Các hệ mật dựa trên vành đa thức chẵn (tt)

Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt) Các hệ mật dựa trên vành đa thức chẵn (tt)

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

Cao Minh Thắng

CÁC HỆ MẬT DỰA TRÊN VÀNH ĐA THỨC CHẴN

Chuyên ngành: Kỹ thuật điện tử

Mã số: 62.52.02.03

TÓM TẮT LUẬN ÁN TIẾN SỸ KỸ THUẬT ĐIỆN TỬ

Hà Nội - 2017

Công trình hoàn thành tại: Học viện Công nghệ Bưu chính Viễn thông, Bộ Thông tin và Truyền thông

Người hướng dẫn khoa học: GS TS Nguyễn Bình

Phản biện 1: ………

………

………

Phản biện 2: ………

………

………

Phản biện 3: ………

………

………

Luận án sẽ được bảo vệ trước hội đồng chấm luận án cấp Học viện tại Học viện Công nghệ Bưu chính Viễn thông Vào hồi: … giờ …ngày … tháng … năm ……

Có thể tìm hiểu luận án tại:

Thư viện Học viện Công nghệ Bưu chính Viễn thông

MỞ ĐẦU

Mật mã học được phát triển dựa trên lý thuyết toán học và các hệ mật thường dựa trên các phép tính toán trong một cấu trúc đại số nền tảng nào đó Trong lịch sử phát triển của mật mã, có nhiều các cấu trúc đại số đã được ứng dụng để xây dựng các hệ mật tiêu biểu như: Các

vành số nguyên modulo q ký hiệu bởi q, trường nhị phân (2), trường hữu hạn (p n),các ma trận, các đường cong elliptic trên trường hữu hạn hay các dàn (lattice)

Bên cạnh các cấu trúc đại số nêu trên, vành đa thức R n q, là nền tảng

ít được ứng dụng trong mật mã và mới chỉ được quan tâm từ năm 1998 khi hệ mật xác suất khóa công khai NTRU ra đời NTRU cho thấy có thể sử dụng các phần tử khả nghịch trên các vành đa thức để xây dựng các hệ mật có tốc độ có khóa nhỏ và tính toán nhanh NTRU có nhiều biến thể trên các cấu trúc đại số khác nhau (MaTRU, ETRU, OTRU,…), nhưng đáng chú ý là hệ mật pNE, được đề xuất bởi Stehle

và Steinfeld năm 2011, hoạt động trên chính một lớp con của vành đa thức R n q, với n 2s có độ an toàn IND-CPA

Trong các vành R n q, , một lớp con với q 2 hay còn gọi là lớp vành đa thức có bậc hữu hạn và hệ số nhị phân R nZ x2[ ] (x n1) là một lớp vành rất đáng chú ý Ưu điểm của cấu trúc đại số này là các phép tính trên vành đa thức được thực hiện rất đơn giản và dễ dàng thực hiện bằng phần cứng, cụ thể là phép cộng đa thức hệ số nhị phân thực chất là n phép tính XOR Đặc biệt hơn, một lớp con của R , lớp n

các vành đa thức chẵn ký hiệu là R có một số đặc điểm phù hợp có 2n

thể ứng dụng trong mật mã bao gồm:

- Các phép tính trên vành có độ phức tạp tính toán thấp, cụ thể

là với O n( ) phép cộng và O n( 2) với phép nhân Đặc biệt là các phép cộng trong vành đa thức chỉ là một chuỗi các phép tính XOR rất đơn giản trên trường (2) ;

- Trong các vành đa thức chẵn R , khác với các vành lẻ, chỉ có 2n

2n thặng dư bậc hai Tuy nhiên, mỗi thặng dư bậc hai đó lại

có đến 2n

căn bậc hai Điều này cho thấy là nếu biết một căn bậc hai sẽ dễ dàng suy ra thặng dư bậc hai tương ứng nhưng điều ngược lại sẽ không thực hiện được dễ dàng;

- Trong các vành đa thức R và cụ thể hơn là vành chẵn n R 2n

luôn tồn tại các phần tử khả nghịch, bên cạnh những phần tử không khả nghịch Nếu xác định được các thuật toán mật mã phù hợp, các phần tử khả nghịch sẽ chính là khóa để giải mã thông tin

Mặc dù vậy, ứng dụng của R trong mật mã vẫn còn hạn chế nên 2n

mục đích nghiên cứu của luận án là xây dựng được các hệ mật có hiệu

năng tính toán cao và an toàn dựa trên các ưu điểm của cấu trúc đại số vành đa thức chẵn R 2n

