格密码：陷门OWF（Short Basis、Gadget）

参考资料：

1. Peikert C. A decade of lattice cryptography[J]. Foundations and trends® in theoretical computer science, 2016, 10(4): 283-424.

OWF

• 基于SIS的OWF

  • 随机矩阵$A\in Z_q^{n\times m}$，输入短向量$x\in Z^m$，定义$f_A(x):=Ax\in Z_q^n$
  • $L=L^{\perp }(A):=\{z\in Z^m|Az=0\in Z_q^n\}\supseteq q{Z}^m$

• 基于LWE的OWF

  • 随机矩阵$A\in Z_q^{n\times m}$，输入随机向量$s\in Z_q^n,e\leftarrow {\chi }^m$，定义$g_A(s,e):=s^{t}A+e^t\in Z_q^m$
  • $L=L(A):=\{A^{t}s|s\in Z_q^n\}+q{Z}^m$

• preimage sampleable trapdoor functions (PSFs)

  • Preimage Sampleable Functions：

    一个可有效计算的函数$f:X\to Y$，定义域$X$上有可有效采样的分布$D$；如果存在有效随机算法$f^{-1}$，对于以下两种采样方式：

    1). $Forward$：从分布中采样$x\leftarrow D$，令$y=f(x)$

    2). $Reverse$：均匀采样$y\leftarrow Y$，令$x=f^{-1}(y)$

    使得$(x,y=f(x))$有相同的联合分布，那么$f$是“preimage sampleable”的。

  • $f_A(x)$是满射OWF，其对应的PSFs的$f^{-1}$输出不唯一，且满足离散高斯分布。

  • $g_A(s,e)$是单射OWF，其对应的PSFs的$f^{-1}$输出唯一确定。

• 如果给定格$L$的陷门，那么求解SIS问题和LWE问题是容易的，因此$f_A^{-1}(\cdot )$和$g_A^{-1}(\cdot )$可以给出。下面介绍两种主要的陷门：1). 短格基；2). 工具矩阵。

Short Basis

• 存在有效随机算法，输入任意校验矩阵$A\in Z_q^{n\times m}$，给出格$L=L^{\perp }(A)=\{x\in Z^m|Ax=0(modq)\}$的HNF基底$B$。

• $Ajtai$指出，存在有效随机算法，输入$n,q,m\ge Cn$，$C$是常数，输出 (近似) 均匀随机的校验矩阵$A\in Z_q^{n\times m}$，同时输出格$L=L^{\perp }(A)=\{x\in Z^m|Ax=0(modq)\}$的一组短格基$S\in Z^{m\times m}$，$\Vert S\Vert =\underset{s_i}{\max }\Vert s_i\Vert =O(poly(n,logq))$。实际上，可以先高斯采样得到$S$，然后均匀采样$a_{i}S=0$来组成$A$；注意，给定一个$A$，然后再计算陷门$S$是困难的。

• $GPV$指出，存在有效随机算法，给定格$L$的短格基$S\in R^{m\times m}$，对于任意陪集$c+L$和任意$s\ge \Vert S\Vert \cdot \omega (\sqrt{logO(n/ϵ)})$，输出服从离散高斯分布$D_{c+L,s}$的一个采样$v\in c+L$；可用于求解SIS

• $Babai$指出，存在有效随机算法，给定格$L$的短格基$S\in R^{m\times m}$，求解BDD是容易的：给定任意$t=v+e,v\leftarrow L^{\ast }$，计算：
  $$\lfloor t^t\cdot S\rceil \cdot S^{-1}=v^t+\lfloor e^t\cdot S\rceil \cdot S^{-1}=v^t$$
  结果正确，只要满足$\lfloor e^t\cdot S\rceil \in [-0.5,0.5{)}^m$；可用于求解LWE

• GPV给出了一种基于格的PSFs描述：

  • $Gen$：格$L\subset R^m$，并给出其公开描述 (如，HNF格基)，格的短格基$S$作为陷门；高斯参数$s\ge \Vert S\Vert \cdot \omega (\sqrt{logn})$，$R^m$上的连续高斯分布$D_s$
  • $Forward$：输入随机短向量$x\leftarrow D_s,\Vert x\Vert \le s\sqrt{m}$，利用格的公开描述，输出陪集$y=f_L(x):=x+L\in R^m/L$，其中$y$可以用一个长向量代表。
  • $Reverse$：输入陪集代表$y$，利用陷门$S$，从离散高斯分布$D_{y+L,s}$中采样得到$x\in y+L$，且$x$以极大概率很短。

