh giá độ an toàn bản rõ và độ an toàn khóa,tấn công CPA sẽ được sử dụng trong thí nghiệm đánh giá độ an toàn không thể phânbiệtđểđánhgiáđộantoànngữnghĩacủacáchệmậtđượcđềxuất.

Tươngtựtrongchương3,trongcácthuậttoántạokhóa,mãhóavàgiảimãcủacác hệ mật, ta quy ước Alice là bên mã hóa và gửi bản mã còn Bob là bên nhận bảnmãvàgiảimã.

HỆMẬT KHÓACÔNGKHAIDTRU

Nhưđãphântíchtrongcácmục1.3.2và1.4.1,NTRU[44],mộthệmậthoạtđộngdựatr êncácphầntửkhảnghịchtrongcácvànhđathứccóbậchữuhạnhệsố nguyên R n,q, đượcIEEEchuẩnhóavàđượccoilàmộttrongnhữngứngcửviênthay thế cho các hệ mật khóa công khai truyền thống như RSA, ElGamal Tuy nhiên nhượcđiểmcủaNTRUlàhệsốmởrộngbảntinlàkhálớn(khoảngtừ3đến5)vàchưahoàntoànphùh ợpvới cácthiếtbịcótàinguyêntínhtoánhạnchế.

Biến thể mới và quan trọng nhất của NTRU, hệ mật pNE [88] được đề xuấtnăm2011cũnghoạtđộngdựatrêncácphầntửkhảnghịchtronglớpvànhđathứ c chẵntuyệtđốihệsốnguyênR ,n2 k, kN  Hệmậtnàycóưuđiểmlàcóđộan n,q toànngữnghĩaIND-CPAdựatrênđộkhócủabàitoánR-

Vấn đề đặt ra là có thể xây dựng một biến thể khác của NTRU hoạt động trêncácphầntửkhảnghịchtrongvànhđathứcvànhđathứcchẵntuyệtđốihệsốnhịphân

NTRUđượcđặctrưngbởibasốnguyên(n,p,q) vớiqp( qlớnhơnnhiều sovớip)vàgcd(p,q)1.Trongđó,n l àbậchữuhạncủavànhđathứcR n, nền tảngđ ạ i s ố c ủ a N T R U c ò np ,ql à h a i g i á t r ị đ ư ợ c s ử d ụ n g đ ể t í n h c á c p h é p t í n h modulotrong RZ[x](x n  1).Cóthểthấy,các phéptínhmodulop v à q t r o n g R chínhlàcácphéptínhtrongcácvành R n,p v à R n,q tương ứng. Đểmôtảkhônggiancủacácthamsố,NTRUsửdụngkýhiệu để môtảtậpcácđathứctrongR c ó d 1 hệsốcógiátrị1,d 2 hệsốcógiátrị 1v à

(nd 1 d 2) h ệ sốcònlạicógiátrị0.Dựatrênkýhiệuđó,NTRUsửdụngtậpkhóa bímật f   d f ,d f 1 vàhaitập và trongcácthủ tụctạokhóa côngkhaivà mãhóa.

TậpbảnrõtrongNTRUđượcký hiệulà vàxácđịnhnhưsau vớip đ ư ợ cxácđịnhnhưtrên. b) Thủtụctạokhóa

TrongNTRU,đểtạocáckhóa,Bobchọnmộtđathức f cóđồngthời hainghịchđảomodulopv à q h a y c ụthểhơnlàtồntạihaiđathứccho F p ,F q R sao và

(3.27) g đểtính khóacôngkhai sauđógửih t ớ iAlice. c) Thủtụcmãhóa hgF q modq (3.28) Đểmãhóabảnrõ mã m ,Alicechọnt ùy ým ộ t đathức đểtínhbản vàgửie tớiBob. d) Thủtụcgiảimã ephm(modq) (3.29) Đểgiải mãe nhậnđượctừAlice,đầutiênBobsửdụngkhóabímậtft í n h afe(modq) (3.30) sauđóchọncáchệsốcủaa t r o n gkhoảngtừq/2đếnq /2v àkhôiphụcbảnrõm bằngcáchtính e) Chứngminhthủtụcgiảimã

Vìtấtcảcáchệsốcủa a n ằ m trongkhoảngtừq/2đếnq /2,cóthểthấya khôngthayđổigìnếucáchệsốnàybịtínhmoduloq ĐiềunàycónghĩarằngBob cót hể tính cá c hệ s ố củ a đa th ứ cf et h e o mod uloq v à o tr on gkho ả ngg iá tr ị từ

F p  a F p  f mm(modp). f) Điềukiện giảimãthànhcông Đểđảmbảogiảimãthànhcông,NTRUphảichọncácthamsốsaochohệsố củađathứca p h ả iđảmbảonằmkhoảngtừ g) HiệunăngcủaNTRU

TrongNTRU,vìthủtụcmãsửdụngmộtphépcộngvàmộtphépnhânđathứcmodulo đơn giản trong khi thủ tục giải mã cũng chỉ sử dụng hai phép nhân đa thứcmodulo của hai đa thức có hệ số nhỏ nên điểm mạnh nhất của NTRU là tốc độ tínhtoán Theo [44], NTRU nhanh hơn các hệ mật RSA và ECC khá nhiều ở các mức độan toàn tương đương Hơn nữa, tốc độ của NTRU có thể được nâng cao bằng cáchchọncácvànhvàcácphépbiếnđổituyếntính hiệuquảhơnnhư trong[46].

MộttrongnhữngđiểmhạnchếcủaNTRUlàbảnmãcódunglượnggấpl o g p q bản rõ.Trong chế độ an toàn cao của NTRU [44], vớigấpkhoảng4lầnbảnrõ. p3và q128,bảnmãdài

d ! 2  N  2d ! f h) ĐộantoàncủaNTRU vớimộtsốkiểutấncông a) Tấncông dựatrêndàn(lattice-basedattack)

Theo[44],vì fhg(modq),dàn L(B)t ạ obởicáchàngcủamatrận

0 0 0 0 0 q chắcchắnsẽchứavector h  (f,g)đ ư ợ c tạobởin h ệsốcủađathứcf theosau bởin hệsốcủađathứcg Ngoàira,vìf v à g l àcác vectorcóhệsốnằmtrongtập

{1,0}, cóthểsửdụngcácthuậttoánrútgọntrêndàn(latticereductionalgorithm)nhưLLLcủaLenstr a-Lenstra-Lovász[56]đểtìmtấtcảcácvectorcóhệsốnhỏtrong

L(B)v àsosánhchúngvớivectorđích h bằng cáchvétcạn thửsai đểtìmf Kiểu tấncôngnàycũngcóthểápdụngđểdòbảnrõm b ằ n gcáchsửdụngvectorđíchlà

 m (m,) Chính vì lý do này mà độ an toàn của NTRU có liên quan đến bài toánkhóSVPtrêndàn. b) Tấncôngvétcạn Đểchegiấu m , NTRUsửdụngmộtđathứctùyýt r o n g .c h ứ a d h ệ số1,dh ệ số1và( 2nd)h ệ số0.Vìvậy,độantoànbảntin,kýhiệulà# ,của

NTRUchống lại các tấncông vét cạn m đ ư ợ c t í n h l à

Tươngtựnhưvậy, cóthểdò rakhóabímậtfb ằ n g c á c h thửmọi đathức trong chođếnkhiđathứca fhmodq cóhệsốnhỏhaybằngcáchthửmọiđa g g  N ! d g 2 !N  2d g ! f

