Bellofiore, Garibaldo, Halevi - The Global Crisis and the Crisis of European Neomercantilism
Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
-
Upload
venkatesan-srinivasan -
Category
Documents
-
view
227 -
download
0
Transcript of Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 1/30
ECCCTR96-056
FTP: ftp.eccc.uni-trier.de:/pub/eccc/
WWW: http://www.eccc.uni-trier.de/eccc/
Email: [email protected] with subject ’help eccc’
P u b l i c - K e y C r y p t o s y s t e m s
f r o m L a t t i c e R e d u c t i o n P r o b l e m s
O d e d G o l d r e i c h
S h a G o l d w a s s e r
y
S h a i H a l e v i
z
M I T - L a b o r a t o r y f o r C o m p u t e r S c i e n c e
N o v e m b e r 1 2 , 1 9 9 6
A b s t r a c t
W e p r e s e n t a n e w p r o p o s a l f o r a t r a p d o o r o n e - w a y f u n c t i o n , f r o m w h i c h w e
d e r i v e p u b l i c - k e y e n c r y p t i o n a n d d i g i t a l s i g n a t u r e s . T h e s e c u r i t y o f t h e n e w c o n -
s t r u c t i o n i s b a s e d o n t h e c o n j e c t u r e d c o m p u t a t i o n a l d i c u l t y o f l a t t i c e - r e d u c t i o n
p r o b l e m s , p r o v i d i n g a p o s s i b l e a l t e r n a t i v e t o e x i s t i n g p u b l i c - k e y e n c r y p t i o n a l g o -
r i t h m s a n d d i g i t a l s i g n a t u r e s s u c h a s R S A a n d D S S .
K e y w o r d s : P u b l i c - K e y C r y p t o s y s t e m s , L a t t i c e R e d u c t i o n P r o b l e m s , C o l l i s i o n F r e e H a s h i n g .
o d e d @ t h e o r y . l c s . m i t . e d u . O n s a b a t i c a l l e a v e f r o m t h e W e i z m a n n I n s t i t u t e o f S c i e n c e , I s r a e l
y
s h a f i @ t h e o r y . l c s . m i t . e d u
z
C o n t a c t a u t h o r a t M I T - L C S , N E 4 3 - 3 4 2 , 5 4 5 T e c h . S q u a r e , C a m b r i d g e , M A 0 2 1 3 9 , U S A . E - m a i l :
s h a i h @ t h e o r y . l c s . m i t . e d u
0
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 2/30
1 I n t r o d u c t i o n
T h e n e e d f o r p u b l i c - k e y e n c r y p t i o n a n d d i g i t a l s i g n a t u r e s i s s p r e a d i n g r a p i d l y t o d a y a s m o r e p e o p l e
u s e c o m p u t e r n e t w o r k s t o e x c h a n g e c o n d e n t i a l d o c u m e n t s , b u y p r o d u c t s a n d a c c e s s s e n s i t i v e d a t a .
I n f a c t , s e v e r a l o f t h e s e t a s k s a r e i m p o s s i b l e t o a c h i e v e w i t h o u t t h e a v a i l a b i l i t y o f g o o d ( s e c u r e a n d
e c i e n t ) p u b l i c - k e y c r y p t o g r a p h y .
I n l i g h t o f t h e i m p o r t a n c e o f p u b l i c k e y c r y p t o g r a p h y , i t i s s u r p r i s i n g t h a t t h e r e a r e r e l a t i v e l y
f e w p r o p o s a l s o f p u b l i c k e y c r y p t o s y s t e m s w h i c h h a v e r e c e i v e d a n y a t t e n t i o n . M o r e o v e r , t h e s o u r c e
o f s e c u r i t y o f t h e s e p r o p o s a l s a l m o s t a l w a y s r e l i e s o n t h e ( a p p a r e n t ) c o m p u t a t i o n a l i n t r a c t a b i l i t y
o f p r o b l e m s i n n i t e i n t e g e r r i n g s , s p e c i c a l l y i n t e g e r f a c t o r i z a t i o n a n d d i s c r e t e l o g a r i t h m c o m -
p u t a t i o n s . I n t h i s p a p e r w e p r o p o s e a n e w p u b l i c k e y e n c r y p t i o n a l g o r i t h m a n d d i g i t a l s i g n a t u r e
s c h e m e w h o s e s e c u r i t y r e l i e s o n t h e c o m p u t a t i o n a l d i c u l t y o f l a t t i c e r e d u c t i o n p r o b l e m s , i n p a r -
t i c u l a r t h e p r o b l e m o f n d i n g c l o s e s t v e c t o r s i n a l a t t i c e t o a g i v e n p o i n t ( C V P ) . F o r c o m p a r i s o n
w i t h e x i s t i n g s c h e m e s , w e r s t q u i c k l y r e v i e w s o m e o f t h e m o s t f a m o u s p u b l i c - k e y e n c r y p t i o n a n d
d i g i t a l s i g n a t u r e s p r o p o s a l s , w i t h e m p h a s i s o n t h e c o m p u t a t i o n a l p r o b l e m s t h e i r s e c u r i t y i s b a s e d
o n
1 . 1 P r e v i o u s p r o p o s a l s
T h e s e c u r i t y o f t h e R S A c r y p t o s y s t e m R S A ] , i s r e l a t e d t o t h e d i c u l t y o f i n t e g e r f a c t o r i z a t i o n
i n t h e s e n s e t h a t d i s c o v e r i n g t h e s e c r e t k e y i s a s h a r d a s f a c t o r i n g i n t e g e r s , a l t h o u g h t h e a c t u a l
c r y p t a n a l y s i s p r o b l e m i s p o t e n t i a l l y e a s i e r t h a n f a c t o r i n g i n t e g e r s . O t h e r m e t h o d s , w h o s e s e c u r i t y
r e l i e s o n t h e d i c u l t y o f f a c t o r i n g i n t e g e r s , i n c l u d e R a b i n ' s d i g i t a l s i g n a t u r e m e t h o d R a 7 9 ] ( a n d
i t s v a r i a n t s { e . g . , W i 8 4 ] ) , t h e s e m a n t i c a l l y - s e c u r e p u b l i c - k e y e n c r y p t i o n o f G M 8 2 , B G 8 4 ] , a n d
t h e e x i s t e n t i a l l y u n f o r g e a b l e s i g n a t u r e s c h e m e s o f G M R 8 5 ] .
T h e s e c u r i t y o f t h e D i e - H e l l m a n p u b l i c - k e y e n c r y p t i o n s c h e m e
1
i s r e l a t e d t o t h e p r o b l e m o f
c o m p u t i n g d i s c r e t e l o g a r i t h m s ( D L P ) i n n i t e e l d s i n t h e s e n s e t h a t n d i n g t h e s e c r e t k e y i s
a s h a r d a s c o m p u t i n g d i s c r e t e l o g a r i t h m s . A g a i n , t h e a c t u a l c r y p t a n a l y s i s p r o b l e m i s p o t e n t i a l l y
e a s i e r t h a n d i s c r e t e l o g c o m p u t a t i o n . T h e d i g i t a l s i g n a t u r e m e t h o d o f E l - G a m a l E l 8 5 ] ( a n d i t s
D S S m o d i c a t i o n D S S ] ) i s a l s o n o h a r d e r t o b r e a k t h a n i t i s t o s o l v e d i s c r e t e l o g a r i t h m s i n n i t e
e l d s . A s i m i l a r p a r a d i g m t o t h e a b o v e d i s c r e t e l o g b a s e d s c h e m e s , c a n b e c a r r i e d o u t o v e r e l l i p t i c
c u r v e s . I n t h a t c a s e , t h e u n d e r l y i n g c o m p u t a t i o n a l p r o b l e m i s t h e E l l i p t i c L o g a r i t h m p r o b l e m ,
t o c o m p u t e l o g a r i t h m s i n t h e a d d i t i v e g r o u p o f p o i n t s d e n e d b y e l l i p t i c - c u r v e s .
T h e M c E l i e c e p u b l i c - k e y e n c r y p t i o n s c h e m e M c 7 9 ] i s s u b s t a n t i a l l y d i e r e n t f r o m t h e a b o v e
p r o p o s a l s , i n t h a t i t s s e c u r i t y i s b a s e d o n a p r o b l e m f r o m a l g e b r a i c c o d i n g t h e o r y . T h e s e c u r i t y
o f t h i s s c h e m e i s b a s e d o n t h e c o n j e c t u r e t h a t d e c o d i n g w i t h a \ r a n d o m l o o k i n g " l i n e a r c o d e i s
a s h a r d a s d e c o d i n g w i t h a t r u l y r a n d o m l i n e a r c o d e , a n d o n t h e w i d e l y b e l i e v e d i n t r a c t a b i l i t y o f
d e c o d i n g w i t h r a n d o m l i n e a r c o d e s . I n t e r m s o f e c i e n c y , e n c r y p t i o n a n d d e c r y p t i o n a m o u n t t o a
m a t r i x - b y - v e c t o r m u l t i p l i c a t i o n w h i c h t a k e s t i m e q u a d r a t i c i n t h e n a t u r a l s e c u r i t y p a r a m e t e r ( i . e . ,
t h e d i m e n s i o n o f t h e m a t r i x ) . T h i s c o m p a r e s f a v o r a b l y t o t h e c u b i c t i m e r e q u i r e s i n R S A a n d t h e
o t h e r n u m b e r t h e o r e t i c p r o p o s a l s a b o v e , y e t t h e s i z e o f t h e p u b l i c k e y i s l a r g e r t h a n i n t h e c a s e o f
R S A ( i . e , q u a d r a t i c r a t h e r t h a n l i n e a r ) . T h e b e s t k n o w n c r y p t a n a l y t i c a t t a c k a g a i n s t t h e M c E l i e c e
s y s t e m t a k e s t i m e e x p o n e n t i a l i n t h e d i m e n s i o n o f t h e c o d e , y e t t h e s e c u r i t y o f t h e M c E l i e c e
s y s t e m h a s n o t b e e n s t u d i e d a s e x t e n s i v e l y a s t h e R S A s y s t e m . N o d i g i t a l s i g n a t u r e s c h e m e b a s e d
o n a l g e b r a i c c o d i n g t h e o r y h a s b e e n p r o p o s e d t o a c c o m p a n y t h e p u b l i c - k e y e n c r y p t i o n s c h e m e .
1
A s t r a i g h t f o r w a r d m o d i c a t i o n o f t h e i r e a r l i e r k e y - e x c h a n g e p r o t o c o l D H 7 6 ] .
1
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 3/30
I n a d d i t i o n , t h e r e a r e g e n e r a l c o n s t r u c t i o n s o f ( s e m a n t i c a l l y - s e c u r e G M 8 2 ] ) p u b l i c - k e y e n -
c r y p t i o n s c h e m e s b a s e d o n a n y t r a p d o o r f u n c t i o n Y a 8 2 ] . I n t e r e s t i n g l y , d i g i t a l s i g n a t u r e s c h e m e s
w h i c h a r e e x i s t e n t i a l l y - u n f o r g e a b l e G M R 8 5 ] , c a n b e c o n s t r u c t e d b a s e d o n a n y o n e - w a y f u n c -
t i o n N Y 8 9 , R o 9 0 ] , w i t h o u t n e e d o f t r a p d o o r . T h u s o n e m a y b e n e t f r o m t h e s l i g h t l y m o r e e x t e n d e d
v a r i e t y o f c a n d i d a t e o n e - w a y f u n c t i o n s w h i c h , i n a d d i t i o n t o t h e a b o v e , i n c l u d e a c a n d i d a t e b a s e d
o n t h e c o n j e c t u r e d i n t r a c t a b i l i t y o f d e c o d i n g r a n d o m l i n e a r c o d e s G K L ] a n d A j t a i ' s r e c e n t c a n d i -
d a t e A j 9 6 ] w h i c h i s b a s e d o n t h e w o r s t - c a s e c o m p l e x i t y o f a p p r o x i m a t i n g t h e s h o r t e s t v e c t o r i n
a l a t t i c e . U n f o r t u n a t e l y , t h e s e g e n e r a l c o n s t r u c t i o n s f o r d i g i t a l s i g n a t u r e s ( i . e . , o f N Y 8 9 , R o 9 0 ] )
t e n d t o b e i n e c i e n t .
1 . 2 T h e n e w p r o p o s a l
I n t h i s p a p e r w e p r o p o s e a n e w t r a p d o o r o n e - w a y f u n c t i o n r e l y i n g o n t h e c o m p u t a t i o n a l d i c u l t y
o f l a t t i c e r e d u c t i o n p r o b l e m s , i n p a r t i c u l a r t h e p r o b l e m o f n d i n g c l o s e s t v e c t o r s i n a l a t t i c e t o a
g i v e n p o i n t ( C V P ) .
S t a r t i n g w i t h t h i s t r a p d o o r f u n c t i o n , w e d e r i v e a p u b l i c - k e y e n c r y p t i o n a n d d i g i t a l s i g n a t u r e
m e t h o d s , w h i c h a r e a s y m p t o t i c a l l y m o r e e c i e n t t h a n R S A a n d i t s v a r i a n t s , i n t h a t t h e c o m p u t a -
t i o n t i m e f o r e n c r y p t i o n , d e c r y p t i o n , s i g n i n g , a n d v e r i f y i n g a r e a l l q u a d r a t i c i n t h e n a t u r a l s e c u r i t y
p a r a m e t e r . T h e s i z e o f t h e p u b l i c k e y , h o w e v e r , i s l o n g e r t h a n f o r t h e R S A s y s t e m . S p e c i c a l l y ,
f o r s e c u r i t y p a r a m e t e r k , t h e l e n g t h o f t h e R S A p u b l i c - k e y i s k a n d c o s t o f c o m p u t a t i o n t i m e i s
O ( k
3
) , w h e r e a s f o r t h e n e w s c h e m e t h e p u b l i c k e y i s o f s i z e O ( k
2
) a n d t h e c o m p u t a t i o n t i m e i s
O ( k
2
) . T h u s , o u r c o m p l e x i t i e s a r e a s i n M c E l i e c e e n c r y p t i o n s c h e m e M c 7 9 ] . W e f e e l t h a t i t i s
h i g h t i m e t o r e c o n s i d e r t h e b e l i e f t h a t s h o r t e r ( p r i v a t e a n d p u b l i c ) k e y s a r e p r e f e r a b l e t o f a s t e r
e n c r y p t i o n a n d d e c r y p t i o n t i m e ( o r s i g n i n g a n d v e r i c a t i o n f o r s i g n a t u r e s ) . I n p a r t i c u l a r , s p a c e
a n d c o m m u n i c a t i o n c o s t s ( a s s o c i a t e d w i t h k e y s ) i n I n t e r n e t a p p l i c a t i o n s s e e m t o b e l e s s r e s t r i c t e d
t h a n e n v i s i o n e d f o r p u b l i c - k e y c r y p t o g r a p h y a p p l i c a t i o n s 2 0 y e a r s a g o .
O u r t r a p d o o r f u n c t i o n . T h e i d e a u n d e r l i n g o u r c o n s t r u c t i o n i s t h a t , g i v e n a n y b a s i s f o r a
l a t t i c e , i t i s e a s y t o g e n e r a t e a v e c t o r w h i c h i s c l o s e t o a l a t t i c e p o i n t ( i . e . , b y t a k i n g a l a t t i c e p o i n t
a n d a d d i n g t o i t a s m a l l e r r o r v e c t o r ) . H o w e v e r i t s e e m s h a r d t o r e t u r n f r o m t h i s \ c l o s e - t o - l a t t i c e "
v e c t o r t o t h e o r i g i n a l l a t t i c e p o i n t ( g i v e n a n a r b i t r a r y l a t t i c e b a s i s ) . T h u s , t h e o p e r a t i o n o f a d d i n g
a s m a l l e r r o r v e c t o r t o a l a t t i c e p o i n t c a n b e t h o u g h t o f a s a o n e - w a y c o m p u t a t i o n .
I n o r d e r t o i n t r o d u c e a t r a p d o o r m e c h a n i s m i n t o t h i s o n e - w a y c o m p u t a t i o n , w e u s e t h e f a c t
t h a t d i e r e n t b a s e s o f t h e s a m e l a t t i c e s e e m s t o y i e l d a d i e r e n c e i n t h e a b i l i t y t o n d c l o s e l a t t i c e
p o i n t s t o a r b i t r a r y v e c t o r s i n R
n
. T h e r e f o r e t h e t r a p d o o r i n f o r m a t i o n m a y b e a b a s i s o f a l a t t i c e
w h i c h a l l o w s v e r y g o o d a p p r o x i m a t i o n o f t h e c l o s e s t l a t t i c e p o i n t p r o b l e m . T h u s , w e u s e t w o
d i e r e n t b a s e s o f t h e s a m e l a t t i c e . O n e b a s i s i s c h o s e n t o a l l o w s c o m p u t i n g t h e f u n c t i o n b u t n o t
i n v e r t i n g i t , w h i l e t h e o t h e r b a s i s i s c h o s e n t o a l l o w c o m p u t i n g t h e i n v e r s e f u n c t i o n b y p e r m i t t i n g
g o o d a p p r o x i m a t i o n t o t h e c l o s e t l a t t i c e v e c t o r p r o b l e m ( C V P ) . F o r t h e s a k e o f t h e i n t r o d u c t i o n ,
w e s i m p l y c a l l s u c h a b a s i s a r e d u c e d b a s i s . I n S e c t i o n 2 , w e d e n e a r e d u c e d b a s i s t o b e o n e
w i t h a s m a l l d u a l - o r t h o g o n a l i t y d e f e c t ( w h e r e ` s m a l l ' i s a p a r a m e t e r ) . B e l o w w e g i v e a n i n f o r m a l
d e s c r i p t i o n o f o u r t r a p d o o r o n e - w a y f u n c t i o n w h i c h u s e s t h e a b o v e i d e a s .
T h e p a r a m e t e r s o f t h e s y s t e m i n c l u d e s t h e s e c u r i t y p a r a m e t e r n ( w h i c h i s t h e d i m e n s i o n o f
t h e l a t t i c e s t h a t w e w o r k w i t h ) a n d a \ t h r e s h o l d " p a r a m e t e r w h i c h d e t e r m i n e s t h e s i z e o f t h e
e r r o r - v e c t o r s w h i c h w e a d d t o t h e l a t t i c e p o i n t s ( s a y , i n L
1
n o r m ) .
A p a r t i c u l a r f u n c t i o n a n d i t s t r a p d o o r i n f o r m a t i o n a r e s p e c i e d b y a p a i r o f b a s e s o f t h e s a m e
( f u l l r a n k ) l a t t i c e i n R
n
: A \ n o n - r e d u c e d " b a s i s B w h i c h i s u s e d t o c o m p u t e t h e f u n c t i o n a n d a
2
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 4/30
r e d u c e d b a s i s R w h i c h s e r v e s a s t h e t r a p d o o r i n f o r m a t i o n a n d i s u s e d f o r i n v e r s i o n . T h e \ r e d u c e d "
b a s i s i s s e l e c t e d \ u n i f o r m l y " a n d t h e \ n o n - r e d u c e d " b a s i s i s d e r i v e d f r o m i t u s i n g a r a n d o m i z e d
u n i - m o d u l a r t r a n s f o r m a t i o n .
T h e i n p u t t o t h e f u n c t i o n i s a l a t t i c e p o i n t ( w h i c h i s s p e c i e d b y a n i n t e g r a l l i n e a r c o m b i n a t i o n
o f t h e c o l u m n s o f B ) a n d a n e r r o r v e c t o r w h o s e s i z e i s b o u n d e d b y . T h e v a l u e o f t h e f u n c t i o n o n
t h i s i n p u t i s j u s t t h e v e c t o r s u m o f t h e t w o p o i n t s . T o i n v e r t t h e f u n c t i o n , w e u s e a r e d u c e d b a s i s
R i n o n e o f B a b a i ' s n e a r e s t - v e c t o r a p p r o x i m a t i o n a l g o r i t h m s B a 8 6 ] t o n d a l a t t i c e p o i n t w h i c h i s
a t m o s t a w a y f r o m t h e g i v e n v e c t o r .
T h e c r y p t a n a l y t i c p r o b l e m u n d e r l y i n g o u r s c h e m e i s t o a p p r o x i m a t e t h e c l o s e s t v e c t o r p r o b l e m
( C V P ) i n a l a t t i c e , g i v e n a \ n o n - r e d u c e d " b a s i s f o r t h a t l a t t i c e . A r e l a t e d p r o b l e m i s t h e p r o b l e m
o f r e d u c i n g t h e g i v e n p u b l i c b a s i s ( s i n c e o n e o b v i o u s a t t a c k i s t o r e d u c e t h e g i v e n b a s i s a n d t h e n
u s e t h e r e s u l t f o r i n v e r t i n g t h e f u n c t i o n ) . S e e S e c t i o n 2 . 1 f o r a d e s c r i p t i o n o f t h e s e c o m p u t a t i o n a l
p r o b l e m s i n l a t t i c e s .
F r o m t r a p d o o r f u n c t i o n t o e n c r y p t i o n s c h e m e . I n o r d e r t o u s e t h e a b o v e t r a p d o o r f u n c t i o n
f o r p u b l i c - k e y e n c r y p t i o n , w e n e e d a w a y t o e m b e d t h e m e s s a g e i n t h e a r g u m e n t s t o t h i s f u n c t i o n .
T h e r e a r e s e v e r a l w a y s t o d o t h a t , a n d w e d i s c u s s s o m e o f t h e m i n S e c t i o n 4 . 2 . H e r e w e o n l y
d e s c r i b e o n e o f t h e m , i n w h i c h t h e m e s s a g e i s e m b e d d e d i n t h e l a t t i c e p o i n t .