• 校验矩阵$A\in Z_q^{n\times m}$，格$L=L^{\perp }(A)$；对于$Ac=u$，定义陪集$L_u^{\perp }(A):=c+L\in Z^m/L$，且
  $$L_u^{\perp }(A)=\{z\in Z^m|Az=u\in Z_q^n\}$$

• 基于SIS问题，单向、抗碰撞的$Lattice-basedPSFs$实例：

  • $Gen$：均匀随机矩阵$A\in Z_q^{n\times m}$，令$L=L^{\perp }(A)$，陷门为短格基$S\in Z^{m\times m}$
  • $Forward$：输入$x\leftarrow D_{Z^m,s}$，输出$y=f_A(x)\in Z_q^n$，视作陪集$L_y^{\perp }(A)=x+L$的典型代表
  • $Reverse$：输入$y\in Z_q^n$，利用陷门$S$，从$D_{L_y^{\perp }(A),s}$中采样

• 短格基的扩展 (extended) 和随机化 (re-randomized)：

  • 校验矩阵$A\in Z_q^{n\times m}$，其陷门$S$，有$A\cdot S=0(modq)$；利用$S$，对于任意的$A_1$，SIS问题$A\cdot W=-A_1(modq)$的短整数解$W$是容易求的。对于扩展校验矩阵$A^{\prime }=[A|A_1]$，其陷门为：
    $$S^{\prime }=\left[\begin{array}{ccc}S& & W\\ 0& & I\end{array}\right]$$
    利用Gram-Schmidt vectors $S$ 评估$S$的质量。那么$S^{\prime }=diag(S,I)$，有$\Vert S^{\prime }\Vert \le \Vert S\Vert$

  • 校验矩阵$A\in Z_q^{n\times m}$，其陷门$S$，有$A\cdot S=0(modq)$；利用$S$，可有效得到若干的独立高斯采样$s^{\prime }$，满足$A\cdot s^{\prime }=0(modq)$，按列组合成新的随机短矩阵$S^{\prime }$，且$\Vert s^{\prime }\Vert \le O(\Vert S\Vert \cdot \sqrt{m})$

Gadget

• 工具 (行) 向量$g=[1,2,...,2^{l-1}]\in Z_q^l$，其中$l=\lceil logq\rceil$；为方便起见，可以令$q=2^l$

• 定义 $f_g(x)=g\cdot x(modq)$ 和 $g_g(s,e)=s^t\cdot g+e(modq)$

  • $f_g(x)$的反函数：输入$u=g\cdot x\in Z_q,x\in Z_q^l$；简单的将$u$用二进制表出，$u=u_{l-1}...u_1{u}_0$，输出$x=[u_0,u_1,...,u_{l-1}]$；需要注意，这种方法的输出是确定性的，但可以利用算法改进得到满足离散高斯分布的解
  • $g_g(s,e)$的反函数：输入$b\approx s\cdot g^t\in Z_q^l,s\in Z_q$；易知$b=[2^{0}s+e_0,2^{1}s+e_1,...,2^{l-1}s+e_{l-1}](modq=2^l)$；因此$b_{l-1}\approx s\ll (l-1)$，可以恢复出最低比特$s_0$，再$b_{l-2}\approx s\ll (l-2)$，可以恢复出次低比特$s_1$，继续恢复出其他比特；输出$s=s_{l-1}...s_1{s}_0$

• 工具矩阵$G$，其中$g=[1,2,...,2^{l-1}]\in Z_q^l,0\in Z_q^l$都是行向量
  $$G:=I_n\otimes g=\left[\begin{array}{cccc}g& 0& \cdots & \\ 0& g& 0& \\ ⋮& 0& \ddots & ⋮\\ & & ...& g\end{array}\right]\in Z_q^{n\times nl}$$

• 定义 $f_G(x)=Gx(modq)$ 和 $g_G(s,e)=s^{t}G+e(modq)$，对$G$分组得到$G=[G_1,...,G_{nl}]\in (Z^{n\times l}{)}^n$，利用$f_g^{-1},g_g^{-1}$的解法，可以得到 $f_G^{-1}:Gx\mapsto x$ 和 $g_G^{-1}:s^{t}G+e\mapsto s$

• 定义映射$G^{-1}:Z_q^n\to Z^{nl}$，输入$u$，输出$Gx=u(modq)$的满足离散高斯分布的短向量解$x$ (通过分组，分别恢复$x_i$)。$G^{-1}$不是矩阵，只是一种随机映射函数，满足：$G\cdot G^{-1}(u)=u(modq)$，$G^{-1}(G\cdot x)=x(modq)$

