הצפנה מבוססת סריג

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

הצפנה מבוססת סריגאנגלית: Lattice Based Cryptography) כוללת פונקציות קריפטוגרפיות (עם ביטחון מוכח) וקריפטואנליזה של פונקציות קריפטוגרפיות המבוססות על מבנה מתמטי שנקרא סריג. הצפנת מפתח ציבורי מבוססת סריג נשענת על הקושי שבפתרון בעיית הסריג. קריפטואנליזה של פונקציות אילו מבוססת על טכניקות רדוקציית סריג.

הצפנת סריג עדיין בראשית דרכה ונעשית אטרקטיבית לאחרונה בשל החיפוש אחר מערכות הצפנה עמידות כנגד קרפיטואנליזה פוסט-קוונטית, כאשר מחשבים קוונטיים יהיו מעשיים. ב-1996 גילה Ajtai[1][2] תכונה חשובה של סריגים שמעניינת מהיבט קריפטוגרפי. מאז נעשים מאמצים לפתח מערכות הצפנה מבוססות סריג שתהיינה גם בטוחות לפי המבנה המקורי שהוצע וגם שתהיינה יעילות מבחינה מעשית כמו ממצאיו של Micciancio שחסרונן העיקרי שהן חסרות דלת מלכודת ולא ניתן להשתמש בהן עם מפתח הצפנה (הן שימושיות כפונקציה חד-כיוונית חסרת מפתח). ממצאים אחרים שיכולים להוביל לפיתוח מעשי של סכימות בטוחות מבוססות סריג הן של Micciancio ו-Vadhan שבהן אפשר לשתף סריג אחד על ידי משתמשים רבים והמפתח הציבורי של כל אחד יהיה מוכב מווקטור יחיד (המפתח הפרטי הוא הנקודה בסריג הקרובה ביותר לווקטור הציבורי) וכן הצפנת רגב.

היסטוריה ורקע[עריכת קוד מקור | עריכה]

דוגמה לסריג מעל ושני בסיסים, האדומים נקראים בסיסים "רעים" ואילו הכחולים נקראים בסיסים "טובים".

סריגים נחקרו על ידי מתמטיקאים במשך עשורים והם שימושיים במספר סוגיות כמו תכנון לינארי ופירוק לגורמים. העניין בסריגים עלה בשל מאפיין שימושי במיוחד לתחום הקריפטוגרפיה שהתגלה על ידי Ajtai ב-1996 קרי רדוקציה מהמקרה הגרוע למקרה הממוצע. הוא הוכיח שווריאציות מסוימות של בעיית התרמיל קשות לפתרון במקרה הממוצע לפחות כמו המקרה הגרוע של בעיות הסריג. עניין נוסף עלה בעקבות גילוי אלגוריתם LLL על ידי Lenstra, Lenstra ו-Lovasz ב-1982.

למשל פתרון בעיית SVP (הווקטור הקצר ביותר) עד קירוב פולינומי. בהנחה שלא קיים אלגוריתם פולינומי יעיל לחישוב SVP עד פקטור של כאשר הוא הממד של הסריג ו- הוא קבוע בלתי תלוי, אפשר לבנות על בסיסה פונקציה חד-כיוונית קריפטוגרפית דומה לתרמיל (knapsack) שכמעט תמיד בטוח קשה אם המפתח נבחר באקראי. הצפנת סריג היא היחידה שקיימת הוכחה לגביה שהיא בטוחה כמו המקרה הגרוע אך זאת רק מנקודת ראות תאורטית, בעוד שמעשית החיסרון העיקרי של מערכת כזו הוא מפתח ההצפנה העצום.