T h e p r i v a t e a n d p u b l i c p a i r o f k e y s o f a u s e r a r e a p a i r o f t w o b a s e s o f t h e s a m e l a t t i c e o f
d i m e n s i o n n ( t h e s e c u r i t y p a r a m e t e r ) . T h e p u b l i c b a s i s w i l l a l l o w e n c r y p t i o n w h e r e a s t h e p r i v a t e
b a s i s i s c h o s e n t o a l l o w d e c r y p t i o n . T o e n c r y p t a m e s s a g e w e r s t m a p i t t o a l a t t i c e p o i n t b y
t a k i n g t h e i n t e g e r c o m b i n a t i o n s \ s p e c i e d " b y t h e m e s s a g e o f t h e p u b l i c b a s i s v e c t o r s , a n d t h e n
a d d t o t h e l a t t i c e p o i n t a \ s m a l l e r r o r v e c t o r " c h o s e n a t r a n d o m . T o d e c r y p t , w e l o o k f o r a l a t t i c e
p o i n t w h i c h i s c l o s e t o t h e c i p h e r t e x t . B y u s i n g t h e p r i v a t e b a s i s , w h i c h i s a r e d u c e d b a s i s , t h e
c o r r e c t d e c r y p t i o n i s o b t a i n e d w i t h h i g h p r o b a b i l i t y . W e r e m a r k t h a t o u r e n c r y p t i o n a l g o r i t h m i s
s i m i l a r i n i t s a l g o r i t h m i c n a t u r e t o M c E l i e c e ' s s c h e m e M c 7 9 ] .
O u r s i g n a t u r e s c h e m e . O u r s i g n a t u r e s c h e m e i s s i m i l a r t o t h e e n c r y p t i o n s c h e m e . R e g a r d t h e
m e s s a g e a s a n - d i m e n s i o n a l v e c t o r o v e r t h e r e a l s . T h e n , a s i g n a t u r e o f s u c h v e c t o r , i s a l a t t i c e p o i n t
w h i c h i s \ c l o s e " t o i t ( w h e r e c l o s e n e s s i s d e n e d b y a p u b l i s h e d t h r e s h o l d ) . T h e p r i v a t e b a s i s i s
r e d u c e d s o t h a t n d i n g \ c l o s e " p o i n t s i s p o s s i b l e . V e r i f y i n g c o r r e c t n e s s a m o u n t s t o c h e c k i n g t h a t
a s i g n a t u r e i s i n d e e d a l a t t i c e p o i n t a n d t h a t t h e m e s s a g e i s c l o s e t o t h e s i g n a t u r e .
I t i s i m p o r t a n t t o r e m a r k a t t h e o u t s e t , t h a t m e s s a g e s w h i c h a r e c l o s e t o e a c h o t h e r w i l l h a v e
t h e s a m e s i g n a t u r e . W h e n a p p l y i n g t h e m e t h o d i n a s e t t i n g w h e r e t h i s p r o p e r t y i s d e s i r a b l e ( e . g . ,
s i g n i n g a n a l o g s i g n a l s w h i c h m a y c h a n g e a l i t t l e i n t i m e ) , t h i s f e a t u r e i s o f g r e a t b e n e t . H o w e v e r ,
w h e n a p p l y i n g t h e m e t h o d t o a m e s s a g e s p a c e w h e r e s u c h p r o p e r t y i s u n d e s i r a b l e , w e p r o p o s e t o
r s t h a s h t h e m e s s a g e a n d o n l y t h e n s i g n i t . T h i s i s g o o d p r a c t i c e a l s o i n c a s e t h a t t h e s c h e m e
i s s u b j e c t t o a c h o s e n m e s s a g e a t t a c k , a s o t h e r w i s e b e i n g a b l e t o o b t a i n d i e r e n t s i g n a t u r e s o f
t w o m e s s a g e s w h i c h a r e c l o s e t o e a c h o t h e r w h e n v i e w e d a s p o i n t s i n R
n
w i l l i m p l y t h e a b i l i t y t o
c o m p u t e a s m a l l b a s i s f o r t h e l a t t i c e w h i c h i n t u r n w i l l e n a b l e t h e a t t a c k e r t o n d c l o s e v e c t o r s
i n a l a t t i c e a n d b r e a k t h e s c h e m e . I n t e r e s t i n g l y , a f a m i l y o f c o l l i s i o n - f r e e h a s h f u n c t i o n s c a n b e
c o n s t r u c t e d a s s u m i n g t h a t L a t t i c e - R e d u c t i o n i s h a r d o n t h e w o r s t - c a s e ( s e e b e l o w ) .
1 . 3 D i s c u s s i o n
O u r w o r k w a s i n s p i r e d b y a r e m a r k a b l e r e s u l t o f A j t a i A j 9 6 ] w h o i n t r o d u c e d a f u n c t i o n w h i c h
i s p r o v a b l y a o n e - w a y f u n c t i o n i f a p p r o x i m a t i n g t h e s h o r t e s t n o n - z e r o v e c t o r ( S V P ) i n a l a t t i c e
3
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 5/30
i s h a r d o n t h e w o r s t c a s e . A j t a i ' s w o r k m a y b e v i e w e d a s e x h i b i t i n g a s a m p l a b l e d i s t r i b u t i o n o n
l a t t i c e s a n d p r o v i n g t h a t a p p r o x i m a t i n g t h e s h o r t e s t n o n - z e r o v e c t o r i n l a t t i c e s c h o s e n a c c o r d i n g
t o t h i s d i s t r i b u t i o n i s a s h a r d a s t h e w o r s t c a s e i n s t a n c e o f a p p r o x i m a t i n g t h e s h o r t e s t n o n - z e r o
v e c t o r i n a l a t t i c e . A j t a i ' s c o n s t r u c t i o n , h o w e v e r , d o e s n o t p r o v i d e a t r a p d o o r f u n c t i o n a n d t h u s
d o e s n o t p r o v i d e a w a y o f d o i n g p u b l i c - k e y e n c r y p t i o n b a s e d o n l a t t i c e p r o b l e m s . C o n s t r u c t i n g
s u c h a t r a p d o o r f u n c t i o n i s t h e n o v e l t y a n d f o c u s o f o u r w o r k .
W e r e m a r k t h a t t h e c o n s t r u c t i o n o f N Y 8 9 ] c a n b e a p p l i e d t o t h e o n e - w a y f u n c t i o n o f A j t a i a n d
t h u s y i e l d a s i g n a t u r e s c h e m e b a s e d o n t h e S V P p r o b l e m . H o w e v e r , t h i s c o n s t r u c t i o n i s g e n e r i c
a n d t h u s q u i t e i n e c i e n t . I n c o n t r a s t , t h e s i g n a t u r e s c h e m e w h i c h w e s u g g e s t b a s e d o n t h e n e w
t r a p d o o r f u n c t i o n i s m o r e e c i e n t , a n d b a s e d o n t h e c o m p u t a t i o n a l d i c u l t y o f t h e C V P . A l a s , t h e
d i s t r i b u t i o n o v e r C V P i n s t a n c e s , i n d u c e d b y o u r c o n s t r u c t i o n , i s n o t k n o w n t o e n j o y t h e \ h a r d n e s s
o f t h e w o r s t - c a s e " p r o p e r t y o f A j t a i ' s r e s u l t .
I n r e t r o s p e c t , o u r e n c r y p t i o n s c h e m e b e a r s m u c h s i m i l a r i t y t o M c E l i e c e ' s s c h e m e M c 7 9 ] . H i s
s c h e m e u t i l i z e s a p a i r o f m a t r i c e s o v e r G F ( 2 ) , w h i c h c o r r e s p o n d s t o t w o r e p r e s e n t a t i o n s o f t h e
s a m e l i n e a r c o d e . T h e e n c r y p t i o n m e t h o d i s p r o b a b i l i s t i c : o n e m u l t i p l i e s t h e p u b l i c m a t r i x b y
t h e m e s s a g e v e c t o r a n d a d d s a r a n d o m n o i s e v e c t o r t o t h e r e s u l t i n g c o d e w o r d . T h u s i n b o t h
M c E l i e c e a n d o u r e n c r y p t i o n s c h e m e , e n c r y p t i o n a m o u n t s t o a m a t r i x - b y - v e c t o r m u l t i p l i c a t i o n
a n d t h e a d d i t i o n o f a s u i t a b l e r a n d o m v e c t o r t o t h e r e s u l t . H o w e v e r , t h e d o m a i n s i n w h i c h t h e s e
o p e r a t i o n s t a k e p l a c e a r e v a s t l y d i e r e n t a n d s o i s t h e a l g e b r a . A n o t h e r d i e r e n c e i s i n t h e w a y t h e
p r i v a t e - k e y i s g e n e r a t e d . I n M c E l i e c e ' s s c h e m e t h e p r i v a t e - k e y i s a r a n d o m G o p p a c o d e a n d h a s
s t r u c t u r e e s s e n t i a l f o r l e g i t i m a t e d e c o d i n g . I n o u r s c h e m e t h e p r i v a t e - k e y c a n b e c h o s e n u n i f o r m l y
a n d t h u s i s \ s t r u c t u r e - l e s s " { l e g i t i m a t e d e c o d i n g m e r e l y d e p e n d s o n a p r o p e r t y o f s u c h r a n d o m
c h o i c e s . I n b o t h s c h e m e s t h e p u b l i c - k e y i s o b t a i n e d b y a s u i t a b l e r a n d o m l i n e a r t r a n s f o r m a t i o n o f
t h e p r i v a t e - k e y ; h o w e v e r , i n o u r s c h e m e t h e c h o i c e o f t h i s t r a n s f o r m a t i o n s e e m s r i c h e r . I n g e n e r a l ,
w e b e l i e v e t h a t M c E l i e c e ' s s u g g e s t i o n a s w e l l a s o u r s d e s e r v e f u r t h e r i n v e s t i g a t i o n , e s p e c i a l l y d u e
t o t h e d i e r e n c e i n c o m p u t a t i o n a l c o m p l e x i t y r e q u i r e d f r o m t h e l e g a l s e n d e r a n d r e c e i v e r i n t h e s e
s c h e m e s a s c o m p a r e d w i t h t h e f a c t o r i n g / D L P b a s e d s c h e m e s .
W h a t c a n w e p r o v e a b o u t t h e s e c u r i t y o f o u r p r o p o s a l ? S i n c e c o m p l e x i t y t h e o r y h a s y e t t o
p r o d u c e a n o n - l i n e a r l o w e r b o u n d s f o r e v e n o n e N P - c o m p l e t e p r o b l e m s , o u r p r o p o s a l i s e s s e n t i a l l y
b a s e d o n t h e f a i l u r e o f p a s t r e s e a r c h e o r t s t o c o m e u p w i t h e c i e n t a l g o r i t h m s f o r t h e r e l e v a n t
l a t t i c e a p p r o x i m a t i o n t a s k s ( i . e . , S V P a n d C V P ) . U s i n g t h e b e s t k n o w n a l g o r i t h m s f o r a p p r o x i m a t -
i n g t h e c l o s e s t v e c t o r p r o b l e m w e s h o w i n S e c t i o n 6 t h a t a n a t u r a l a t t a c k o n o u r t r a p d o o r f u n c t i o n
t a k e s e x p o n e n t i a l t i m e i n t h e d i m e n s i o n o f t h e l a t t i c e . I n p a r t i c u l a r , a c c o r d i n g t o o u r e s t i m a t e s
t h i s a t t a c k s h o u l d b e i n t r a c t a b l e i n p r a c t i c e f o r d i m e n s i o n 2 0 0 .
D r a w i n g a n a n a l o g y f r o m t h e p a s t , i n p r o p o s i n g t h e R S A , R i v e s t e t . a l . R S A ] r e l i e d o n t h e
f a i l u r e o f p a s t r e s e a r c h t o p r o d u c e e c i e n t f a c t o r i n g a l g o r i t h m s , b u t d i d n o t r e d u c e f a c t o r i n g t o
t h e b r e a k i n g o f t h e i r p r o p o s a l . B y n o w , t h e a s s u m p t i o n t h a t R S A i t s e l f i s h a r d t o i n v e r t ( r a t h e r
t h a n f a c t o r i n g i n g e n e r a l ) c a n s t a n d o n i t s o w n , a s i t h a s b e e n s u b j e c t e d t o m u c h e x a m i n a t i o n a n d
s c r u t i n y . T h e s t r u c t u r e o f o u r p r o p o s a l ( i . e t h e k e y g e n e r a t i o n p r o c e s s ) i s m o r e c o m p l e x t h a n i n
R S A a n d r e q u i r e s s t a t i n g a m o r e c o m p l e x a s s u m p t i o n . E s s e n t i a l l y , w e n e e d t o c o n j e c t u r e t h a t f o r
s o m e n a t u r a l d i s t r i b u t i o n o n l a t t i c e s a n d b a s e s f o r t h e s e l a t t i c e s , t h e C V P i s h a r d . W e d o n ' t k n o w
i f a r e s u l t s i m i l a r t o A j t a i ' s c a n b e p r o v e d f o r t h e d i s t r i b u t i o n w h i c h w e p r o p o s e o v e r t h e C V P
i n s t a n c e s . ( S i m i l a r i t y , i t i s n o t k n o w n w h e t h e r s u c h a r e s u l t c a n b e p r o v e d f o r R S A . ) W e h o p e t h a t
o u r s u g g e s t i o n w i l l s t i r u p f u r t h e r i n v e s t i g a t i o n i n t o t h e c o m p l e x i t y o f l a t t i c e p r o b l e m s .
4
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 6/30
1 . 4 O r g a n i z a t i o n
I n S e c t i o n 2 w e r e v i e w n e c e s s a r y m a t e r i a l a b o u t l a t t i c e s a n d l a t t i c e p r o b l e m s . I n S e c t i o n 3 w e
d e s c r i b e o u r c o n s t r u c t i o n o f a t r a p d o o r f u n c t i o n a n d d i s c u s s v a r i o u s p a r a m e t e r s a n d a t t a c k s . S e c -
t i o n 4 d e s c r i b e s o u r e n c r y p t i o n s c h e m e a n d S e c t i o n 5 d e s c r i b e s o u r s i g n a t u r e s c h e m e . I n S e c t i o n 6
w e d e s c r i b e o u r e x p e r i m e n t a l r e s u l t s
2 L a t t i c e s a n d L a t t i c e R e d u c t i o n P r o b l e m s
N o t a t i o n s a n d c o n v e n t i o n s . I n t h e s e q u e l w e u s e t h e f o l l o w i n g c o n v e n t i o n s : W e d e n o t e t h e s e t
o f r e a l n u m b e r s b y R a n d t h e s e t o f i n t e g e r s b y Z . W e d e n o t e r e a l n u m b e r s b y s m a l l G r e e k l e t t e r s
( e . g . , ; ; e t c . ) a n d i n t e g e r s b y o n e o f t h e l e t t e r s i ; j ; k ; l ; m ; n . W e d e n o t e v e c t o r s b y b o l d - f a c e
l o w e r c a s e l e t t e r s ( e . g . , b ; c ; r e t c . ) . W e u s e c a p i t a l l e t t e r s ( e . g . , B ; C ; R , e t c . ) t o d e n o t e m a t r i c e s o r
s e t s o f v e c t o r s .
I n t h i s p a p e r w e o n l y c a r e a b o u t l a t t i c e s o f f u l l r a n k , s o t h e d e n i t i o n s b e l o w o n l y d e a l w i t h
t h o s e .
D e n i t i o n 1 : G i v e n a s e t o f n l i n e a r l y i n d e p e n d e n t v e c t o r s i n R
n
; B = f b
1
; ; b
n
g , w e d e n e
t h e l a t t i c e s p a n n e d b y B a s t h e s e t o f a l l p o s s i b l e l i n e a r c o m b i n a t i o n s o f t h e b
i
' s w i t h i n t e g r a l
c o e c i e n t s , n a m e l y
L ( B )
d e f
= f
X
i
k
i
b
i
: k
i
2 Z f o r a l l i g
W e c a l l B a b a s i s o f t h e l a t t i c e L ( B ) . W e s a y t h a t a s e t o f v e c t o r s L R
n
i s a l a t t i c e i f t h e r e i s
a b a s i s B s u c h t h a t L = L ( B ) . I f t h e v e c t o r v b e l o n g s t o t h e l a t t i c e L , t h e n w e s a y t h a t v i s a
l a t t i c e - v e c t o r ( o r a l a t t i c e p o i n t ) .
B e l o w w e b r i e y m e n t i o n a f e w w e l l - k n o w n f a c t s a b o u t l a t t i c e s . I n t h e s e q u e l w e v i e w a b a s i s
f o r a l a t t i c e i n R
n
a s a n n n n o n - s i n g u l a r m a t r i x B w h o s e c o l u m n s a r e t h e b a s i s v e c t o r s . V i e w e d
t h i s w a y , t h e l a t t i c e s p a n n e d b y B i s t h e s e t L ( B ) = f B v : v i s a n i n t e g r a l v e c t o r g . W e n o t e t h a t
t h e r e a r e m a n y d i e r e n t b a s e s f o r a n y l a t t i c e L . I n f a c t , i f t h e s e t B = f b
1
; ; b
n
g s p a n s s o m e
l a t t i c e t h e n b y t a k i n g a n y v e c t o r b
i
2 B a n d a d d i n g t o i t a n y i n t e g r a l l i n e a r c o m b i n a t i o n o f t h e
o t h e r v e c t o r s w e o b t a i n a d i e r e n t b a s i s f o r t h e s a m e l a t t i c e .
A l l b a s e s h a v e t h e s a m e d e t e r m i n a n t . T h e r s t i m p o r t a n t f a c t a b o u t l a t t i c e s i s t h a t a l l t h e
b a s e s o f a g i v e n l a t t i c e h a v e t h e s a m e d e t e r m i n a n t . T h i s f a c t f o l l o w s s i n c e t h e r e i s a n i n t e g e r m a t r i x
T s u c h t h a t B T = C a n d a n o t h e r i n t e g e r m a t r i x T
1
s u c h t h a t C T
1
= B
T h e d u a l l a t t i c e L e t B = b
1
; ; b
n
b e a b a s i s f o r s o m e l a t t i c e i n R
n
, L = L ( B ) . R e c a l l t h a t
w e t h i n k o f B a s a n n n m a t r i x w h o s e c o l u m n s a r e t h e b
i
' s . T h e d u a l l a t t i c e o f L i s t h e l a t t i c e
w h i c h i s s p a n n e d b y t h e r o w s o f t h e m a t r i x B
1
. L e t u s d e n o t e t h e r o w s o f B
1
b y
̂
b
1
; ;
̂
b
n
O r t h o g o n a l i t y D e f e c t T h e n o t i o n o f o f t h e o r t h o g o n a l i t y d e f e c t o f a b a s i s w h i c h w a s i n t r o d u c e d
b y S c h n o r r i n S c 8 7 ] p l a y s a c r u c i a l r o l e i n t h e s e c u r i t y o f o u r s c h e m e s .
D e n i t i o n 2 : L e t B b e a r e a l n o n - s i n g u l a r n n m a t r i x . T h e o r t h o g o n a l i t y d e f e c t o f B i s d e n e d
a s o r t h - d e f e c t ( B )
d e f
=
Q
i
k b
i
k
d e t ( B )
, w h e r e k b
i
k i s t h e E u c l i d e a n n o r m o f t h e i ' t h c o l u m n i n B
5
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 7/30
C l e a r l y w e h a v e o r t h - d e f e c t ( B ) = 1 i f a n d o n l y i f t h e c o l u m n s o f B a r e o r t h o g o n a l t o o n e a n o t h e r ,
a n d o r t h - d e f e c t ( B ) > 1 o t h e r w i s e . W h e n c o m p a r i n g d i e r e n t b a s e s o f t h e s a m e l a t t i c e i n R
n
, w e
r e a l l y o n l y c a r e a b o u t t h e p r o d u c t o f t h e k b
i
k ' s , s i n c e d e t ( B ) i s t h e s a m e f o r a l l o f t h e m ( a n d s e r v e s
j u s t a s a n o r m a l i z a t i o n f a c t o r ) . I n S e c t i o n 3 . 5 w e d e m o n s t r a t e t h e i m p o r t a n c e o f t h e o r t h o g o n a l i t y
d e f e c t t o t h e s e c u r i t y o f o u r s c h e m e s . I n p a r t i c u l a r w e s h o w t h a t w h e n w e u s e a b a s i s B f o r a l a t t i c e
L = L ( B ) f o r o u r t r a p d o o r f u n c t i o n , t h e w o r k l o a d w h i c h i s a s s o c i a t e d w i t h a b r u t e - f o r c e a t t a c k s
o n t h e s c h e m e i s p r o p o r t i o n a l t o t h e o r t h o g o n a l i t y d e f e c t o f t h e c o r r e s p o n d i n g b a s i s f o r t h e d u a l
l a t t i c e . I t w o u l d t h e r e f o r e b e c o n v e n i e n t f o r u s t o d e n e t h e d u a l o r t h o g o n a l i t y d e f e c t f o r a m a t r i x .
D e n i t i o n 3 : L e t B b e a r e a l n o n - s i n g u l a r n n m a t r i x . T h e d u a l o r t h o g o n a l i t y d e f e c t o f B i s
d e n e d a s o r t h - d e f e c t
( B )
d e f
=
Q
i
k
̂
b
i
k = d e t ( B
1
) = d e t ( B )
Q
i
k
̂
b
i
k , w h e r e k
̂
b
i
k i s t h e E u c l i d e a n
n o r m o f t h e i ' t h r o w i n B
1
2 . 1 H a r d p r o b l e m s i n l a t t i c e s
T h e s e c u r i t y o f o u r c o n s t r u c t i o n s i s r e l a t e d t o t h e ( c o n j e c t u r e d ) i n t r a c t a b i l i t y o f a f e w c o m p u t a t i o n a l
p r o b l e m s i n l a t t i c e s .