# 1 g d ! g n  2d ! n! g thức g vàkiểmtrakhinào gh  1 mod q cócáchệsốnhỏ.Độantoànkhóacủa NTRU,ký hiệulà# g , đượctínhlà

# (3.34) trongđó,d g làtổngsốhệsốbằng1và 1củag. c) Tấncông gặpởgiữa(MITM:Meet-in-the-middle)

Dofhgmodqđ ề ucócáchệsốnhỏ,theo[49],thayvìthửtấtcảcácđa thứcbậc f cóbậc n, sẽtìmmộtcặp(f 1 ,f 2 ) cóbậc n/ 2 s a o chocáchệsố tươngứngcủa f 1 hvà  f 2 hl à x ấ pxỉnhau.Phươngpháptấncôngnàycho phép giảmsốlầnvétcạnkhóaf hoặcbảntinxuốngbằngcănbậc2củagiátrịbanđầu.Kiểutấ ncôngnàycũngđượcápdụngtrongviệcvétcạn đểtìmm

Giảsử cóthểthuthậpr bản mã e i  i  h(modq),i[1,r] (3.37) củacùngmộtbảnrõmvớicùngkhóacôngkhaih n h ưn gkhácđathức i, sẽtính ee()h(modq)v à sauđólà()(ee)h  1 (mod q) vớigiảthiết i 1 i 1 i 1 i 1 hk h ảnghịchvàvớiphầntửnghịchđảolà i h  1

2 f đủ lớn, có thể dò ra nhiều hệ số của1và tìm phần còn lại bằng phương pháp vétcạn từ đó có thể khôi phục bản rõmmà không cần biết các khóa bí mật Tuy nhiênkiểutấncôngnàychỉcóhiệuquảkhikhóacôngkhaih k h ảnghịch.

Nhưđãphântíchởtrên,ýtưởngthenchốtcủaNTRUlàmãhóamộtbảnrõm,t ư ơ n g ứ n g v ớ i m ộ t đ a t h ứ c c ó h ệ s ố n h ỏ ( t h e o p h é p t í n h m o d u l optr ong R ),thành mộtbảnmãe,tươngứngvớimộtđathứccóhệsốlớn(theophéptínhmodulo qt r o n g R )vớiđiềukiệnqp vàgcd(p,q)1.Đểmãhóavàgiảimãthànhcông,

NTRU phải sử dụng một khóa bí mậtf l à m ộ t đ a t h ứ c k h ả n g h ị c h đ ồ n g t h ờ i t h e ohai modulopv à q t r o n g R

C đềulàkhảnghịch.Hơnnữa,nếu aN k vàbN 2C thìchắcchắn gcd(a,b)1vìa l àmộtsốchẵncònb l àmộtsốnguyêntốlẻ. Ýtưởngởđâylà,thayvìmộtđathứcfk h ả nghịchtrongR t h e ohaimodulo pv à q ,tasẽsửdụngđathứcfk h ả nghịchđồngthờitronghaivành

4.2.4 HệmậtDTRU a) Cácthamsố ĐểtiệnsosánhvớiNTRU,DTRUtáisửdụngmộtsốkýhiệutrongNTRU gồmcácthamsố f,g,

Do DTRUhoạt độngtrênhai vành R L v à R S, nghịchđảocủakhóabímậtf trêncácvànhnàyđượckýhiệutươngứnglàF Lvà F S

1.Cácgiátrịkíchthước đượctínhtheođơnvịbit. ĐểxâydựnghệmậtDTRU,AlicevàBobthốngnhấtAlicevàBobchọnhai sốnguyêndương SN 2C , L N k vàSLvàđểxácđịnhhaivànhR S vàR L Các giátrịnàycóthểcôngkhai.

Bobgiữ(f,F S ) vàh t ớ iAlice. d) Thủtụcmãhóa làmhaikhóabímật(F L cóthểbỏ đi) và gửicôngkhai S,L

R S Đểmã hóaSb i t b ả n r õm , A l i c e c h ọ nn g ẫ u n h i ê n m ộ t đ a t h ứ c k h á c z e r o vàtính ehmR L sauđógửiL b i tbản mãe t ớ iBob. e) Thủtụcgiảimã

F S  a F S  f mm R S hay mF S  a R S Vậytacóđiềuphải g) Điềukiện giảimãthànhcông ĐiềukiệnđầutiênđểgiảimãthànhcôngtrongDTRUlàphéptínha fe phảikhôngbịảnhhưởngtrongmodule(x L 

1).Điềunàyđượcđảmbảokhibậccủa aphải nhỏ hơnL Điều này được đảm bảo khidegdeggSL.Vìd e g,degg,degf,degmS,cáchchọn

Sau khinhậnđược S,L v àh,đểmãhóabảnrõ m x 3  x,dùngcôngthức

Giải mã: bảnmãe(1010.0111.1001.0001) dạngnhịphântớiBob. phục

Khinhậnđượce t ừAlice,Bobtínhax 10  x 8  x 6  x 4  x 3  xs a uđókhôi mx 3  x. b) Mộthệmật DTRU 64bit

Saukhinhậnđược S,Lv àh,đểmãhóa19bit mx 15  x 12  x 8  x 6 

Trong mục này, một số kiểu tấn công đối với NTRU trong [44] sẽ được ápdụng cho DTRU để so sánh về độ an toàn của hai hệ mật này Ngoài ra, thủ tục tấncông phân biệt bằng CPA cũng sẽ được sử dụng vì đây là yêu cầu tối thiểu đối vớimộthệmậtkhóacôngkhai. a) Vớicáctấncôngvétcạn

Vìf hgR L , đểtấncôngkhóabímậtf , cầnvétcạnf vàkiểm tra điều kiệndeg(fh) modLS Xác suất để tấn công vét cạn thành công khóabí mậtlà

Tươngtự, cóthểtấncôngbảnrõm b ằ n g cáchvétcạn  vàkiểmtra xem đa thứcehmR Lc ó b ậ c n h ỏ h ơ n S h a y k h ô n g X á c s u ấ t đ ể tấn côngvétcạnthànhcôngbảnrõ là

TrongD T R U , fhgR L dođ ódeg(fh)deggS.T h e o [ 49],t ấ n công MITM có thể áp dụng cho DTRU làm giảm số lần vét cạnf v à mb ằ n g c ă n bậc 2 giá trị ban đầu Hệ quả là, độ an toàn bản rõ và độ an toàn khóa trong DTRUlầnlượtlà

(4.9) trongđó chínhlàsốđa thứckhảnghịchđồng thờitronghaivànhR S vàR L c) Vớitấncôngkhibản rõđượcphátlạinhiều lần

TrongDTRU,cóthểthấykhóacôngkhaisốc hẵnvàkhôngkhảnghịch.Ngoàira,do hgF L (x S 

1) luôncótrọng e i e 1 ( i  1 )hR L |i[1,r] làcácđathứccóbậcrấtlớn,sẽrấtkhóđể tìm 1n h ư đốivớiNTRU. d) Vớitấncông dựatrêndàn(lattice)

Cóthểthấy,cấutrúcđạisốcủaDTRUkhôngdưadựatrênvànhđathứcR n chứkhôngphảidựatrênbàitoánkhóSVPtrêndàndovậykhôngthểsửdụngcácthuậttoá nrútgọntrêndànnhưLLL[56]đểtìmfv àm t r o n gDTRU. e) Vớitấncôngphânbiệt bằngbản rõchọn trướcCPA Địnhlý4-1:DTRUlà hệmậtcóđộantoànIND-CPA.

Trongthủtụctấncôngphânbiệtbằngbảnrõđượcchọn,saukhinhậnđược bảnmãtháchthứce tươngứngvớimộtbảnrõmộttr onghaicáchsau:

M b đ ể tínhe ' chođếnkhi e'e.Ởđây, p(L) làmột đathứccủaL đ ểđảm bảochắcchắntấncông nàycóthểthực thitrong thờigianđathức.

