Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7530337B2 - Design device, design method, and design program - Google Patents
[go: Go Back, main page]

JP7530337B2 - Design device, design method, and design program - Google Patents

Design device, design method, and design program Download PDF

Info

Publication number
JP7530337B2
JP7530337B2 JP2021106863A JP2021106863A JP7530337B2 JP 7530337 B2 JP7530337 B2 JP 7530337B2 JP 2021106863 A JP2021106863 A JP 2021106863A JP 2021106863 A JP2021106863 A JP 2021106863A JP 7530337 B2 JP7530337 B2 JP 7530337B2
Authority
JP
Japan
Prior art keywords
encryption method
lwe
samples
security
design
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021106863A
Other languages
Japanese (ja)
Other versions
JP2023005134A (en
Inventor
大樹 岡田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2021106863A priority Critical patent/JP7530337B2/en
Publication of JP2023005134A publication Critical patent/JP2023005134A/en
Application granted granted Critical
Publication of JP7530337B2 publication Critical patent/JP7530337B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、暗号方式のパラメータを設計するための装置、方法及びプログラムに関する。 The present invention relates to an apparatus, method, and program for designing parameters for an encryption method.

例えば、非特許文献1において、一様ノイズを用いたLWE問題:LWE(Uρq)(Uρqは、[-ρq,ρq]上の一様乱数)が、ガウスノイズを用いたLWE問題:LWE(n,m,q,Φα)以上に難しいことが示されている。 For example, Non-Patent Document 1 shows that the LWE problem using uniform noise: LWE(U ρq ) (U ρq is a uniform random number on [−ρq, ρq]) is more difficult than the LWE problem using Gaussian noise: LWE(n, m, q, Φ α ).

具体的には、セキュリティパラメータであるLWEの次元をn、法をqとしたとき、
・ζ∈(0,1):任意定数
・m=poly(n):m≧3nを満たす整数(サンプル数)
・ρ=ρ(n)∈(0,1/10), r:=ρq≧2mn0.5+ζ
・α=α(n)=ρ/mnζ
・αq=ρq/mnζ=r/mnζ≧2√n
と設定すると、LWE(n,m,q,U([-ρq,ρq]))を、ある無視できない確率で解ける多項式時間のアルゴリズムが存在するならば、LWE(n,m,q,Φα)を、ある無視できない確率で解ける多項式時間のアルゴリズムも存在する。
Specifically, when the dimension of the LWE, which is a security parameter, is n and the modulus is q,
・ζ∈(0,1): arbitrary constant ・m=poly(n): integer satisfying m≧3n (number of samples)
・ρ=ρ(n)∈(0,1/10), r:=ρq≧2mn 0.5+ζ
・α=α(n)=ρ/mn ζ
・αq=ρq/mn ζ =r/mn ζ ≧2√n
Then, if there exists a polynomial-time algorithm that can solve LWE(n, m, q, U([−ρq, ρq])) with some non-negligible probability, then there also exists a polynomial-time algorithm that can solve LWE(n, m, q, Φ α ) with some non-negligible probability.

したがって、達成したいセキュリティレベルとして、ガウスノイズLWEのエラーレートα(n)と、攻撃者に与えることを許すサンプル数m≧3nを入力とし、任意定数ζ∈(0,1)を設定すると(例えば、ζ=1/2)、同等以上の安全性を有するLWE(Uρq)のパラメータρ(n)=α・m・nζを決定することができる。 Therefore, by inputting the error rate α(n) of the Gaussian noise LWE and the number of samples m ≧ 3n allowed to be given to the attacker as the security level to be achieved, and setting an arbitrary constant ζ∈(0,1) (for example, ζ = 1/2), it is possible to determine the parameter ρ(n) = α · m · n ζ of the LWE (U ρq ) that has equivalent or greater security.

このように、従来は、安全性評価の帰着元である(安全性の根拠とする)暗号方式において達成したいセキュリティレベルα(n)、及び攻撃者に許容するサンプル数m=poly(n)を入力として、新たに構成する暗号方式の効率性に関わるパラメータρ(n)=f(α,m,n)を出力していた。 In this way, conventionally, the security level α(n) desired to be achieved in the encryption method that is the basis of the security evaluation (the basis of security) and the number of samples m = poly(n) allowed for an attacker are taken as input, and a parameter ρ(n) = f(α, m, n) related to the efficiency of the newly constructed encryption method is output.