T h e S h o r t e s t n o n - z e r o V e c t o r P r o b l e m ( S V P ) . T h i s p r o b l e m u n d e r l i e s t h e s e c u r i t y o f
A j t a i ' s c o n s t r u c t i o n a n d o u r c o l l i s i o n - f r e e h a s h i n g . I n t h i s p r o b l e m w e a r e g i v e n a b a s i s B f o r
a l a t t i c e i n R
n
a n d o u r t a s k i s t o n d t h e n o n - z e r o v e c t o r i n L ( B ) w h o s e E u c l i d e a n n o r m i s
m i n i m u m . T h e r e a r e n o k n o w n p o l y n o m i a l - t i m e a l g o r i t h m s f o r s o l v i n g t h e S V P , a n d i t i s a l s o n o t
k n o w n w h e t h e r t h e S V P i s N P - h a r d ( a l t h o u g h a v e r s i o n o f i t , w h e r e t h e d i s t a n c e i s m e a s u r e d i n
L
1
n o r m , w a s s h o w n b y v a n E m d e B o a s B o 8 1 ] t o b e N P - h a r d ) . T h e r e a r e , h o w e v e r , d e t e r m i n i s t i c
p o l y n o m i a l - t i m e a p p r o x i m a t i o n a l g o r i t h m s f o r t h e S V P . T h e L L L a l g o r i t h m ( d u e t o L o v a s z , L e n s t r a
a n d L e n s t r a L L L ] ) a p p r o x i m a t e s t h e S V P i n R
n
u p t o a f a c t o r o f 2
n = 2
i n t h e w o r s t c a s e . T h i s w a s
l a t e r i m p r o v e d b y S c h n o r r S c 8 7 ] t o a f a c t o r o f ( 1 + " )
n
f o r a n y " > 0
N o p o l y n o m i a l - t i m e a l g o r i t h m i s k n o w n f o r a p p r o x i m a t i n g t h e S V P i n R
n
w i t h i n a p o l y n o m i a l
f a c t o r i n n . I n d e e d s u c h a n a p p r o x i m a t i o n h a s b e e n c o n j e c t u r e d t o b e i n f e a s i b l e t o a c h i e v e . R e -
c e n t l y , A j t a i A j 9 6 ] d e s c r i b e d s a m p l a b l e d i s t r i b u t i o n s w h i c h f o r m a l s o a \ h a r d - c o r e d i s t r i b u t i o n "
f o r t h e S V P . N a m e l y , a n y ( p r o b a b i l i s t i c p o l y n o m i a l t i m e ) a l g o r i t h m w h i c h c a n a p p r o x i m a t e t h e
S V P p r o b l e m w i t h a p o l y n o m i a l a p p r o x i m a t i o n r a t i o o n r a n d o m i n s t a n c e s d r a w n w i t h A j t a i ' s d i s -
t r i b u t i o n , c a n b e t r a n s f o r m e d i n t o a ( p r o b a b i l i s t i c p o l y n o m i a l t i m e ) a l g o r i t h m w h i c h a c h i e v e s a
p o l y n o m i a l a p p r o x i m a t i o n r a t i o o n e v e r y i n s t a n c e o f t h e S V P .
T h e C l o s e s t V e c t o r P r o b l e m ( C V P ) . T h i s i s t h e \ n o n - h o m o g e n e o u s " v e r s i o n o f t h e S V P .
I n t h i s p r o b l e m w e a r e g i v e n a b a s i s B f o r a l a t t i c e i n R
n
a n d a n o t h e r v e c t o r v 2 R
n
, a n d o u r
t a s k i s t o n d t h e v e c t o r i n L ( B ) w h i c h i s c l o s e s t t o v ( i n s o m e n o r m ) . T h e C V P w a s s h o w n b y
v a n E m d e B o a s B o 8 1 ] t o b e N P - h a r d . I n t e r m s o f a p p r o x i m a t i o n , i t w a s s h o w n i n K a ] t h a t a n y
a l g o r i t h m w h i c h a p p r o x i m a t e s t h e S V P t o w i t h i n a f a c t o r o f c a n b e t r a n s f o r m e d i n t o a n a l g o r i t h m
w h i c h a p p r o x i m a t e s t h e C V P t o w i t h i n a f a c t o r o f n
3 = 2
2
. C o m b i n e d w i t h S c h n o r r ' s a l g o r i t h m , t h i s
y i e l d s a p o l y n o m i a l - t i m e d e t e r m i n i s t i c a l g o r i t h m w h i c h a p p r o x i m a t e s t h e C V P i n R
n
t o w i t h i n a
f a c t o r o f ( 1 + " )
n
f o r a n y " > 0
A s w e e x p l a i n i n S e c t i o n 3 , a n a t t a c k a g a i n s t o u r t r a p d o o r f u n c t i o n a m o u n t s t o n d i n g a n e x a c t
s o l u t i o n f o r s o m e i n s t a n c e o f C V P .
6
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 8/30
T h e S m a l l e s t B a s i s P r o b l e m ( S B P ) . I n t h i s p r o b l e m , w e a r e g i v e n a b a s i s B f o r a l a t t i c e i n
R
n
a n d o u r g o a l i s t o n d t h e \ s m a l l e s t " b a s i s B f o r t h e s a m e l a t t i c e . T h e r e a r e m a n y v a r i a n t s
o f t h i s p r o b l e m , d e p e n d i n g o n t h e e x a c t m e a n i n g o f \ s m a l l e s t " . I n t h e c o n t e x t o f t h i s p a p e r , w e
c a r e a b o u t b a s e s w i t h s m a l l o r t h o g o n a l i t y d e f e c t . T h u s , w e c o n s i d e r t h e v e r s i o n i n w h i c h w e l o o k
f o r t h e b a s i s B o f L ( B ) w h i c h h a s s m a l l e s t o r t h o g o n a l i t y d e f e c t . I n o u t p u b l i c k e y c o n s t r u c t i o n s ,
n d i n g t h e p r i v a t e - k e y f r o m t h e p u b l i c - k e y r e q u i r e s s o l v i n g s o m e d i s t r i b u t i o n o v e r S B P i n s t a n c e s .
F o r t h i s p r o b l e m t o o t h e r e a r e n o k n o w n p o l y n o m i a l - t i m e a l g o r i t h m s , a n d t h e b e s t p o l y n o m i a l -
t i m e a p p r o x i m a t i o n a l g o r i t h m s f o r i t a r e a g a i n t h e L L L a n d S c h n o r r ' s a l g o r i t h m s w h i c h a c h i e v e a n
a p p r o x i m a t i o n r a t i o o f 2
O ( n
2
)
i n t h e w o r s t c a s e f o r S B P i n s t a n c e s i n R
n
W o r s t c a s e v s . a v e r a g e c a s e . T h e u p p e r - b o u n d s a b o v e o n t h e p e r f o r m a n c e o f t h e a p p r o x i m a -
t i o n a l g o r i t h m s a r e a l l w o r s t - c a s e b o u n d s . H o w e v e r , f o r t h e s e c u r i t y o f o u r s c h e m e w e a r e m o r e
i n t e r e s t e d i n t h e p e r f o r m a n c e o f t h e s e a l g o r i t h m s \ o n t h e a v e r a g e " . I n f a c t , t y p i c a l l y t h e L L L
a l g o r i t h m a n d i t s v a r i a n t s p e r f o r m m u c h b e t t e r t h a n t h e a b o v e u p p e r - b o u n d s .
T h e o n l y k n o w n t h e o r e t i c a l r e s u l t a b o u t t h e d i c u l t y o f \ a v e r a g e c a s e " l a t t i c e p r o b l e m s i s
A j t a i ' s r e s u l t w h i c h w e m e n t i o n e d a b o v e A j 9 6 ] . A s w e e x p l a i n e d i n t h e I n t r o d u c t i o n , h o w e v e r ,
w e c o u l d n o t d i r e c t l y u s e A j t a i ' s r e s u l t f o r o u r s c h e m e . W e i n s t e a d p r o p o s e a t r a p d o o r f u n c t i o n
a n d p r o v i d e s o m e e m p i r i c a l e v i d e n c e t o i t s s e c u r i t y , b y t e s t i n g t h e d i c u l t y o f t h e d i s t r i b u t i o n
o f l a t t i c e p r o b l e m s w h i c h i s d e n e d b y o u r s c h e m e a g a i n s t s o m e k n o w n a p p r o x i m a t i o n a l g o r i t h m s
w i t h v a r i o u s p a r a m e t e r s . W e d e s c r i b e t h e s e t e s t s i n S e c t i o n 6 .
3 A C a n d i d a t e T r a p d o o r F u n c t i o n
I n t h i s s e c t i o n w e d e n e o u r c a n d i d a t e t r a p d o o r f u n c t i o n a n d a n a l y z e a f e w p o s s i b l e a t t a c k s a g a i n s t
i t . W e s t a r t b y r e v i e w i n g t h e d e n i t i o n o f a c o l l e c t i o n o f t r a p d o o r f u n c t i o n s
D e n i t i o n 4 : A c o l l e c t i o n o f o n e - w a y t r a p d o o r f u n c t i o n s c o n s i s t s o f f o u r ( p r o b a b i l i s t i c ) p o l y n o m i a l -
t i m e a l g o r i t h m s , G e n e r a t e , S a m p l e , E v a l u a t e a n d I n v e r t
G e n e r a t e T h e r a n d o m i z e d a l g o r i t h m G e n e r a t e t a k e s a s i n p u t t h e s e c u r i t y p a r a m e t e r ( 1
n
) a n d
o u t p u t s a p a i r ( f ; t ) w h e r e f d e s c r i b e s a f u n c t i o n a n d t i s a t r a p d o o r i n f o r m a t i o n . T h e r e i s a
d o m a i n D
f
w h i c h i s a s s o c i a t e d w i t h e v e r y f u n c t i o n f
S a m p l e T h e r a n d o m i z e d a l g o r i t h m S a m p l e t a k e s a s i n p u t a f u n c t i o n d e s c r i p t i o n f ( w h i c h i s
p a r t o f t h e o u t p u t o f G e n e r a t e ) a n d o u t p u t s a p o i n t x 2 D
f
. T h e r a n d o m c h o i c e s o f t h i s
a l g o r i t h m i n d u c e a p r o b a b i l i t y d i s t r i b u t i o n o v e r t h e d o m a i n D
f
E v a l u a t e T h e a l g o r i t h m E v a l u a t e t a k e s a s i n p u t a f u n c t i o n d e s c r i p t i o n f a n d a p o i n t x 2 D
f
a n d r e t u r n s t h e v a l u e f ( x )
I n v e r t T h e a l g o r i t h m I n v e r t t a k e s a s i n p u t a f u n c t i o n d e s c r i p t i o n f , t h e c o r r e s p o n d i n g t r a p d o o r
i n f o r m a t i o n t a n d a p o i n t y i n t h e r a n g e o f f , a n d r e t u r n s a p o i n t x 2 D
f
f o r w h i c h f ( x ) = y
W e r e q u i r e t h a t t h e I n v e r t a l g o r i t h m b e s u c c e s s f u l w i t h h i g h p r o b a b i l i t y , w h e r e t h i s p r o b a -
b i l i t y i s t a k e n o v e r t h e r a n d o m c o i n - t o s s e s o f G e n e r a t e a n d S a m p l e , a n d o v e r t h e c o i n - t o s s e s
o f I n v e r t i t s e l f ( i f i t h a p p e n s t o b e r a n d o m i z e d ) .
A c o l l e c t i o n G e n e r a t e , S a m p l e , E v a l u a t e i s o n e - w a y i f E v a l u a t e i s a p o l y n o m i a l - t i m e a l g o -
r i t h m , a n d f o r a n y p r o b a b i l i s t i c p o l y n o m i a l t i m e a l g o r i t h m A , t h e p r o b a b i l i t y t h a t A s u c c e e d s i n
i n v e r t i n g f - w h e n i t i s o n l y g i v e n 1
n
; f ; f ( x ) - i s n e g l i g i b l e . T h e p r o b a b i l i t y i n t h i s c a s e i s t a k e n
7
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 9/30
o v e r t h e c o i n t o s s e s o f G e n e r a t e , S a m p l e a n d A i t s e l f , a n d i s m e a s u r e d a g a i n s t t h e s e c u r i t y
p a r a m e t e r w h i c h w a s t h e i n p u t t o b o t h G e n e r a t e a n d A . N a m e l y , w e h a v e
P r
f x
A ( 1
n
; f ; f ( x ) ) 2 f
1
f ( x ) = n e g l i g i b l e ( n )
w h e r e t h e p r o b a b i l i t y i s t a k e n o v e r t h e c h o i c e o f f b y G e n e r a t e , t h e c h o i c e o f x b y S a m p l e a n d
t h e i n t e r n a l c o i n - t o s s e s o f t h e A . ( w e s a y t h a t a r e a l - v a l u e d f u n c t i o n i s n e g l i g i b l e i n n , i f a s n g e t s
l a r g e r t h i s f u n c t i o n b e c o m e s s m a l l e r t h a n a n y p o l y n o m i a l i n 1 = n )
3 . 1 O u r c o n s t r u c t i o n
G e n e r a t e O n i n p u t 1
n
, w e g e n e r a t e t w o b a s e s B a n d R o f t h e s a m e f u l l - r a n k l a t t i c e i n Z
n
a n d a
p o s i t i v e r e a l n u m b e r . W e g e n e r a t e t h e s e b a s e s s o t h a t R h a s a l o w d u a l - o r t h o g o n a l i t y - d e f e c t
a n d B h a s a h i g h d u a l - o r t h o g o n a l i t y - d e f e c t . W e d e s c r i b e t h e g e n e r a t i o n p r o c e s s i n d e t a i l s
i n S e c t i o n 3 . 3 . T h e b a s e s B ; R a r e r e p r e s e n t e d b y n n m a t r i c e s w h e r e t h e b a s i s - v e c t o r s
a r e t h e c o l u m n s o f t h e s e m a t r i c e s . I n t h e s e q u e l w e c a l l B t h e \ p u b l i c b a s i s " a n d R t h e
\ p r i v a t e b a s i s " . W e v i e w ( B ; ) a s t h e d e s c r i p t i o n o f a f u n c t i o n f
B
a n d R a s t h e t r a p d o o r
i n f o r m a t i o n . T h e d o m a i n o f f
B
c o n s i s t s o f p a i r s o f v e c t o r s v ; e 2 R
n
S a m p l e G i v e n ( B ; ) , w e o u t p u t v e c t o r s v ; e 2 R
n
a s f o l l o w s :
T h e v e c t o r v i s c h o s e n a t r a n d o m f r o m a \ l a r g e e n o u g h " c u b e i n Z
n
. F o r e x a m p l e , w e c a n
p i c k e a c h e n t r y i n v u n i f o r m l y a t r a n d o m f r o m t h e r a n g e f ? n
2
; ? n
2
+ 1 ; ; + n
2
g
2
T h e v e c t o r e i s c h o s e n a t r a n d o m f r o m R
n
, s o t h a t e a c h e n t r y i n i t h a s z e r o - m e a n a n d v a r i a n c e
2
. F o r e x a m p l e , w e c a n p i c k e a c h e n t r y i n e a s , e a c h w i t h p r o b a b i l i t y
1
2
. A l t e r n a t i v e l y ,
i f w e w a n t e t o h a v e i n t e g r a l e n t r i e s w e c a n p i c k e a c h e n t r y a s e q u a l t o d e e a c h w i t h
p r o b a b i l i t y
2
= 2 d e
2
a n d 0 w i t h p r o b a b i l i t y 1 ?
2
= d e
2
E v a l u a t e G i v e n B ; ; v ; e , w e c o m p u t e c = f
B
( v ; e ) = B v + e
I n v e r t G i v e n R a n d c , w e u s e B a b a i ' s R o u n d - O a l g o r i t h m B a 8 6 ] t o i n v e r t t h e f u n c t i o n . N a m e l y ,
w e r e p r e s e n t c a s a l i n e a r c o m b i n a t i o n o n t h e c o l u m n s o f R a n d t h e n r o u n d t h e c o e c i e n t s
i n t h i s l i n e a r c o m b i n a t i o n t o t h e n e a r e s t i n t e g e r s t o g e t a l a t t i c e p o i n t . T h e r e p r e s e n t a t i o n o f
t h i s l a t t i c e p o i n t a s a l i n e a r c o m b i n a t i o n o n t h e c o l u m n s o f B i s t h e v e c t o r v . O n c e w e h a v e
v w e c a n c o m p u t e e . M o r e p r e c i s e l y , d e n o t e T
d e f
= B
1
R , s o w e c o m p u t e v T d R
1
c c a n d
e c ? B v
3 . 2 T h e I n v e r s i o n A l g o r i t h m
I n t h i s s e c t i o n w e s h o w h o w c a n b e c h o s e n s o t h a t t h e i n v e r s i o n a l g o r i t h m i s s u c c e s s f u l w i t h h i g h
p r o b a b i l i t y . R e c a l l t h a t t h e i n v e r s i o n a l g o r i t h m s u c c e e d s i n i n v e r t i n g t h e f u n c t i o n o n c i f u s i n g t h e
p r i v a t e b a s i s R i n B a b a i ' s \ r o u n d o " a l g o r i t h m r e s u l t s i n n d i n g t h e c l o s e s t l a t t i c e - p o i n t t o c
B e l o w w e s u g g e s t t w o d i e r e n t w a y s t o b o u n d t h e v a l u e o f , b a s e d o n t h e L
1
n o r m a n d L
1
n o r m
o f r o w s i n R
1
. B o t h b o u n d s u s e s t h e f o l l o w i n g l e m m a .
L e m m a 3 . 1 : L e t R b e t h e p r i v a t e b a s i s u s e d i n t h e i n v e r s i o n o f f
B
( v ; e ) . T h e n a n i n v e r s i o n
e r r o r o c c u r s i f a n d o n l y i f d R
1
e c 6=
0
2
W e d o n o t k n o w i f t h e s i z e o f t h i s r a n g e h a s a n y i n u e n c e o n t h e s e c u r i t y o f t h e c o n s t r u c t i o n . T h e v a l u e n
2
i s
r a t h e r a r b i t r a r y , a n d w a s o n l y c h o s e n t o g e t i n t e g e r s o f a b o u t 1 6 b i t s f o r t h e p a r a m e t e r s w h i c h w e w o r k w i t h .
8
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 10/30
P r o o f : L e t T b e t h e u n i m o d u l a r t r a n s f o r m a t i o n m a t r i x T = B
1
R . T h e n t h e i n v e r s i o n a l g o r i t h m
i s v = T d R
1
c c a n d e = c ? B v . O b v i o u s l y , i f v i s c o m p u t e d c o r r e c t l y t h e n s o i s e . T h u s , l e t u s
e x a m i n e t h e c o n d i t i o n s u n d e r w h i c h t h i s a l g o r i t h m n d s t h e c o r r e c t v e c t o r v . R e c a l l t h a t c w a s
c o m p u t e d a s c = B v + e , s o
T d R
1
c c = T d R
1
( B v + e ) c
= T d R
1
B v + R
1
e c = T d ( B T )
1
B v + R
1
e c = T d T
1
v + R
1
e c
B u t s i n c e T i s a u n i m o d u l a r m a t r i x ( a n d t h e r e f o r e , s o i t T
1
) a n d s i n c e v i s a n i n t e g r a l v e c t o r , t h e n
T
1
v i s a l s o a n i n t e g r a l v e c t o r . H e n c e w e h a v e d T
1
v + R
1
e c = T
1
v + d R
1
e c , a n d t h e r e f o r e
R
1
c
= T ( T
1
v +
R
1
e
) = v + T
R
1
e
T h u s t h e i n v e r s i o n a l g o r i t h m s u c c e e d s i f a n d o n l y i f d R
1
e c =
0
W e p r o c e e d t o s h o w t h e b o u n d s o n . I n b o t h t h e t h e o r e m s b e l o w w e a s s u m e t h a t e a c h e n t r y
i n t h e \ e r r o r v e c t o r " e i s c h o s e n e q u a l t o , e a c h w i t h p r o b a b i l i t y a h a l f . W e s t a r t b y a s s e r t i n g
t h a t w e c a n c h o o s e s o t h a t w e n e v e r g e t a n y i n v e r s i o n e r r o r s .
T h e o r e m 1 : L e t R b e t h e p r i v a t e b a s i s u s e d i n t h e i n v e r s i o n o f f
B
, a n d d e n o t e t h e m a x i m u m
L
1
n o r m o f t h e r o w s i n R
1
b y . T h e n a s l o n g a s < 1 = ( 2 ) , n o i n v e r s i o n e r r o r s c a n o c c u r .
P r o o f : W e r s t i n t r o d u c e a f e w n o t a t i o n s . W e d e n o t e d
d e f
= R
1
e a n d d e n o t e t h e i ' t h e n t r y i n d
a n d e b y
i
a n d
i
r e s p e c t i v e l y . A l s o , w e d e n o t e t h e i ' t h r o w i n R
1
b y r̂
i
a n d t h e i ; j ' t h e l e m e n t
i n R
1
b y
i j
B y L e m m a 3 . 1 a b o v e , w e g e t a n i n v e r s i o n e r r o r o n l y w h e n d R
1
e c 6=
0 , w h i c h m e a n s t h a t
i
>
1
2
f o r s o m e i . H o w e v e r , s i n c e a l l t h e e n t r i e s i n e a r e e q u a l , w e g e t f o r e v e r y i
i
= r̂
i
e =
X
j
i j
j
X
j
i j
<
1
2
A l t h o u g h T h e o r e m 1 g i v e s a s u c i e n t c o n d i t i o n t o g e t t h e e r r o r - p r o b a b i l i t y d o w n t o 0 , w e m a y
c h o o s e t o s e t a h i g h e r v a l u e f o r i n o r d e r t o g e t b e t t e r s e c u r i t y . T h e n e x t t h e o r e m a s s e r t s a
d i e r e n t b o u n d o n , w h i c h g u a r a n t e e a l o w e r r o r p r o b a b i l i t y .
T h e o r e m 2 : L e t R b e t h e p r i v a t e b a s i s u s e d i n t h e i n v e r s i o n o f f
B
, a n d d e n o t e t h e m a x i m u m
L
1
n o r m o f t h e r o w s i n R
1
b y
p
n
. T h e n t h e p r o b a b i l i t y o f i n v e r s i o n e r r o r s i s b o u n d e d b y
P r i n v e r s i o n e r r o r u s i n g R 2 n e x p
?
1
8
2
2
( 1 )
P r o o f : W e u s e t h e n o t a t i o n s d ;
i
;
i
; r̂
i
a n d
i j
a s i n t h e p r o o f o f T h e o r e m 1 . W e r s t x s o m e
i a n d e v a l u a t e P r
i
1
2
] . R e c a l l t h a t
i
= r̂
i
e =
P
j
i j
j
. S i n c e f o r a l l j ,
i j
=
p
n a n d
j
= , e a c h w i t h p r o b a b i l i t y
1
2
, t h e n a l l t h e r a n d o m v a r i a b l e s
i j
j
h a v e z e r o m e a n a n d t h e y a r e
a l l l i m i t e d t o t h e i n t e r v a l ?
p
n
; +
p
n
] . T h e r e f o r e w e c a n u s e H o e d i n g b o u n d t o c o n c l u d e t h a t
P r
i
>
1
2
= P r
2
4
X
j
i j
j
>
1
2
3
5
< 2 e x p
?