Giảsửtại mộtlầnmã hóa,bảnmãthuđượclà e' i  hM b Khiđó

Doem b làcốđịnhtrongkhi g,v àf ( h ệquảlà F L) đềuđượcchọnngẫu nhiêntrongkhông gian củatừngthamsốnên

Bằngc á c h c h ọ n t h a m s ố 3SL, màv ẫ n đ ả m b ả o gcd(S,L)1 vàL đ ủlớnthì

2 L4 cũng là hàm không đáng kể củaL Hệ quả là, theoĐịnh nghĩa 1-8, DTRU có độ antoànIND-CPAvàtacóđiềuphảichứngminh. j) PhântíchhiệunănglýthuyếtcủaDTRU Ưu điểm quan trọng của DTRU là độ phức tạp tính toán thấp, cả hai thủ tụcmã hóa và giải mã trong DTRU đều là các phép nhân đa thức modulo đơn giản vớiđộphức tạpO(n 2 )

Tuynhiên,bảnmãtrongDTRUbịmởrộngso vớibảnrõL /Sl ầ n Ngoàira,

F p Đểchegiấum ,sốđathứcc ầ n lớnbằngsốbảnrõm TrongDTRU,tachọn

(4.10) Hơnnữa,đểcânbằngđộantoànkhóavàđộan toànbản rõ,cóthểchọn degm(S1) (4.11) khiđóđộdàihiệudụngcủabảnrõlà S1kéotheođộantoànbảnrõcũnglà 2 S2 vàkẻtấncôngsẽ khôngthểưutiênchọnkhóahaybảnrõđểtấncôngvétcạn. l) SosánhvớiNTRU

CáccấutrúcđạisốcủaNTRUvàDTRUđượcmôtảtrongbảng4-2.Cóthể thấyNTRUdùngcácđathứccóbậctốiđalà N1vớicáchệsốnguyêncònDTRU dùnghaivànhđathứccóbậctốiđatươngứnglàphâ n.

1theohaimodulop v à q Trongkhiđó,khóabímậtf t r o n g DTRU cầnkhảnghịchtrênhai vànhđộc lậpR Svà R L

Bảng4-3đưaracácthamsốhiệunăngcủaDTRUsovớiNTRU.Từbảngnàycó thể thấyDTRU có độ phức tạp tính toán tương đương NTRU Điều này là do cảDTRU và NTRU có các thuật toán mã hóa và giải mã dựa trên phép nhân trong cácvànhđathức.

Các bảng 4-4, bảng 4-5 và bảng 4-6 so sánh DTRU và NTRU ở mức tươngđương về độ an toàn khóa và độ an toàn bản rõ theo ba cấp độ an toàn do NTRU đềxuấttrong[44].Kếtquảchothấy:

- Ở cùng mức độ an toàn tương đương, DTRU luôn sử dụng các khóa (cảcôngkhaivà bímật)cókíchthước nhỏhơnNTRU.

- Ở các chế độ an toàn cao (high-security) và đặc biệt là ở an toàn cao nhất(highest security), hệ số mở rộng bản tin trong DTRU là nhỏ hơn trongNTRU.

- Ưu điểm của DTRU là hai giá trị độ an toàn bản rõ và độ an toàn khóa làluôncânbằng.

Ngoàira,tùyvàoyêucầu củatừngứng dụng cụthểmàcóthểchọncặp tham số(S,L)đ ểDTRUcóthểhoạtđộngởnhiềuchếđộkhácnữavídụ(37,128)hay(163,512).

Bảng4-4:Sosánh trongchếđộan toàntrung bìnhcủaNTRU

BằngcáchkếthợpmộtvànhchẵntuyệtđốiR k vớimộtvànhđathứccóhai lớpkềcyclic R 2C, DTRUlàmộtbiếnthểmớicónhiềuưuđiểmcảvềhiệunăngvà chi phí tài nguyên tính toán so với NTRU ở cùng độ an toàn khóa và độ an toàn bảnrõ.CácchếđộhoạtđộngcủaDTRUlàtươngđốilinhhoạtvàphùhợpvớinhiềuloạiứngdụngk hácnhauđặcbiệtlàcóthểxemxéttriểnkhaichocácthiếtbịcótàinguyêntínhtoánhạnchế.

MộtưuđiểmkháccủaDTRUlàkhôngcầnphảithựchiệnthuậttoántìmkhóa bímậtf k h ả n g h ị c h đ ồ n g thời trên haivành R n,p vàR n,q màchỉđơnthuầnchọnS vàL t h e ocácđiềukiệnởtrên.Khiđónếuf k h ả nghịchtrênR S thìcũngsẽkhả nghịchtrên

R L Ngoàira,nếukhóacôngkhaiđượcthayđổitheophiên,DTRUsẽcó độantoàn ngữnghĩaIND-CPA theoĐịnhlý4-1.

HỆMẬTKHÓABÍMẬTE-RISKE

4.3.1 Giớithiệu ĐốivớicáchệmậtsửdụngcácphầntửkhảnghịchtrênvànhđathứclàmkhóanhưRISKEhay IPKE,vànhđathứcnềntảngcầnphảiđượclựachọnphùhợpvàhiện chỉcócácvànhđathứcchẵntuyệtđốiR k đượcsửdụng.Tuynhiên,theoĐịnhlý

2-4,tấtcảcácđathứctrongvànhđathức chỉcóhailớpkềcyclic R 2C , một lớpvành lẻđặcbiệt,đềukhảnghịchvàkhảnghịchmởrộng.Vấnđềchínhởđâylàcóthểkhaithác các phần tử khả nghịch mở rộng làm khóa cho một hệ mật nào đó tương tự nhưcácphầntử khảnghịchtruyềnthốnghaykhông.

Với cách đặt vấn đề như trên, mục này đề xuất một hệ mật khóa bí mật có tênlà E-RISKE (Extended Random Invertible Secret-Key Encryption) E-RISKE là mộtbiếnthểmởrộngcủahệmậtRISKEđãđượctrìnhbàytrongmục3.2nhưngsửdụng cảcácphầntửkhảnghịchvàkhảnghịchmởrộngtrongvành R 2

C làm khóa.Tương tựRISKE,hệmậtnàycóđộantoànngữnghĩaIND-

7.Cácgiátrịkíchthước đượctínhtheođơnvịbit. Đểxâydựnghệmật,AlicevàBobthốngnhấtmộtsốnguyêndương nN 2C đểxácđịnhvànhđathứccóhailớpkềcyclicR n địnhđộdài khóabímật. vàmộtsốnguyênN n đểxác

AlicevàBobchọnvàchia sẻm ộ t đathứcngẫu nhiêns  làmkhóabímậtchung.V ìd e g (s)N1nêntacóthểbiểudiễns b ằ n g N bit.Điềukiệndeg(s)0 đảmbảorằngtakhôngsửdụnghaiđathứctầmthườngmật trongE-RISKE Khiđó s0 vàs1 làmkhóabí n1 e

Vìw(M)l u ô n lẻnênnếus  thìw(c)làlẻcl àkhảnghịchcònkhis  thì w(c)chẵn vàc l àkhảnghịchmởrộng trong R n

4.3.5 Thủtụcgiảimã Đểgiảimãn b i tbảnmãc ,dựavàokhóabímậtđượcchiasẻs ,đầutiênBob tínhn b i t M n h ư sau.Nếus  1 ,

Trongđó, M n1 làhệsốcủađơnthức x n1 trongbiểudiễnđathứccủaM , s  1 l à nghịchđảocủas k h i s  và s  1 l à nghịchđảomởrộngcủas k h i s 

Trongvídụnày,tachọn n5,N3 vàsử dụng R 5đ ể xâydựngE-RISKE. Giả sử rằng Alice muốn gửi 4 bit bản tin(0011)tương đương với đa thứctớiBob. mx1 a) Kh i s

GiảsửrằngAlicevàBobđềudùngkhóabímậtchunglà sx 2  x1v ớ i nghịchđảolà sauđótính s  1  x 4  x 2  x.Đểmãhóam,đầutiênAlicetính