Nico Dottling and Jorn Muller-Quade. Lossy codes and a new variant of the learning-with-errors problem. In EUROCRYPT 2013, pp. 18-34, 2013.Nico Dottling and Jorn Muller-Quade. Lossy codes and a new variant of the learning-with-errors problem. In EUROCRYPT 2013, pp. 18-34, 2013. Oded Goldreich. Foundations of Cryptography, volume I: Basic Tools. Cambridge University Press, 2001.Oded Goldreich. Foundations of Cryptography, volume I: Basic Tools. Cambridge University Press, 2001. O. Goldreich and M. Sudan. Computational indistinguishability: A sample hierarchy. In 2012 IEEE 27th Conference on Computational Complexity, p. 24, Los Alamitos, CA, USA, jun 1998. IEEE Computer Society.O. Goldreich and M. Sudan. Computational indistinguishability: A sample hierarchy. In 2012 IEEE 27th Conference on Computational Complexity, p. 24, Los Alamitos, CA, USA, jun 1998. IEEE Computer Society. Oded Goldreich and Bernd Meyer. Computational indistinguishability: Algorithms vs. circuits. Theoretical Computer Science, 191(1):215-218, 1998.Oded Goldreich and Bernd Meyer. Computational indistinguishability: Algorithms vs. circuits. Theoretical Computer Science, 191(1):215-218, 1998. Katharina Boudgoust, Corentin Jeudy, Adeline Roux-Langlois, and Weiqiang Wen. Towards classical hardness of Module-LWE: The linear rank case. In ASIACRYPT 2020, pp. 289-317, 2020.Katharina Boudgoust, Corentin Jeudy, Adeline Roux-Langlois, and Weiqiang Wen. Towards classical hardness of Module-LWE: The linear rank case. In ASIACRYPT 2020, pp. 289-317, 2020. Abhishek Banerjee, Chris Peikert, and Alon Rosen. Pseudorandom functions and lattices. In EUROCRYPT 2012, pp. 719-737, 2012.Abhishek Banerjee, Chris Peikert, and Alon Rosen. Pseudorandom functions and lattices. In EUROCRYPT 2012, pp. 719-737, 2012. Daniele Micciancio and Chris Peikert. Hardness of SIS and LWE with small parameters. In CRYPTO 2013, pp. 21-39, 2013.Daniele Micciancio and Chris Peikert. Hardness of SIS and LWE with small parameters. In CRYPTO 2013, pp. 21-39, 2013. Joel Alwen, Stephan Krenn, Krzysztof Pietrzak, and Daniel Wichs. Learning with rounding, revisited. In CRYPTO 2013, pp. 57-74, 2013.Joel Alwen, Stephan Krenn, Krzysztof Pietrzak, and Daniel Wichs. Learning with rounding, revisited. In CRYPTO 2013, pp. 57-74, 2013. Andrej Bogdanov, Siyao Guo, Daniel Masny, Silas Richelson, and Alon Rosen. On the hardness of learning with rounding over small modulus. In TCC, pp. 209-224, 2016.Andrej Bogdanov, Siyao Guo, Daniel Masny, Silas Richelson, and Alon Rosen. On the hardness of learning with rounding over small modulus. In TCC, pp. 209-224, 2016. Shi Bai, Adeline Langlois, Tancrede Lepoint, Damien Stehle, and Ron Steinfeld. Improved security proofs in lattice-based cryptography: Using the renyi divergence rather than the statistical distance. In ASIACRYPT 2015, pp. 3-24, 2015.Shi Bai, Adeline Langlois, Tancrede Lepoint, Damien Stehle, and Ron Steinfeld. Improved security proofs in lattice-based cryptography: Using the renyi divergence rather than the statistical distance. In ASIACRYPT 2015, pp. 3-24, 2015. Feng-Hao Liu and Zhedong Wang. Rounding in the rings. In CRYPTO 2020, pp. 296-326, 2020.Feng-Hao Liu and Zhedong Wang. Rounding in the rings. In CRYPTO 2020, pp. 296-326, 2020.

しかしながら、従来の手法の場合、達成したいセキュリティレベルとしてエラーレートαを固定したとき、多くのサンプル数mを得られる攻撃者に耐性を持つように設計するためには、mに依存したより大きなρ(n)=α・m・nζが出力される。このとき、攻撃者に許すサンプル数mが大き過ぎると、大きなρ(n)>1が出力されるが、このような値の場合、一様ランダムな大き過ぎるノイズのLWEとなるため、実用可能な暗号を構成するパラメータとはならなかった。
つまり、パラメータρ(n)を出力する関数f(α,m,n)がmに関して単調増加のとき、許容するサンプル数の増大に伴って、新たに構成する暗号方式の効率性が低下し、実用可能な暗号を構成できなかった。
However, in the case of conventional methods, when an error rate α is fixed as a security level to be achieved, in order to design a method that is resistant to an attacker who can obtain a large number of samples m, a larger ρ(n) = α m n ζ that depends on m is output. In this case, if the number of samples m allowed for the attacker is too large, a large ρ(n) > 1 is output, but in the case of such a value, the LWE becomes a uniform random noise that is too large, and therefore it is not a parameter that constitutes a practical encryption.
In other words, when the function f(α, m, n) that outputs the parameter ρ(n) increases monotonically with respect to m, the efficiency of the newly constructed encryption method decreases as the number of allowable samples increases, and it was not possible to construct a practical encryption method.

本発明は、許容するサンプル数によらず安全性が保証され、かつ、効率的な暗号方式を構成可能なパラメータを出力できる設計装置、設計方法及び設計プログラムを提供することを目的とする。 The present invention aims to provide a design device, design method, and design program that can output parameters that can be used to construct an efficient encryption method while ensuring security regardless of the number of allowed samples.