1
8
2
2
9
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 11/30
U s i n g t h e u n i o n b o u n d t o b o u n d t h e p r o b a b i l i t y t h a t a n y s u c h i e x i s t s c o m p l e t e s t h e p r o o f .
R e m a r k . T h e l a s t t h e o r e m i m p l i e s t h a t t o g e t t h e e r r o r p r o b a b i l i t y b e l o w " i t i s s u c i e n t t o
c h o o s e
p
8 l n ( 2 n = " )
1
. I n f a c t , t h e a b o v e b o u n d i s o v e r l y p e s s i m i s t i c i n t h a t i t o n l y l o o k s
a t t h e l a r g e s t e n t r y i n R
1
. A m o r e r e n e d b o u n d c a n b e o b t a i n e d b y c o n s i d e r i n g t h e f e w l a r g e s t
e n t r i e s i n e a c h r o w s e p a r a t e l y a n d a p p l y i n g t h e a b o v e a r g u m e n t t o t h e r e s t o f t h e e n t r i e s .
A l t e r n a t i v e l y , w e c a n g e t a n e s t i m a t e ( r a t h e r t h a t a b o u n d ) o f t h e e r r o r p r o b a b i l i t y b y u s i n g
E q u a t i o n 1 a s i f a l l t h e e n t r i e s i n e a c h r o w o f R
1
h a v e t h e s a m e a b s o l u t e v a l u e . I n t h i s c a s e i s
t h e m a x i m u m E u c l i d e a n n o r m o f t h e r o w s i n R
1
s o w e g e t a n e s t i m a t e o f t h e e r r o r - p r o b a b i l i t y i n
t e r m s o f t h e E u c l i d e a n n o r m o f t h e r o w s i n R
1
. T h i s e s t i m a t e i s a b o u t t h e s a m e a s t h e o n e w h i c h
w e g e t b y v i e w i n g e a c h o f t h e
i
' s a s a z e r o - m e a n G a u s s i a n r a n d o m v a r i a b l e w i t h v a r i a n c e ( k r̂
i
k )
2
( w h e r e k r̂
i
k i s t h e E u c l i d e a n n o r m o f t h e i ' t h r o w i n R
1
)
T o g e t a f e e l i n g f o r t h e s i z e o f t h e p a r a m e t e r s i n v o l v e d , c o n s i d e r t h e p a r a m e t e r s n = 1 4 0 ; " =
2
3 0
. F o r a c e r t a i n s e t t i n g o f t h e p a r a m e t e r s w h i c h w e t e s t e d , t h e E u c l i d e a n n o r m o f a l l t h e r o w s
i n R
1
i s b e l o w 1 = 3 0 . E v a l u a t i n g t h e e x p r e s s i o n a b o v e f o r = 1 = 3 0 y i e l d s
1
3 0
s
8 l n
2 8 0
2
3 0
!
1
3 0
1 4 6
2
F o r t h e s a m e p a r a m e t e r s o f R , s e t t i n g " = 1 0
4
y i e l d s 2 7
3 . 3 T h e G e n e r a t e A l g o r i t h m
I n t h i s s e c t i o n w e d i s c u s s v a r i o u s a s p e c t s o f t h e G e n e r a t e a l g o r i t h m . W e d e s c r i b e d i n S e c t i o n 3 . 2
h o w t h e v a l u e o f c a n b e c o m p u t e d o n c e w e h a v e t h e p r i v a t e b a s i s R . N o w w e s u g g e s t a f e w
w a y s t o p i c k R a n d B . R e c a l l t h a t R ; B a r e t w o b a s e s f o r s o m e l a t t i c e i n Z
n
, w h e r e R h a s s m a l l
d u a l o r t h o g o n a l i t y d e f e c t a n d B h a s a l a r g e d u a l o r t h o g o n a l i t y d e f e c t . O u r h i g h - l e v e l a p p r o a c h f o r
g e n e r a t i n g t h e p r i v a t e a n d p u b l i c b a s e s i s t o c h o o s e a t r a n d o m n v e c t o r s i n Z
n
t o g e t t h e p r i v a t e
b a s i s a n d t h e n t o m i x t h e m s o a s t o g e t t h e p u b l i c o n e . T h e r e a r e t w o d i s t r i b u t i o n s t o c o n s i d e r i n
t h i s p r o c e s s
A d i s t r i b u t i o n o n t h e l a t t i c e s i n Z
n
w h i c h i s i n d u c e d b y t h e c h o i c e o f t h e p r i v a t e b a s i s R
O n c e w e h a v e t h e p r i v a t e b a s i s R , t h e r e i s a d i s t r i b u t i o n w h i c h i s i n d u c e d o n t h e b a s e s o f
L ( R ) b y t h e p r o c e s s o f \ m i x i n g " R t o g e t t h e p u b l i c b a s i s B
T o g u i d e u s t h r o u g h t h e c h o i c e s o f t h e v a r i o u s p a r a m e t e r s , w e r e l i e d o n e x p e r i m e n t a l r e s u l t s ( S e e
S e c t i o n 6 ) . B e l o w w e b r i e y d i s c u s s t h e v a r i o u s p a r a m e t e r s w h i c h a r e i n v o l v e d i n t h i s p r o c e s s .
3 . 3 . 1 L a t t i c e d i m e n s i o n
T h e r s t p a r a m e t e r w e n e e d t o s e t i s t h e d i m e n s i o n o f t h e l a t t i c e ( t h e v a l u e o f n ) . C l e a r l y , t h e
l a r g e r n i s , w e e x p e c t t h a t o u r s c h e m e s w i l l b e m o r e s e c u r e . O n t h e o t h e r h a n d , b o t h t h e s p a c e
n e e d e d f o r t h e k e y p a i r a n d t h e r u n n i n g - t i m e o f f u n c t i o n - e v a l u a t i o n a n d f u n c t i o n - i n v e r s i o n g r o w
( a t l e a s t ) a s ( n
2
)
T h e l a t t i c e - r e d u c t i o n a l g o r i t h m w h i c h w e u s e d f o r o u r e x p e r i m e n t s i s c a p a b l e o f n d i n g a
b a s i s w i t h v e r y s m a l l o r t h o g o n a l i t y d e f e c t a s l o n g a s t h e l a t t i c e d i m e n s i o n i s n o m o r e t h a n 6 0 - 8 0
( d e p e n d i n g o n o t h e r p a r a m e t e r s ) . B e y o n d t h i s p o i n t , t h e q u a l i t y o f t h e b a s e s w e g e t f r o m t h i s
l a t t i c e r e d u c t i o n a l g o r i t h m d e g r a d e s r a p i d l y w i t h t h e d i m e n s i o n s . I n p a r t i c u l a r , w e f o u n d t h a t i n
1 0
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 12/30
d i m e n s i o n 1 0 0 , t h e b a s e s w e o b t a i n e d h a d a h i g h d i a l - o r t h o g o n a l i t y - d e f e c t . A t t h e p r e s e n t t i m e ,
t h e b e s t \ p r a c t i c a l l a t t i c e - r e d u c t i o n a l g o r i t h m " w h i c h w e a r e a w a r e o f i s S c h n o r r ` s b l o c k - r e d u c t i o n
s c h e m e ( w h i c h w a s u s e d t o a t t a c k t h e C h o r - R i v e s t c r y p t o s y s t e m , s e e S c 9 5 ] ) . W e s p e c u l a t e t h a t
w o r k i n g i n d i m e n s i o n s a b o u t 1 5 0 - 2 0 0 m i g h t b e g o o d e n o u g h w i t h r e s p e c t t o t h i s a l g o r i t h m .
3 . 3 . 2 D i s t r i b u t i o n o f t h e p r i v a t e b a s i s
A f t e r s e t t i n g t h e d i m e n s i o n , w e n e e d t o d e c i d e o n t h e d i s t r i b u t i o n a c c o r d i n g t o w h i c h w e c h o o s e
t h e p r i v a t e b a s i s . W e c o n s i d e r e d t w o p o s s i b l e s u c h d i s t r i b u t i o n s .
1 . C h o o s i n g a \ r a n d o m l a t t i c e " : W e c h o o s e a m a t r i x R w h i c h i s u n i f o r m l y d i s t r i b u t e d i n
f ? l ; ; + l g
n n
f o r s o m e i n t e g e r b o u n d l . I n o u r e x p e r i m e n t s , t h e v a l u e o f l h a d a l m o s t
n o e e c t o n t h e q u a l i t y o f t h e b a s e s w h i c h w e g o t . T h e r e f o r e w e c h o s e t o w o r k w i t h s m a l l
i n t e g e r s ( e . g , b e t w e e n 4 ) , s i n c e t h i s m a k e s s o m e o f t h e o p e r a t i o n s m o r e e c i e n t .
2 . C h o o s i n g a \ r e c t a n g u l a r l a t t i c e " : W e s t a r t f r o m t h e b o x k I i n R
n
( f o r s o m e n u m b e r k ) , a n d
a d d \ n o i s e " t o e a c h o f t h e b o x v e c t o r s . N a m e l y , w e r s t p i c k a m a t r i x R w h i c h i s u n i f o r m l y
d i s t r i b u t e d i n f ? l ; ; + l g
n n
, a n d t h e n c o m p u t e R R + k I
T h e l a r g e r t h e v a l u e o f k i s , t h i s p r o c e s s g e n e r a t e s a b a s i s w i t h s m a l l e r d u a l o r t h o g o n a l i t y
f a c t o r , b u t i t m a y a l s o a l l o w a n a t t a c k e r t o o b t a i n a b a s i s w i t h s m a l l e r d u a l o r t h o g o n a l i t y
f a c t o r b y r e d u c i n g t h e p u b l i c b a s i s .
3 . 3 . 3 G e n e r a t i n g t h e p u b l i c b a s i s
O n c e w e h a v e t h e p r i v a t e b a s i s R , w e s h o u l d p i c k t h e p u b l i c b a s i s a c c o r d i n g t o s o m e d i s t r i b u t i o n
o n t h e b a s e s o f t h e l a t t i c e L ( R ) . S i n c e e v e r y b a s i s o f L ( R ) i s o b t a i n e d a s B = R T f o r s o m e
u n i m o d u l a r t r a n s f o r m a t i o n m a t r i x T , t h e n p i c k i n g B w h e n w e h a v e R i s e q u i v a l e n t t o p i c k i n g a
\ r a n d o m u n i m o d u l a r t r a n s f o r m a t i o n " . W e t r i e d t w o w a y s o f g e n e r a t i n g t h e s e \ r a n d o m u n i m o d u l a r
t r a n s f o r m a t i o n s " . B o t h m e t h o d s w o r k b y m u l t i p l y i n g m a n y \ e l e m e n t a r y m a t r i c e s " , o f d i e r e n t
f o r m s .
O n e t y p e o f e l e m e n t a r y m a t r i c e s w h i c h w e c o n s i d e r e d a r e m a t r i c e s o f t h e f o r m
0
B
B
B
B
B
B
B
B
B
B
B
@
1 ?
1 ?
1
? 1
? 1
1
C
C
C
C
C
C
C
C
C
C
C
A
o r
0
B
B
B
B
B
B
B
B
B
B
@
1
1
? ? 1 ? ?
1
1
1
C
C
C
C
C
C
C
C
C
C
A
w h e r e t h e ? ' s r e p r e s e n t a n y i n t e g e r s a n d t h e b l a n k s r e p r e s e n t z e r o s . ( T h e r s t f o r m c o r r e -
s p o n d s t o a d d i n g t o t h e i ' t h c o l u m n s a n i n t e g e r l i n e a r c o m b i n a t i o n o f t h e o t h e r c o l u m n s a n d
t h e s e c o n d c o r r e s p o n d s t o a d d i n g a n i n t e g r a l m u l t i p l e o f t h e i ' t h c o l u m n t o a l l t h e o t h e r
c o l u m n s . ) W e t y p i c a l l y c h o s e t h e ? c o m p o n e n t s a t r a n d o m f r o m f ? 1 ; 0 ; 1 g w i t h a b i a s t o -
w a r d s 0 ( s p e c i c a l l y , w e u s e d P r 1 ] = P r ? 1 ] = 1 = 7 ) . T h i s w a s d o n e s o t h a t t h e s i z e o f t h e
n u m b e r s i n t h e p u b l i c b a s i s w i l l n o t g r o w t o o f a s t .
1 1
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 13/30
A n i m p o r t a n t p a r a m e t e r i n t h i s p r o c e s s i s t h e n u m b e r o f e l e m e n t a r y m a t r i c e s w h i c h w e
m u l t i p l y t o g e t h e r ( w h i c h w e r e f e r t o a s t h e \ n u m b e r o f m i x i n g s t e p s " ) . I n o u r e x p e r i m e n t s
w e o n l y u s e d m a t r i c e s o f t h e r s t f o r m , a n d w e n t t h r o u g h t h e v a l u e s o f i i n o r d e r s o a s t o
m a k e s u r e t h a t w e h i t t h e m a l l . O u r e x p e r i m e n t s i n d i c a t e t h a t u s i n g 2 n s u c h m a t r i c e s i s
s u c i e n t .
A n o t h e r p o s s i b l e t y p e o f e l e m e n t a r y m a t r i c e s a r e u p p e r - a n d l o w e r - t r i a n g u l a r m a t r i c e s w i t h
1 o n t h e m a i n d i a g o n a l . W e d i d v e r y f e w e x p e r i m e n t s w i t h t h e s e m a t r i c e s . I n t h e s e e x -
p e r i m e n t s w e c h o s e t h e n o n - z e r o e n t r i e s i n L a n d U ( w h i c h a r e l o w e r - a n d u p p e r - d i a g o n a l
r e s p e c t i v e l y ) f r o m f ? 1 ; 0 ; 1 g . W e f o u n d t h a t w e n e e d t o m u l t i p l y a t l e a s t 4 L U p a i r s t o
p r e v e n t L L L f r o m r e c o v e r i n g t h e o r i g i n a l b a s i s .
C o m p a r i n g t h e t w o m e t h o d s , w e f o u n d t h a t f o r t h e s a m e \ l e v e l o f s e c u r i t y " , t h e s e c o n d m e t h o d
r e q u i r e d a b a s i s B w i t h l a r g e r e n t r i e s . T h u s w e u s e d t h e r s t m e t h o d i n t h e m o s t o f o u r e x p e r i m e n t s .
O n e w a y t o k e e p t h e e n t r i e s o f t h e p u b l i c b a s i s s m a l l ( u s i n g e i t h e r o f t h e d i s t r i b u t i o n s a b o v e ) i s t o
L L L - r e d u c e t h e m i x e d b a s i s . T h i s d o e s n o t a e c t t h e s e c u r i t y o f t h e t r a p d o o r f u n c t i o n ( s i n c e a n
a t t a c k e r c a n d o t h e s a m e t h i n g ) . H o w e v e r , w h e n u s e d i n t h e e n c r y p t i o n s c h e m e w h i c h w e s u g g e s t
i n S e c t i o n 4 , t h e r e m a y b e s o m e a d v a n t a g e i n k e e p i n g t h e e n t r i e s i n B \ n o t t o o s m a l l " .
3 . 4 B a s e s r e p r e s e n t a t i o n .
T o m a k e e v a l u a t i n g a n d i n v e r t i n g t h e f u n c t i o n m o r e e c i e n t , w e c h o s e t h e f o l l o w i n g r e p r e s e n t a t i o n
f o r t h e p r i v a t e a n d p u b l i c b a s e s . T h e p u b l i c b a s e s i s r e p r e s e n t e d b y t h e i n t e g e r m a t r i x B w h o s e
c o l u m n s a r e t h e b a s i s - v e c t o r s , s o t h a t e v a l u a t i n g f
B
( v ; e ) = B v + e c a n b e d o n e i n q u a d r a t i c
t i m e . T o i n v e r t f
B
e c i e n t l y , h o w e v e r , w e d o n o t s t o r e t h e p r i v a t e b a s i s R i t s e l f . I n s t e a d , w e
s t o r e t h e m a t r i x R
1
a n d t h e u n i m o d u l a r m a t r i x T = B
1
R . T h e n , t o c o m p u t e f
1
B
( c ) w e s e t
v = T d R
1
c c a n d e = c ? B v , b o t h o f w h i c h c a n b e d o n e i n q u a d r a t i c t i m e .
R e p r e s e n t i n g B ; T i s e a s y s i n c e t h e y a r e i n t e g r a l m a t r i c e s , b u t R
1
i s n o t a n i n t e g r a l m a t r i x , s o
w e n e e d t o c o n s i d e r h o w i t s h o u l d b e r e p r e s e n t e d . O n e p o s s i b i l i t y , o f c o u r s e , i s t o k e e p t h e e x a c t
v a l u e s o f a l l t h e e n t r i e s i n R
1
. A f t e r a l l , t h e e n t r i e s o f R
1
a r e a l l r a t i o n a l , a n d t h e n u m b e r o f b i t s i t
t a k e t o w r i t e t h e m d o w n i s a t m o s t p o l y n o m i a l i n t h e n u m b e r o f b i t s o f R . T h i s a p p r o a c h , h o w e v e r ,
i s r a t h e r e x p e n s i v e i n t e r m s o f r u n n i n g t i m e . A l t h o u g h t h e e n t r i e s i n R a r e s m a l l ( t y p i c a l l y , o n l y
2 - 3 b i t s ) t h e d e t e r m i n a n t o f R i s m u c h l a r g e r ( a b o u t 2 0 0 b i t s i f R i s a 1 0 0 1 0 0 m a t r i x ) w h i c h
m e a n s t h a t w e n e e d t o w o r k w i t h v e r y l a r g e n u m b e r s i n o r d e r t o p e r f o r m o p e r a t i o n s o n R
1
A
d i e r e n t a p p r o a c h i s t o o n l y k e e p a f e w b i t s o f e a c h e n t r y i n R
1
. T h i s , o f c o u r s e , m a y i n t r o d u c e s
e r r o r s . I f w e o n l y k e e p ̀ b i t s p e r e n t r y t h e n w e g e t a n e r r o r o f a t m o s t 2
̀
i n e a c h e n t r y .
C l e a r l y , t h i s h a s n o e e c t o n t h e s e c u r i t y o f t h e s y s t e m ( s i n c e i t o n l y e e c t s t h e o p e r a t i o n s
d o n e u s i n g t h e p r i v a t e b a s i s ) , b u t i t m a y i n c r e a s e t h e p r o b a b i l i t y o f i n v e r s i o n e r r o r s . S i n c e w e o n l y
p e r f o r m l i n e a r o p e r a t i o n s o n R
1
, i t i s r a t h e r s t r a i g h t f o r w a r d t o e v a l u a t e t h e e e c t o f a d d i n g s m a l l
e r r o r s t o i t s e n t r i e s . D e n o t e t h e \ e r r o r m a t r i x " b y E = (
i j
) . T h a t i s ,
i j
i s t h e d i e r e n c e b e t w e e n
t h e v a l u e w h i c h i s s t o r e d f o r ( R
1
)
i j
a n d t h e r e a l v a l u e o f t h a t e n t r y . T h e n w e h a v e
i j
< 2
̀
f o r
a l l i ; j . W h e n i n v e r t i n g t h e f u n c t i o n , w e a p p l y t h e s a m e p r o c e d u r e a s a b o v e , b u t u s e s t h e m a t r i x
R
d e f
= R
1
+ E i n s t e a d o f t h e m a t r i x R
1
i t s e l f .
R e c a l l t h a t t h e v a l u e o f t h e f u n c t i o n i s c = B v + e , w h e r e v i s a n i n t e g e r v e c t o r a n d e i s t h e
\ e r r o r v e c t o r " . T h u s t h e v e c t o r v c o m p u t e d b y t h e i n v e r s i o n r o u t i n e i s
v = T d R c c = T
( R
1
+ E ) ( B v + e )
= v + T
R
1
e + E ( B v + e )
w h e r e t h e l a s t e q u a l i t y f o l l o w s s i n c e R
1
B v i s a n i n t e g r a l v e c t o r s o w e c a n t a k e i t o u t o f t h e
r o u n d i n g o p e r a t i o n a n d t h e n w e h a v e T R
1
B v = v . T h e r e f o r e , w e i n v e r t c o r r e c t l y i f a n d o n l y i f
1 2
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 14/30
d R
1
e + E ( B v + e ) c =
0 , w h i c h m e a n s t h a t a l l t h e e n t r i e s i n R
1
e + E ( B v + e ) a r e l e s s t h a n a
1
2
i n a b s o l u t e v a l u e . T h e s i z e o f t h e e n t r i e s i n t h e v e c t o r R
1
e i s a n a l y z e d i n S e c t i o n 3 . 2 , s o h e r e w e
o n l y c o n s i d e r t h e v e c t o r E ( B v + e )
R e c a l l t h a t a l l t h e e n t r i e s i n E a r e l e s s t h a n 2
̀
i n a b s o l u t e v a l u e , a n d t h a t t h e e r r o r v e c t o r
e c o n s i s t s o n l y o f s m a l l e n t r i e s ( e . g . , f o r o u r p a r a m e t e r s , t h e e n t r i e s i n e a r e a l w a y s l e s s t h a n 1 0 ) .
T h u s t h e c o n t r i b u t i o n o f t h e v e c t o r E e c a n b e a t m o s t 1 0 2
̀
i n e a c h c o o r d i n a t e , s o w e m i g h t a s
w e l l i g n o r e i t . T o e v a l u a t e t h e e n t r i e s i n E B v , a s s u m e t h a t w e r e p r e s e n t e a c h e n t r y i n t h e m a t r i x
B u s i n g k b i t s , a n d e a c h e n t r y i n t h e v e c t o r v u s i n g m b i t s . T h e n , e a c h e n t r y i n t h e v e c t o r E B v
m u s t b e s m a l l e r t h a n n 2
k + m ̀
i n a b s o l u t e v a l u e .
F o r e x a m p l e , i f w e w o r k i n d i m e n s i o n 2 0 0 , u s e 1 6 b i t s f o r e a c h e n t r y i n B a n d 1 6 b i t s f o r e a c h
e n t r y i n v , a n d k e e p o n l y t h e 6 4 m o s t s i g n i c a n t b i t s o f e a c h e n t r y i n R
1
t h e n t h e e n t r i e s i n E B v
w i l l b e b o u n d e d b y 2 0 0 2
1 6 + 1 6 6 4
2
2 4
. T h u s , a s u c i e n t c o n d i t i o n f o r c o r r e c t i n v e r s i o n i s t h a t
e a c h e n t r y i n R
1
e i s l e s s t h a n
1
2
? 2
2 4
i n a b s o l u t e v a l u e ( a s o p p o s e d t o l e s s t h a n
1
2
w h i c h w e g e t
w h e n w e s t o r e t h e e x a c t v a l u e s f o r R
1
) . C l e a r l y , t h i s h a s a l m o s t n o e e c t o n t h e p r o b a b i l i t y o f
i n v e r s i o n e r r o r s .
