Cryptanalysis

知道私有多項式的安全含義是什麼FFmathcal{F}

  • April 18, 2020

一、仿射變換 $ S,T $ 定義為 $ S=A_1+v_s, T=A_2+v_t $ . 讓私有多項式函式 $ \mathcal{F} $ 為人所知。公鑰映射的簡短描述是 $ P(X) = T \circ \mathcal{F} \circ S(X) $ . 回想一下,常見的多元方案是基於IP2的安全假設,即具有兩個秘密的多項式的同構

結果是只應用轉換 $ T $ 和 $ S=I_n $ (恆等式)使該方案容易受到線性代數攻擊。我們可以恢復變換矩陣 $ T $ 因為我們已經知道它改變了 $ \mathcal{F} $ 到公鑰矩陣。

此外,使用 $ T=I_n $ 和 $ S $ 一個任意可逆仿射函式,現在的問題等價於IP1,這可以從所謂的多項式仿射等價問題 (PAE) 中說明(參見$$ 1 $$部分 $ 2.3 $ 和 $ 3 $ )。給定 $ \mathcal{F}(x) $ 和 $ \mathcal{F}(S(x)) $ 尋找 $ S $ . 如果不小心設計,基於IP1的方案可能容易受到攻擊,請參閱$$ 2 $$.

然後,如果我們想從這一點上保持安全性,我們將被限制為 IP2。回想一下,包括任意可逆仿射變換 $ S,T $ 將使輸入輸出為 $ \mathcal{F} $ 未知,甚至知道 $ \mathcal{F} $ . 那麼作為 $ T $ 轉換一個未知的輸入,我們從這里或從PAEIP1的角度都沒有學到任何東西,因為我們只知道一組二次方程 $ B $ 但集 $ A $ 仍然隱藏在轉換中 $ T $ .


在前面的描述中,我試圖證明私有多項式的知識 $ \mathcal{F} $ 當方案基於IP2的假設時,無效。

但是,如果私有多項式有任何復雜性 $ \mathcal{F} $ 從其他角度為公眾所知?

我的直覺說正在恢復 $ T $ 是致命的 $ \mathcal{F}(X), \mathcal{F^{-1}}(X) $ 已知攻擊者獲得 $ F^{-1}(Y)=S(X) $ . 然後要解決IP1他必須建立仿射等價函式 $ S $ 之間 $ \mathcal{F}(X) $ 和 $ \mathcal{F}(S(X)) $

如果攻擊者不擁有 $ \mathcal{F} $ 會心 $ T $ 將產生 $ F \circ S(X) $ 但他還不知道 $ \mathcal{F}(X) $ ,因此無法從此處遵循IP1 。

讓我們在重新審視研究後回答我的問題。首先引用以下文本$$ 2 $$. 請注意,我已更改變數名稱以適合我的描述。這裡 $ P(X) = T \circ F \circ S(X) $ .

一個懸而未決的問題是知道如果多項式集合這些方案是否仍然安全 $ \mathcal{F} $ 是公開的。在這種情況下,這些方案的安全性不僅取決於找到非線性方程組的公共零點的難度,還取決於 $ \mathcal{IP} $ (多項式的同構)問題(當 $ \mathcal{F} $ 和 $ \mathcal{P} $ 給出,問題是恢復對 $ (A_1,v_s) $ 和 $ (A_2,v_t) $ ).

在這篇文章中,私有多項式 $ \mathcal{F} $ 是公開的,此外,所描述的方法將IP2減少到IP1,如果 $ T $ 已知,IP1完全不安全$$ 2 $$. 另一方面,如果 $ S $ 已知 $ T $ 由基本線性代數恢復。

然後我得出結論,一個密碼系統 $ \mathcal{F} $ 已知取決於IP2假設(發現 $ (S,T)) $ 和 $ \mathcal{MQ} $ 隱含的問題。[您可以從 2 ] 部分跟進 $ 6.2 $

編輯:此外,當私有多項式已知時,IP1完全被破壞。然而,如果多項式 $ \mathcal{F} $ 是未知的,可以訪問預言機然後以明文形式查詢規範向量將顯示 $ S $ 也。基於 MPKC 的安全密碼系統必須滿足設計中的IP2假設,等等。

引用自:https://crypto.stackexchange.com/questions/77323