Khinhậnđượcc ,đầu tiên Bobsửdụng s 1 đểtính sauđókhôiphục Mc*s  1  x 4  x1 mx 4 

4.3.7 Phântích độan toànlýthuyếtcủaE-RISKE a) KhảnăngchốngtấncôngIND-EAV Địnhlý4-2:E-RISKElàhệmậtcó độantoànIND-EAV.

Trong E-RISKE, với bản mãcbên nhận có thể tìm được bảnMbằng thủ tụcgiải mãnếu biết khóas Tuy nhiên, dù không có khoá, kẻ nghe lén có thể thử lầnlượt các khoástrong không gian khoá và giải mã ra được một bản rõM Xácsuấtđểkẻngheléngiảimãthànhcônglà

Pr[MM]Pr[s  1 * c M].Pr[k ]Pr[e s  1 * c M].Pr[s ]

TrongtấncôngIND-EAV,v ớ iM b, cóthểđạtđượcbbb ằ n gcáchđoán đơngiảnvớixácsuấtđúnglà1/2hoặcthửtấtcảcáckhoá s hoặc s vàtính

Mb ằ n g thủtục giảim ã chođến kh i MM b Giảsử mất p(N) lầnthửs đ ể thuđược MM b , với p(N) làmộtđathứccủaN đ ểđảmbảotấncônglàkhảthi trongthờigianđa thức,tacó

1 TheoBổđề 3-1, vì( 2 (N  1)  1)1l à m ộ t hàmkhông đángkểcủabiếnN Đồng thời,do p(N)l à mộtđathứcnên,theoBổđề1-2, p(N)

2 N1 1 cũnglàmộthàmkhôngđángkểcủabiếnN.Hệquảlà,theo Địnhnghĩa1-6,E- RISKEcóđộantoàn IND-EAVvàtacóđiều phảichứng minh. b) Vớicáctấncông CPA Địnhlý4-3:E-RISKElàhệmậtcóđộantoànIND-CPA.

Chứngminh:Vớimộtbản rõM vàbản mãtươngứngcc h otrướcvànếu ta cóc làbảnmãcủaM với mộtkhóas n à ođóthì

Vìs đ ư ợ clựachọnngẫunhiênphânbốđềutrong trongkhiM vàc c ốđịnhnêntac ó

TrongtấncôngIND-CPA, cóthể đạtđượcbb bằngmộttronghaicách

1) Sử dụngthuậttoán đểtìmbn h ư t r o n gtấncôngIND-EAV;

2) Vớiclàbảnmãcủamộttronghaibảnrõm 0 ,m 1 nhậnđượctừbộmãhoá,lựachọnn gẫunhiênb{0,1}vàtruyvấnbộmãhóaq(N)lầnvớiđầu vàom bc h o đếnkhicóđượcbảnrõđầuracc.Đểđảmbảotấncôngcó thểthựchiệnđượctrongthờigianđathứcthìcủ aN

Pr[SecK cpa 1]Pr[SecK eav 1]q(N).Pr[cc]

1 TheoBổđề 3-1, vì( 2 (N  1)  1)1l à m ộ t hàmkhông đángkểcủabiếnN Đồng thời,do g(N)p(N)q(N) cũnglà mộtđathứcnên,theoBổđề 1-2, g(N)

RISKEchỉlàmộtphépcộngvàmộtphépnhânđathức trongR n vàmất O(n) phéptínhbit.Dễthấyn c à n glớnsovớiN t h ìE-RISKEcó hiệuquảmãhoácàngcao.

Nhược điểm của E-RISKE là mỗi phiên làm việc cần một khóa bí mật ngẫunhiên mới được chia sẻ giữa bên gửi và bên nhận Vì lý do này, E-RISKE cần đượcsử dụng kết hợp với một hệ mật khóa công khai nào đó để xây dựng một hệ mật laighép theo mô hình KEM/DEM với bản rõ có kích thước lớn được mã hóa bởi E-RISKE còn khóa bí mật ngẫu nhiênstrong mỗi một phiên của E-RISKE được mãhóabởihệmậtkhóacôngkhaiđó.NếuchọnđượchệmậtkhoácôngkhaicóđặctínhIND-CPA thì, theo [54], sơ đồ lai ghép được cấu thành vẫn kế thừa được đặc tínhIND-CPA của E- RISKE Không những thế, do hiệu quả mã hoá cao, nếu sử dụng sơđồlaighéptacóE- RISKEđểcảithiệnhiệuquảcủacáchệmậtkhoácôngkhaicóhệsố mở rộng bản tin lớn như NTRU và pNE. Một kết quả của hướng nghiên cứu nàylàhệmậtHpNEsẽđược trìnhbàytrongmục4.4.

Tương tự như RISKE, mặc dù xác suất để có thể phá được E-RIKSE về lýthuyết là không đáng kể nhưng thực tế để đảm bảo khả năng chống các tấn công vétcạnthìgiátrịcủaN p h ả iđủlớn(cỡkhoảng1024).Khiđó,độantoànkhóavàđộan toànbảnrõcủaE-RISKElà 2 N  22 1024  2.Đ ốivớ i các ứng dụng y ê u cầ uđộ an toàncaohơn,giátrịkhuyếnnghịlà

Vớigiảiphápsửdụngcácphầntửkhảnghịchmởrộngtrongvànhcóhailớp kềcyclic R 2C, E-RISKE cho thấycó thểsửdụnglinh hoạt cácloạivành đa thứcR n khácđểxâydựngcáchệmậttươngtựRISKE.Theođó,chỉcầntìmđượccácvành

HỆMẬTLAIGHÉPHpNE

Như đã phân tích, nhược điểm của hệ mật RISKE là phải sử dụng khóa phiênbímậtngẫunhiênphânbốđềutrongkhônggiankhóa.Dođó,đểtriểnkhaitrênthựctế,cầns ửdụngmộthệmậtkhóacôngkhaiphùhợpđểmãhóakhóabímậtcủaRISKEtheo mô hình KEM/DEM Vấn đề là làm thế nào để có thể chọn được một hệ mậtkhóa công khai phù hợp đặc biệt là có sự liên quan trong cấu trúc đại số nền tảng đểcácthủtụctínhtoánlàđơngiảnnhất.

Như đã giới thiệu về NTRU, một trong những biến thể quan trọng của hệ mậtnàylàhệmậtkhóacôngkhaipNE[88]hoạtđộngtrênvànhđathứcchẵntuyệtđối hệsốnguyênR ,n2 k Hệ mậtnàycómộtsốđiểmrấtphùhợpvớiRISKE là: n,q

- Có độ an toàn IND-CPA, điều mà NTRU chưa đạt được Như vậy nếu kếthợppNEvớiRISKE,cũngcóđộantoànIND-CPA,theomôhìnhKEM/DEMsẽc homộthệmậtlaighépcũngcóđặctínhIND-CPA.

- Nhược điểm của pNE là hệ số mở rộng bản tin lớn và cần phải bù đắp bởimộthệmậtkhóabímậtđểtănghiệuquảmãhóa.

Dựa trên phân tích sơ bộ trên, trong mục này, bằng cách kết hợp giữa pNE vàRISKE theo mô hình KEM/DEM, hệ mật lai ghép HpNE sẽ được đề xuất với độ antoànIND-CPAtươngtự nhưpNEnhưngcóhệsốmởrộngbản tinlinhhoạthơn.

4.4.2 HệmậtpNE Được đề xuất bởi Stehle và Steinfeld vào năm 2011, pNE [88] là biến thể đầutiênvàcũnglàduynhấtcủahệmậtNTRUcóđộantoànngữnghĩaIND-CPAdựa

 R / pR; trên giả thiết về độ khó của bài toán Ring-LWE [60] Hiệu năng của pNE được đánhgiátrong[14]. pNEđượcđặc trưngbởicácthamsốsau:

-M ộ t đathứcp Rs a ochop k h ảnghịchtrongR q và cóhệsốnhỏ(thông thường p2, p3 hoặc px2),x á c đ ị n h k h ô n g g i a n b ả n r õ

Z,  ;tính fp.f1;nếu( fmodq)R  , lấy mẫu lại.

