格密码学重要概念: 高斯采样

1 高斯采样的重要性

许多最近的基于格的方案需要从离散高斯中采样(例如,参见[Bai14],[MP12],[Lyu12],[GPV08],[BLISS13])。离散高斯参数由特殊方案的安全证明决定。现有算法不能从离散高斯分布中采样,因此必须从统计上接近它的分布中采样。通常的做法是要求采样分布与期望的离散高斯分布的统计距离小于 2 − 100 2^{-100} 2100

2 高斯采样的效率

1如果要实现小于 2 − 100 2^{-100} 2100的统计距离,计算概率需要至少100位精度的浮点操作。而任何预计算都意味着存储相同精度的变量值。这可能会严重影响个人计算机上的采样性能,甚至使实现在受限设备上完全不切实际。高斯采样占签名方案[Lyu12]运行时间的50%。因此,对离散高斯信号进行有效采样对这些基元的性能起着至关重要的作用.

3 高斯采样改进

在整数上的高斯抽样是基于格的密码学的一个关键工具,但在最近几年,执行一个通用的,有效的和可证明的安全高斯抽被证明是一个巨大的挑战。严重的是,高斯采样容易遭受侧信道攻击23

并行高斯采样4
整数上恒定时间的高斯采样56
使用均匀采样替代。

附:对高斯采样的攻击

侧信道攻击7

参考


  1. Thomas Prest. Gaussian Sampling in Lattice-Based Cryptography. Theses, École Normale Supérieure,December 2015. ↩︎

  2. Bruinderink L G, Hulsing A, Lange T, et al. Flush, Gauss, and Reload - A Cache Attack on the BLISS Lattice-Based Signature Scheme[J]. Cryptographic Hardware and Embedded Systems - Ches 2016, 2016. ↩︎

  3. Pessl P, Bruinderink L G, Yarom Y. To BLISS-B or not to be: Attacking strongSwan’s Implementation of Post-Quantum Signatures[C], 2017. ↩︎

  4. Chris Peikert. An efficient and parallel Gaussian sampler for lattices. CRYPTO 2010. ↩︎

  5. Raymond K. Zhao, Ron Steinfeld, and Amin Sakzad. FACCT: fast, compact, and constant-time discrete gaussian sampler over integers. IEEE Trans. Computers ↩︎

  6. D.Micciancio and Michael Walter. Gaussian sampling over the integers: Efficient, generic,constant-time. CRYPTO 2017. ↩︎

  7. Pierre-Alain Fouque. Key recovery from Gram-Schmidt norm leakage in hash-and-sign signatures over NTRU lattices, EUROCRYPT 2020. ↩︎

你可能感兴趣的:(#,格密码学重要概念)