Article de reference

Problème de solution entière courte

Les problèmes de solution entière courte (SIS) et de SIS annulaire sont deux problèmes de cas moyen utilisés dans les constructions de cryptographie sur réseau . La cryptographi...

Les problèmes de solution entière courte (SIS) et de SIS annulaire sont deux problèmes de cas moyen utilisés dans les constructions de cryptographie sur réseau . La cryptographie sur réseau a vu le jour en 1996 grâce à un travail fondateur de Miklós Ajtai , qui a présenté une famille de fonctions à sens unique basées sur le problème SIS. Il a démontré que la sécurité est assurée en moyenne si le problème du vecteur le plus court (où pour une certaine constante ) est difficile dans le pire des cas. 0 c>0{\displaystyle c>0}0

Les problèmes en cas moyen sont ceux qui sont difficiles à résoudre pour certaines instances choisies aléatoirement. En cryptographie, la complexité dans le pire des cas est insuffisante ; il est nécessaire de garantir la difficulté des constructions cryptographiques en se basant sur la complexité en cas moyen.

Réseaux

Un treillis de rang complet est un ensemble de combinaisons linéaires entières de vecteurs linéairement indépendants , appelé base :

où est une matrice dont les colonnes contiennent des vecteurs de base.

Remarque : Étant donné deux bases pour le treillis , il existe des matrices unimodulaires telles que .

réseau idéal

Définition : L’opérateur de décalage rotationnel sur est noté , et est défini comme suit :

Réseaux cycliques

Micciancio a introduit les treillis cycliques dans ses travaux de généralisation du problème du sac à dos compact aux anneaux quelconques. Un treillis cyclique est un treillis stable par translation rotationnelle. Formellement, les treillis cycliques sont définis comme suit :

Définition : Un réseau est cyclique si .

Exemples :

  1. Les réseaux correspondant à un idéal quelconque de l'anneau des polynômes quotients sont cycliques :

Considérons l'anneau des polynômes quotients , et soit un polynôme dans , c'est-à-dire où pour .

Définissons l' isomorphisme de -module de coefficient d'immersion comme suit :

Soit un idéal. Le réseau correspondant à l'idéal , noté , est un sous-réseau de , et est défini comme

Théorème : est cyclique si et seulement si correspond à un idéal dans l'anneau des polynômes quotients .

Preuve : Nous avons :

Soit un élément quelconque de . Définissons alors . Puisque est un idéal, on a . Donc, . Mais, . Par conséquent, est cyclique.

Soit un réseau cyclique. Donc .

Définir l'ensemble des polynômes :

  1. Puisqu'un treillis et donc un sous-groupe additif de , est un sous-groupe additif de .
  2. Puisque est cyclique, .

Par conséquent, est un idéal, et par conséquent, .

réseaux idéaux

Source :

Soit un polynôme unitaire de degré . Pour les applications cryptographiques, on choisit généralement que soit irréductible. L'idéal engendré par est :

L'anneau des polynômes quotients se partitionne en classes d'équivalence de polynômes de degré au plus :

où l'addition et la multiplication sont réduites modulo .

Considérons l' isomorphisme de -modules à coefficients d'immersion . Alors, chaque idéal de définit un sous-treillis de appelé treillis d'idéaux .

Définition : Le réseau associé à un idéal est appelé réseau idéal. Plus précisément, considérons un anneau de polynômes quotients , où est l’idéal engendré par un polynôme de degré . est un sous-réseau de et est défini comme :

Remarque :

  1. Il s'avère que même pour de petites valeurs de , le calcul est généralement aisé sur les réseaux idéaux. L'explication réside dans le fait que les symétries algébriques impliquent que la distance minimale d'un idéal se situe dans un intervalle étroit et facilement calculable.
  2. En exploitant les symétries algébriques inhérentes aux réseaux idéaux, on peut convertir un vecteur court non nul en vecteurs linéairement indépendants de longueur (quasi) identique. Par conséquent, sur les réseaux idéaux, et sont équivalents à une perte négligeable. De plus, même pour les algorithmes quantiques , et sont considérés comme extrêmement difficiles à résoudre dans le pire des cas.