3 . 5 S e c u r i t y A n a l y s i s
I n t h i s s e c t i o n w e p r o v i d e s o m e a n a l y s i s f o r t h e s e c u r i t y o f t h e s u g g e s t e d t r a p d o o r f u n c t i o n b y
c o n s i d e r i n g s e v e r a l p o s s i b l e a t t a c k s a n d t r y i n g t o a n a l y z e t h e i r w o r k - l o a d . W e s t a r t w i t h e v a l u a t i n g
t h e w o r k - l o a d o f a b r u t e - f o r c e a t t a c k .
3 . 5 . 1 B r u t e - F o r c e A t t a c k
A n o b v i o u s p r e - p r o c e s s i n g s t e p i n e v e r y a t t a c k o n t h i s c o n s t r u c t i o n i s t o r e d u c e t h e p u b l i c b a s i s
B t o g e t a b e t t e r b a s i s B w h i c h c a n t h e n b e u s e d t o i n v e r t t h e f u n c t i o n . N o t i c e t h a t t h e o n l y
f e a t u r e o f R w h i c h w e u s e d w h e n w e a n a l y z e d t h e e r r o r - p r o b a b i l i t y i s t h a t t h e r o w s o f R
1
h a v e
s m a l l E u c l i d e a n n o r m ( i n o t h e r w o r d s , R h a s a v e r y s m a l l d u a l o r t h o g o n a l i t y d e f e c t ) . I f w e c a n
n d a n o t h e r b a s i s w i t h t h i s p r o p e r t y , t h e n w e c a n u s e i t j u s t a s w e l l . H o w e v e r , n d i n g a b a s i s w i t h
a v e r y l o w d u a l o r t h o g o n a l i t y d e f e c t i s a s s u m e d t o b e a h a r d p r o b l e m .
T h u s , w e a s s u m e t h a t e v e n a f t e r t h e l a t t i c e r e d u c t i o n , t h e a t t a c k e r s t i l l h a v e a b a s i s B w i t h a
r a t h e r l a r g e d u a l o r t h o g o n a l i t y d e f e c t .
3
F o r t h e s a k e o f s i m p l i c i t y , w e a s s u m e t h a t t h e b a s i s u s e d
b y t h e a t t a c k e r i s t h e p u b l i c b a s i s B . T r y i n g t o u s e t h e b a s i s B f o r i n v e r t i n g t h e f u n c t i o n i n t h e
s a m e m a n n e r a s w e u s e t h e b a s i s R m e a n s t h a t g i v e n t h e c i p h e r t e x t c = B v + e , w e c o m p u t e
B
1
c = v + B
1
e . T h e n w e c a n d o a n e x h a u s t i v e s e a r c h f o r t h e v e c t o r d
d e f
= B
1
e . B e l o w w e
g i v e a n a p p r o x i m a t e a n a l y s i s f o r t h e s i z e o f t h e s e a r c h s p a c e t h a t t h e a t t a c k e r n e e d s t o g o t h r o u g h
b e f o r e i t n d s t h e c o r r e c t v e c t o r d
D e n o t e t h e i ' t h e n t r y i n d a n d e b y
i
a n d
i
r e s p e c t i v e l y . T h e i ' t h r o w o f B
1
b y
̂
b
i
a n d t h e
( i ; j ) ' t h e l e m e n t i n B
1
b y
i j
. U s i n g t h e s e n o t a t i o n s w e c a n w r i t e
i
=
̂
b
i
e =
P
j
i j
j
, a n d
t h e r e f o r e
E
i
] = 0 a n d V A R
i
=
X
j
2
i j
E
2
j
= ( k
̂
b
i
k )
2
w h e r e k
̂
b
i
k i s t h e E u c l i d e a n n o r m o f t h e i ' t h r o w o f B
1
T o e v a l u a t e t h e s i z e o f t h i s s e a r c h s p a c e f o r d , w e m a k e t h e s i m p l i f y i n g a s s u m p t i o n s t h a t
e a c h e n t r y
i
i n d i s G a u s s i a n , a n d t h a t t h e e n t r i e s a r e i n d e p e n d e n t . B a s e d o n t h e s e s i m p l i f y i n g
3
T h i s w i l l b e t h e c a s e , f o r e x a m p l e , i f t h e p u b l i c b a s i s B i s o b t a i n e d b y a p p l y i n g a \ g o o d l a t t i c e - r e d u c t i o n
a l g o r i t h m " t o t h e b a s i s w h i c h w a s o b t a i n e d b y m i x i n g t h e p r i v a t e b a s i s R
1 3
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 15/30
a s s u m p t i o n s , t h e s i z e o f t h e e e c t i v e s e a r c h s p a c e i s e x p o n e n t i a l i n t h e d i e r e n t i a l e n t r o p y o f t h e
G a u s s i a n r a n d o m v e c t o r d . R e c a l l t h a t t h e d i e r e n t i a l e n t r o p y o f a G a u s s i a n r a n d o m v a r i a b l e x
w i t h v a r i a n c e
2
i s h ( x ) =
1
2
l o g ( e
2
) . S i n c e w e a s s u m e t h a t t h e
i
' s a r e i n d e p e n d e n t , t h e n t h e
d i e r e n t i a l e n t r o p y o f t h e v e c t o r d e q u a l s t h e s u m o f t h e d i e r e n t i a l e n t r o p i e s o f t h e e n t r i e s , s o w e
g e t
h ( d ) =
1
2
X
i
l o g ( e
2
k
̂
b
i
k
2
) =
n
2
l o g ( e
2
) +
X
i
l o g k
̂
b
i
k
s o t h e s i z e o f t h e s e a r c h s p a c e i s 2
h ( d )
= ( e )
n = 2
n
Q
i
k
̂
b
i
k = ( e )
n = 2
n
o r t h - d e f e c t
( B ) = d e t ( B )
N o t e t h a t t h e t e r m d e t ( B ) i n t h e l a s t e x p r e s s i o n d e p e n d s o n l y o n t h e l a t t i c e a n d i s i n d e p e n d e n t o f
t h e a c t u a l b a s i s B
T y p i c a l n u m e r i c v a l u e s . I n t h e e x p e r i m e n t s w h i c h w e p e r f o r m e d ( i n d i m e n s i o n 1 0 0 w i t h = 2 )
e v a l u a t i n g t h i s l a s t e x p r e s s i o n o n t h e ( L L L - r e d u c e d ) p u b l i c b a s e s r e s u l t e d i n t y p i c a l w o r k - l o a d o f
a b o u t 1 0
7 0
2
2 3 0
3 . 5 . 2 O t h e r A t t a c k s
I n t h i s s e c t i o n w e d i s c u s s o t h e r p o s s i b l e l i n e s o f a t t a c k a g a i n s t t h e s c h e m e . O n e r a t h e r o b v i o u s
i m p r o v e m e n t o n t h e b r u t e f o r c e a t t a c k w h i c h i s d e s c r i b e d a b o v e i s t o u s e a b e t t e r a p p r o x i m a t i o n
a l g o r i t h m f o r t h e C V P . I n p a r t i c u l a r , i n s t e a d o f u s i n g B a b a i ' s \ R o u n d - o " a l g o r i t h m w e c a n u s e
t h e \ N e a r e s t - p l a n e " a l g o r i t h m w h i c h w a s a l s o d e s c r i b e d i n B a 8 6 ] . O n a h i g h - l e v e l , t h e d i e r e n c e
b e t w e e n t h e R o u n d - o a n d t h e N e a r e s t - p l a n e a l g o r i t h m s i s t h a t i n t h e N e a r e s t - p l a n e , t h e r o u n d i n g
i n t h e d i e r e n t e n t r i e s a r e d o n e a d a p t i v e l y ( r a t h e r t h a t a l l a t o n c e ) .
O n e w a y t o d e s c r i b e t h e N e a r e s t - p l a n e a l g o r i t h m ( w h i c h i s s o m e w h a t d i e r e n t t h a n t h e w a y i t i s
d e s c r i b e d i n B a 8 6 ] ) i s a s f o l l o w s : G i v e n t h e p o i n t c a n d t h e ( L L L r e d u c e d ) b a s i s B = f b
1
; ; b
n
g
( i n t h e o r d e r i n d u c e d b y t h e L L L r e d u c t i o n ) . W e c o m p u t e t h e r e p r e s e n t a t i o n o f c a s a l i n e a r
c o m b i n a t i o n o f t h e b
i
' s , c =
P
i
i
b
i
, b u t w e o n l y l o o k a t t h e l a s t c o e c i e n t
n
. W e t h e n r e p l a c e c
w i t h t h e p o i n t c = c ? d
n
c b
n
, a n d r e p l a c e b
n
w i t h a v e c t o r b
n
w h i c h i s o r t h o g o n a l t o a l l t h e o t h e r
b a s i s v e c t o r s . D e n o t e t h e n e w b a s i s b y B = f b
n
; b
1
; ; b
n 1
. W e t h e n a p p l y t h e s a m e p r o c e s s t o
c a n d B ( t h i s t i m e l o o k i n g a t t h e c o e c i e n t o f b
n 1
) . W e r e p e a t t h i s u n t i l w e e l i m i n a t e a l l t h e
v e c t o r s f r o m t h e o r i g i n a l b a s i s B . I t i s c l e a r t h a t i f a t e a c h s t e p w e g o t t h e r i g h t c o e c i e n t t h e n
t h e v e c t o r w h i c h i s l e f t a t t h e e n d i s j u s t t h e e r r o r v e c t o r e
A s w a s p o i n t e d t o u s b y D o n C o p p e r s m i t h , t h i s a t t a c k c a n b e i m p r o v e d i n p r a c t i c e i n s e v e r a l
d i e r e n t w a y s :
I n s t e a d o f p i c k i n g t h e v e c t o r s b y t h e o r d e r w h i c h w a s i n d u c e d b y L L L , w e c a n p i c k t h e m
b y t h e s i z e o f t h e E u c l i d e a n n o r m i n t h e c o r r e s p o n d i n g r o w s o f B
1
. A s w e s h o w e d i n t h e
a n a l y s i s o f t h e b r u t e - f o r c e a t t a c k , t h i s c h o i c e m a x i m i z e s t h e p r o b a b i l i t y t h a t t h e c o e c i e n t s
o b t a i n e d b y r o u n d i n g a r e r e a l l y t h e r i g h t c o e c i e n t s .
W e c a n a p p l y a l a t t i c e - r e d u c t i o n p r o c e d u r e t o t h e r e m a i n i n g b a s i s - v e c t o r s a f t e r e a c h i t e r a t i o n
( o r o n c e e v e r y f e w i t e r a t i o n s ) . T h i s i m p r o v e m e n t i s p a r t i c u l a r l y u s e f u l s i n c e t h e p e r f o r m a n c e
o f t h e l a t t i c e - r e d u c t i o n a l g o r i t h m i m p r o v e s r a p i d l y a s t h e d i m e n s i o n d e c r e a s e s . A l s o , w e
c a n r o u n d m o r e t h a n o n e c o e c i e n t a t a t i m e ( i f t h e r e a r e s e v e r a l v e c t o r s f o r w h i c h t h e
c o r r e s p o n d i n g r o w s o f B
1
h a v e s m a l l n o r m ) .
I f a l l t h e r o w s i n B
1
h a v e a l a r g e E u c l i d e a n n o r m , w e c a n a p p l y a n e x h a u s t i v e s e a r c h s i m i l a r
t o o u r b r u t e f o r c e a t t a c k t o t h e f e w e n t r i e s w h i c h h a s t h e s m a l l e s t E u c l i d e a n n o r m . T h a t i s ,
1 4
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 16/30
w e t r y t o c o n t i n u e t h e s a m e a l g o r i t h m f o r e a c h p l a u s i b l e s e t t i n g o f t h e s e e n t r i e s . S i n c e w e
o n l y a f e w e n t r i e s ( a n d w e p i c k e d t h e o n e s w i t h t h e s m a l l e s t n o r m ) , w e e x p e c t t h a t t h e s i z e
o f t h i s e x h a u s t i v e s e a r c h w i l l b e r a t h e r s m a l l .
T o d e f e a t t h i s a t t a c k , w e m u s t m a k e t h e d i m e n s i o n o f t h e o r i g i n a l l a t t i c e l a r g e e n o u g h s o t h a t a l l
t h e r o w s i n B
1
w i l l h a v e l a r g e E u c l i d e a n n o r m . A l t h o u g h w e d i d n o t p e r f o r m e x t e n s i v e t e s t s o f
t h i s a t t a c k , t h e d a t a t h a t w e h a v e s o f a r i n d i c a t e s t h a t w h e n u s i n g L L L a s o u r l a t t i c e - r e d u c t i o n
a l g o r i t h m , w e n e e d t o d o s o m e e x h a u s t i v e s e a r c h e v e n f o r d i m e n s i o n 1 2 0 . I t s e e m s t h a t w h e n
u s i n g L L L , t h i s a t t a c k i s i n f e a s i b l e f o r d i m e n s i o n s a b o v e 1 4 0 . W e s t i l l d o n o t h a v e d a t a a b o u t t h e
p e r f o r m a n c e o f t h i s a t t a c k u s i n g b e t t e r l a t t i c e - r e d u c t i o n a l g o r i t h m s .
4 E n c r y p t i o n S c h e m e
O u r p u b l i c - k e y E n c r y p t i o n s c h e m e i s b a s e d o n o u r c a n d i d a t e o n e w a y t r a p d o o r f u n c t i o n i n t h e u s u a l
w a y . T h a t i s , t o e n c r y p t a m e s s a g e w e e m b e d i t i n s i d e t h e a r g u m e n t t o t h e f u n c t i o n , c o m p u t e t h e
f u n c t i o n a n d t h e r e s u l t i s t h e c i p h e r t e x t . T o d e c r y p t , w e u s e t h e t r a p d o o r i n f o r m a t i o n t o i n v e r t
t h e f u n c t i o n a n d e x t r a c t t h e m e s s a g e f r o m t h e a r g u m e n t .
R e c a l l f r o m S e c t i o n 3 t h a t , i n h i g h l e v e l , o u r o n e w a y t r a p d o o r f u n c t i o n t a k e s a l a t t i c e v e c t o r
a n d a d d s t o i t a s m a l l e r r o r v e c t o r . I n t h e c o n t e x t o f a n e n c r y p t i o n s c h e m e , w e s a y t h a t w e ` e n c r y p t
a l a t t i c e v e c t o r ' b y a d d i n g t o i t a s m a l l e r r o r v e c t o r , a n d t h e r e s u l t i n g v e c t o r i n R
n
i s t h e c i p h e r t e x t .
T o e n c r y p t a r b i t r a r y m e s s a g e s , w e s p e c i f y a n ( e a s i l y i n v e r t i b l e ) e n c o d i n g w h i c h m a p s m e s s a g e s i n t o
l a t t i c e v e c t o r s w h i c h a r e t h e n e n c r y p t e d a s a b o v e . D e c r y p t i n g t h e c i p h e r t e x t a m o u n t s t o s o l v i n g a
p a r t i c u l a r t y p e o f C V P i n s t a n c e s w h i c h w a s d i s c u s s e d i n S e c t i o n 3 . I n a n u t s h e l l , t h e E n c r y p t i o n
s c h e m e c a n b e d e s c r i b e d a s f o l l o w s ( u s i n g t h e a l g o r i t h m s G e n e r a t e , S a m p l e , E v a l u a t e a n d
I n v e r t f r o m t h e d e s c r i p t i o n o f o u r t r a p d o o r f u n c t i o n ) .
G e n e r a t i n g K e y s . O n s e c u r i t y p a r a m e t e r 1
n
, r u n a l g o r i t h m G e n e r a t e ( 1
n
) t o g e t t h e t r i p l e t
( B ; R ; ) . W e l e t t h e p u b l i c k e y b e ( B ; ) a n d t h e s e c r e t k e y t o b e ( R
1
; T ) w h e r e T = B
1
R
E n c r y p t i o n . O n i n p u t m e s s a g e s a n d p u b l i c k e y ( B ; ) , w e r s t a p p l y s o m e ( r a n d o m i z e d ) e n -
c o d i n g f u n c t i o n v E n c ( s ) t o e n c o d e s a s a v e c t o r v 2 Z
n
. W e n o t e t h a t t h i s e n c o d i n g i s i n
f a c t t h e o n l y c o m p o n e n t o f t h e e n c r y p t i o n s c h e m e w h i c h i s n o t d i r e c t l y i m p l i e d b y t h e t r a p d o o r
f u n c t i o n c o n s t r u c t i o n . W e d i s c u s s t h i s e n c o d i n g f u n c t i o n i n S e c t i o n 4 . 2 . ( F o r n o w , w e l e t E n c ; D e c
d e n o t e a p a i r o f p u b l i c a n d e a s y t o c o m p u t e f u n c t i o n s s u c h t h a t D e c ( E n c ( s ) ) = s )
O n c e w e c o m p u t e d v , w e p i c k a t r a n d o m a n \ e r r o r - v e c t o r " e 2 R
n
a c c o r d i n g t o t h e d i s t r i b u t i o n
i n d u c e d b y t h e S a m p l e a l g o r i t h m f r o m S e c t i o n 3 . W e t h e n a p p l y t h e f u n c t i o n f
B
t o v a n d e t o
g e t t h e c i p h e r t e x t c f
B
( v ; e ) = B v + e
T h e o p e r a t i o n s i n v o l v e d i n e n c r y p t i n g a m e s s a g e a r e t h e r e f o r e : ( 1 ) E n c o d i n g i t a s a i n t e g e r
v e c t o r ; ( 2 ) C h o o s i n g a r a n d o m v e c t o r ; a n d ( 3 ) P e r f o r m i n g o n e m a t r i x - v e c t o r m u l t i p l i c a t i o n a n d
o n e v e c t o r a d d i t i o n . T h u s w e h a v e a n O ( n
2
) a l g o r i t h m f o r e n c r y p t i o n ( w h e r e n i s t h e d i m e n s i o n
w e w o r k i n ) .
D e c r y p t i o n . T o d e c r y p t c w e u s e t h e p r i v a t e k e y t o i n v e r t t h e f u n c t i o n f
B
b y s e t t i n g v
T d R
1
c c . W e t h e n e x t r a c t t h e m e s s a g e s f r o m t h e v e c t o r v b y s e t t i n g s = D e c ( v ) . D e c r y p t i n g
a m e s s a g e a m o u n t s t o t w o m a t r i x - v e c t o r m u l t i p l i c a t i o n s a n d o n e r o u n d i n g o p e r a t i o n o n a v e c t o r .
T h u s w e a l s o h a v e a n O ( n
2
) a l g o r i t h m f o r d e c r y p t i o n .
1 5
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 17/30
D e t e c t i n g d e c r y p t i o n e r r o r s . O n e p r o p e r t y o f t h e a b o v e d e c r y p t i o n p r o c e d u r e i s t h a t a l t h o u g h
t h e r e i s a p r o b a b i l i t y o f e r r o r , i t i s s t i l l p o s s i b l e t o v e r i f y w h e n t h e m e s s a g e i s d e c r y p t e d c o r r e c t l y .
T h i s e n a b l e s t h e l e g i t i m a t e u s e r t o i d e n t i f y d e c r y p t i o n e r r o r s , s o t h a t i t c a n t a k e m e a s u r e s t o
c o r r e c t t h e m . R e c a l l t h a t w e e n c r y p t t h e l a t t i c e p o i n t p b y a d d i n g t o i t a s m a l l e r r o r v e c t o r e ,
t h u s o b t a i n i n g t h e c i p h e r t e x t c = p + e . W h e n w e d e c r y p t c a n d n d a l a t t i c e p o i n t p ( w h i c h w e
h o p e i s t h e s a m e a s p ) , w e c a n v e r i f y t h a t t h i s i s t h e r i g h t l a t t i c e p o i n t b y c h e c k i n g t h a t t h e e r r o r
e = c ? p i s i n d e e d s m a l l . F o r e x a m p l e , i f w e p i c k t h e e r r o r v e c t o r s o t h a t i t n e v e r c o n t a i n s a n y
e n t r y l a r g e r t h a n , t h e n w e c a n c h e c k t h a t
i
i n e a c h c o m p o n e n t . T h u s w e g e t
F a c t 4 . 1 : I f t h e u n d e r l y i n g l a t t i c e d o e s n o t c o n t a i n a n y n o n - z e r o v e c t o r w i t h L
1
2 t h e n
d e c r y p t i o n e r r o r s c a n a l w a y s b e d e t e c t e d .