本発明に係る設計装置は、第1暗号方式の効率性に関わるパラメータを出力する設計装置であって、前記第1暗号方式の安全性の帰着元である第2暗号方式において達成したいセキュリティレベルの入力を受け付ける入力部と、前記安全性の帰着に基づき、前記セキュリティレベル及び攻撃者に許容するサンプル数に対する前記パラメータの計算式を取得する取得部と、前記計算式における前記攻撃者に許容するサンプル数を、前記安全性の帰着を証明可能な最小値として、前記パラメータを算出する算出部と、を備える。 The design device according to the present invention is a design device that outputs parameters related to the efficiency of a first encryption method, and includes an input unit that accepts an input of a security level to be achieved in a second encryption method from which the security of the first encryption method is derived, an acquisition unit that acquires a calculation formula for the parameters for the security level and the number of samples allowed to an attacker based on the resulting security, and a calculation unit that calculates the parameters by setting the number of samples allowed to the attacker in the calculation formula as the minimum value for which the resulting security can be proven.

前記第1暗号方式は、法qに対して、一様ノイズ[-ρq,ρq]を用いたLWE型暗号方式であり、前記第2暗号方式は、エラーレートα、標準偏差σ=αqのガウスノイズを用いたLWE型暗号方式であり、前記算出部は、前記達成したいセキュリティレベルとしてのα、前記許容するサンプル数m、次数n、及び任意定数ζ∈(0,1)に基づく前記計算式ρ=α・m・nζに対して、m=3nを代入してρを算出してもよい。 The first encryption method is an LWE type encryption method using uniform noise [-ρq, ρq] for a modulus q, the second encryption method is an LWE type encryption method using Gaussian noise with an error rate α and a standard deviation σ=αq, and the calculation unit may calculate ρ by substituting m=3n into the calculation formula ρ=α·m·n ζ , which is based on α as the security level to be achieved, the allowable number of samples m, the order n, and an arbitrary constant ζ∈(0,1).

前記第1暗号方式は、法qに対して、エラーレートα’、標準偏差σ’=α’qのbinary secret Module-LWE型暗号方式であり、前記第2暗号方式は、エラーレートα、標準偏差σ=αqのガウスノイズを用いたModule-LWE型暗号方式であり、前記算出部は、前記達成したいセキュリティレベルとしてのα、前記許容するサンプル数m、次数n、及びランクdに基づく前記計算式α’=α・√m・n・dに対して、m=dを代入してα’を算出してもよい。 The first encryption method may be a binary secret module-LWE encryption method with an error rate α' and a standard deviation σ'=α'q for a modulus q, and the second encryption method may be a module-LWE encryption method using Gaussian noise with an error rate α and a standard deviation σ=αq, and the calculation unit may calculate α' by substituting m=d into the calculation formula α'= α√mn2d based on α as the security level to be achieved, the allowable number of samples m, the order n, and a rank d.

本発明に係る設計方法は、第1暗号方式の効率性に関わるパラメータを出力する設計方法であって、前記第1暗号方式の安全性の帰着元である第2暗号方式において達成したいセキュリティレベルの入力を受け付ける入力ステップと、前記安全性の帰着に基づき、前記セキュリティレベル及び攻撃者に許容するサンプル数に対する前記パラメータの計算式を取得する取得ステップと、前記計算式における前記攻撃者に許容するサンプル数を、前記安全性の帰着を証明可能な最小値として、前記パラメータを算出する算出ステップと、をコンピュータが実行する。 The design method according to the present invention is a design method for outputting a parameter related to the efficiency of a first encryption method, and is executed by a computer through an input step of accepting an input of a security level to be achieved in a second encryption method from which the security of the first encryption method is derived, an acquisition step of acquiring a formula for the parameter for the security level and the number of samples allowed to an attacker based on the resulting security, and a calculation step of calculating the parameter by setting the number of samples allowed to the attacker in the formula as the minimum value for which the resulting security can be proven.

本発明に係る設計プログラムは、前記設計装置としてコンピュータを機能させるためのものである。 The design program of the present invention is intended to cause a computer to function as the design device.

本発明によれば、許容するサンプル数によらず安全性が保証され、かつ、効率的な暗号方式を構成可能なパラメータを出力できる。 The present invention guarantees security regardless of the number of samples allowed, and can output parameters that can be used to configure an efficient encryption method.

実施形態における設計装置の機能構成を示す図である。FIG. 2 is a diagram illustrating a functional configuration of a design apparatus according to an embodiment. 実施形態における安全性の帰着の一例を示す図である。FIG. 13 is a diagram illustrating an example of security attribution in an embodiment.

以下、本発明の実施形態の一例について説明する。
まず、従来のサンプル数mに依存するパラメータ設計では、達成したいセキュリティレベル値α(n)と、攻撃者に許容するサンプル数m=poly(n)≧mminとを入力として、暗号方式設計用のパラメータρ(n)=f(α,m,n)を出力する。
なお、ρ(n)は小さいほど暗号方式が効率化され望ましく、f(α,m,n)はmに関して単調増加するものとする。
An example of an embodiment of the present invention will now be described.
First, in conventional parameter design that depends on the number of samples m, the security level value α(n) to be achieved and the number of samples m allowed for an attacker, m = poly(n) ≧ m min , are input, and a parameter ρ(n) = f(α, m, n) for designing an encryption method is output.
It is preferable that ρ(n) is smaller because the encryption method is more efficient, and f(α, m, n) monotonically increases with respect to m.