Đối tượng nghiên cứu chính của luận án là các vành đa thức chẵn

2n

R cùng một số loại vành đa thức có liên quan và các hệ mật dựa trên

các vành đa thức này

Phạm vi nghiên cứu của luận án bao gồm:

1 Nghiên cứu tổng quan về mật mã (phân loại, kỹ thuật xây dựng các hệ mật, tham số đánh giá các hệ mật, các mô hình tấn công cơ bản, phương pháp đánh giá độ an toàn) qua đó đánh giá chi tiết các hệ mật dựa trên vành đa thức hiện có Các kết quả khảo sát này chỉ ra các hạn chế của các kết quả

nghiên cứu hiện có và tiềm năng ứng dụng vành đa thức chẵn

2n

R trong mật mã

2 Nghiên cứu các đặc tính của vành đa thức chẵn R (các khái 2n

niệm, các phép tính toán, các phần tử đặc biệt) làm cơ sở toán học phục vụ xây dựng các hệ mật

3 Nghiên cứu đề xuất một cách tường minh (các không gian khóa, bản rõ, và bản mã cùng các thuật toán tạo khóa, mã hóa

và giải mã) và đánh giá các hệ mật dựa trên vành đa thức chẵn R 2n

4 Nghiên cứu một số vành đa thức đặc biệt khác (vành đa thức

có hai lớp kề cyclic R 2C, vành đa thức R n q, ,n 2s) từ đó xem xét đề xuất các hệ mật dựa trên sự kết hợp giữa vành đa thức chẵn R và các vành đa thức này 2n

Phương pháp nghiên cứu chính được sử dụng trong luận án là

phương pháp toán học (lý thuyết số, đại số trừu tượng, xác suất) và độ

phức tạp tính toán Công cụ nghiên cứu chính của luận án là các công

cụ toán học và mô phỏng

Về ý nghĩa khoa học luận án:

- Chỉ ra một số vành đa thức có số phần tử khả nghịch đạt cực đại và một thuật toán để xác định nghịch đảo của một phần

tử khả nghịch trên vành

2k

R ; Đưa ra một công thức để xác định các phần tử khả nghịch mở rộng và nghịch đảo mở rộng của chúng trongR 2C;

- Đề xuất 03 hệ mật trên các vành đa thức chẵn (RISKE, QRHE và IPKE);

- Đề xuất 03 hệ mật trên vành đa thức chẵn kết hợp với một số vành đa thức đặc biệt khác (E-RISKE, DTRU và HpNE)

Về ý nghĩa thực tiễn, các hệ mật được đề xuất trong luận án

ngoài độ an toàn ngữ nghĩa, còn có độ phức tạp tính toán thấp và đòi hỏi ít tài nguyên tính toán do đó có thể được xem xét triển khai trong các thiết bị có tài nguyên tính toán hạn chế trong môi trường IoT

Nội dung của luận án được trình bày theo cấu trúc sau:

- “Chương 1: Tổng quan về mật mã và các hệ mật dựa trên vành đa thức”: Nội dung chính của chương này là chỉ ra các hạn chế của các hệ mật dựa trên vành đa thức hiện có và đánh giá các tiềm năng ứng dụng của vành đa thức chẵn R trong 2n

mật mã

- “Chương 2: Vành đa thức chẵn”: Giới thiệu các kết quả toán học về vành đa thức chẵn R và một số vành đặc biệt làm 2n

nền tảng cho các hệ mật ở chương sau

- “Chương 3: Các hệ mật dựa trên vành đa thức chẵn”: Trình bày 03 hệ mật QRHE, IPKE và RISKE) trực tiếp dựa trên lớp vành đa thức chẵn R được công bố lần lượt trong các 2n

công trình [J1], [J3] và [C2] của nghiên cứu sinh

- “Chương 4: Các hệ mật dựa trên vành đa thức chẵn kết hợp với các vành đa thức khác”: Trình bày 03 hệ mật hoạt động trên vành đa thức chẵn kết hợp với một số loại vành loại vành

đa thức khác được công bố lần lượt trong các công trình [J2], [C1] và [C3] của nghiên cứu sinh

- “Kết luận”: Tổng hợp đánh giá các kết quả đạt được của luận

án đồng thời xác định các hướng nghiên cứu tiếp theo

1.2 CÁC HỆ MẬT DỰA TRÊN VÀNH ĐA THỨC

1.2.1 Các hệ mật khoá bí mật dựa trên vành đa thức

Trên thế giới, trong các kỹ thuật mật mã khóa bí mật, các phép toán hầu hết đều được thực hiện dựa trên các kỹ thuật thay thế và hoán

vị trên các trường nhị phân (2) với các hệ mật tiêu biểu như DES hay OTP Điều này là do các phép mã hóa và giải mã trong (2) đều dựa trên phép tính XOR đơn giản và dễ thực thi bằng cả phần cứng lẫn phần mềm

