NTRU

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

NTRU[1] היא מערכת הצפנת מפתח ציבורי וחתימה דיגיטלית מבוססת סריגים מוגנת בפטנט וקוד פתוח ברישיון GPL, שהומצאה ב-1996 והוצעה כתקן חלופי למערכות הקיימות RSA ו-ECC. נכללת ברשימת האלגוריתמים הפוסט-קוונטיים וידועה כמערכת האסימטרית המהירה והיעילה ביותר נכון לשנת 2016. למרות היותו בתהליך תיקנון Std 1363.1 של IEEE וכן X9.98 של ASC, בשל קריפטואנליזה שלו ביטחונו אינו ברור והוא מוטל בספק. קיימת גרסה אחת של Damien Stehlé ו- Ron Steinfeld שנמצאת בתהליך תקנון וניתנת להוכחה כבטוחה לפי המודל הסטנדרטי, היא פחות יעילה ומסתמכת על R-LWE[2].

היסטוריה

הגרסה הראשונה הומצאה ב-1996 על ידי Jeffrey Hoffstein ,Joseph Silverman ו- Jill Pipher. מאוחר יותר באותה שנה חברו המפתחים ל-Daniel Lieman ויסדו את חברת NTRU Cryptosystems שנרכשה ב-2009 על ידי Security Innovation[3].

שם הצופן הוא קיצור של Nth Degree Truncated Polynomial Ring Units כלומר חוג הפולינומים ממעלה או בסימון מתמטי: . השם מבוטא: "אֶנְטרוּ".

ב-2013 פותחה גרסה של NTRU[4] המוכחת כבטוחה ואשר נחקרת על ידי קבוצות המחקר של IEEE ופרויקט PQCRYPTO כמועמדת "פוסט-קוונטית" להחלפת האלגוריתמים התיקניים הנמצאים בשימוש מסחרי. ב-2016 הציעו דניאל ברנשטיין וחוקרים נוספים את NTRU Prime[5] שהוא שיפור של NTRU המתמקד בחוג פולינומים של המערכת ואמור לספק עמידות נגד קריפטואנליזה שמנצלת חולשות הנובעות ממבנה החוג.

בהשוואת ביצועים לעומת RSA ו-ECC למשל (ראה טבלה), נמצא ש-NTRU מציגה תוצאות טובות בהרבה[6]. זמן הביצוע של הפעולות הפרטיות בצד המקבל אינו גדל באופן ריבועי כמו ב-RSA. בניסויים שנעשו NTRU השיגה זמן ביצוע בחומרה של כ-200,000 הצפנות לשנייה ברמת בטחון של 256 סיביות.

דרגת בטחון NTRU אורך מפתח ECC RSA NTRU פעולות/שנייה ECC RSA
בסיביות רגיל אופטימלי אורך מפתח רגיל אופטימלי פעולות/שנייה
112 5,951 4,411 224 2,048 2,284 10,638 951 156
128 6,743 4,829 256 4,096 1,896 9,901 650 12
192 9,757 6,523 384 7,680 1,034 6,849 285 8
256 12,881 8,173 512 15,360 638 5,000 116 1

חברת Security Innovation מציעה פרסים של עד 90,000 דולר למי שיצליח לפרוץ את אחד ממספרי האתגר מהרשימה שפורסמה[7].

רקע מתמטי

הצפנת NTRU[8] משתמשת בטכניקת ערבוב המבוססת על אלגברה בחוג הפולינומים והאינטראקציה שלה עם חשבון מודולרי ואילו הפענוח הוא הפעולה ההפוכה כלומר שחזור פעולת הערבוב במידה מסוימת בסיוע תורת ההסתברות. בדומה ל-GGH בטחון מערכת ההצפנה NTRU נשען במידה ניכרת על הבעיה הקשה שבמציאת הווקטור הקרוב ביותר בתורת הסריגים בקיצור SVP. מערכת זו נכללת בקטגוריה הצפנה הסתברותית, שפירושה שהיא כוללת אלמנט אקראי שונה בכל הצפנה. מה שמייחד אותה היא העובדה שההצפנה והפענוח הם בסיבוכיות של פעולות עבור בלוק מסר בגודל בהשוואה ל-RSA שדורשת פעולות ביישום רגיל לא ממוטב. אורך המפתח הוא והוא קטן במידה ניכרת בהשוואה לשיטות דומות כמו הצפנת מקאליס או GGH.