P l a i n t e x t A w a r e n e s s . I t s e e m s t h a t o u r s c h e m e e n j o y s s o m e w e a k n o t i o n o f \ p l a i n t e x t a w a r e -
n e s s " i n t h a t t h e r e i s n o o b v i o u s w a y t o g e n e r a t e f r o m s c r a t c h a v a l i d c i p h e r t e x t ( i . e . , o n e w h i c h
t h e d e c r y p t i o n a l g o r i t h m c a n d e c r y p t ) w i t h o u t k n o w i n g t h e c o r r e s p o n d i n g l a t t i c e p o i n t . S t i l l t h i s
p l a i n t e x t a w a r e n e s s i s l i m i t e d , s i n c e a f t e r s e e i n g o n e v a l i d c i p h e r t e x t c , i t i s p o s s i b l e t o g e n e r a t e
o t h e r v a l i d c i p h e r t e x t s w i t h o u t k n o w i n g t h e c o r r e s p o n d i n g l a t t i c e - p o i n t s ( s i m p l y b y a d d i n g a n y
l a t t i c e p o i n t t o c )
4 . 1 P a r t i a l I n f o r m a t i o n A t t a c k s
I n a d d i t i o n t o t h e a t t a c k s o n t h e u n d e r l y i n g t r a p d o o r f u n c t i o n w h i c h w e r e o u t l i n e d i n S e c t i o n 3 . 5 ,
t h e r e a r e t y p e s o f a t t a c k s w h i c h o n l y m a k e s e n s e i n t h e c o n t e x t o f e n c r y p t i o n s c h e m e . N a m e l y ,
r a t h e r t h a n t r y i n g t o r e c o v e r t h e o r i g i n a l m e s s a g e i t s e l f , t h e a t t a c k e r c a n i n s t e a d t r y t o e x t r a c t
f r o m t h e c i p h e r t e x t s o m e p a r t i a l i n f o r m a t i o n a b o u t t h e m e s s a g e ( e . g . , t h e v a l u e o f a s p e c i c b i t i n
i t ) . O n w a y i n w h i c h s u c h p a r t i a l i n f o r m a t i o n a t t a c k s c a n b e m o u n t e d a g a i n s t t h i s s c h e m e i s a s
f o l l o w s :
R e c a l l t h a t t h e c i p h e r t e x t i s c o m p u t e d a s c = B v + e a n d t h e r e f o r e B
1
c = v + d , w h e r e d i s
d e n e d d
d e f
= B
1
e . T h u s , t h e i ' t h e n t r y o f ( B
1
c ) i s e q u a l t o
i
+
i
(
i
;
i
a r e t h e i ' t h e n t r i e s i n
v ; d r e s p e c t i v e l y ) . W e s a w i n S e c t i o n 3 . 2 t h a t i f t h e E u c l i d e a n n o r m o f t h e r o w
̂
b
i
i n B
1
i s s m a l l ,
t h e n t h e v a r i a n c e o f
i
w i l l a l s o b e s m a l l ( n o t i c e t h a t t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f B m a y s t i l l
b e l a r g e b e c a u s e o f o t h e r r o w s i n B
1
t h a t h a v e m u c h l a r g e r E u c l i d e a n n o r m ) . I n p a r t i c u l a r , i f
k
̂
b
i
k < 1 t h e n t h e r e i s a r e a s o n a b l e p r o b a b i l i t y t h a t
i
< 1 = 2 , i n w h i c h c a s e
i
i s j u s t t h e i ' t h
e n t r y o f t h e r o u n d e d v e c t o r B
1
c
T h u s , a n a t t a c k e r c o u l d j u s t f o c u s o n t h e r o w s o f B
1
w h i c h h a v e l o w E u c l i d e a n n o r m , a n d t r y
t o c o m p u t e t h e c o r r e s p o n d i n g e n t r i e s i n v . K n o w i n g s o m e o f t h e e n t r i e s i n v m a y - i n t u r n - g i v e
s o m e p a r t i a l i n f o r m a t i o n a b o u t t h e m e s s a g e s . M o r e g e n e r a l l y , t h e a d v e r s a r y m a y v i e w t h e i ' t h
e n t r y o f B
1
c a s a n e s t i m a t e f o r
i
( w h i c h i s p r o b a b l y a c c u r a t e u p t o k
̂
b
i
k ) , a n d u s e t h i s p a r t i a l
k n o w l e d g e a b o u t t h e e n t r i e s i n v t o o b t a i n s o m e p a r t i a l k n o w l e d g e a b o u t s
S o m e w h a t s u r p r i s i n g l y , f o r t h e p u r p o s e o f t h i s a t t a c k - r e d u c i n g t h e b a s i s B d o e s n o t s e e m
t o h e l p ( o f c o u r s e , a s l o n g a s t h e r e s u l t i n g b a s i s i s n o t \ r e d u c e d e n o u g h " t o b r e a k t h e u n d e r l y i n g
t r a p d o o r f u n c t i o n ) . T o s e e w h y , c o n s i d e r t h e u n i m o d u l a r t r a n s f o r m a t i o n T b e t w e e n t h e o r i g i n a l
b a s i s B a n d t h e r e d u c e d b a s i s B ( T = ( B )
1
B ) . S i n c e c i s c o m p u t e d u s i n g t h e o r i g i n a l m a t r i x
B , t h e n w h e n t r y i n g t o e x t r a c t p a r t i a l i n f o r m a t i o n u s i n g B w e c o m p u t e
v = ( B )
1
c = ( B )
1
( B v + e ) = ( B )
1
B v + ( B )
1
e = T v + ( B )
1
e
I f ( B )
1
h a s r o w s w i t h s m a l l E u c l i d e a n n o r m , t h e n t h e a t t a c k e r m a y b e a b l e t o l e a r n t h e c o r r e -
s p o n d i n g e n t r i e s i n T v , b u t t h i s s t i l l d o e s n o t s e e m t o y i e l d a n e s t i m a t e a b o u t a n y e n t r y i n v I t
1 6
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 18/30
f o l l o w s t h a t i n t h i s e n c r y p t i o n s c h e m e , i t m a y b e u s e f u l t o p u b l i s h p u b l i c b a s i s w h i c h i s n o t L L L
r e d u c e d .
I n a n y c a s e , f o i l i n g t h e p a r t i a l i n f o r m a t i o n a t t a c k s r e q u i r e s a c a r e f u l d e s i g n o f t h e e n c o d i n g
s c h e m e v E n c ( s ) , s o t h a t p a r t i a l i n f o r m a t i o n t h a t c a n b e r e v e a l e d a b o u t v w i l l n o t y i e l d p a r t i a l
i n f o r m a t i o n a b o u t s . T h i s i s d i s c u s s e d n e x t .
4 . 2 E n c o d i n g m e s s a g e s a s v e c t o r s i n Z
n
I n t h i s s e c t i o n w e d i s c u s s w a y s t o e n c o d e m e s s a g e s a s v e c t o r s i n Z
n
. A s w e m e n t i o n e d a b o v e , w e
w o u l d l i k e t o h a v e a n e n c o d i n g s c h e m e s u c h t h a t k n o w i n g a f e w e n t r i e s i n v e x a c t l y a n d k n o w i n g
s o m e r o u g h e s t i m a t e o n a l l t h e o t h e r e n t r i e s s t i l l y i e l d s \ a l m o s t n o i n f o r m a t i o n " a b o u t s
I n c h o o s i n g a n e n c o d i n g f u n c t i o n , t h e r e a r e o t h e r p a r a m e t e r s ( b e s i d e s s e c u r i t y ) w h i c h n e e d t o
b e c o n s i d e r e d . P e r h a p s t h e m o s t i m p o r t a n t o f t h e m i s t o o b t a i n h i g h b a n d w i d t h : S i n c e f o r e v e r y
e n c r y p t i o n o p e r a t i o n w e e n d u p s e n d i n g t h e v e c t o r c = B v + e , w e w o u l d l i k e t o u s e a s m u c h o f
t h i s b a n d w i d t h a s p o s s i b l e f o r m e s s a g e b i t s .
T h e T r a p d o o r F u n c t i o n P a r a d i g m : U s i n g h a r d b i t s . T h e r s t a p p r o a c h i s a g e n e r i c o n e .
S i n c e w e h a v e a c a n d i d a t e f o r a t r a p d o o r o n e - w a y f u n c t i o n , w e m a y u s e h a r d - c o r e b i t s o f t h i s
f u n c t i o n a s t h e m e s s a g e b i t s . I n p a r t i c u l a r , w e c a n u s e t h e g e n e r a l c o n s t r u c t i o n o f G o l d r e i c h - L e v i n ,
G L 8 4 ] ) w h i c h s h o w s h o w a n d w h e r e t o h i d e h a r d c o r e b i t s i n a p r e - i m a g e o f a n y o n e - w a y f u n c t i o n .
( T h i s c o n s t r u c t i o n e n a b l e s h i d i n g l o g n b i t s i n o n e f u n c t i o n e v a l u a t i o n . )
T h i s a p p r o a c h h a s t h e a d v a n t a g e o f b e i n g a b l e t o p r o v e t h a t i t i s i m p o s s i b l e t o e v e n d i s t i n g u i s h i n
p o l y n o m i a l t i m e b e t w e e n a n y t w o m e s s a g e s , u n d e r t h e a s s u m p t i o n t h a t w e s t a r t e d w i t h a t r a p d o o r
f u n c t i o n . T h e m a j o r d r a w b a c k i s i n t e r m s b a n d w i d t h , s i n c e w e c a n o n l y s e n d l o g n b i t s a t a t i m e
f o r o n e f u n c t i o n e v a l u a t i o n . M o r e o v e r , s i n c e t h i s a p p r o a c h i s g e n e r i c , i t d o e s n ' t p r o v i d e u s w i t h
a n y i n s i g h t w h i c h w e m a y e x p l o i t t o i n c r e a s e t h e b a n d w i d t h .
U s i n g t h e l o w - o r d e r b i t s i n v . A n o t h e r a p p r o a c h i s t o e m b e d t h e b i t s o f s d i r e c t l y i n t h e
v e c t o r v . S i n c e a n a t t a c k e r c a n g e t a n e s t i m a t e f o r t h e e n t r i e s i n v , t h e n i t i s c l e a r t h a t w e n e e d
t o e m b e d s i n t h e l e a s t s i g n i c a n t b i t s o f t h e s e e n t r i e s . A l s o , t h e f a c t t h a t t h e a t t a c k e r m a y b e
a b l e t o l e a r n e x a c t l y s o m e o f t h e e n t r i e s i n v i m p l i e s t h a t w e s h o u l d n o t p u t a n y b i t s o f s i n t h o s e
e n t r i e s . N o t e t h a t w e k n o w i n a d v a n c e w h i c h a r e t h e \ w e a k e n t r i e s " , s i n c e t h e s e c o r r e s p o n d t o t h e
r o w s i n B
1
w i t h s m a l l E u c l i d e a n n o r m .
W e s t a r t b y e x a m i n i n g t h e s i m p l e c a s e i n w h i c h w e o n l y u s e t h e l e a s t - s i g n i c a n t - b i t o f e a c h
e n t r y ( e x c e p t f o r t h e \ w e a k e n t r i e s " ) . a n d p i c k a l l t h e o t h e r b i t s a t r a n d o m . T h e n , g i v e n a n
e s t i m a t e ~
i
=
i
+
i
f o r t h e e n t r y
i
, t h e a t t a c k e r s h o u l d d e c i d e w h e t h e r t h e n u m b e r i n t h a t e n t r y
w a s e v e n o r o d d ( t h a t i s , w h e t h e r t h e m e s s a g e b i t i s a 0 o r 1 ) .
I f w e a s s u m e t h a t e a c h e n t r y i n ~
i
c a n b e a p p r o x i m a t e d b y a G a u s s i a n r a n d o m v a r i a b l e w i t h
m e a n
i
a n d v a r i a n c e
2
k
̂
b
i
k
2
( w h i c h i s r e a s o n a b l e s i n c e ~
i
i s a s u m o f n i n d e p e n d e n t r a n d o m
v a r i a b l e w h i c h a r e a l l \ m o r e o r l e s s t h e s a m e " , t h e n g i v e n t h e e x p e r i m e n t a l v a l u e ~
i
, t h e s t a t i s t i c a l
a d v a n t a g e P r
i
i s e v e n ~
i
? P r
i
i s o d d ~
i
i s e x p o n e n t i a l l y s m a l l i n k
̂
b
i
k . T h u s , i f t h e
E u c l i d e a n n o r m o f
̂
b
i
i s l a r g e e n o u g h , t h e n t h e a t t a c k e r , w h o k n o w s ~
i
, g e t s o n l y a s m a l l s t a t i s t i c a l
a d v a n t a g e i n g u e s s i n g t h e c o r r e s p o n d i n g b i t o f s . I f w e h a v e a r o w o f B
1
w i t h v e r y h i g h E u c l i d e a n
n o r m , t h e n w e m a y b e a b l e t o u s e t h e c o r r e s p o n d i n g e n t r y o f v f o r ̀ m e s s a g e - b i t s . I t c a n b e
s h o w n t h a t t h e s t a t i s t i c a l a d v a n t a g e i n g u e s s i n g a n y o f t h e s e b i t s i s a t m o s t e x p o n e n t i a l l y s m a l l i n
k
̂
b
i
k = 2
̀
. I f t h e E u c l i d e a n n o r m o f e a c h i n d i v i d u a l r o w i n B
1
i s t o o s m a l l , w e c a n r e p r e s e n t e a c h
1 7
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 19/30
b i t o f s u s i n g s e v e r a l e n t r i e s b y m a k i n g t h a t b i t t h e X O R o f t h e l e a s t s i g n i c a n t b i t i n a l l t h o s e
e n t r i e s .
R e d u c i n g m o d 2 N o t i c e t h a t u s i n g o n l y t h e l e a s t s i g n i c a n t b i t s f o r t h e b i t s o f s i s r e a l l y a
l i n e a r o p e r a t i o n , s i n c e w e c a n w r i t e v = s + 2 r , w h e r e s i s t h e f 0 ; 1 g v e c t o r w i t h t h e m e s s a g e b i t s
a n d r i s a r a n d o m i n t e g e r v e c t o r . T h e r e f o r e , w h e n u s i n g t h i s e n c o d i n g w e s h o u l d c o n s i d e r a t t a c k i n
w h i c h a l l t h e m a t r i c e s i n v o l v e d a r e r e d u c e d m o d u l o 2 , a n d t h e a t t a c k e r t r i e s t o c o m p u t e t h e v e c t o r
v m o d 2 .
N a m e l y , w e h a v e c = B v + e = B s + 2 B r + e , s o w h e n r e d u c e t h e l a s t e q u a t i o n m o d 2 w e g e t
c = B s + e ( m o d 2 ) . W e c a n n o w c o m p u t e t h e i n v e r s e o f B m o d 2 o v e r Z
2
. I f s u c h a n i n v e r s e
e x i s t s t h e n d e n o t e i t b y B
1
2
. I n t h i s c a s e w e g e t B
1
2
c = s + B
1
2
e ( m o d 2 ) . N o t i c e , h o w e v e r ,
t h a t e m o d 2 i s a r a n d o m b i n a r y v e c t o r w h i c h i s 1 w i t h p r o b a b i l i t y
2
, a n d s o - f o r e a c h e n t r y
i
o f
d = B
1
2
e m o d 2 - t h e s t a t i s t i c a l d i e r e n c e P r
i
= 0 ? P r
i
= 1 i s e x p o n e n t i a l l y s m a l l w i t h n
5 S i g n a t u r e s c h e m e
I n t h i s s e c t i o n w e d e s c r i b e a s l i g h t m o d i c a t i o n o f o u r t r a p d o o r f u n c t i o n w h i c h i s m o r e s u i t a b l e f o r
a s i g n a t u r e s c h e m e , a n d p r o v i d e a n i n i t i a l a s s e s s m e n t o f i t s p r o p e r t i e s . I n t h i s s i g n a t u r e s c h e m e ,
j u s t l i k e i n t h e e n c r y p t i o n s c h e m e , t h e u s e r u s e s i t s p r i v a t e b a s i s B t o n d l a t t i c e p o i n t s w h i c h a r e
c l o s e t o s o m e g i v e n v e c t o r s i n R
n
. I n t h i s s c h e m e , w e \ s i g n a v e c t o r i n R
n
" b y p r o v i d i n g a l a t t i c e
p o i n t w h i c h i s \ r a t h e r c l o s e " t o t h a t v e c t o r . T h e p u b l i c k e y f o r t h e s i g n a t u r e s c h e m e c o n t a i n s a
p u b l i c b a s i s B f o r t h e l a t t i c e , a n d a t h r e s h o l d > 0 w h i c h d e n e s h o w c l o s e s h o u l d t h e l a t t i c e
p o i n t b e t o t h e g i v e n v e c t o r . T h e c h o i c e o f i s d i s c u s s e d i n S e c t i o n 5 . 3 . 1 .
5 . 1 O p e r a t i o n
T h e k e y - g e n e r a t i o n p r o c e d u r e a m o u n t s t o t h e g e n e r a t i o n o f t w o b a s e s ( a s i n t h e G e n e r a t e p r o -
c e d u r e o f t h e t r a p d o o r f u n c t i o n ) a n d t o t h e d e t e r m i n a t i o n o f t h e t h r e s h o l d
S i g n a t u r e . T o s i g n a m e s s a g e s , w e r s t n e e d t o i n t e r p r e t s a s a v e c t o r i n R
n
. F o r t h i s w e u s e
s o m e e n c o d i n g f u n c t i o n t o g e t u E n c ( s ) ( s e e S e c t i o n 5 . 3 . 2 ) . T h e n , u s i n g t h e p r i v a t e k e y ( R
1
; T )
w e a p p l y t h e e x a c t s a m e p r o c e d u r e a s f o r d e c r y p t i n g a m e s s a g e , n a m e l y c o m p u t e v T d R
1
u c
T h e v e c t o r v i s t h e s i g n a t u r e o n s . T h e s i g n i n g t i m e i s O ( n
2
) j u s t l i k e f o r e n c r y p t i o n , p r o v i d e d
t h a t t h e e n c o d i n g t i m e i s s o b o u n d e d .
N o t i c e t h a t v i s a n i n t e g r a l v e c t o r , w h i c h w e v i e w a s a r e p r e s e n t a t i o n o f t h e l a t t i c e p o i n t
p = B v . T h e r e a s o n t h a t w e e x p e c t p t o b e \ r a t h e r c l o s e " t o u i s t h a t t h e r e p r e s e n t a t i o n o f u
a s a l i n e a r c o m b i n a t i o n o f t h e c o l u m n s o f R i s R
1
u , w h i l e t h e r e p r e s e n t a t i o n o f p a s a l i n e a r
c o m b i n a t i o n o f t h e c o l u m n s o f R i s d R
1
u c , a n d t h e s e t w o r e p r e s e n t a t i o n s d i e r b y a t m o s t a h a l f
i n e a c h c o o r d i n a t e . W e d i s c u s s t h i s f u r t h e r i n S e c t i o n 5 . 3 . 1 .
V e r i c a t i o n . T o v e r i f y a s i g n a t u r e v o n m e s s a g e s w . r . t . t h e p u b l i c k e y ( B ; ) , w e c o m p u t e t h e
v e c t o r s u E n c ( s ) ; p B v , a n d c h e c k t h a t t h e E u c l i d e a n d i s t a n c e b e t w e e n t h e m i s l e s s t h a n
. N a m e l y , t h e v e r i c a t i o n p r o c e s s c o n s i s t s o f c h e c k i n g t h e i n e q u a l i t y k E n c ( s ) ? B v k < . T h i s
p r o c e s s t o o t a k e s t i m e O ( n
2
) , p r o v i d e d a g a i n t h a t t h e e n c o d i n g t i m e i s s o b o u n d e d .
1 8
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 20/30
5 . 2 O n t h e a n a l o g n a t u r e o f t h e s c h e m e
W e n o t e t h a t b e c a u s e o f i t s \ a n a l o g n a t u r e " , o u r s c h e m e h a s s o m e p r o p e r t i e s w h i c h a r e v e r y d i e r e n t
t h a n t h o s e o f o t h e r k n o w n s i g n a t u r e s c h e m e s . I n p a r t i c u l a r , n o t i c e t h a t i f u ; u a r e t w o v e c t o r s i n
R
n
w h i c h a r e v e r y c l o s e t o e a c h o t h e r ( m u c h c l o s e r t h a n t h e t h r e s h o l d ) , t h e n i t i s v e r y l i k e l y
t h a t a s i g n a t u r e o n u w i l l a l s o b e a s i g n a t u r e o n u . T h i s \ m e t r i c p r e s e r v i n g " p r o p e r t y s u g g e s t s
d i e r e n t s i g n i n g p r o c e d u r e s f o r d i g i t a l v e r s u s a n a l o g d a t a .
I f w e a r e s i g n i n g d i g i t a l d a t a t h e n w e s h o u l d m a k e s u r e t h a t a s i g n a t u r e o n o n e m e s s a g e c o u l d
n o t b e u s e d t o o b t a i n a s i g n a t u r e o n a n o t h e r m e s s a g e . T h i s c a n b e a c h i e v e d b y t h e u s e o f a \ g o o d
h a s h f u n c t i o n " t o h a s h t h e m e s s a g e b e f o r e w e i n t e r p r e t i t a s a v e c t o r i n R
n
( o r , a l t e r n a t i v e l y , a s
t h e m e a n s t o m a p m e s s a g e s t o s u c h v e c t o r s ) . I f i n d e e d t h e h a s h f u n c t i o n i s g o o d e n o u g h , i t w i l l
e n s u r e t h a t e v e n i f t w o m e s s a g e s t o b e s i g n e d a r e c l o s e t o e a c h o t h e r a t t h e o u t s e t , t h e y w i l l b e
f a r a p a r t a f t e r b e i n g h a s h e d a n d t h u s b e m a p p e d t o d i e r e n t s i g n a t u r e s . N o t e t h a t t h e h a s h i n g
a n d s i g n i n g p a r a d i g m i s w h a t i s n e c e s s a r y a n d i n f a c t d o n e i n p r a c t i c e w h e n u s i n g t h e R S A a n d
D S A s i g n a t u r e s c h e m e s . T h e r e a s o n i s t o e n s u r e t h e d i c u l t y o f f o r g i n g t h e s i g n a t u r e o f m e s s a g e s
r e l a t e d t o t h o s e m e s s a g e s s i g n e d p r e v i o u s l y b y a l e g i t i m a t e u s e r { a f o r g e r y w h i c h i s o t h e r w i s e e a s y
i n b o t h t h e c a s e o f \ b a r e " R S A a n d D S A .
O n t h e o t h e r h a n d , t h e \ m e t r i c p r e s e r v i n g " p r o p e r t y m a y u s e f u l w h e n s i g n i n g a n a l o g d a t a
s u c h a s m u s i c , s p e e c h , i m a g e s e t c . I n e m p l o y i n g a t r a d i t i o n a l d i g i t a l s i g n a t u r e s c h e m e t o s u c h d a t a ,
t h e n a t u r a l p r o c e d u r e i s t o r s t s a m p l e t h e d a t a s o a s t o o b t a i n d i g i t a l r e p r e s e n t a t i o n o f i t , a n d
n e x t t o a p p l y t h e s i g n a t u r e s c h e m e t o t h i s d i g i t a l r e p r e s e n t a t i o n . T h i s p r o c e d u r e h a s t h e d i s a d -
v a n t a g e o f p o t e n t i a l l y m a p p i n g c l o s e a n a l o g s i g n a l s t o d i e r e n t ( y e t c l o s e ) d i g i t a l r e p r e s e n t a t i o n s .