- Lấykhóabímậts kf vàkhóacôngkhai pkhpg/ fR  Ởđây R  là mộttậpcácđathứckhảnghịchtheomoduloq t r o n g R q Bằng cáchchọn fp.f1,fl u ô n khảnghịchtheomodulop t r o n g R q b) Thủtụcmãhóa

VớibảnrõM ,Alicelấye,e vàtínhbản mã c) Thủtụcgiảimã

Theo định lý 4 trong [88], Stehle và Steinfeld chứng minh rằng pNE có độ antoànIND-CPAvớigiảthiếtrằngbàitoánRing-LWE làkhó. e) Hệsốmởrộngbảntin củapNE

Bằng cách kết hợp RISKE và pNE theo mô hình KEM/DEM, mục này sẽ đềxuất một hệ mật lai ghép mới cũng có độ an toàn IND-CPA, độ phức tạp tính toántươngtựpNEnhưngcóhệsốmởrộngbảntinlinhhoạtvàcóthểđiềuchỉnhnhỏhơngiá trị này của pNE Để tiện so sánh, hệ mật lai ghép được đặt tên là HpNE viết tắtcủaHybridpNE. a) SơđồhệmậtlaighépHpNE

Hình4-1:SơđồhệmậtlaighépHpNEtheomôhìnhKEM/DEM b) Cấutrúc đạisố nềntảngcủaHpNE

Các cấu trúc đại số nền tảng của HpNE được tóm tắt trong bảng 4-8 Các giátrịkíchthướcđượctínhtheođơnvịbit.Hệmậtnàysẽcó03khóabímật(02củapNEvà01củaRIS KE)và01khóacôngkhaicủapNE.

- Thốngnhấthaisốnguyênn,q đểxácđịnhvànhđathứcR ,n2 k n,q làmnềntảngđạisốchohệmậtpNE(phầnKEM).Cầnchọn giátrị p2 đểkhônggianbảnrõcủapNEchínhcácvànhđathứchệsốnhịphâncóbậchữuh ạnn ,khônggiankhóacủaRISKE.

R, L2 ll à m nềntảngchohệmậtRISKE(phầnDEM).Giátrịn đ ãchọn ởtrênchínhlàđộdàikhóabímậts củaRISKE.Giátrịlk quađóđảmbảohiệuquảmãhóacủaRISKE cònđểLn trong

R n,q trong khiRISKE hoạt động c) Thủtụctạokhóa

Bobsửdụngthuậttoán ht ớ iAlice. d) Thủtụcmãhóa đểtạokhóabímậtf ,khóacôngkhaih v àgửi Đầutiên,Alicechọnngẫunhiênmộtđathức s  (khóabímậtcủahệ mậtRISKE)vàmãhóakhóanàythànhbảnmãc 1 toán pNE , cóđộdài n.log 2 qb i tbằngthuật toán

(4.26) vàcuốicùnggửi(Ln.log 2 q)bitgồmhaibảnmãc 1 vàc 2 tớiAlice.

L pNE e) Thủtụcgiảimã Đểgiảimãcácbảnmãc 1 vàc 2, đầutiên,Bobsửdụng tính từđó tínhn b i t

L1 L f) Phântích độan toànlýthuyếtcủaHpNE ĐểchứngminhHpNEtasửdụngmộtkếtquả trongbổđề sau.

Bổđề4-1[54]:TrongmôhìnhlaighépKEM/DEM,nếu  Pub (phầnKEM)làmột hệmậtkhóacôngkhaicóđộantoànIND-CPAvà  Sec (phầnDEM)làmộthệmật khóabímậtcóđộantoànIND-EAVthìhệmậtlaighép Hy cóđộantoànIND-CPA. Địnhlý4-4:HpNElàhệmậtcóđộantoànIND-CPA

Chứng minh:Vì RISKE có độ an toàn IND-CPA tức là cũng có độ an toànIND-CPA Trong khi đó, pNE có độ an toàn IND-CPA nên theoBổ đề 4-1, rõ ràngHpNEcũng cóđộ antoànIND-CPAvàtacóđiềuphảichứngminh. g) PhântíchhiệunănglýthuyếtcủaHpNE

Có thể thấy rất rõ thuật toán mã hóa và giải mã của HpNE, tương tự như củapNE,chỉlàcácphépnhântrênvànhđathứcvớiđộphứctạpO(N 2) Ngoàira,hệsố mởrộngbảntincủaHpNE,kýhiệulà X HpNE ,đ ư ợ c tínhnhưnhưsau:

X HpNE Ln.log 2 q11n.log 2 q (4.31) Dễthấy,vớin c ốđịnh,

L.N h ư vậy,nếuchọnLđ ủ lớn sovớin t h ìhệsốmởrộngbảntincủaHpNEsẽđượccảithiện. h) SosánhHpNEvàpNE

Các thông tin so sánh giữa pNE và HpNE được mô tả trongBảng 4-9. Trongđó, có thể thấy hiệu năng lý thuyết của hai hệ mật là tương đương nhưng hệ số mởrộng bản tin của HpNE có thể thay đổi linh động Bằng cách chọnLđủ lớn,

HpNEsẽcóhiệuquảmãhóacaohơnpNE.Ngoàira,đểchốnglạicáctấncôngvétcạnkhóakbằng máytínhphổbiến hiệnnay,cầnchọnn k h o ả n g1024 [64].

L2 l , n2 k | lk Độdàikhóacôngkhai n.log 2 q n.log 2 q Độdàikhóabí mật 2n.log 2 p 2n Độdàibảnrõ n.log 2 p L1 Độdàibản mã n.log 2 q Ln.log 2 q

Về lý thuyết, như đã đề cập trong mục3.2.10, RISKE có thể kết hợp với bấtkỳhệmậtkhóacôngkhainàotrongmôhìnhlaighép.Tuynhiên,dopNE,vớigiátrị p2l ạ i rấtphùhợpvớiRISKEvìkhiđócácphéptínhtrongmodulop c ủ avành

KẾTLUẬNCHƯƠNG

Trongchươngnày,bằngcáchkếthợpvànhđathứcchẵntuyệtđốiR k, một lớpconcủacácvànhđathứcchẵn R 2 n vớicácloạivànhđathứckhác,nghiêncứu sinh đã đề xuất ba hệ mật mới có nhiều đặc tính cải tiến so với các hệ mật gốc. HệmậtDTRU,mộtbiếnthểmớicủahệmậtnổitiếngNTRU,cóthểcoilàmộtứngviêntiềmnăngh ơnNTRUtrongcácứngdụngchocácthiếtbịcótàinguyêntínhtoánhạn chế.Dựatrêncácphầntửnghịchđảomởrộngtrongvànhđathức R 2C ,hệmậtE- RISKEchophéplựachọncácthamsốcủahệmậtRISKE(độdàikhóa,độdàibảnmã,

…)linhhoạthơnchocácứngdụngmậtmãcụthể.Cuốicũng,HpNElàmộtsự laighépphùhợpgiữaRISKE(dựatrêncácvànhR k) vàhệmậtpNE(dựatrêncác vành

2, q )theomôhìnhKEM/DEM,tậndụngưuđiểmcũngnhưkhắcphụcnhược điểmcủacả haihệ mật này.

Các kết quả trong chương này đã khẳng định việc kết hợp vành đa thức chẵnvới các vành đa thức có cấu trúc đặc biệt khác để xây dựng các hệ mật là hướngnghiêncứuhữuíchvàkhảthi.