Trong khi đó các vành đa thức R n Z x2[ ] (x n chủ yếu 1)được ứng dụng trong mã sửa sai Chỉ từ năm 2002, tại Việt Nam, lớp các vành chẵn tuyệt đối R n|n 2k, ký hiệu là

2k

R mới được sử dụng

để xây dựng một số hệ mật khóa bí mật và hàm băm

1.2.2 Các hệ mật khoá công khai dựa trên vành đa thức

Tại Việt Nam, hệ mật khóa công khai đầu tiên dựa vành đa thức R được đưa ra năm 2005 thực chất là một biến thể của hệ mật n

Mc.Eliece, trong đó mã Goppa được thay thế bằng một mã cyclic cục

bộ kết hợp với một mã kiểm tra chẵn

Ở nước ngoài, việc sử dụng các vành đa thức [ ] ( n 1)

R Z x x  để xây dựng các hệ mật khóa công khai được

khởi xướng từ những năm 1995 khi hệ mật NTRU lần đầu tiên được giới thiệu tại Crypto’96 NTRU có nhiều biến thể trên các cấu trúc đại

số khác nhau nhưng đáng chú ý là hai biến thể hoạt động trên các vành

đa thức là CTRU hoạt động trên các vành R và pNE trên vành n

1.3.1 Các vấn đề chung với các hệ mật trên vành đa thức

Qua các phân tích nêu trên có thể thấy ứng dụng vành đa thức R n

nói chung và vành đa thức chẵn R nói riêng trong mật mã còn nhiều 2n

trong mật mã (mới chỉ được ứng dụng trong mã sửa sai);

iv Hầu hết các hệ mật khóa công khai dựa trên các bài toán khó truyền thống hiện nay có hiệu năng tính toán không cao;

v Các hệ mật dựa trên vành đa thức R n q, điển hình như NTRU có hiệu năng tính toán tốt nhưng vẫn chưa thực sự phù hợp cho các

hệ thống có tài nguyên tính toán hạn chế vì khóa và hệ số mở rộng bản tin vẫn khá lớn

1.3.2 Các tiềm năng ứng dụng của vành đa thức chẵn

Các vành đa thức nói chung và vành đa thức chẵn R nói riêng 2n

có một số đặc điểm phù hợp với các ứng dụng trong mật mã, cụ thể là:

i Trong R , các phép cộng và nhân đa thức đều chỉ có độ phức tạp n

tính toán thấp lần lượt là ( )O n hoặc O n( 2)

ii Trong các vành đa thức chẵn R , có 2 2n n thặng dư bậc hai, mỗi thặng dư bậc hai đó lại có đến 2n căn bậc hai, hay còn gọi là các phần tử liên hợp Nếu biết một căn bậc hai sẽ tính được thặng dư bậc hai tương ứng nhưng điều ngược lại sẽ phải thử 2n phương

án Đặc điểm này hoàn toàn có thể khai thác để xây dựng các hệ mật;

iii Trong các vành chẵn R luôn tồn tại các phần tử khả nghịch bên 2n

cạnh những phần tử không khả nghịch Nếu xác định được các thuật toán mật mã phù hợp, các phần tử khả nghịch sẽ chính là khóa để giải mã thông tin tương tự như trường hợp của hệ mật NTRU

1.4 KẾT LUẬN CHƯƠNG

Qua các phân tích trên có thể thấy vành đa thức chẵn R nói 2n

riêng và vành đa thức nói chung vẫn còn nhiều tiềm năng có thể khai thác cho các ứng dụng mật mã Trong chương sau, các kết quả toán học về vành R sẽ được phân tích chi tiết hơn làm cơ sở xây dựng 2n

các hệ mật trên nền tảng toán học này

CHƯƠNG 2 VÀNH ĐA THỨC CHẴN

2.1 MỞ ĐẦU CHƯƠNG

Trong chương này, một số kết quả toán học mới về vành đa thức chẵn R và một số lớp vành đặc biệt như vành chẵn tuyệt đối 2n R2k và vành chỉ có hai lớp kề cyclic R 2C sẽ được mô tả làm tiền đề cho các

hệ mật ở chương sau Các kết quả này được tổng hợp từ các nội dung nghiên cứu về cơ sở toán học trong toàn bộ 6 công trình đã công bố của nghiên cứu sinh