Problème de solution entière courte

Le problème de la solution entière courte (SIS) est un problème de cas moyen utilisé dans les constructions cryptographiques sur réseau. La cryptographie sur réseau a vu le jour en 1996 grâce à un travail fondateur d'Ajtai qui a présenté une famille de fonctions à sens unique basées sur le problème SIS. Il a démontré que la sécurité est assurée dans le cas moyen si (où pour une certaine constante ) est difficile à atteindre dans le pire des cas. Outre ses applications en cryptographie classique, le problème SIS et ses variantes sont utilisés dans plusieurs schémas de sécurité post-quantiques, notamment CRYSTALS-Dilithium et Falcon . 0 c>0{\displaystyle c>0}0

SIS q , n , m , β

Soit une matrice dont les coefficients appartiennent à et qui est composée de vecteurs aléatoires uniformes : . Trouver un vecteur non nul tel que pour une certaine norme :

Une solution au problème SIS sans la contrainte requise sur la longueur de la solution ( ) est facile à calculer à l'aide de la méthode d'élimination de Gauss . Nous exigeons également que , sinon la solution est triviale.

Afin de garantir l'existence d'une solution courte et non triviale, nous exigeons :

Théorème : Pour tout , tout , et tout suffisamment grand (pour toute constante ), résoudre avec une probabilité non négligeable est au moins aussi difficile que de résoudre et pour certains avec une probabilité élevée dans le pire des cas. 0 β>0{\displaystyle \beta >0}0 0 c>0{\displaystyle c>0}0

R-SIS q , n , m , β

Le problème SIS résolu sur un anneau idéal est également appelé problème Ring-SIS ou R-SIS. Ce problème considère un anneau de polynômes quotients tel que pour un certain entier et avec une certaine norme . Les cas où il existe un entier tel que , car cela restreint le quotient aux polynômes cyclotomiques, présentent un intérêt particulier .

Nous définissons alors le problème comme suit :

Sélectionner des éléments aléatoires uniformément aléatoires et indépendants . Définir le vecteur . Trouver un vecteur non nul tel que :

Rappelons que pour garantir l'existence d'une solution au problème SIS, nous exigeons . Cependant, le problème Ring-SIS offre une plus grande compacité et une meilleure efficacité : pour garantir l'existence d'une solution au problème Ring-SIS, nous exigeons .

Définition : La matrice négativement circulante de est définie comme :

Lorsque l' anneau de polynômes quotients est pour , la multiplication d'anneaux peut être calculée efficacement en formant d'abord , la matrice néga-circulante de , puis en multipliant avec , le vecteur de coefficients d'immersion de (ou, alternativement avec , le vecteur de coefficients canonique.

De plus, le problème R-SIS est un cas particulier du problème SIS où la matrice du problème SIS est restreinte aux blocs négacirculants : .

M-SIS q , n , d , m , β

Le problème SIS résolu sur un treillis de modules est également appelé problème Module-SIS ou M-SIS. Comme le problème R-SIS, ce problème considère l'anneau des polynômes quotients et , avec un intérêt particulier pour les cas où est une puissance de 2. Soit alors un module de rang tel que et soit une norme quelconque sur .

Nous définissons alors le problème comme suit :

Sélectionner des éléments aléatoires uniformément aléatoires et indépendants . Définir le vecteur . Trouver un vecteur non nul tel que :

Bien que M-SIS soit une variante moins compacte de SIS que R-SIS, le problème M-SIS est asymptotiquement au moins aussi difficile que R-SIS et fournit donc une borne plus précise sur l'hypothèse de difficulté de SIS. Cela rend l'hypothèse de difficulté de M-SIS plus sûre, mais moins efficace, que celle de R-SIS.