これに対して、本実施形態の設計装置は、同様の入力に対して、サンプル数mの大きさによらず、パラメータρ(n)=f(α,mmin,n)を出力する。 In contrast to this, the design device of this embodiment outputs a parameter ρ(n)=f(α, m min , n) for the same input, regardless of the size of the number of samples m.

図1は、本実施形態における設計装置1の機能構成を示す図である。
設計装置1は、制御部10及び記憶部20の他、各種の入出力インタフェース等を備えた情報処理装置(コンピュータ)である。
FIG. 1 is a diagram showing the functional configuration of a design apparatus 1 according to this embodiment.
The design device 1 is an information processing device (computer) that includes a control unit 10, a storage unit 20, and various input/output interfaces.

制御部10は、設計装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。 The control unit 10 is a part that controls the entire design device 1, and realizes each function in this embodiment by appropriately reading and executing various programs stored in the storage unit 20. The control unit 10 may be a CPU.

記憶部20は、ハードウェア群を設計装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスクドライブ(HDD)等であってよい。
具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(設計プログラム)の他、暗号方式に応じたパラメータの計算式等を記憶する。
The storage unit 20 is a storage area for various programs for causing the hardware group to function as the design device 1, various data, etc., and may be a ROM, a RAM, a flash memory, a hard disk drive (HDD), etc.
Specifically, the storage unit 20 stores a program (design program) for causing the control unit 10 to execute each function of this embodiment, as well as a formula for calculating parameters according to the encryption method.

制御部10は、入力部11と、取得部12と、算出部13とを備え、これらの機能部により、設計対象である暗号方式において、達成したいセキュリティレベルに応じた効率性に関わるパラメータを出力する。 The control unit 10 includes an input unit 11, an acquisition unit 12, and a calculation unit 13, and these functional units output parameters related to efficiency according to the security level to be achieved in the encryption method being designed.

入力部11は、設計対象である第1暗号方式の安全性の帰着元である、すなわち安全性の根拠とする第2暗号方式において達成したいセキュリティレベルの入力を受け付ける。 The input unit 11 accepts input of the security level to be achieved in the second encryption method, which is the basis for the security of the first encryption method that is the design target, i.e., the second encryption method.

取得部12は、安全性の帰着に基づいて設定された、セキュリティレベル及び攻撃者に許容するサンプル数に対するパラメータの計算式を取得する。この計算式は、従来のサンプル数に依存したものである。 The acquisition unit 12 acquires a formula for calculating parameters for the security level and the number of samples allowed for an attacker, which are set based on the conclusion of safety. This formula depends on the number of conventional samples.

算出部13は、計算式における攻撃者に許容するサンプル数を、安全性の帰着を証明可能な最小値として、パラメータを算出する。 The calculation unit 13 calculates the parameters by setting the number of samples allowed for an attacker in the formula as the minimum value for which security can be proven.

ここで、非特許文献2には、単一サンプルが計算量的識別不可ならば、そのm個の複数サンプルも、高々mのadvantageのlossで、計算量的識別不可であるといいう、次の定理(1)が示されている。
定理(1):

Figure 0007530337000001
Here, Non-Patent Document 2 shows the following theorem (1), which states that if a single sample is computationally indistinguishable, then its m multiple samples are also computationally indistinguishable with a loss of advantage of at most m.
Theorem (1):
Figure 0007530337000001

この定理に反する例、つまりk個のサンプルでは計算量的識別不可であるのにk+1個のサンプルでは識別可能であるような、多項式時間で生成可能なサンプルは存在しないことが知られている(例えば、非特許文献3,4)。 It is known that there are no examples that contradict this theorem, that is, no samples that can be generated in polynomial time that are computationally indistinguishable with k samples but identifiable with k+1 samples (e.g., Non-Patent Documents 3 and 4).

本実施形態では、この定理を次の系(定理2)に拡張して用いる。
定理(2):
ある数m=poly(n)で固定したサンプルが、真に一様ランダムなサンプルと計算量的に識別不可であるならば、その任意のl=poly(n)倍の数l・mの独立同分布のサンプルも、高々l倍のadvantageのlossで、真に一様ランダムなサンプルと計算量的に識別不可である。
In this embodiment, this theorem is extended to the following corollary (Theorem 2).
Theorem (2):
If a sample fixed at a certain number m = poly(n) is computationally indistinguishable from a truly uniform random sample, then any number l = poly(n) times that number l · m of independent identically distributed samples will also be computationally indistinguishable from a truly uniform random sample with a loss of advantage of at most l times.

仮に、この定理(2)に反する多項式時間で生成可能なサンプルがあるとすると、PPT攻撃者に対して、m個のサンプルまでは計算量的に識別不可だが、m+1個のサンプルでは識別可能な多項式時間で生成可能なサンプルが存在することになり、非特許文献3,4の証明に矛盾する。 If there are samples that can be generated in polynomial time that violate this theorem (2), then for a PPT attacker, up to m samples are computationally indistinguishable, but for m+1 samples, there are samples that can be generated in polynomial time that are identifiable, which contradicts the proofs in non-patent documents 3 and 4.