2.2 VÀNH ĐA THỨC CHẴN, CÁC THẶNG DƯ BẬC HAI VÀ CÁC PHẦN TỬ LIÊN HỢP

0

i i

f  f x l i (f i f i n ) mod 2

Bổ đề này cho thấy độ phức tạp của phép khai căn chỉ là ( )O n

tương đương với phép XOR Phép khai căn này sẽ được sử dụng trong thuật toán mã hóa của hệ mật QRHE (mục 3.3)

i i

f  f x

Bổ đề này cho phép xác định các phần tử liên hơp của một thặng dư bậc hai là bình phương của một đa thức bất kỳ trong vành đa thức chẵn Công thức này sẽ được sử dụng trong thủ tục tạo khóa của

hệ mật QRHE (mục 3.3)

2.3 VÀNH ĐA THỨC CHẴN TUYỆT ĐỐI

Bổ đề này chứng minh rằng R là một vành đa thức đặc biệt, 2k

trong đó một nửa số phần tử của vành là khả nghịch và mọi phần tử này đều có thể sử dụng làm khóa bí mật cho các hệ mật Tập các phần

tử khả nghịch này sẽ được sử dụng làm khóa cho các hệ mật RISKE (mục 3.2), IPKE (mục 3.4) và DTRU (mục 4.2)

Thuật toán 2-1 : Thuật toán tính nghịch đảo của một đa thức g f

2k

gR , g  f 1THUẬT TOÁN:

g ; f a f2; for i  to 1 k  { if 1 g  exit; f 1

g  ; g a aa2; }.

Thuật toán này có số bước lặp tối đa là (k 1)

2.4 NGHỊCH ĐẢO MỞ RỘNG TRONG R n VỚI n LẺ

Định nghĩa 2-1 : Trong R n với lẻ, một đa thức n f được gọi

Bổ đề này chứng minh rằng R 2C là một vành đa thức đặc biệt, trong đó một nửa số phần tử của vành là khả nghịch và các phần tử này có thể sử dụng làm khóa bí mật cho các hệ mật Hệ quả của bổ đề này là tất cả các phần tử có trọng số chẵn của vành R 2C đều là các phần tử khả nghịch mở rộng Đây cũng là cơ sở để xây dựng hệ mật E-RISKE (mục 4.3)

2.6 KẾT LUẬN CHƯƠNG

Kết quả nổi bật nhất trong chương này là nghiên cứu sinh đã chứng minh hai loại vành đa thức đặc biệt (R2k ,R 2C) có tỉ lệ giữa số phần tử khả nghịch trên tổng số đa thức của vành là cực đại (Định lý 2-1, Định lý 2-3) và đã đề xuất được một thuật toán hiệu quả để xác định nghịch đảo của các phần tử khả nghịch trên vành

2k

R (Thuật toán 2-1) Các kết quả này là cơ sở để đề xuất các hệ mật RISKE (mục 3.2), IPKE (mục 3.4) và DTRU (4.2)

Một kết quả đáng chú ý khác của nghiên cứu sinh là chỉ ra trong các vành đa thức R với n lẻ còn tồn tại một lớp phần tử đặc 2n

biệt, các phần tử khả nghịch mở rộng có đặc tính tương đồng với các khả nghịch truyền thống (Định nghĩa 2-1) Các phần tử này cũng có thể được sử dụng làm khóa trong các hệ mật (Định lý 2-2) tương tự như các phần tử khả nghịch truyền thống Kết quả này cho phép linh hoạt trong lựa chọn vành đa thức nền tảng để xây dựng các hệ mật và được cụ thể hóa bằng một hệ mật E-RISKE (mục 4.4) hoạt động cả trên R 2C, một cải tiến của hệ mật RISKE vốn chỉ hoạt động trên R2k

Ngoài ra, hai công thức tính căn bậc hai chính và phần tử liên hợp của một thặng dư bậc hai trong vành R được nghiên cứu sinh 2n

xây dựng (Bổ đề 2-1, Bổ đề 2-2) là nền tảng quan trọng để đề xuất hệ mật lai ghép QRHE trong mục 3.3

CHƯƠNG 3 CÁC HỆ MẬT DỰA TRÊN VÀNH ĐA THỨC

CHẴN 3.1 MỞ ĐẦU CHƯƠNG

Trong chương này, luận án đề xuất ba hệ mật mới dựa trên vành đa thức chẵn R 2n bao gồm bao gồm RISKE, QRHE và IPKE tương ứng với ba công trình [C2], [J1] và [J3] của nghiên cứu sinh