הגרסה המקורית של NTRU כוללת ארבעה פרמטרים בסיסיים וכן ארבע קבוצות פולינומים ממעלה עם מקדמים שלמים המייצגים את טווח המפתח הפרטי והציבורי, טווח האלמנט האקראי וטווח המסר בהתאמה (מפורטים בהמשך). הוא מספר ראשוני ונקרא כאן פרמטר בטחון והוא קובע את רמת הבטחון של המערכת בהתאם לדרישה, מציין את מספר המקדמים החיוביים והשליליים (מפורט בהמשך). ו- נקראים מודולוס ומשמשים לצמצום המקדמים. הם לא חייבים להיות ראשוניים אך נדרש שיתקיים (כאשר היא פונקציית מכנה משותף מינימלי). וכן צריך להיות גדול משמעותית מ- למשל (אם כי זה לא הכרחי ומסיבות של יעילות רצוי פחות גדול). הפעולות של הצופן הן בחוג הפולינומים . האלמנט הוא פולינום המיוצג על ידי הווקטור:

או בכתיב מקוצר .

כאן מכפלת שני פולינומים (וקטורים ב-) מיוצגת על ידי הסימן . היא נקראת גם קונוולוציה מעגלית והיא מוגדרת כך:

.

בעיקרון פעולת כפל אלמנטים ב- היא בסיבוכיות פעולות כפל בסיסיות מודולו , אם המקדמים קטנים שזה מה שקורה בממוצע, הפעולה תהיה מהירה. אם המקדמים גדולים ייתכן שיהיה יותר מהיר להפעיל את FFT בסיבוכיות זמן של פעולות.

לצורך NTRU משתמשים בפולינום טרינארי שהוא פולינום שבו המקדמים . מייצגים זאת על ידי הסימון שפירושו שבפולינום בסך הכול מקדמים שווים , בסך הכול מקדמים שווים והיתר אפס. לדוגמה:

.

קיים מיפוי טבעי (הומומורפי) בין האלמנטים בחוג לבין אלמנטים מהחוג (מודולו ) המיפוי הוא פשוט צמצום המקדמים מודולו . לפעמים דרוש מעבר בכיוון ההפוך, כלומר אם הוא פולינום, אפשר לבצע "הגבהה" או "מירכוז" (center lift) שלו כך שיתקבל פולינום המקיים , בוחרים את המקדמים באופן כזה שהם יהיו בטווח:

כלומר אם לאחר צמצום ב- מתקבל ערכו יהיה . לדוגמה אם ונתון הפולינום ה-center lift שלו הוא הפולינום כשהמקדמים הם השלמים בטווח .

תיאור האלגוריתם

תיאור הפונקציה NTRUencrypt. להכנה המקבל בוב מכין בסוד שני פולינומים טרינאריים . הפולינום חייב להיות הפיך מודולו ומודולו . לכן הוא נבחר בצורה אחרת לא יהיו לו הופכיים. חישוב ההופכי שלו נעשה עם אלגוריתם אוקלידס המורחב. ההופכיים שלו מסומנים כאן ו- כאשר מתקיים כרגיל:

.

לאחר מכן בוב מחשב את מכפלת הפולינומים: .

המפתח הציבורי של בוב הוא אותו הוא שולח לאליס בערוץ פתוח כלשהו (כמו בכל מערכת הצפנה חלה החובה לאמתו). המפתח הפרטי הוא הפולינום (וכן ההופכיים שלו כאמור) והוא נשמר בסוד. הפולינום אינו נחוץ להצפנה ופענוח ולכן יש להשמידו.