• 给定任意可逆方阵$H\in Z_q^{n\times n}$，关于$HG$的SIS与LWE是容易的：

  • $(HG)x=u$，则$x=f_G^{-1}(H^{-1}u)=G^{-1}(H^{-1}\cdot u)$
  • $b^t\approx s^t\cdot (HG)$，则$(s^{t}H{)}^t=g_G^{-1}(b)$，于是$s=(H^t{)}^{-1}\cdot g_G^{-1}(b)$

• 对于校验矩阵$A\in Z_q^{n\times m}$，定义陷门 (trapdoor) 是短矩阵$R\in Z^{m\times nl}$，相应的标签 (tag) 是可逆矩阵$H\in Z_q^{n\times n}$，满足：$AR=HG(modq)$；用陷门最大奇异值$s_1(R):=\underset{\Vert u\Vert =1}{\max }\Vert Ru\Vert$来衡量陷门的质量，$s_1(R)$越小那么陷门质量越好。

• 常数矩阵$G\in Z_q^{n\times nl}$包含$I_n$作为子式，确切地说：$I_n=[G_0|G_l|...|G_{(n-1)l}]$；因此，若给定$A$的一个陷门$R\leftarrow \chi$，其中$\chi$是$Z_q^{n\times nl}$上的离散高斯分布，对应的$H$是：$H=[(AR{)}_0|(AR{)}_l|...|(AR{)}_{(n-1)l}]$。因此，我们先选取$R$和$H$，然后令$A=HG{R}_{(n)}^{-1}$，其中$R_{(n)}$表示一个$n$阶可逆子方阵。注意，对于给定的$A$，然后再计算陷门$R$是困难的。

• 对于校验矩阵$A\in Z_q^{n\times m}$，给定短陷门矩阵$R\in Z^{m\times nl}$

  • SIS是容易的：$Ax=u(modq)$，令$x=R\cdot w$，只需求解$AR{R}^{-1}x=(HG)w=u$，得到$w$；其中$w=G^{-1}(H^{-1}u)$是短向量，从而$\Vert x\Vert \le s_1(R)\cdot \Vert w\Vert$
  • LWE是容易的：$b^t=s^{t}A+e$，令$c^t=b^{t}R$，只需求解$c^t\approx s^{t}AR=s^t\cdot (HG)$，得到$s$

• $TrapdoorPunctuing$：

  对于均匀随机的$\bar{A}\in Z_q^{n\times \bar{m}}$，短随机矩阵$\bar{R}\in Z^{\bar{m}\times nl}$，随机可逆矩阵$H\in Z_q^{n\times n}$，易知：
  $$A:=[\bar{A}|HG-\bar{A}\bar{R}]\in Z_q^{n\times (\bar{m}+nl)}$$

  $$R:=\left[\begin{array}{c}\bar{R}\\ I\end{array}\right]\in Z^{(\bar{m}+nl)\times nl}$$

  $$AR=HG$$

  进一步的，定义：
  $$A_{H^{\prime }}:=A-[0|H^{\prime }G]=[\bar{A}|(H-H^{\prime })G-\bar{A}\bar{R}]$$
  那么只要$H\ne H^{\prime }$且$H-H^{\prime }$在$Z_q$上可逆 (invertible differences)，那么$R$就是任意的$A_{H^{\prime }}$的陷门，对应的标签是$H-H^{\prime }$

• 陷门的扩展 (extended) 和随机化 (re-randomized)：

  • 校验矩阵$A\in Z_q^{n\times m}$，其陷门$R$；对于任意的$A_1$，以及任意可逆矩阵$H^{\prime }$，对于扩展校验矩阵$A^{\prime }=[A|A_1]$，其陷门为：
    $$A^{\prime }\left[\begin{array}{c}{R}^{\prime }\\ I\end{array}\right]=H^{\prime }G$$
    利用$R$，采样一个关于$A$的满足离散高斯分布的解$R^{\prime }$：
    $$A{R}^{\prime }=H^{\prime }G-A_1$$

  • 校验矩阵$A\in Z_q^{n\times m}$，其陷门$R$；对于任意可逆矩阵$H^{\prime }$，利用$R$做离散高斯采样，可以生成对应的新的随机陷门$R^{\prime }$：
    $$A{R}^{\prime }=H^{\prime }G$$