I n p a r t i c u l a r , m i n o r c h a n g e s i n t h e e i t h e r t h e s a m p l i n g p r o c e s s o r i n t h e a n a l o g s i g n a l i t s e l f , m a y
r e s u l t i n a d i e r e n t d i g i t a l r e p r e s e n t a t i o n . C o n s e q u e n t l y , t h e s i g n a t u r e m a y n o t b e v a l i d w h e n t h e
a n a l o g s i g n a l c h a n g e s a l i t t l e . T h u s , a m e t h o d s u c h a s o u r s , w h e r e t h e a n a l o g s i g n a l m a y b e s i g n e d
d i r e c t l y h a v e a n a d v a n t a g e o f s u p p l y i n g s i g n a t u r e s w h i c h r e m a i n v a l i d ( o r a t l e a s t m e a n i n g f u l )
u n d e r s m a l l c h a n g e s o f t h e a n a l o g s i g n a l .
N o t e t h a t t h e a b o v e d i s c u s s i o n d e p e n d s o n t h e e n c o d i n g o f d a t a a s v e c t o r s i n R
n
. E a c h o f t h e
t w o s e t t i n g s c a l l s f o r a d i e r e n t t y p e o f e n c o d i n g . I n t h e \ d i g i t a l " s e t t i n g w e w i s h t h e e n c o d i n g
t o s c r a m b l e m e s s a g e s s o t o d e s t r o y a n y s t r u c t u r e ( e . g . , r e l a t e d m e s s a g e s s h o u l d y i e l d u n r e l a t e d
e n c o d i n g ) . I n t h e \ a n a l o g " s e t t i n g w e w a n t t h e e n c o d i n g t o p r e s e r v e t h e m e t r i c o f t h e d a t a s p a c e
( e . g . , c l o s e a n a l o g s i g n a l s s h o u l d y i e l d c l o s e e n c o d i n g i n R
n
) . F o r f u r t h e r d e t a i l s s e e S e c t i o n 5 . 3 . 2 .
5 . 3 V a r i o u s c h o i c e s
I n a d d i t i o n t o t h e c h o i c e s m a d e f o r t h e p r o c e s s o f s e l e c t i n g t h e p r i v a t e a n d p u b l i c b a s e s ( d i s c u s s e d i n
S e c t i o n 3 ) , t h e r e a r e t w o i m p o r t a n t c h o i c e s t o b e m a d e : F i r s t l y , w e n e e d t o d e t e r m i n e t h e t h r e s h o l d
p a r a m e t e r , a n d s e c o n d l y w e n e e d t o d e t e r m i n e t h e m e t h o d o f e n c o d i n g d a t a a s v e c t o r s i n R
n
5 . 3 . 1 C h o o s i n g t h e t h r e s h o l d
I n t h i s s e c t i o n w e s h o w h o w t h e t h r e s h o l d s h o u l d b e c h o s e n s o t h a t t h e s i g n a t u r e a l g o r i t h m i s
s u c c e s s f u l w i t h h i g h p r o b a b i l i t y , a n d i n S e c t i o n 5 . 4 w e e x a m i n e t h e e e c t s o f t h e c h o i s e o f t h e
s e c u r i t y o f t h e s i g n a t u r e s c h e m e .
I n t h e a n a l y s i s b e l o w w e u s e t h e f o l l o w i n g n o t a t i o n s . L e t A b e a b a s i s f o r s o m e l a t t i c e i n
R
n
. W e d e n o t e b y R o u n d
A
( u ) t h e l a t t i c e p o i n t w h i c h i s g e n e r a t e d f r o m u b y c o n s i d e r i n g t h e
r e p r e s e n t a t i o n o f u a s a l i n e a r c o m b i n a t i o n o f t h e v e c t o r s i n B a n d r o u n d i n g t h e c o e c i e n t s t o t h e
n e a r e s t i n t e g e r s . T h a t i s , R o u n d
A
( u )
d e f
= A d A
1
u c
1 9
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 21/30
C o n s i d e r n o w a r a n d o m v e c t o r u 2 R
n
a n d w e t r y t o e v a l u a t e t h e d i s t a n c e b e t w e e n u a n d
R o u n d
R
( u ) , w h e r e R i s t h e p r i v a t e b a s i s . R e c a l l t h a t c o n c e p t u a l l y , t h e l a t t i c e p o i n t R o u n d
R
( u )
i s t h e s i g n a t u r e o n t h e v e c t o r u ( t h o u g h t h e a c t u a l s i g n a t u r e i s t h e r e p r e s e n t a t i o n o f t h a t p o i n t
w . r . t . t h e p u b l i c b a s i s B ) . D e n e t h e \ e r r o r v e c t o r "
e
d e f
= R
1
u ? R
1
u
t h a t i s , t h e i ' t h e n t r y
i
i n e i s t h e d i e r e n c e b e t w e e n t h e i ' t h c o e c i e n t i n t h e r e p r e s e n t a t i o n o f u
a s a l i n e a r c o m b i n a t i o n o f t h e v e c t o r s i n R a n d t h e n e a r e s t i n t e g e r . T h e n t h e d i s t a n c e b e t w e e n u
a n d R o u n d
R
( u ) i s j u s t t h e E u c l i d e a n n o r m o f t h e v e c t o r R e . C l e a r l y , w e h a v e
i
1 = 2 f o r a l l i ,
s i n c e t h i s i s j u s t t h e d i e r e n c e b e t w e e n s o m e r e a l n u m b e r a n d t h e n e a r e s t i n t e g e r . T h i s i m m e d i a t e l y
g i v e s u s
C l a i m 5 . 1 : L e t R b e t h e p r i v a t e b a s i s u s e d f o r s i g n i n g a n d d e n o t e t h e m a x i m u m L
1
n o r m o f a n y
r o w i n R b y . I f w e s e t =
p
n = 2 t h e n t h e s i g n i n g a l g o r i t h m a l w a y s s u c c e e d s ( w i t h p r o b a b i l i t y
1 )
P r o o f : D e n o t e d
d e f
= R e . W e c a n w r i t e t h e i ' t h e n t r y i n d a s
i
=
P
j
i j
j
w h e r e
i j
i s t h e i ; j ' t h
e n t r y i n R a n d
j
i s t h e j ' t h e n t r y i n e . T h e r e f o r e
i
P
j
i j
j
1
2
P
j
i j
1
2
a n d s o
k d k =
v
u
u
t
n
X
i = 1
2
i
v
u
u
t
n
X
i = 1
1
2
2
=
p
n = 2
A s f o r t h e t r a p d o o r f u n c t i o n , w e m a y c h o o s e t o s e t a l o w e r v a l u e f o r t o g e t a b e t t e r s e c u r i t y .
W e n o w d e s c r i b e a n \ a p p r o x i m a t e a n a l y s i s " w h i c h e n a b l e s u s t o e s t i m a t e t h e f a i l u r e p r o b a b i l i t y
f o r l o w e r v a l u e s o f
( A s o p p o s e d t o t h e s i t u a t i o n w i t h t h e t r a p d o o r f u n c t i o n , h o w e v e r , e v e n t h e s e a p p r o x i m a t e
e s t i m a t e s a r e n o t v e r y g o o d . E x p e r i m e n t a l l y , w e f o u n d t h a t w e c a n s e t t h e v a l u e o f t o b e a b o u t
h a l f t h e v a l u e w h i c h w e g e t f r o m t h e a n a l y s i s b e l o w . )
R e c a l l t h a t t h e d i s t a n c e b e t w e e n u a n d R o u n d
R
( u ) i s t h e E u c l i d e a n n o r m o f t h e v e c t o r R e
w h e r e
i
1 = 2 f o r a l l i . M o r e o v e r , i f u i s c h o s e n u n i f o r m l y a t r a n d o m f r o m a l a r g e e n o u g h b o x
i n R
n
t h e n t h e d i s t r i b u t i o n i n d u c e d o v e r t h e v e c t o r e i s c l o s e t o t h e u n i f o r m d i s t r i b u t i o n o v e r
( ?
1
2
; +
1
2
n
T o s e e t h a t , n o t i c e t h a t i f w e c h o o s e u u n i f o r m l y f r o m t h e p a r a l l e l e p i p e d f
P
i
i
r
i
: 0
i
< 1 g
( w h e r e r
i
i s t h e i ' t h c o l u m n o f R ) t h e n t h e i n d u c e d d i s t r i b u t i o n o n e i s e x a c t l y t h e u n i f o r m
d i s t r i b u t i o n . M o r e o v e r , e v e r y l a r g e e n o u g h b o x i n R
n
c a n b e v i e w e d a s u n i o n o f m a n y d i s j o i n t
p a r a l l e l e p i p e d s l i k e t h a t , p l u s s o m e \ l e f t o v e r " v o l u m e . A s t h e v o l u m e o f t h e b o x i n c r e a s e s , t h e
f r a c t i o n o f t h i s \ l e f t o v e r " v o l u m e d e c r e a s e s . T h u s , t h e i n d u c e d d i s t r i b u t i o n o f t h e v e c t o r e g e t s
c l o s e r t o t h e u n i f o r m d i s t r i b u t i o n .
T h u s , t o e v a l u a t e t h e d i s t a n c e b e t w e e n u a n d R o u n d
R
( u ) w h e n u i s u n i f o r m i n s o m e l a r g e b o x
i n R
n
, w e n e e d t o e v a l u a t e t h e E u c l i d e a n n o r m o f t h e v e c t o r R e w h e n e i s u n i f o r m i n ( ?
1
2
; +
1
2
n
W e c a n w r i t e e a c h e n t r y i n t h i s v e c t o r a s
i
=
P
j
i j
j
w h e r e
i j
i s t h e i ; j ' t h e n t r y i n R a n d
j
i s
t h e j ' t h e n t r y i n e
D e n o t e t h e l a r g e s t e n t r y i n R b y
m a x
, t h e n e a c h o f t h e r a n d o m v a r i a b l e s
i j
j
i s d i s t r i b u t e d
i n t h e i n t e r v a l ?
m a x
2
; +
m a x
2
] a n d h a s z e r o m e a n . U s i n g H o e d i n g b o u n d w e c o n c l u d e t h a t f o r a n y
> 0
P r
i
> n < 2 e x p
?
2
2
n
2
m a x
2 0
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 22/30
w h i c h i m p l i e s t h a t
P r
k d k
2
>
2
n
3
P r
9 i s : t :
2
i
>
2
n
2
2 n e x p
?
2
2
n
2
m a x
T h e r e f o r e , t o m a k e t h e e r r o r p r o b a b i l i t y l e s s t h a n " i t i s s u c i e n t t o s e t > (
m a x
l n ( 2 n = " ) = 2 n ) ,
w h i c h m e a n s t h a t t h e t h r e s h o l d i s s e t t o
=
p
2
n
3
m a x
2
l n ( 2 n = " )
p
n ( 2 )
T y p i c a l n u m e r i c v a l u e s . T h e v a l u e o f t h e t h r e s h o l d w h i c h w e o b t a i n f r o m E q u a t i o n 2 w i t h
" = 2
3 0
a n d n = 1 4 0 i s
=
m a x
2
l n ( 2 8 0 2
3 0
)
p
1 4 0 1 5 6
m a x
I n o u r e x p e r i m e n t s w e t y p i c a l l y h a v e
m a x
= 4 , w h i c h i m p l i e s t h a t 6 2 5 . I f w e a r e w i l l i n g t o
s e t t l e f o r " = 1 0
4
t h e w e c a n m a k e 3 5 0 . A s w e s a i d a b o v e , w e f o u n d t h a t e x p e r i m e n t a l l y
w e c a n a c t u a l l y u s e t h r e s h o l d v a l u e w h i c h i s a b o u t h a l f o f w h a t w e g e t f r o m t h e s e b o u n d s . I n
p a r t i c u l a r , f o r t h e s e t t i n g a b o v e w e c a n s e t = 2 0 0 t o g e t t h e e r r o r p r o b a b i l i t y b e l o w 1 0
4
5 . 3 . 2 E n c o d i n g m e s s a g e s a s v e c t o r s i n R
n
R e c a l l t h a t i n t h e a b o v e s c h e m e , a l a t t i c e - p o i n t p i s c o n s i d e r e d a v a l i d s i g n a t u r e o n a v e c t o r v i f
t h e t w o v e c t o r s a r e \ c l o s e e n o u g h " . T h i s m e a n s t h a t t h e s a m e l a t t i c e p o i n t p i s v a l i d w i t h r e s p e c t
t o m a n y d i e r e n t v e c t o r s ( i n f a c t , a l l t h e v e c t o r s i n a s p h e r e o f r a d i u s c e n t e r e d a t p ) . T h i s f a c t
h a s t w o i m p l i c a t i o n s : O n o n e h a n d , w e c a n a l l o w m a n y \ s l i g h t l y d i e r e n t " r e p r e s e n t a t i o n s o f t h e
s a m e \ l o g i c a l d a t u m " w i t h o u t e e c t i n g t h e v a l i d i t y o f t h e s i g n a t u r e . O n t h e o v e r h a n d , v e c t o r s
w h i c h r e p r e s e n t d i e r e n t \ l o g i c a l d a t u m " m u s t b e v e r y d i e r e n t f r o m o n e a n o t h e r .
S i g n i n g a n a l o g d a t a . A s a s i m p l e e x a m p l e o f a n a n a l o g d a t a , c o n s i d e r a t t a c h i n g a d i g i t a l
s i g n a t u r e t o a F A X d o c u m e n t ( s a y , b y p r i n t i n g a b a r - c o d e c o n t a i n i n g t h e s i g n a t u r e o n t h e d o c u m e n t
i t s e l f ) . C l e a r l y , i n t h i s c a s e w e c a n n o t e x p e c t t h a t t h e s e n d e r s d i g i t a l r e p r e s e n t a t i o n o f t h e d o c u m e n t
w i l l b e i d e n t i c a l t o t h e r e p r e s e n t a t i o n o b t a i n e d b y t h e r e c e i v e r a f t e r t h e d o c u m e n t i s p r i n t e d .
H o w e v e r , s u p p o s e t h a t w e c o u l d r e p r e s e n t t h e \ c o n t e n t s " o f t h e F A X e d d o c u m e n t u s i n g s o m e s m a l l
s e t o f p a r a m e t e r s , i n s u c h a w a y t h a t
P r i n t i n g a n d r e - s c a n n i n g t h e d o c u m e n t d o e s n o t c h a n g e i t s p a r a m e t e r s v e r y m u c h ; a n d
D o c u m e n t s w h i c h c o n t a i n s d i e r e n t c o n t e n t s a r e r e p r e s e n t e d b y v e r y d i e r e n t s e t s o f p a r a m -
e t e r s .
I f w e h a v e s u c h r e p r e s e n t a t i o n , w e c o u l d u s e t h e s e s e t s o f p a r a m e t e r s t o r e p r e s e n t a d o c u m e n t a s
a v e c t o r i n R
n
. C o n s e q u e n t l y , i t w i l l b e v e r y l i k e l y t h a t a d i g i t a l s i g n a t u r e o n s o m e r e p r e s e n t a t i o n
o f t h e d o c u m e n t w i l l s t i l l b e v a l i d e v e n a f t e r t h e d o c u m e n t w a s p r i n t e d a n d r e - s c a n n e d . W e w i l l
n e e d t o a s s u m e t h a t s u c h a r e p r e s e n t a t i o n w i l l b e s u c i e n t l y r i c h i n t h e s e n s e t h a t d o c u m e n t s o f
i n t e r e s t w i l l r e s u l t s i n r e p r e s e n t a t i o n s i n a s u c i e n t l y l a r g e b o x o f R
n
. ( C l e a r l y , s i g n a t u r e s a r e
e a s y t o f o r g e i f d o c u m e n t s o f i n t e r e s t a r e a l l m a p p e d t o a s m a l l r e g i o n o f R
n
{ a n d c a r r y i n g t h e
a r g u m e n t t o a n e x t r e m e , w e d e n i t e l y d o n o t w a n t a l l d o c u m e n t s t o b e m a p p e d t o w i t h i n d i s t a n c e
o f t h e s a m e l a t t i c e p o i n t . ) F u r t h e r m o r e , i t s h o u l d b e i n f e a s i b l e t o o b t a i n a m e a n i n g f u l d o c u m e n t
w h i c h m a t c h e s a r a n d o m v e c t o r i n t h i s l a r g e b o x o f R
n
2 1
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 23/30
S i g n i n g d i g i t a l d a t a . W h e n s i g n i n g d i g i t a l d a t a , w e d o n o t h a v e t h e \ m u l t i p l e r e p r e s e n t a t i o n "
p r o b l e m a s a b o v e { t h e r e i s a u n i q u e b i n a r y s t r i n g w h i c h r e p r e s e n t s t h e l o g i c a l d a t u m . W h a t w e
n e e d i s a n e n c o d i n g o f b i n a r y s t r i n g s a s \ r a n d o m " p o i n t s i n R
n
. W e m a y a s s u m e , w i t h o u t l o s s
o f g e n e r a l i t y , t h a t t h e s t r i n g h a s l e n g t h n , s i n c e s h o r t e r a n d l o n g e r s t r i n g s c a n b e h a n d l e d u s i n g
w e l l - k n o w n m e t h o d s ( s u c h a s p a d d i n g a n d c o l l i s i o n - f r e e h a s h i n g , r e s p e c t i v e l y ) . S o w h a t w e n e e d i s
a m a p p i n g o f f 0 ; 1 g
n
t o R
n
w h i c h d o e s n o t m a p t w o d i e r e n t s t r i n g s t o o c l o s e t o o n e a n o t h e r ( i . e . ,
t o w i t h i n p r o x i m i t y ) . T h i s i s v e r y e a s y t o d o . H o w e v e r , w e w a n t t h e r a n g e o f t h i s m a p p i n g t o b e
s u c i e n t \ r a n d o m " s o t h a t n d i n g a c l o s e l a t t i c e p o i n t w i l l b e h a r d f o r t h e s e m a p p i n g - i m a g e s .
5 . 4 S e c u r i t y o f t h e S i g n a t u r e S c h e m e
T o g e t s o m e i n i t i a l i n d i c a t i o n f o r t h e s e c u r i t y o f t h i s s c h e m e , w e c o n s i d e r w h a t h a p p e n s w h e n
w e t r y t o e x e c u t e t h e s i g n i n g a l g o r i t h m u s i n g t h e p u b l i c b a s i s B . H e r e w e d o n o t e v e n h a v e a n
a p p r o x i m a t e a n a l y s i s . I n s t e a d w e c o n d u c t e d e x p e r i m e n t s t o e v a l u a t e h o w c l o s e t o t h e t h r e s h o l d
w e c a n g e t w h e n u s i n g t h e p u b l i c b a s i s f o r s i g n i n g . F o r t h e s a m e s e t t i n g a s t h e \ t y p i c a l n u m e r i c
v a l u e s " i n S e c t i o n 5 . 3 . 1 , ( n = 1 4 0 , m a x - e n t r y i n R = 4 ) , w e g o t d i s t a n c e s w h i c h w e r e a l l a b o v e 5 2 0
( w e t r i e d 5 d i e r e n t L L L - r e d u c e d b a s e s , 1 0 0 0 0 \ s i g n a t u r e s " f o r e a c h b a s i s ) . T h i s s u g g e s t s t h a t f o r
t h e s e p a r a m e t e r s , p i c k i n g t h e t h r e s h o l d a t = 2 0 0 m a y b e g o o d e n o u g h t o c o u n t e r t h i s a t t a c k , a t
l e a s t w h e n u s i n g L L L a s o u r l a t t i c e - r e d u c t i o n a l g o r i t h m .
6 E x p e r i m e n t a l R e s u l t s
W e p e r f o r m e d s e v e r a l e x p e r i m e n t s i n o r d e r t o m e a s u r e t h e e e c t o f v a r i o u s p a r a m e t e r s i n t h e b a s i s
g e n e r a t i o n p r o c e s s o n t h e s e c u r i t y o f o u r s c h e m e . S i n c e , a s w e d e s c r i b e d i n S e c t i o n 3 . 5 , t h e s e c u r i t y
o f t h e s c h e m e i s r e l a t e d t o t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e b a s e s i n v o l v e d , w e v i e w t h e r a t i o
b e t w e e n t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e p u b l i c a n d p r i v a t e b a s e s a s o u r \ m e a s u r e o f s e c u r i t y " .
T e s t i n g m e t h o d s . F o r o u r e x p e r i m e n t s w e u s e d a n i m p l e m e n t a t i o n o f t h e L L L l a t t i c e r e d u c t i o n
a l g o r i t h m d u e t o t h e L i D I A g r o u p L i 9 5 ] . I n e a c h e x p e r i m e n t , w e c h o s e a p r i v a t e a n d p u b l i c b a s e s -
p a i r a n d e v a l u a t e d t h e r a t i o b e t w e e n t h e i r d u a l - o r t h o g o n a l i t y - d e f e c t s . W e g e n e r a t e d t h e p u b l i c
b a s i s f r o m t h e p r i v a t e o n e b y m i x i n g i t ( a s d e s c r i b e d i n S e c t i o n 3 . 3 ) a n d L L L - r e d u c i n g t h e r e s u l t .
T o g a i n s o m e c o n d e n c e i n o u r r e s u l t s , w e r e p e a t e d t h i s e x p e r i m e n t s e v e r a l t i m e s f o r e a c h s e t t i n g
o f t h e p a r a m e t e r s .
F o r e a c h p r i v a t e b a s i s , w e g e n e r a t e d v e p u b l i c b a s e s a n d u s e d t h e r a t i o b e t w e e n t h e m i n i m u m
d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e s e p u b l i c b a s e s a n d t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e p r i v a t e
b a s i s a s t h e \ s e c u r i t y - l e v e l " o f t h i s p r i v a t e b a s i s .
F o r e a c h s e t t i n g o f t h e p a r a m e t e r s , w e g e n e r a t e d s e v e n p r i v a t e b a s e s w i t h t h e s e s e t t i n g a n d
c o n s i d e r e d t h e m e d i a n \ s e c u r i t y - l e v e l " o f t h e s e s e v e n b a s e s .
P a r a m e t e r s . T h e p a r a m e t e r s w h i c h w e t e s t e d a r e
1 . T h e d i m e n s i o n o f t h e l a t t i c e , d e n o t e d b y n . W e p e r f o r m e d m o s t o f t h e t e s t s i n d i m e n s i o n s
8 0 - 1 2 0 .