したがって、算出部13により算出されるパラメータρ(n)=f(α,mmin,n)により構成された暗号方式は、許容するサンプル数m=l・mminに対しても、セキュリティレベルα(n)を満たす。
次に、具体的な暗号方式におけるパラメータの算出手順を例示する。
Therefore, the encryption method configured by the parameter ρ(n)=f(α, m min , n) calculated by the calculation unit 13 satisfies the security level α(n) even for the allowable number of samples m=l·m min .
Next, a procedure for calculating parameters in a specific encryption method will be illustrated.

[LWE(Uρq)暗号方式のパラメータ設計]
一様ノイズを用いるLWE(Uρq)においては、前述のように、効率性に関するパラメータρ(n)=α・m・nζとすることで、ガウスノイズを用いるLWE(n,m,q,Φα)でのエラーレートα(n)と同等以上の安全性を、サンプル数m≧3nで達成することができる。
[Parameter Design of LWE(U ρq ) Encryption Scheme]
In LWE (U ρq ) using uniform noise, as described above, by setting the efficiency parameter ρ(n) = α · m · n ζ , it is possible to achieve security equal to or greater than the error rate α(n) in LWE (n, m, q, Φ α ) using Gaussian noise, with the number of samples m ≧ 3n.

このとき、算出部13は、定理(2)に基づいて、安全性の帰着を証明可能なサンプル数mの最小値mmin=3nを用いて、ρ(n)=α・mmin・nζ=3α・n1+ζを算出する。 At this time, the calculation unit 13 calculates ρ(n)=α·m min ·n ζ =3α·n 1+ζ based on Theorem (2) using the minimum value m min =3n of the number of samples m for which security can be proven.

図2は、本実施形態における安全性の帰着の一例を示す図である。
この例では、ガウスノイズDαを用いるLWE(m,Dα)問題から一様ノイズUρqを用いるLWE(m,Uρq)問題への帰着があることを示している。
FIG. 2 is a diagram showing an example of the conclusion of safety in this embodiment.
This example shows that there is a reduction from the LWE(m,D α ) problem with Gaussian noise D α to the LWE(m,U ρq ) problem with uniform noise U ρq .

すなわち、許容するサンプル数mの場合に、LWE(m,Uρq)問題は、エラーレートα=ρ/(mnζ)のLWE(m,Dα)問題と同等以上の困難性が保証される。
同様に、許容するサンプル数l・mの場合に、LWE(l・m,Uρq)問題は、エラーレートα=ρ/(l・mnζ)のLWE(l・m,Dα)問題と同等以上の困難性が保証される。
That is, when the number of allowable samples is m, the LWE(m, U ρq ) problem is guaranteed to be as difficult as or more difficult than the LWE(m, D α ) problem with an error rate α=ρ/(mn ζ ).
Similarly, when the number of allowed samples is l·m, the LWE(l·m, U ρq ) problem is guaranteed to be as difficult as or more difficult than the LWE( m, D α ) problem with an error rate α=ρ/(l·mn ζ ).

ここで、エラーレートは、許容するサンプル数がmの場合よりl・mの場合の方が小さくなるため、許容するサンプル数が増大することで保証されるセキュリティレベルが低下するように見える。しかし、前述のように、LWE(l・m,Uρq)問題は、高々1/l倍のadvantage lossの代償でLWE(m,Uρq)問題と同等の困難性が保証される。したがって、LWE(l・m,Uρq)暗号方式は、LWE(m,Dα)の場合と同等以上の安全性を有する。 Here, the error rate is smaller when the number of allowed samples is l·m than when the number of allowed samples is m, so it seems that the guaranteed security level decreases as the number of allowed samples increases. However, as described above, the LWE(l·m, U ρq ) problem is guaranteed to be as difficult as the LWE(m, U ρq ) problem at the cost of at most 1/l times advantage loss. Therefore, the LWE(l·m, U ρq ) encryption method has security equal to or higher than that of the LWE(m, D α ).

[binary secret Module-LWE暗号方式のパラメータ設計]
非特許文献5において、ガウスノイズのModule-LWE問題の困難性を根拠に、binary secret Module-LWE暗号方式が設計されている。
具体的には、許容するサンプル数m=poly(n)の場合に、達成したいセキュリティレベルとして、ガウスノイズのModule-LWEにおけるエラーレートαを入力として、binary secret Module-LWE暗号方式のエラーレートα’(n)=α・√m・n・dが出力される。
[Parameter design of binary secret module-LWE encryption method]
In Non-Patent Document 5, a binary secret Module-LWE encryption method is designed based on the difficulty of the Module-LWE problem in Gaussian noise.
Specifically, when the number of allowed samples m = poly(n), the error rate α in the Module-LWE of Gaussian noise is input as the security level to be achieved, and the error rate α'(n) = α · √m · n 2 · d of the binary secret Module-LWE encryption method is output.