בהשראת הרעיון של Ajtai פיתחו ב-1996 עודד גולדרייך, שי הלוי ושפי גולדווסר מערכת הצפנה מבוססת סריג (נקראת בקיצור GGH)[3] עם יחס מקרה ממוצע/מקרה גרוע דומה, דהיינו פענוח אתגר אקראי נתון קשה לפחות כמקרה הגרוע של וריאציית SVP הנקראת uSVP (קיצור של unique SVP). הבעיה נעשית קלה ככל שפקטור הקירוב גדל, השאלה היא מהו הגורם הקטן ביותר כך שאפשר יהיה לבנות פונקציה קריפטוגרפית הנחשבת קשה לפתרון לפחות כמו מציאת קירוב לבעיית הסריג. Phong Nguyen[4] פרסם והוכיח ב-1999 פגמים ב-GGH של גולדרייך, גולדווסר והלוי והציע דרכים לתיקון הבעיות שגילה. מסקנותיו הם שהאלגוריתם אינו יעיל מעשית. כדי שמערכת GGH תקרא בטוחה סדר גודל של מפתח ההצפנה צריך להיות ריבועי ביחס לפרמטר הביטחון , מעשית זה יכול להגיע לאלפי סיביות. בימינו הממצאים הטובים ביותר הם פונקציית גיבוב חסינת התנגשויות של Micciancio המבוססת על אי-קירוב בטווח וכן הצפנת רגב המבוססת על אי קירוב של בעיית uSVP בטווח .

הבעיות שיש בהן עניין מנקודת ראות תאורטית הן בעיית הווקטור הקצר ביותר (בקיצור SVP) והכללה שלה שנקראת בעיית הווקטור הקרוב ביותר (CVP). מצד אחד תודות לאלגוריתם LLL ניתן לבצע קירוב יעיל בפתרון הבעיות האמורות עד כדי פקטור מעריכי מסדר גודל כאשר הוא ממד הסריג ועם אקראיות אפשר להגיע לסדר גודל של . מצד שני, עבור קבוע כלשהו ידוע שלא קיים אלגוריתם יעיל שיכול לבצע קירוב עד כדי אלא אם P=NP. הממצאים הללו אומתו אחר מחקרים שנעשו בתחום זה על ידי רבים.

ב-1996 הציע Jeffrey Hoffstein אלגוריתם הצפנה אסימטרי פרקטי שנקרא NTRU שיכול להגיע עם מפתח הצפנה קטן (בסדר גודל של כמה מאות סיביות) על ידי שימוש במחלקה מיוחדת של סריגים שמאפשרת ייצוג קומפקטי. האלגוריתם מבוסס על חוג פולינומי שנקרא קונבולוציה הפונקציה היא חישוב כפל וחיבור בפולינומיים מודולו . הקשר לסריג הוא הקונבולוציה המודולרית, אפשר לראות שקיים הומומורפיזם בין הפולינומים בחוג R ומטריצה מעגלית בגודל עם מקדמים שלמים. הוכחת בטיחות האלגוריתם אינה לפי סיבוכיות המקרה הגרוע כמו במקרה של סריגים, ולמעשה קיימות מספר חולשות באלגוריתם שמאפשרות התקפת מוצפן-נבחר בגרסה המקורית.

סריג[עריכת קוד מקור | עריכה]

סריגים בתורת בתורת המספרים שנקראים גם "הגאומטריה של המספרים" (הרמן מינקובסקי), ניתנים להגדרה בכמה דרכים. בניסוח לא רשמי סריג הוא אוסף סדור של נקודות במרחב -ממדי. בניסוח אחר, קבוצת כל הקומבינציות הלינאריות השלמות של וקטורים בלתי תלויים לינארית מעל , כלומר אם הם קבוצת וקטורים בלתי תלויים לינארית אזי ייקרא סריג והווקטורים נקראים בסיס הסריג.

בניסוח פורמלי אם נתונים , שני וקטורים ו- מעל המספרים הממשיים ויהי מכפלה אוקלידית של עם כך שמתקיים וכן יהי הנורמה האוקלידית של כאשר . קבוצת הווקטורים נקראת בלתי תלויה לינארית מעל אם ורק אם תמיד מתקיים . סריג היא תת-קבוצה כך שמתקיים כל עוד וכן קיים מספר ממשי כך ש- ו- ו-. לפי הגדרות אלו הוא סריג כש-. וכן כל תת-קבוצה של סריג היא סריג. בשל הדמיון למרחב הווקטורי תורת הסריגים מקבילה בכמה מובנים לאלגברה לינארית. בסיס הסריג אינו ייחודי, כלומר עבור סריג מסדר ישנם אין סוף בסיסים עם ממד זהה.