Saumộtthờigiannghiên cứuvớisựnỗlựccủabảnthânvàsựhướngdẫntậ ntìnhcủaGS.TS.NguyễnBình,đềtài“Cáchệmậtdựatrênvànhđathứcchẵn”củanghiêncứu sinhđãhoànthànhvới mộtsốkếtquảsauđây.

Về mặt toán học, luận án đã chứng minh một số đặc tính toán học mới củacácvànhđathứcchẵn cùngmộtsốloạivànhđathứcđặcbiệt.Cụthểlà,luậnánđã:

1) Chỉrahailoạivànhđathức(vànhđathứcchẵntuyệtđốiR k vàvànhđa thứcchỉcóhailớpkềcyclic R 2C) có tỉ lệgiữa sốphần tửkhả nghịch trên tổngsốđathứccủavànhlàcực đại(Địnhlý2-3,Địnhlý2-4).

2) Đềxuấtđượcmộtthuậttoánhiệuquảđểxácđịnhnghịchđảocủacácphần tửkhả nghịchtrênvànhđathức chẵntuyệtđốiR k( Thuậttoán2-1).

3) Đềxuấtđượcmộtcôngthức(Địnhlý2-1)đểxácđịnhnghịchđảomởrộng củacácphầntửkhảnghịchmởrộngtrêncácvànhR n vớin l ẻ(trongđó cóvành

R 2C) vàchứngminhcácphần tửnàycóthểđượcsửdụng đểlàm khóachocáchệmật (Địnhlý2-2).

R 2 n vàphần tửliênhợpcủachúng (Bổ đề2-9vàBổđề2-10).

R 2 n trong i HệmậtkhóabímậtRISKEcóđộantoànIND-CPA(Địnhlý3-2)hoạtđộng dựa trên các phần tử khả nghịch trên vành đa thức chẵn tuyệt đốiR k HệmậtnàylàmộtbiếnthểcủahệmậtOTPnhưngcóhiệuquảmã hóacaohơn.Đặcbiệt,hệmậtnàyrấtphùhợpđểlàmphầnDEMtrongsơđồmậtmãlaighépKEM/DEM.

2 ii HệmậtkhóabímậtQRHE,dựatrêncácthặngdưbậchaivàlớpcác phầntử liênhợptrongvànhđa thứcchẵn

R 2n, cùngmộtvídụlaighép vớihệmậtRSA.SovớiRISKEhayOTP,QRHEcókhóatựsinhtừbảnmãtrong mỗiphiên mãhóavàhiệuquảmãhóarấtcao. iii HệmậtkhóacôngkhaiIPKEcóđộantoànIND-CPA(Địnhlý3-3)dựa trêncácphầntửkhảnghịchtrênvànhđathứcchẵntuyệtđốiR k IPKE cóthuật toánmãhóavàgiảimãrấtđơn giản,sửdụng khóabímật nhỏvàcóhệsốmởrộngbảntinthấphơnsovớihệmậtNTRU.

2) Đềxuấtđượcbahệmậtdựatrênsựkếthợpcủavànhđathứcchẵnvàmộtsốloạivànhđ athức đặcbiệtkhác: i HệmậtkhóacôngkhaiDTRU,mộtbiếnthểvớinhiềuđặctínhtốtsovớihệ mậtgốcNTRU Hệmậtnàyhoạt độngdựatrêncácphầntửkhả nghịchđồngthờitrênhaivànhđathức,mộtvànhchẵntuyệtđốiR kvà mộtvànhcóhailớpkềcyclic R 2C SovớiNTRU, DTRUcóthuậttoán tạo khóa rất đơn giản, kích thước khóa nhỏ hơn, hệ số mở rộng bản tinnóichunglàthấphơncũngnhưdễlựachọncácthamsốvàchếđộhoạtđộng.Ngoà ira, DTRU cũngcóđộantoànIND-CPA (Địnhlý4-1). ii HệmậtkhóabímậtE-

RISKE,mộtbiếnthểmởrộngcủahệmậtRISKEhoạtđộngdựatrêncácphầntửkhả nghịchmởrộngtrongvànhđathức cóhailớpkềcyclic R 2C E-RISKEthừahưởngtấtcảcácđặctínhcủa RISKE đặc biệt là độ an toàn IND-CPA (Định lý 4-3) Cùng với RISKE,E-RISKE cho phép cho phép lựa chọn linh hoạt cấu trúc đại số cũngnhưcácthamsốhoạtđộngđểphùhợpcáctìnhhuốngứngdụngmậtmãkhácnh au. iii HệmậtHpNE,mộthệmậtlaighépgiữahệmậtpNEvàhệmậtRISKEtheo mô hìnhKEM/DEM, có độ an toàn IND-CPA (Định lý 4-4) nhưpNEnhưngcóhệsốmởrộngbản tinnhỏvàlinhhoạthơn.

Cáchệmậtđượcđềxuấtnhìnchungđềucóđộphứctạptínhtoánthấpvàantoànngững hĩavớicáctấncôngphổbiếnđãkhẳngđịnhưuđiểmcủavànhđathức chẵn R 2 n nóiriêngvàvànhđathứcR n nóichungsovớicáccấutrúcđạisốkhác trongcácứngdụngmậtmã.Cáchệmậtnàycóthểđượcxemxétứngdụngtrongcácthiếtbịcótàing uyêntínhtoánhạn chếrất phổbiếntrongmôitrườngIoT.

1) Nghiên cứu xây dựng các hệ mật dựa trên các lớp vành đa thức có tỉ lệ sốphần tử khả nghịch hoặc khả nghịch mở rộng trên tổng số đa thức trongvànhđạtcực đạihoặcgầncựcđại.

3) Đánh giá thử nghiệm các hệ mật đã đề xuất trên các hệ thống phần cứngcụ thể, đặc biệt là các hệ thống có tài nguyên hạn chế để đánh giá chínhxácưuđiểmvềtốcđộtínhtoáncủacáchệmậtđãxâydựngđượccũngnhưcải tiến các hệ mật này cho phù hợp với các thiết bị có tài nguyên hạn chếtrong môitrườngIoT.

4) Nghiên cứu độ an toàn của các hệ mật đã đề xuất trong môi trường xử lýsongsong.

Nhữngkếtquảnghiêncứucủaluậnánvềcơbảnđãđạtđượcmụcđíchnghiêncứuđềravới mộtsốđónggópnhỏtronglýthuyếtmậtmã.Nghiêncứusinhrấtmongnhậnđượccácgópýcủacác nhàkhoahọc,cácđồngnghiệpvàbạn bèđểhoànthiệncáccông trình nghiên cứucủamình.

Hà Nội, tháng 8 năm 2017Cao MinhThắng

J1.C a o MinhThắng,Nguyễn Bình(2015),“Một hệmậtlaighépdựatrêncácthặngdư bậc hai và các phần tử liên hợp trong vành đa thức chẵn”,Tạp chí Khoa họcvà Công nghệ,Viện hàn lâm

Khoa học và Công nghệ Việt Nam, tập 53 – số

J2.C a o MinhThang,NguyenBinh(2015),“DTRU,anewNTRU-likecryptosystembased- ondualtruncatedpolynomialrings”.TạpchíKhoahọcvàCôngnghệ,ViệnhànlâmKhoahọcv àCôngnghệViệtNam,tập53–số2Cnăm2015.ISSN0866708X,trang103-118.

J3.C a o MinhThắng,NguyễnBình(2015),“Mộthệmậtkhóacôngkhaidựatrêncácphần tử khả nghịch trong vành đa thức chẵn - IPKE”,Tạp chí An toàn thông tin,BanCơyếuchínhphủ,số1.CS(01) - 2015.ISSN1859-1256,trang21-27.