これに対して、算出部13は、定理(2)に基づいて、安全性の帰着を証明可能なサンプル数mの最小値mmin=dを用いて、α’(n)=α・√mmin・n・d=α・n・d1.5を算出する。
これにより、binary secret Module-LWE暗号方式は、許容するサンプル数mによらず、エラーレートαのガウスノイズのModule-LWEの場合と同等以上の安全性を有する。
In response to this, the calculation unit 13 calculates α'(n)=α·√m min ·n 2 ·d=α·n 2 ·d 1.5 using the minimum value m min =d of the number of samples m for which the reduction of security can be proven based on Theorem (2).
As a result, the binary secret Module-LWE encryption method has security equal to or greater than that of the Module-LWE of Gaussian noise with an error rate α, regardless of the allowable number of samples m.

さらに、設計装置1は、サンプル数に依存する既存の様々な安全性評価手法(困難性の帰着)に基づいて、前述の例と同様に、サンプル数に依存しないパラメータ設計を可能とする。 Furthermore, the design device 1 enables parameter design that is independent of the number of samples, similar to the above example, based on various existing safety assessment methods (attribution of difficulty) that depend on the number of samples.

例えば、非特許文献1、6~10に示されたLWE≦uLWE,LWRの困難性の帰着に基づいて、uLWE(一様ノイズのLWE)型及びLWR型暗号方式のパラメータ設計が可能となる。
また、非特許文献11に示されたRLWE≦RLWR≦MLWRの困難性の帰着に基づいて、RLWR(Ring-LWR)型及びMLWR(Module-LWR)型暗号方式のパラメータ設計が可能となる。
For example, based on the conclusion of the difficulty of LWE≦uLWE,LWR shown in Non-Patent Documents 1, 6 to 10, it becomes possible to design parameters for uLWE (uniform noise LWE) and LWR encryption schemes.
In addition, based on the conclusion of the difficulty of RLWE≦RLWR≦MLWR shown in Non-Patent Document 11, it becomes possible to design parameters for RLWR (Ring-LWR) type and MLWR (Module-LWR) type encryption schemes.

ここで、ノイズ分布が一般のLWE問題は、qを整数とし、一様ランダムに選ばれた秘密ベクトルa,s←U(Z )と、あるZ上の確率分布χから標本抽出するノイズe←χから計算されたサンプル
(a←U(Z ),b:=<a,s>+e)∈Z ×Z
と、ランダムに生成されたサンプル
(a←U(Z ),b←U(Z))∈Z ×Z
とを識別する問題である。
Here, the LWE problem with a general noise distribution is as follows: q is an integer, and the secret vectors a, s are uniformly randomly selected, U(Z n q ), and the noise e ← χ sampled from a probability distribution χ on Z q is calculated as (a ← U(Z n q ), b : = <a, s> + e) ∈ Z n q × Z q
and the randomly generated sample (a←U(Z n q ), b←U(Z q ))∈Z n q ×Z q
The problem is to distinguish between

なお、LWEのノイズ分布χには、エラーレートα:=σ/qの、つまり標準偏差σ=qαの離散ガウス分布Φα:=N(0,σ)が用いられることが標準的であり、この場合の計算困難性が良く知られている。 For the noise distribution χ of LWE, it is standard to use a discrete Gaussian distribution Φ α :=N(0,σ 2 ) with an error rate α:=σ/q, i.e., a standard deviation σ=qα, and the computational difficulty of this case is well known.

また、LWR問題は、q,pを整数とし、一様ランダムに選ばれた秘密ベクトルa,s←U(Z )から計算されたサンプル
(a←U(Z ),b:=「p/q<a,s>」)∈Z ×Z
と、ランダムに生成されたサンプル
(a←U(Z ),b←U(Z))∈Z ×Z
とを識別する問題である。
The LWR problem is solved by solving a sample (a←U(Z n q ), b:=“p/q<a,s>”)∈Z n q ×Z q , where q and p are integers and the secret vectors a and s are uniformly chosen at random.
and the randomly generated sample (a←U(Z n q ), b←U(Z q ))∈Z n q ×Z q
The problem is to distinguish between

このLWRサンプルの丸め誤差を、
ξ:=「(p/q)<a,s>」-(p/q)<a,s>
と定義すると、丸め誤差ξは、[-1/2,1/2)の一様分布に従う。よって、
(q/p)「(p/q)<a,s>」
=(q/p)((p/q)<a,s>+ξ)=<a,s>+(q/p)ξ
と式変形できることから、LWR問題は、ノイズが(q/p)ξのLWE問題に変形可能であり、(q/p)ξは、[-q/(2p),q/(2p))の一様乱数となる。
The rounding error of this LWR sample is
ξ:= "(p/q)<a,s>" - (p/q)<a,s>
Then, the rounding error ξ follows a uniform distribution on [-1/2, 1/2).
(q/p) “(p/q)<a,s>”
=(q/p)((p/q)<a,s>+ξ)=<a,s>+(q/p)ξ
Since the LWR problem can be transformed into an LWE problem with noise of (q/p)ξ, (q/p)ξ is a uniform random number of [−q/(2p), q/(2p)).