בעיית הווקטור הקצר ביותר[עריכת קוד מקור | עריכה]

Shortest Vector Problem היא בעיית הסריג המפורסמת ביותר. בהינתן סריג המיוצג על ידי בסיס , בעיית SVP היא למצוא את הווקטור הקצר ביותר ב- שאינו אפס. הבעיה יכולה להיות ביחס לכל נורמה המסומנת ב- אך הנורמה האוקלידית הכי נפוצה. גרסה אחרת של הבעיה היא לחשב רק את אורכו המסומן ב- של הווקטור הקצר ביותר מבלי בהכרח למצוא את הווקטור עצמו הבעיה מסומנת על ידי . כאשר הבעיה ניתנת לפתרון בזמן פולינומי אולם כאשר האלגוריתם הטוב ביותר הידוע לפתרון בעיה זו הוא בסיבוכיות של .

בעיית SVP נחקרה על ידי מתמטיקאים עשרות שנים בשל הקרבה שלה לבעיות שונות בתורת המספרים והיא משוערת כבעיית NP-קשה. המשפט הראשון של מינקובסקי הוא משפט מפתח בתורת הסריגים שאומר שאורכו המקסימלי של כל וקטור הקצר ביותר שאינו אפס בכל סריג מממד הוא כאשר הוא קבוע אבסולוטי שתלוי רק בממד ו- הוא הדטרמיננטה של הסריג. הגבול העליון של מינקובסקי צמוד למדי אך ישנם סריגים שבהם קיים וקטור קצר הרבה יותר. מינקובסקי לא סיפק אלגוריתם שמוצא וקטור כזה. אלגוריתם שמוצא וקטור קצר ביותר בסריג דו-ממדי היה ידוע כבר לגאוס במאה ה-19 אולם למקרה הכללי לא היה פתרון (קירוב של פתרון) עד תחילת שנות השמונים של המאה הקודמת עם המצאת LLL. האלגוריתם LLL יכול לבצע קירוב עד פקטור של כאשר הוא ממד הסריג. אלגוריתם אחר עם פקטור קירוב טוב יותר שהוא תת-מעריכי בזמן פולינומי הוא של שנור שנקרא Block Korkine-Zolotarev. לא קיים אלגוריתם פולינומי יעיל המחשב את אורך הווקטור הקצר ביותר בסריג (שלא לדבר על מציאת וקטור כזה) והיא משוערת כבעיה NP-קשה בטווח קירוב פחות מפקטור של .

בעיית GapCVP[עריכת קוד מקור | עריכה]

בעיית ההכרעה של CVP הנקראת GapCVP היא כדלקמן: נתון סריג עם בסיס וקטור ו- הפלט צריך להיות 1 אם או 0 אם .

בעיית ההכרעה היא בהינתן סריג דומה להחזיר 1 אם או 0 אם .

בעיית GapCVP היא NP-שלמה ברדוקציה מבעיית התרמיל.

ראו גם[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ M. Ajtai and C. Dwork. A public-key cryptosystem with worst-case/average-case equivalence. In Proc. 29th ACM Symp. on Theory of Computing (STOC), pages 284-293. ACM, 1997.
  2. ^ Ajtai, Mikls (1996). "Generating Hard Instances of Lattice Problems". Proceedings of the Twenty-Eighth Annual ACM Symposium on Theory of Computing. pp. 99–108
  3. ^ Oded Goldreich, Shafi Goldwasser, and Shai Halevi. Public-key cryptosystems from lattice reduction problems. In CRYPTO ’97: Proceedings of the 17th Annual International Cryptology Conference on Advances in Cryptology, pages 112–131, London, UK, 1997. Springer-Verlag.
  4. ^ Phong Q. Nguyen. Cryptanalysis of the Goldreich–Goldwasser–Halevi Cryptosystem from Crypto ’97. In CRYPTO ’99: Proceedings of the 19th Annual International Cryptology Conference on Advances in Cryptology, pages 288–304, London, UK, 1999. Springer-Verlag.