הצפנה

אם אליס רוצה להצפין עבור בוב את המסר . (כלומר המסר צריך להיות ממופה לפולינום טרינארי מהקבוצה בדרך גלויה ומוסכמת על כל הצדדים). היא בוחרת פולינום אקראי חד-פעמי המשמש להסתרת המסר ומשתמשת במפתח הציבורי של בוב כדי לחשב את:

.

ושולחת את לבוב.

פענוח

לפענוח בוב משתמש במפתח הפרטי שלו וההופכי שלו כדי לחשב את:

.

המקבל משנה את המקדמים של כך שיהיו בטווח פעולה זו נקראת center-lift. כעת אם מתייחסים ל- כאל פולינום עם מקדמים שלמים בוב יכול לחלץ את המסר על ידי:

.

הפענוח יצליח בהסתברות גבוהה מאד, אם כי פרמטרים מסוימים עלולים לגרום בסבירות זניחה לכישלון בפענוח. מקרה זה נגרם כתוצאה מכך שהמסר אינו ממורכז כראוי, אפשר לנסות שוב עם מקדמים בהיסט קל מהטווח האמור למשל בין ל- עבור קטן כלשהו ואם גם זה נכשל לא ניתן לפענח את המסר כלל. כאמור אירוע כזה זניח ואפשר להתעלם ממנו בפועל. הוכחה לנכונות הפענוח היא:

.

בבחירת פרמטרים נכונה מקדמי הפולינום האחרון כמעט תמיד בטווח ולכן אינו משתנה כשמצמצמים מודולו . המשמעות היא שכאשר בוב מצמצם את המקדמים של מודולו הוא מקבל את הפולינום בחוג וכאשר הוא מצמצם את המקדמים של מודולו הוא מבטל את ומקבל את הפולינום אותו הוא יכול להכפיל ב- כדי לחלץ את .

חתימה דיגיטלית

הרעיון של האלגוריתם NTRUsign הוא שהחתימה היא הוכחה שהחותם יכול פתור את בעיית הווקטור הקצר ביותר (SVP) בסריג NTRU של הנקודה המיוצגת על ידי המסמך או תמצית שלו. המפתח הפרטי (מפתח החתימה) שלו הוא בסיס קצר של הסריג NTRU והמפתח הציבורי (מפתח האימות) הוא בסיס הרבה יותר ארוך. המוודא יכול בקלות לראות שאכן החתימה היא באמת וקטור קרוב ביותר למסמך. אך עם המפתח הציבורי המוודא אינו יכול בעצמו או שזה קשה מאד עבורו למצוא וקטור קרוב.

מאז המצאתו והצגתו ביורוקריפט 2001, אלגוריתם החתימה NTRUSign סובל מהיסטוריה של בעיות וכשלים רבים ובוצעו מספר תיקונים ותוספות טלאים. תחילה גילו Craig Gentry ו-Mike Szydlo[9] בגרסה המקורית תקלה חמורה, עותקים של החתימה הדיגיטלית חושפים מידע לגבי המפתח הפרטי. המפתחים תקנו את הבעיה ופרסמו אלגוריתם משופר וכן הצעה לתקן R-NSS. ב-2006 פרסמו עודד רגב ו-Phong Nguyen קריפטואנליזה[10] של חתימת NTRU המאפשרת לחשוף את המפתח הפרטי בזמן מאד קצר תוך שימוש ב-400 חתימות בלבד. הפתרון שהוצע היה "הסטה" (perturbation) כלומר החותם מסיט את הנקודה המייצגת את המסר על ידי וקטור סודי קצר. שוב נמצא שהתיקון לא שיפר בהרבה את המצב, בהתקפה שפורסמה[11] אפשר לחשוף את המפתח הפרטי עם 300,000 חתימות בלבד. נכון לשנת 2016 לא ברור אם האלגוריתם ראוי לשימוש במתכונתו הנוכחית למרות התיקונים והטלאים שנוספו.