このことから、設計装置1は、例えば、ガウスノイズのLWE問題から帰着したuLWE問題を安全性の根拠として、さらにLWR型暗号方式を設計することも可能である。 For this reason, the design device 1 can further design an LWR-type encryption scheme, for example, by using the uLWE problem, which is derived from the LWE problem in Gaussian noise, as the basis for security.

本実施形態によれば、設計装置1は、第1暗号方式の安全性の帰着元である第2暗号方式において達成したいセキュリティレベルの入力を受け付け、この安全性の帰着に基づいて、攻撃者に許容するサンプル数に依存して設計された第1暗号方式のパラメータの計算式のうち、攻撃者に許容するサンプル数を、安全性の帰着を証明可能な最小値として、パラメータを算出する。 According to this embodiment, the design device 1 accepts input of the security level to be achieved in the second encryption method, which is the source of the security of the first encryption method, and calculates parameters based on this security attribution, using the number of samples allowed to an attacker as the minimum value for which the security attribution can be proven, out of the formula for calculating the parameters of the first encryption method, which is designed depending on the number of samples allowed to an attacker.

これにより、設計装置1は、攻撃者に許容するサンプル数に依存して設計された従来のパラメータ計算式を用いて、サンプル数によらず安全性が保証され、かつ、効率的な暗号方式を構成可能なパラメータを出力できる。したがって、サンプル数に依存してセキュリティパラメータ値が変動する任意のパラメータ設計装置を、サンプル数に依存しないパラメータ設計装置へ改良することが可能である。 As a result, the design device 1 can output parameters that can be used to configure an efficient encryption method and whose security is guaranteed regardless of the number of samples, using a conventional parameter calculation formula designed depending on the number of samples allowed for an attacker. Therefore, it is possible to improve any parameter design device in which security parameter values vary depending on the number of samples, into a parameter design device that is not dependent on the number of samples.

なお、前述の実施形態により、例えば、安全な暗号方式の設計が容易にできることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。 The above-mentioned embodiment makes it easy to design a secure encryption method, which can contribute to the achievement of Goal 9 of the United Nations-led Sustainable Development Goals (SDGs), which is to "build resilient infrastructure, promote sustainable industrialization and foster innovation."

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. Furthermore, the effects described in the above-described embodiments are merely a list of the most favorable effects resulting from the present invention, and the effects of the present invention are not limited to those described in the embodiments.

設計装置1による設計方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。 The design method using the design device 1 is realized by software. When realized by software, the programs that make up this software are installed in an information processing device (computer). These programs may be recorded on removable media such as CD-ROMs and distributed to users, or may be distributed by being downloaded to the user's computer via a network. Furthermore, these programs may be provided to the user's computer as a web service via a network without being downloaded.

1 設計装置
10 制御部
11 入力部
12 取得部
13 算出部
20 記憶部
REFERENCE SIGNS LIST 1 design device 10 control unit 11 input unit 12 acquisition unit 13 calculation unit 20 storage unit

Claims (4)

1暗号方式の安全性の帰着元である第2暗号方式において達成したいセキュリティレベルの入力を受け付ける入力部と、
前記安全性の帰着に基づき、前記セキュリティレベル及び攻撃者に許容するサンプル数に依存して設計された前記第1暗号方式の効率性に関わるパラメータの計算式を記憶部から取得する取得部と、
前記計算式に含まれている前記攻撃者に許容するサンプル数を、前記安全性の帰着を証明可能な最小値として、前記パラメータを算出する算出部と、
前記パラメータを出力する出力部と、を備える設計装置。
an input unit for receiving an input of a security level to be achieved in a second encryption method to which the security of the first encryption method is attributed;
an acquisition unit that acquires, from a storage unit , a formula for calculating a parameter related to efficiency of the first encryption scheme that is designed depending on the security level and the number of samples allowed for an attacker based on the attribution of security;
a calculation unit that calculates the parameter by setting the number of samples allowed to the attacker, which is included in the calculation formula, as a minimum value that allows the conclusion of the security to be proven;
and an output unit that outputs the parameters .
前記第1暗号方式は、法qに対して、一様ノイズ[-ρq,ρq]を用いたLWE型暗号方式であり、
前記第2暗号方式は、エラーレートα、標準偏差σ=αqのガウスノイズを用いたLWE型暗号方式であり、
前記算出部は、前記達成したいセキュリティレベルとしてのα、前記許容するサンプル数m、次数n、及び任意定数ζ∈(0,1)に基づく前記計算式ρ=α・m・nζに対して、m=3nを代入してρを算出する請求項1に記載の設計装置。
The first encryption method is an LWE type encryption method using uniform noise [−ρq, ρq] for a modulus q,
the second encryption method is an LWE type encryption method using Gaussian noise with an error rate α and a standard deviation σ=αq,
2. The design device according to claim 1, wherein the calculation unit calculates ρ by substituting m = 3n into the formula ρ = α m n ζ , which is based on α as the security level to be achieved, the allowable number of samples m, an order n, and an arbitrary constant ζ ∈ (0, 1).
前記第1暗号方式は、法qに対して、エラーレートα’、標準偏差σ’=α’qのbinary secret Module-LWE型暗号方式であり、
前記第2暗号方式は、エラーレートα、標準偏差σ=αqのガウスノイズを用いたModule-LWE型暗号方式であり、
前記算出部は、前記達成したいセキュリティレベルとしてのα、前記許容するサンプル数m、次数n、及びランクdに基づく前記計算式α’=α・√m・n・dに対して、m=dを代入してα’を算出する請求項1に記載の設計装置。
the first encryption scheme is a binary secret module-LWE type encryption scheme with an error rate α' and a standard deviation σ'=α'q for a modulus q;
The second encryption method is a Modular LWE type encryption method using Gaussian noise with an error rate α and a standard deviation σ=αq,
2. The design device according to claim 1 , wherein the calculation unit calculates α' by substituting m = d into the formula α' = α · √m · n 2 · d, which is based on α as the security level to be achieved, the allowable number of samples m, the order n, and the rank d.
請求項1から請求項3のいずれかに記載の設計装置としてコンピュータを機能させるための設計プログラム。 A design program for causing a computer to function as a design device according to any one of claims 1 to 3.
JP2021106863A 2021-06-28 2021-06-28 Design device, design method, and design program Active JP7530337B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021106863A JP7530337B2 (en) 2021-06-28 2021-06-28 Design device, design method, and design program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021106863A JP7530337B2 (en) 2021-06-28 2021-06-28 Design device, design method, and design program