C1 Cao Minh Thang, Nguyen Binh, Nguyen Minh Trung (2015), “A novel CPA- secureprobabilisticencryptionschemebased- onpNEcryptosystem”,Proceedingsof2ndNationalFoundationforScienceandTech nologyDevelopment Conference on Information and Computer Science (NICS 2015),September16-

18,HoChiMinhCity,Vietnam,IEEECatalogNumber:CFP15C61-PRT,ISBN:978- 1-4673-6639-7,pp.119-124.

C2.CaoMinhThang,NguyenBinh(2015),“RISKE,anovelCPA-Securesecret-keyencryption scheme based-on invertible elements in binary quotient polynomialrings”.Proceedingsofthe8 th NationalConferenceonFundamentalandApplied Information Technology Research (FAIR’8), July 9-10 2015, Hanoi, Vietnam,ISBN:978-604-

RISKE,mộtsơđồmậtmãkhóabímậtdựatrêncácphầntửkhảnghịch vàkhảnghịchmởrộngtrongcácvànhđathứcbậchữuhạnhệsốnhịphâncóhailớp kề cyclic”,Kỷ yếu hội thảo quốc gia 2015 về điện tử, truyền thông và côngnghệ thông tin (REV-ECIT), 12-2015, Tp.Hồ Chí Minh, Việt Nam, ISBN: 878-604-67-0635-

1 Đặng Hoài Bắc, Nguyễn Bình (2006), “Tạo dãy m bằng phương phápphân hoạch trên vành đa thức có hai lớp kề cyclic”, Kỷ yếu Hội nghịkhoahọclầnthứ8,HọcviệnCôngnghệBưuchínhViễnthông,HàNội.

2 Nguyễn Bình, Trần Đức Sự (2007),Giáo trình Mật mã học, Nhà xuấtbảnBưu điện.

3 Hồ Quang Bửu, Ngô Đức Thiện, Trần Đức Sự (2012), “Xây dựng hàmbămtrêncáccấpsốnhâncyclic”,Chuyênsancáccôngtrìnhnghiêncứu,phát triển và ứng dụng CNTT và Truyền thông, kỳ 3 Tạp chí Thông tin,KHCNcủabộThôngtinvàTruyềnthông.TậpV-1số7(27),ISSN1859-3526.

4 HồQuangBửu,NgôĐứcThiện,TrầnĐứcSự(2012),“Xâydựnghệmậttrêncáccấpsố nhâncycliccủavànhđathức”,TạpchíKhoahọcvàCôngnghệ,ViệnKhoahọcvàCô ngnghệViệtNam,Chuyênsancáccôngtrìnhnghiên cứu về Điện tử, Viễn thông và CNTT Tập

5 PhạmViệtTrung(2005),“Xâyd ự n g h ệ m ậ t M c E l i e c e t r ê n m ã xyclicc ụ c bộ”,T ạp chínghiên c ứ u KHKT v àc ô n g n g h ệ q u â n sự,số 13,trang63– 69.

7 Ajtai,Miklós;Dwork,Cynthia(1997),"Apublic-key cryptosystemwithworst- case/average-caseequivalence",Proceedingsofthetwenty-ninthannual ACM symposium on Theory of computing, El Paso, Texas, UnitedStates:ACM.pp.284–293.

Public Key Establishment Algorithm for the Financial ServicesIndustry”,X9.98standard.

9 Banks W D., Shparlinski I E (2002), “A Variant of NTRU with Non- invertible Polynomials”,Lecture Notes in Computer ScienceVolume 2551,2002,pp62-70.

10 Bellare M., Desai A., Pointcheval D., and Rogaway P (1998),

“Relationsamong Notions of Security for Public-Key Encryption Schemes”. InProc ofCrypto’98,LNCS1462,pages26–45,Springer-Verlag.

11 Benaloh, Josh, (1994), "Dense Probabilistic Encryption."(PS) Workshop onSelectedAreasofCryptography,pages120–128.

12 Berlekamp, Elwyn R.; McEliece, Robert J.; Van Tilborg, Henk C.A.

13 Boneh, Dan; Venkatesan, Ramarathnam (1998) "Breaking RSA may not beequivalenttofactoring".AdvancesinCryptology—

14 DangHoai Bac, Nguyen Binh, Nguyen Xuan Quynh , Young Hoon

Kim(2007) “Polynomial rings with two cyclotomic cosets and their applicationsinCommunication”,MMUInternationalSymposiumonInformatio nandCommunications Technologies2007,Malaysia,ISBN:983-43160-0-3.

15 Nguyen Binh, Tran Duc Su, Pham Viet Trung (2001), “Decomposition ofpolynomial ring according to the classes of conjugate elements”,AIC-26,Hanoi,Vietnam.

16 NguyenBinh(2002),“Crypto- systembasedoncyclicgeometricprogressionsoverpolynomialring”(PartI).REV’0

17 NguyenBinh,LeDinhThich(2002),“Theordersofpolynomialsandalgorithms for defining order of polynomial over polynomial Ring”,VICA-

18 Nguyen Binh, Dang Hoai Bac (2004), “Cycliccodes over extended rings ofpolynomialringsw i t h t w o cyclotomiccosets”,REV-04, Hanoi,Vietnam.

20 CaiJin-Yi,CusickThomasW(1999),“ALattice-BasedPublic-

KeyCryptosystem”,Lecture Notes in Computer ScienceVolume 1556, 1999, pp219-233.

21 Chandrasekaran, J et al (2011), "A Chaos Based Approach for

ImprovingNon Linearity in the S-Box Design of Symmetric Key Cryptosystems" InMeghanathan, N et al Advances in Networks and Communications: FirstInternational Conference on Computer Science and Information Technology,CCSIT2011,Bangalore,India,January2- 4,2011.Proceedings,Part2.Springer.p.516.ISBN978-3-642-17877-1.

22 Chenal M., Tang Q (2015), “Key Recovery Attacks Against NTRU-

0ofthe seriesLectureNotesinComputer Science,pp 397-418,Springer.

23 ChorB., Rivest R L (1988), “A knapsack-type public key cryptosystem basedonarithmeticinfinitefields”,IEEETrans.Inform.Theory34,901–909.

24 Cocks, Clifford (20 November 1973) "A Note on 'Non-Secret

BasedCryptosystem”.Lecture Notes in Computer ScienceVolume 3797,

26 Coppersmith D., Shamir A (1997), Lattice attacks on NTRU.In: Fumy, W.

(ed.)EUROCRYPT1997,LNCS,vol.1233,pp.52–61 Springer,Heidelberg.

27 CramerR.andShoupV.(1998),"Apracticalpublickeycryptosystemprovably secure against adaptive chosen ciphertext attack." in proceedings ofCRYPTO1998,LNCS1462,p.13ff.

28 Cramer, Ronald; Shoup, Victor (2004) "Design and Analysis of

PracticalPublic-Key Encryption Schemes Secure against Adaptive Chosen CiphertextAttack"(PDF).SIAMJournalonComputing33(1):167–226.

29 W Diffie, M.E Hellman, “New directions in cryptography”, IEEE Trans onInformation TheoryVolume:22,Issue:6,(1976),644-654.

32 ElGamal T (1985), "A Public-Key Cryptosystem and a Signature

SchemeBased on Discrete Logarithms",IEEE Transactions on Information

34 FujisakiE., Okamoto T., Pointcheval D., andSternJ (2001) “RSA-OAEP issecure underthe RSAassumption”.In J Kilian,ed., AdvancesinCryptology

35 "FIPSPUB197:TheofficialAdvancedEncryptionStandard"(PDF).ComputerSe curityResourceCenter.

36 Gaborit,P., Ohler, J., Sole, P (2002),: “CTRU, a Polynomial Analogue ofNTRU”,INRIA.Rapportderecherche,N.4621,(ISSN0249-6399).