Các hệ mật được mô tả tường minh từ ý tưởng xây dựng cho đến các thuật toán (tạo khóa, mã hóa và giải mã) cũng như được đánh giá về hiệu năng và độ an toàn với một số tấn công phổ biến

3.2 HỆ MẬT KHÓA BÍ MẬT RISKE

3.2.1 Giới thiệu

Theo Định lý 2-1, tất cả các đa thức có trọng số lẻ trong vành

đa thức chẵn tuyệt đối

2k

R là khả nghịch Ý tưởng ở đây là, nếu dùng

một phần tử khả nghịch ngẫu nhiên làm khóa bí mật thì không gian khóa sẽ đủ lớn để kẻ tấn công không thể vét cạn khóa với hệ mật này Bên cạnh đó, nếu thuật toán mã hóa chỉ sử dụng phép nhân đa thức thì hệ mật này sẽ có độ phức tạp tính toán chỉ là O n( 2)

Để xây dựng hệ mật RISKE, Alice và Bob thống nhất một số

nguyên dương k để xác định vành đa thức R n  n, 2k và một số nguyên N 2k để xác định độ dài khóa bí mật

3.2.2 Thủ tục tạo khóa

Với {I n| 0degsN1}, Alice và Bob chia sẻ một đa

thức khả nghịch ngẫu nhiên s  làm khóa bí mật chung Do degsN  ta có thể biểu diễn s bằng N bit1 Điều kiện degs 0

để đảm bảo không thể dùng s 1 làm khóa bí mật trong RISKE Hệ quả là, kích thước không gian khóa 2N 1 1

3.2.3 Thủ tục mã hóa

Mỗi phiên mã hóa n  bit bản rõ m nào đó, Alice sử dụng 1thủ tục tạo khóa trên để tạo và chia sẻ với Bob một khóa ngẫu nhiên mớis  Tiếp theo, Alice tính n bit   1

x  trong biểu diễn đa thức của M

3.2.5 Phân tích độ an toàn lý thuyết của RISKE

Kẻ tấn công có thể sử dụng phương pháp vét cạn để tìm

khóa bí mật s Tuy nhiên, với độ an toàn khóa 2N  xác suất 1

để đoán đúng khóa là 1 / (2N 1) Đây một hàm không đáng kể của

N nên có thể coi RISKE là an toàn đối với loại tấn công này

Về lý thuyết, có thể sử dụng tấn công vét cạn để tìm bản rõ nhưng điều này là không thực tế vì trong RIKSE độ an toàn bản rõ là

1

2n

 còn lớn hơn cả độ an toàn khóa

Ngoài ra, RISKE còn có độ an toàn ngữ nghĩa IND-CPA (được chứng minh chi tiết trong định lý 3-2 của luận án)

3.2.6 Phân tích hiệu năng lý thuyết của RISKE

Ưu điểm quan trọng của RISKE là độ phức tạp tính toán thấp,

cả thuật toán mã hóa và giải mã chỉ sử dụng một phép cộng và nhân đa thức trong vành đa thức chẵn tuyệt đối R k với độ phức tạp tính toán

(n )

 So với hệ mật OTP, khóa bí mật s trong RISKE có độ dài N

nhỏ hơn độ dài n của bản rõ

Tương tự OTP, nhược điểm của RISKE là phải thay đổi khóa

ngẫu nhiên mới s  theo từng phiên Vì lý do này, RISKE nên được

sử dụng kết hợp với một hệ mật khóa công khai nào đó để xây dựng một hệ mật lai ghép theo mô hình KEM/DEM Ngoài ra, nếu hệ mật khóa công khai được chọn có hệ số mở rộng bản tin lớn, ta có thể điều chỉnh N và n để giảm giá trị này

3.3 HỆ MẬT LAI GHÉP QRHE

3.3.1 Giới thiệu

Mọi đa thức trong R 2n , tương ứng với mọi bản tin 2n bit, luôn

có thể biểu diễn dưới dạng m (1 x n) k l trong đó, l m2 và

t

t U

k x đều là các đa thức bậc tối đa (n 1) và được biểu diễn bởi các chuỗi n bit

Ý tưởng chính ở đây là, nếu coi k là một khóa bí mật và che

giấu khóa này bằng một hệ mật khóa công khai nào đó theo mô hình KEM/DEM thì l (1 x n) k m là một bản mã mà nếu không biết

k sẽ không dễ phát hiện ra m từ l vì có đến 2 n phương án phải thử sai

3.3.2 Sơ đồ hệ mật lai ghép QRHE

Sơ đồ hệ mật lai ghép QRHE (Quadratic Residue Hybrid Encryption scheme) được mô tả chi tiết trong Hình 3-1