Publications (2)

Publication Number Publication Date
JP2023005134A JP2023005134A (en) 2023-01-18
JP7530337B2 true JP7530337B2 (en) 2024-08-07

Family

ID=85107692

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021106863A Active JP7530337B2 (en) 2021-06-28 2021-06-28 Design device, design method, and design program

Country Status (1)

Country Link
JP (1) JP7530337B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7820329B2 (en) * 2023-03-31 2026-02-25 Kddi株式会社 Safety evaluation device, safety evaluation method, and safety evaluation program

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009194602A (en) 2008-02-14 2009-08-27 Kddi R & D Laboratories Inc Encryption protocol generating device, encryption protocol generating method, and program
JP2019113698A (en) 2017-12-22 2019-07-11 Kddi株式会社 Design device, design method, and design program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009194602A (en) 2008-02-14 2009-08-27 Kddi R & D Laboratories Inc Encryption protocol generating device, encryption protocol generating method, and program
JP2019113698A (en) 2017-12-22 2019-07-11 Kddi株式会社 Design device, design method, and design program

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Katharina Boudgoust et al.,Towards Classical Hardness of Module-LWE: The Linear Rank Case,LNSC, Advances in Cryptology - ASIACRYPT 2020,2020年,volume 12492,pp. 289-317
Nico Doettling et al.,Lossy Codes and a New Variant of the Learning-With-Errors Problem,LNSC, Advances in Cryptology - EUROCRYPT 2013,2013年,Volume 7881,pp. 18-34

Also Published As

Publication number Publication date
JP2023005134A (en) 2023-01-18

Similar Documents

Publication Publication Date Title
Broadbent et al. Quantum encryption with certified deletion
Brakerski et al. Two-message statistically sender-private OT from LWE
Boyle et al. On extractability obfuscation
Curtis et al. On the feasibility and impact of standardising sparse-secret LWE parameter sets for homomorphic encryption
Oswald et al. Advances in Cryptology–EUROCRYPT 2015: 34th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Sofia, Bulgaria, April 26-30, 2015, Proceedings, Part II
Chen Cryptography standards in quantum time: new wine in old wineskin?
JP6305642B2 (en) Message authenticator generating apparatus, message authenticator generating method, and message authenticator generating program
Gorbenko et al. Post-quantum message authentication cryptography based on error-correcting codes
Laarhoven et al. Solving hard lattice problems and the security of lattice-based cryptosystems
JP7530337B2 (en) Design device, design method, and design program
Berman et al. From laconic zero-knowledge to public-key cryptography
Bitansky et al. Statistically sender-private OT from LPN and derandomization
Fan et al. Various proxy re-encryption schemes from lattices
Yang et al. Fully Homomorphic Encryption with Chosen-Ciphertext Security from LWE
Russell et al. How to fool an unbounded adversary with a short key
JP5730804B2 (en) Encryption device, re-encryption key obfuscation device, re-encryption device, decryption device, and re-encryption system
Cachet et al. Upgrading fuzzy extractors
Schanck Practical lattice cryptosystems: NTRUEncrypt and NTRUMLS
Cheng et al. CCA secure multi-recipient KEM from LPN
Dai et al. Super-linear time-memory trade-offs for symmetric encryption
Micciancio Cryptographic functions from worst-case complexity assumptions
KR101523053B1 (en) System and method for verifiably encrypted signatures from lattices
Levina et al. Security analysis of hybrid attack for NTRU-Class encryption schemes
Döttling et al. Universal proxy re-encryption
Ben-Sasson et al. On public key encryption from noisy codewords

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230720

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240229

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240312

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240415

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240709

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240726

R150 Certificate of patent or registration of utility model

Ref document number: 7530337

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150