37 Gentry C (2001), “Key recovery and message attacks on NTRU- composite.”InProceeding of Eurocrypt ’01, LNCS, vol 2045, Springer- Verlag, pp.182-194,2001.

38 Gentry C., Peikert C., and Vaikuntanathan V (2008), “Trapdoors for hardlattices and new cryptographic constructions,” inProceedings of the

40thannualACMsymposiumonTheoryofcomputing,Victoria,BritishColumbia,Ca nada:ACM,pp.197-206.

39 GoldreichO., Goldwasser S., and Halevi S (1997), “Public-key cryptosystemsfrom lattice reduction problems” In CRYPTO ’97:Proceedings of the 17thAnnual InternationalCryptology Conference on Advances in Cryptology,pages112–131,London,UK,Springer-Verlag.

40 Goldwasser S and Micali S (1982), “Probabilistic encryption & how to playmentalpokerkeepingsecretallpartialinformation”,AnnualACMSymposiumonThe oryofComputing.

41 Goldwasser S and Micali S (1984), "Probabilistic encryption",Journal ofComputer andSystemSciences28(2):270–29.

42 Han D., Hong J., Han J W and Kwon D (2003), “Key recovery attacks onNTRU without ciphertext validation routine” InProceeding of ACISP

’03,LNCS,vol.2727,Springer-Verlag,pp.274-284.

43 Hoffstein J., Pipher J., Silverman J.H (1996), “NTRU: A new high speedpublickey”.Preprint,presentedattherumpsessionofCrypto 1996.

44 Hoffstein J., Pipher J., Silverman J.H (1998), “NTRU: A ring-based publickey cryptosystem”,Lecture Notes in Computer Science,Volume 1423,pp267-288, SpringerVerlag.

46 HoffsteinJ.andSilvermanJ.H.(2000),“OptimizationsforNTRU”.InPublic- keyCryptographyandComputationalNumberTheory,DeGruyter.

47 Hoffstein J and Silverman J.H (2003), “Random small hamming weightproducts with applications to cryptography”.Discrete Applied

Mathematics,vol.130,Issue1- specialissueonthe2000com2MaCworkshoponcryptography, pp.37-49,2003.

48 Hofheinz,Dennis;Kiltz,Eike(2007)."SecureHybridEncryptionfromWeakened

Key Encapsulation" (PDF).Advances in Cryptology

49 Howgrave-Graham N., Silverman J.H., Whyte W., “NTRU

CryptosystemsTechnicalReport#004,Version2:AMeet-In-The-

M Press/Addison-WesleyPublishing Co.NewYork,NY,USA.pp.275–280.

51 IEEE (2000), “Standard Specification for Public-Key

52 JaulmesE.andJouxA.(2000),“AChosenCiphertextAttackon NTRU”,In

Proceeding ofCRYPTO’00,LNCS,vol.1880,Springer-Verlag, pp 20-35.

53 Jarvis K., Nevins M (2013), “ETRU: NTRU over the Eisenstein integers”,Designs,CodesandCryptographyVolume74,Issue1,Page219-

54 KatzJ., Lindell Y (2007), “Introduction to Modern Cryptography:

Principlesand Protocols”, Chapman & Hall/CRC Cryptography and Network SecuritySeries.

56 LenstraA.K., Lenstra H.W., Lovász L (1982), “Factoring polynomials withpolynomialcoefficients”,Math.Annalen261, 515-534.

57 LaiX., Massey J L (1991), “A proposal for a new block encryption standard”,Advances in Cryptology EUROCRYPT'90, Aarhus, Denemark, LNCS

58 R.Lidl and H Niederreiter (1983), Finite Fields, Addison-Wesley,

59 HillL S (1929), “Cryptography in an Algebraic Alphabet”,The

(ed.)AdvancesinCryptology(EUROCRYPT2010).LectureNotesinCompute rScience,vol.6110,pp.1–

61 Malekian, Zakerolhosseini E (2010), “OTRU: A non-associative and highspeedpublickeycryptosystem”.A.ComputerArchitectureandDigitalSyste ms(CADS),201015thCSIInternationalSymposiumon,Tehran,pp83–90,ISBN:978-

62 Matsumoto T.and IMAI H.(1988), “Public Quadratic Polynomial-tuples forefficient signature-verification and message- encryption”,EUROCRYPT’88,SpringerVerlag,pp.419–453.

63 McElieceR.J.,"Apublic- keycryptosystembasedonalgebraiccodingtheory."DSNProgressReport,pp.114 -116,1978.

67 Moon, Todd K (2005),Error Correction Coding Wiley-Interscience, a

68 Naccache D and Stern J (1998), "Proceedings of the 5th ACM

69 Network Working Group of the IETF, January 2006, RFC 4251, The

70 Okamoto,Tatsuaki;Uchiyama,Shigenori(1998)."Anewpublic- keycryptosystemassecureasfactoring".AdvancesinCryptology—

EUROCRYPT'98 Lecture Notes in Computer Science 1403 Springer. pp.308–318.

71 Pan Y., Deng Y., Jiang Y., Tu Z (2011), “A New Lattice-Based Public-

KeyCryptosystem Mixed with a Knapsack”.Lecture Notes in Computer

73 PatarinJ (1996), “Hidden Fields Equations (HFE) and Isomorphisms ofPolynomials(IP):twonewfamiliesofAsymmetricAlgorithms”;Eurocrypt’96, SpringerVerlag,pp.33–48.

(2015),“PrivateProximityTestingo n S t e r o i d s : A n N T R U - b a s e d P r o t o c o l ” ,S e c u r i t y a n d T r u s t Management Volume 9331 of the seriesLecture Notes in Computer Sciencepp172-184.Springer,2015.

75 PeikertC.andWatersB.(2008),“Lossytrapdoorfunctionsandtheirapplications,” inProceedings of the 40th annual ACM symposium on

Theoryofcomputing(Victoria,BritishColumbia,Canada:ACM,2008),187-19.

76 PeikertC (2009), “Public-key cryptosystems from the worst-case shortestvector problem: extended abstract,” inProceedings of the 41st annual

ACMsymposiumonTheoryofcomputing(Bethesda,MD,USA:ACM,2009),333-

(2009),“Quantumresistantpublickeycryptography:asurvey”.In:Proc.ofIDtrust, pp.85–93 ACM, NewYork.

78 Rabin,Michael (1979), “Digitalized Signatures and Public-Key Functions asIntractableasFactorization”,MITLaboratory forComputerScience.

79 RegevO.,“Onlattices,learningwitherrors,randomlinearcodes,andcryptograph y”, inProceedings of the thirty-seventh annual ACM symposiumonTheoryofcomputing(Baltimore,MD,USA:ACM, 2005),84-93.

80 RivestR.L., Shamir A., Adleman L (1978), “A method for obtaining digitalsignatures and public key cryptosystems”,Communications of the

81 Shamir, Adi (1984), "A polynomial-time algorithm for breaking the basicMerkle - Hellman cryptosystem".Information Theory, IEEE

82 ShannonC.E.,Communication theory of secrecy systems, Bell System

84 "RFC 2440 - Open PGP Message Format" Internet Engineering Task

85 Singh,Simon(1999),TheCodeBook,Doubleday.pp.279–292.

86 Shoup V (2001), “A proposal for an ISO standard for public key encryption(version2.1)”.Availableonhttp://shoup.net/papers/.

87 ShoupV.(2004),“ISO18033-2:Anemergingstandardforpublic- keyencryption”,http://shoup.net/iso/std6.pdf,December 2004 Final CommitteeDraft.

88 Stehle,D., Steinfeld, R (2011), “Making NTRU as secure as worst- caseproblems over ideal lattices”, In:Paterson, K.G.(ed.) EUROCRYPT

2011.LNCS,vol.6632,pp.27–47.Springer,Heidelberg.

(2006).Cryptography.TheoryandPractice(Thirded.).Chapman&Hall/