2 . T h e r a n g e o f i n t e g e r s ( f ? l ; ; + l g ) f r o m w h i c h w e c h o o s e t h e e n t r i e s i n t h e p r i v a t e b a s i s .
B e l o w w e r e f e r t o t h i s r a n g e a s t h e ` l - p a r a m e t e r ' o f t h e p r i v a t e b a s i s .
2 2
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 24/30
3 . H o w \ c u b e - l i k e " i s t h e p r i v a t e b a s i s . N a m e l y , w e g e n e r a t e d t h e p r i v a t e b a s i s a s R = k I +
r a n d ( l ) f o r s e v e r a l v a l u e s o f k . ( W h e r e I i s t h e i d e n t i t y m a t r i x a n d r a n d ( l ) i s a r a n d o m
m a t r i x w i t h e n t r i e s i n f ? l ; ; + l g . ) B e l o w w e r e f e r t o t h i s p a r a m e t e r a s t h e ` k - p a r a m e t e r '
o f t h e p r i v a t e b a s i s .
4 . H o w m a n y \ m i x i n g s t e p s " a r e u s e d t o g e n e r a t e t h e p u b l i c b a s i s f r o m t h e p r i v a t e o n e .
6 . 1 G e n e r a t i n g t h e P r i v a t e B a s i s
W e r s t m e a s u r e d t h e e e c t s o f t h e p a r a m e t e r s i n v o l v e d i n c h o o s i n g t h e p r i v a t e b a s i s , n a m e l y
l a t t i c e d i m e n s i o n ( n ) , r a n g e o f i n t e g e r s ( l ) a n d \ c u b e - l i k e n e s s " ( k ) . F o r e a c h s e t t i n g o f k ; l , w e
t e s t e d d i m e n s i o n s 8 0 t h r o u g h 1 2 0 ( i n i n c r e m e n t s o f 1 0 ) .
E n t r y s i z e ( l ) W e t e s t e d t h e l - p a r a m e t e r s e t t i n g s o f 1 , 4 a n d 1 0 , w o r k i n g w i t h b o t h \ r a n d o m
l a t t i c e s " ( k = 0 ) a n d \ c u b e - l i k e l a t t i c e s " ( k = l d 1 +
p
n e ) . T h e r e s u l t s o f t h e s e e x p e r i m e n t s a r e
s u m m a r i z e d i n F i g u r e 1 . I n a l l t h e s e e x p e r i m e n t s , w e a p p l i e d 2 n \ e l e m e n t a r y m i x i n g m i x i n g - s t e p s "
t o t h e p r i v a t e b a s e s a n d L L L - r e d u c e d t h e r e s u l t t o o b t a i n t h e p u b l i c b a s i s ( S e e S e c t i o n ? ? . A s c a n
b e s e e n f r o m t h e s e r e s u l t s , t h e l - p a r a m e t e r h a d n o e e c t o n t h e \ s e c u r i t y - l e v e l " o f t h e b a s e s w h i c h
w e o b t a i n e d .
\ C u b e - l i k e " p a r a m e t e r ( k ) T h e s e t t i n g s o f t h e k - p a r a m e t e r w h i c h w e t e s t e d a r e k = 0 ; k =
1
2
l d 1 +
p
n e a n d k = l d 1 +
p
n e . T h e r e a s o n t h a t w e e x p r e s s k i n \ u n i t s " o f l
p
n i s t h a t t h e
e x p e c t e d l e n g t h o f a r a n d o m v e c t o r i n f ? l + l g
n
i s O ( l
p
n ) . W e t e s t e d t h e s e s e t t i n g s w i t h l = 1
a n d l = 4 . T h e r e s u l t s a r e s u m m a r i z e d i n F i g u r e 2 . V a r y i n g t h e v a l u e o f k h a d t h e f o l l o w i n g e e c t s
I n c r e a s i n g t h e v a l u e o f k i n c r e a s e s t h e d i m e n s i o n s i n w h i c h L L L c a n r e c o v e r t h e p r i v a t e b a s i s .
F o r e x a m p l e , L L L c o u l d r e c o v e r t h e p r i v a t e b a s i s i n d i m e n s i o n 8 0 w h e n w e s e t k = l d 1 +
p
n e ,
b u t f a i l e d f o r t h e s m a l l e r v a l u e s o f k
W h e n t h e d i m e n s i o n s i n c r e a s e b e y o n d s o m e t h r e s h o l d , t h e r a t i o o f t h e d u a l - o r t h o g o n a l i t y -
d e f e c t b e c o m e s m u c h l a r g e r f o r l a r g e v a l u e s o f k . T h e r e a s o n i s t h a t t h e d u a l - o r t h o g o n a l i t y -
d e f e c t o f t h e p r i v a t e b a s i s b e c o m e s s m a l l e r ( s i n c e t h e p r i v a t e b a s i s i s m o r e \ c u b e - l i k e " ) . I n
f a c t , f o r k = l d 1 +
p
n e , t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e p r i v a t e b a s i s i s a l r e a d y v e r y
c l o s e t o o n e . O n t h e o t h e r h a n d , t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e c o r r e s p o n d i n g p u b l i c
b a s i s i s n o t a e c t e d b y t h i s c h a n g e ( s i n c e b e y o n d s o m e t h r e s h o l d d i m e n s i o n , L L L f a i l s t o
t a k e a d v a n t a g e o f t h e \ c u b e - l i k e n e s s " o f t h e l a t t i c e ) . T h u s , t h e r a t i o b e t w e e n t h e d u a l -
o r t h o g o n a l i t y - d e f e c t o f t h e p u b l i c a n d p r i v a t e b a s i s i n c r e a s e s c o n s i d e r a b l y .
6 . 2 H o w M a n y M i x i n g S t e p s
W e a l s o t e s t e d t h e n u m b e r o f \ e l e m e n t a r y m i x i n g s t e p s " w h i c h w e a p p l y t o t h e p r i v a t e b a s i s i n
o r d e r t o g e t t h e p u b l i c b a s i s . I n e a c h e l e m e n t a r y m i x i n g s t e p , w e p i c k o n e o f t h e b a s i s v e c t o r s a n d
a d d t o i t a r a n d o m i n t e g r a l l i n e a r c o m b i n a t i o n o f t h e o t h e r v e c t o r s . I n o u r e x p e r i m e n t s w e c h o s e
t h e c o e c i e n t s o f t h i s l i n e a r c o m b i n a t i o n f r o m f ? 1 ; 0 ; 1 g w i t h P r 1 ] = P r ? 1 ] = 1 = 7 . T o m a k e s u r e
t h a t w e r e p l a c e a l l t h e v e c t o r s i n t h e p r i v a t e b a s i s , w e m u s t m a k e a t l e a s t n m i x i n g s t e p s . T o m a k e
s u r e t h a t w e h i t t h e m a l l , w e c h o s e a r a n d o m p e r m u t a t i o n o v e r f 1 ; n g a n d p i c k e d t h e v e c t o r s
a c c o r d i n g t o t h e o r d e r i n t h a t p e r m u t a t i o n .
T o e v a l u a t e h o w \ s e c u r e " i s t h e r e s u l t i n g p u b l i c b a s i s , w e L L L - r e d u c e d i t a n d c o m p a r e d t h e
d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e r e s u l t w i t h t h a t o f t h e p r i v a t e b a s i s . I n o u r e x p e r i m e n t s w e t r i e d
2 3
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 25/30
80 85 90 95 100 105 110 115 12010
20
1040
1060
1080
10100
10120
10140
Dimension (n)
d u a l - o r t h o g o n a l i t y - d e f e c t
r a t i o
R = rand(+-L). Applying 2*n mixing steps to get B
"*" - L = 4
"o" - L = 1
80 85 90 95 100 105 110 115 12010
0
10
50
10100
10150
10200
10250
Dimension (n)
d u a l - o r t h o g o n a l i t y - d e f e c t
r a t i o
R = L*(sqrt(n)+1)*I + rand(+-L). Applying 2*n mixing steps to get B
"o" - L = 1
"*" - L = 4
"+" - L = 10
F i g u r e 1 : T h e e e c t o f v a r y i n g t h e e n t r y s i z e l f o r k = 0 ( u p p e r g u r e ) a n d k = d 1 +
p
n e l ( l o w e r
g u r e ) .
2 4
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 26/30
80 85 90 95 100 105 11010
0
1020
1040
1060
1080
10100
10120
10140
10160
10180
10200
Dimension (n)
d u a l - o r t h o g o n a l i t y - d e f e c t
r a t i o
R = k*I + rand(+-1). Applying 2*n mixing steps to get B
"*" - k = 1+sqrt(n)
"o" - k = 0
80 85 90 95 100 105 110 115 12010
0
10
50
10100
10150
10200
10250
Dimension (n)
d u a l - o r t h o g o n a l i t y - d e f e c t
r a t i o
R = k*I + rand(+-4). Applying 2*n mixing steps to get B
"+" - k = 4*(1+sqrt(n))
"*" - k = 2*(1+sqrt(n))
"o" - k = 0
F i g u r e 2 : T h e e e c t o f v a r y i n g t h e p a r a m e t e r k f o r l = 1 ( u p p e r g u r e ) a n d l = 4 ( l o w e r g u r e ) .
W e t e s s t e d t h e v a l u e s k = 0 ; k =
1
2
l d 1 +
p
n e a n d k = l d 1 +
p
n e
2 5
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 27/30
80 85 90 95 100 105 110 115 12010
0
1020
1040
1060
1080
10100
10120
10140
Dimension (n)
d u a l - o r t h o g o n a l i t y - d e f e c t
r a t i o
R = k*I + rand(+-4). Applying n mixing steps to get B
"*" - k = 4*(1+sqrt(n))
"o" - k = 0
F i g u r e 3 : M a k i n g o n l y n m i x i n g - s t e p s . N o t i c e t h a t f o r a c u b e - l i k e l a t t i c e , w e w e r e a b l e t o r e c o v e r
t h e p r i v a t e b a s i s i n a l l t h e d i m e n s i o n s .
2 6
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 28/30
t o m a k e n a n d 2 n m i x i n g s t e p s b e f o r e t h e L L L - r e d u c t i o n . T h e r e s u l t s f o r 2 n m i x i n g s t e p s ( w i t h
v a r i o u s p a r a m e t e r s o f t h e p r i v a t e b a s i s ) a r e p r e s e n t e d i n F i g u r e s 1 a n d 2 . T h e r e s u l t s w e g e t w h e n
w e o n l y m a k e n m i x i n g s t e p s ( f o r l = 4 a n d k = 0 ; k = l d 1 +
p
n e ) a r e s u m m a r i z e d i n F i g u r e 3 .
I t c a n b e s e e n t h a t w h e n m a k i n g o n l y n m i x i n g s t e p s o n a c u b e - l i k e l a t t i c e , L L L w a s a l w a y s
a b l e t o r e c o v e r t h e p r i v a t e b a s i s . A n o t h e r p r o b l e m w i t h m a k i n g s o f e w m i x i n g s t e p s ( w h i c h i s n o t
r e e c t e d i n F i g u r e 3 ) i s t h a t t h e v a r i a n c e w h i c h w e g e t f o r e a c h s e t t i n g o f t h e p a r a m e t e r s i s m u c h
l a r g e r t h a n w h a t w e g e t f o r 2 n m i x i n g s t e p s . I n f a c t , a l t h o u g h t h e m e d i a n r e s u l t s f o r k = 0 s e e m
t o i n c r e a s e e x p o n e n t i a l l y w i t h t h e d i m e n s i o n , t h e m i n i m u m r e s u l t s a r e v e r y c l o s e t o o n e e v e n i n
d i m e n s i o n 1 2 0 .
A c k n o w l e d g m e n t s .
T h e a u t h o r s t h a n k D a n B o n e h , D o n C o p p e r s m i t h , C l a u s S c h n o r r a n d J a c q u e s S t r e n f o r s e v e r a l
e n l i g h t e n i n g c o n v e r s a t i o n s .
R e f e r e n c e s
A j 9 6 ] M . A j t a i . G e n e r a t i n g h a r d i n s t a n c e s o f l a t t i c e p r o b l e m s . I n P r o c e e d i n g s o f t h e 2 8 t h
A n n u a l A C M S y m p o s i u m o n T h e o r y o f C o m p u t i n g , p a g e s 9 9 - 1 0 8 , P h i l a d e l p h i a , P A ,
1 9 9 6 .
B a 8 6 ] L . B a b a i , O n L o v a s z l a t t i c e r e d u c t i o n a n d t h e n e a r e s t l a t t i c e p o i n t p r o b l e m . i n C o m b i -
n a t o r i c a , v o l . 6 , 1 9 8 6 , p p . 1 - 1 3 .
B G 8 4 ] M . B l u m a n d S . G o l d w a s s e r . A n E c i e n t P r o b a b i l i s t i c P u b l i c - K e y E n c r y p t i o n S c h e m e
w h i c h H i d e s A l l P a r t i a l I n f o r m a t i o n . i n P r o c e e d i n g s o f C R Y P T O ' 8 4 , S p r i n g e r - V e r l a g ,
1 9 8 5 , p p . 2 8 9 - 2 9 9 .
B o 8 1 ] P . v a n E m d e B o a s , A n o t h e r N P - c o m p l e t e p r o b l e m a n d t h e c o m p l e x i t y o f c o m p u t i n g s h o r t
v e c t o r s i n a l a t t i c e . R e p r o t 8 1 - 0 4 , M a t h e m a t i s c h e I n s t i t u u t , U n i v e r s i t y o f A m s t e r d a m ,
1 9 8 1 .
B L 9 6 ] D . B o n e h a n d R . L i p t o n , A l g o r i t h m s f o r B l a c k - B o x F i e l d s a n d T h e i r A p p l i c a t i o n t o
C r y p t o g r a p h y . i n P r o c c e d i n g s o f C R Y P T O ' 9 6 , L e c t u r e N o t e s i n C o m p u t e r S c i e n c e N o .
1 1 0 9 , S p r i n g e r - V e r l a g , 1 9 9 6 . p p . 2 8 3 - 2 9 7 .
D S S ] D i g i t a l S i g n a t u r e S t a n d a r d ( D S S ) . F I P S P U B 1 8 6 , 1 9 9 4 .
D H 7 6 ] W . D i e a n d M . E . H e l l m a n . N e w D i r e c t i o n s I n C r y p t o g r a p h y . I E E E T r a n s a c t i o n s o n
I n f o r m a t i o n T h e o r y , V o l I T - 2 2 , 1 9 7 6 , p p . 6 4 4 - 6 5 4 .
E l 8 5 ] T . E l - G a m a l . A P u b l i c K e y C r y p t o s y s t e m a n d a S i g n a t u r e S c h e m e B a s e d o n D i s c r e t e
L o g a r i t h m s . I E E E T r a n s . I n f o r m a t i o n T h e o r y , v o l . 3 1 , 1 9 8 5 , p p . 4 6 9 - 4 7 2
G 8 6 ] O . G o l d r e i c h . T w o R e m a r k s C o n c e r n i n g t h e G o l d w a s s e r - M i c a l i - R i v e s t S i g n a t u r e S c h e m e .
i n P r o c e e d i n g s C R Y P T O 8 6 , L e c t u r e N o t e s i n C o m p u t e r S c i e n c e N o . 2 6 3 . S p r i n g e r - V e r l a g ,
1 9 8 7 . p p . 1 0 4 - 1 1 0 .
G K L ] O . G o l d r e i c h , H . K r a w c z y k a n d M . L u b y . O n t h e e x i s t e n c e o f p s e u d o r a n d o m g e n e r a t o r s .
S I A M J . o n C o m p u t i n g , V o l . 2 2 ( 6 ) , 1 9 9 3 . p p . 1 1 6 3 - 1 1 7 5
2 7
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 29/30
G L 8 4 ] O . G o l d r e i c h a n d L . A . L e v i n A H a r d - C o r e P r e d i c a t e f o r A l l O n e - W a y F u n c t i o n s P r o -
c e e d i n g s o f t h e 2 1 s t A C M S y m p o s i u m o n T h e o r y o f C o m p u t i n g , 1 9 8 9 , p p . 2 5 - 3 2
G M 8 2 ] G o l d w a s s e r , S . a n d M i c a l i , S . , P r o b a b i l i s t i c E n c r y p t i o n . J o u r n a l o f C o m p u t e r a n d S y s t e m
S c i e n c e s , V o l . 2 8 , 1 9 8 4 , p p . 2 7 0 - 2 9 9 .
G M R 8 5 ] S . G o l d w a s s e r , S . M i c a l i a n d R . L . R i v e s t . A D i g i t a l S i g n a t u r e S c h e m e S e c u r e A g a i n s t
A d a p t i v e C h o s e n M e s s a g e A t t a c k . S I A M J o u r n a l o n C o m p u t i n g , V o l . 1 7 , n o . 2 , 1 9 8 8 ,
p p . 2 8 1 - 3 0 8 . S e e c o m m e n t r e g a r d i n g e c i e n c y i n G 8 6 ] .
I N 8 9 ] R . I m p a g l i a z z o a n d M . N a o r . E c i e n t c r y p t o g r a p h i c s c h e m e s p r o v a b l y a s s e c u r e a s s u b s e t
s u m . I n 3 0 t h A n n u a l S y m p o s i u m o n F o u n d a t i o n s o f C o m p u t e r S c i e n c e , I E E E . 1 9 8 9 . p p .
2 3 6 - 2 4 1
I R 8 8 ] S . R u d i c h a n d R . I m p a g l i a z z o , L i m i t s o n t h e P r o v a b l e c o n s e q u e n c e s o f O n e - W a y P e r m u t a -
t i o n s . i n P r o c e e d i n g s o f C R Y P T O ' 8 8 , S . G o l d w a s s e r , e d i t o r . L e c t u r e N o t e s i n C o m p u t e r
S c i e n c e , v o l u m e 4 0 3 , S p r i n g e r - V e r l a g , 1 9 8 8 . p p . 8 - 2 6
K a ] R . K a n n a n . U n p u b l i s h e d m a n u s c r i p t .
L i 9 5 ] T h e L i D I A p r o j e c t s o f t w a r e - p a c k a g e a n d u s e r - m a n u a l . A v a i l a b l e f r o m
f t p : / / c r y p t 1 . c s . u n i - s b . d e / p u b / s y s t e m s / L i D I A
L L L ] A . K . L e n s t r a , H . W . L e n s t r a , L . L o v a s z . F a c t o r i n g p o l y n o m i a l s w i t h r a t i o n a l c o e c i e n t s .
M a t h e m a t i s c h e A n n a l e n 2 6 1 , 5 1 5 - 5 3 4 ( 1 9 8 2 ) .
M c 7 9 ] R . J . M c E l i e c e , A P u b l i c - K e y C r y p t o s y s t e m B a s e d o n A l g e b r a i c C o d i n g T h e o r y . D S N
P r o g r e s s R e p o r t 4 2 - 4 4 , J e t P r o p u l s i o n L a b o r a t o r y
N Y 8 9 ] M . N a o r , a n d M . Y u n g , U n i v e r s a l O n e - W a y H a s h F u n c t i o n s a n d t h e i r C r y p t o g r a p h i c
A p p l i c a t i o n s . i n P r o c . 2 1 s t A C M S y m p . o n T h e o r y o f C o m p u t i n g , 1 9 8 9 , p p . 3 3 - 4 3
R a 7 9 ] M . O . R a b i n , D i g i t a l S i g n a t u r e s a n d P u b l i c - K e y F u n c t i o n s a s I n t r a c t a b l e a s F a c t o r i z a t i o n .
T e c h n i c a l R e p o r t M I T / L C S / T R - 2 1 2 , M . I . T . , 1 9 7 8 .
R o 9 0 ] J . R o m p e l . O n e - w a y f u n c t i o n s a r e n e c e s s a r y a n d s u c i e n t f o r s e c u r e s i g n a t u r e s . I n
P r o c e e d i n g s o f t h e T w e n t y S e c o n d A n n u a l A C M S y m p o s i u m o n T h e o r y o f C o m p u t i n g ,
1 9 9 0 , p p . 3 8 7 - 3 9 4 .
R S A ] R . L . R i v e s t , A . S h a m i r a n d L . A d l e m a n . A M e t h o d f o r O b t a i n i n g D i g i t a l S i g n a t u r e s a n d
P u b l i c - K e y C r y p t o s y s t e m s . C o m m u n i c a t i o n s o f t h e A C M , V o l . 2 1 , 1 9 7 8 , p p . 1 2 0 - 1 2 6 .
S c 8 7 ] C . P . S c h n o r r . A h i e r a r c h y o f p o l y n o m i a l t i m e l a t t i c e b a s i s r e d u c t i o n a l g o r i t h m s . i n
T h e o r e t i c a l C o m p u t e r S c i e n c e , v o l . 5 3 , 1 9 8 7 , p p . 2 0 1 - 2 2 4
S c 9 5 ] C . P . S c h n o r r a n d H . H . H o r n e r , A t t a c k i n g t h e C h o r - R i v e s t C r y p t o s y s t e m b y I m p r o v e d
L a t t i c e R e d u c t i o n . i n P r o c e e d i n g s o f E U R O C R Y P T ' 9 5 , L o u i s C . G u i l l o u a n d J e a n -
J a c q u e s Q u i s q u a t e r , e d i t o r s . L e c t u r e N o t e s i n C o m p u t e r S c i e n c e , v o l u m e 9 2 1 , S p r i n g e r -
V e r l a g , 1 9 9 5 . p p . 1 - 1 2
W i 8 4 ] H . C . W i l l i a m s , S o m e P u b l i c K e y C r y p t o - F u n c t i o n s a s I n t r a c t a b l e a s F a c t o r i z a t i o n . i n
P r o c e e d i n g s o f C R Y P T O 8 4 , G . R . B l a k l e y a n d D . C . C h a u m , e d i t o r s . L e c t u r e N o t e s i n
C o m p u t e r S c i e n c e , v o l u m e 1 9 6 , S p r i n g e r - V e r l a g , 1 9 8 5 . P a g e s 6 6 - 7 0 .
2 8
8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi
http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 30/30
Y a 8 2 ] A . C . Y a o . T h e o r y a n d A p p l i c a t i o n s o f T r a p d o o r F u n c t i o n s . i n P r o c e e d i n g s o f t h e 2 3 r d
I E E E S y m p o s i u m o n F o u n d a t i o n s o f C o m p u t e r S c i e n c e , 1 9 8 2 , p p . 8 0 - 9 1 .