תיאור האלגוריתם

תחילה החותם בוב בוחר פרמטרים מתאימים באופן כזה שבעיית הווקטור הקצר תהיה קשה לפתרון בסריג בעל מימד מודולו . כמפתח הסודי הוא בוחר שני פולינומים טרינאריים ו- מהצורה ומחשב את המפתח הציבורי בדיוק כמו בתהליך ההכנה של הצפנת NTRU. את הוא שולח כמפתח אימות לאליס ושומר בסוד את כל היתר.

כדי לחתום על מסמך (המסמך מחולק לשני פולינומים שווים), תחילה באמצעות אלגוריתם אוקלידס המורחב מחשב שני פולינומים נוספים שנקראים "חצי בסיס משלים" לסריג NTRU כך שמתקיים . ומחשב את שני הווקטורים:

כאשר הסימון מייצג פולינום עם מקדמים המעוגלים לשלם הקרוב ביותר. החתימה של בוב על המסמך היא: . את החתימה והמסמך הוא שולח לאליס.

המקבלת אליס המעוניינת לוודא את חתימתו של בוב משתמשת במפתח הציבורי שלו כדי לחשב את:

.

היא בוחרת את המקדמים שלו מודולו כך שיהיו קרובים ככל האפשר למקדמים המקבילים של המסמך ומוודא שהווקטור אכן קרוב למסמך (כאמור קל לוודא זאת אך קשה למצוא וקטור כזה, מסיבה זו אליס עצמה או כל אחד אחר לא יוכל לחתום על המסמך מבלי שהדבר יתגלה כתרמית ללא המפתח הפרטי המתאים, כיוון שבהסתברות גבוהה מאד התוצאה תהיה וקטור רחוק למדי).

בטחון

  • כדי לשבור את הצופן המתקיף יכול לנסות כמה דרכים. בשיטת כוח גס המתקיף יכול לנסות לנחש את המפתח הפרטי על ידי ניסוי כל האפשרויות של ובדיקה אם המכפלה מודולו מכילה כניסות קטנות. באותה שיטה אפשר לנסות לנחש את המסר. בעיקרון סודיות המפתח תלויה בגודל הקבוצה ובטחון מסר מוצפן ב-.
  • אם זיכרון זמין התקפת ניפגש באמצע מאפשרת לקצר את זמן הניחוש של המפתח הפרטי בפקטור ריבועי. מחלקים את לשני חצאים נניח ואז משווים זוגות שונים של ו- כן שמקדמיהם בעלי ערך דומה בקירוב. החיפוש מתבצע עם טבלה המכילה רשימה ממויינת של החצי האחד והחיפוש מתבצע על החצי השני עד שנמצא מועמד טוב. לאור זאת הטווח או מספר האלמנטים בקבוצה צריך להיות כפול כדי להגיע לרמת בטחון נדרשת. לדוגמה עבור בטחון מינימלי בסטנדרטים של ימינו הטווח של , ו- צריך להיות בסביבות .
  • אם אליס מצפינה מסרים רבים (נגיד ארבעה או חמשה) עם אותו מפתח ציבורי אך עם מספר אקראי שונה עבור כל מסר כנדרש, המתקיף יכול לנצל נתון זה כדי לשבור את המערכת ולנחש את המסר כדלהלן: נניח שאליס הצפינה את בסך הכול פעמים עם ערכי שונים. המתקיפה איב יכולה לחשב את ומתקבל עבור . היות שהמקדמים של קטנים למעשה היא מקבלת בהסתברות גבוהה את ממנו היא יכולה לגלות מקדמים רבים של ואת היתר היא יכולה לנחש בכוח גס. אם ידוע אפשר לגלות את . מסיבה זו הצפנה חוזרת של מסר נתון אינה מומלצת מבלי להסתיר את המסר על ידי פעולת ערבוב נוספת כלשהי עם אקראיות. כמובן שההתקפה המתוארת יעילה רק עבור מסר אחד ואין בה כדי לסייע בפענוח מסרים אחרים.
  • בעיית חישוב המפתח הפרטי מתוך המפתח הציבורי היא: בהינתן מצא שני פולינומים טרינאריים ו- המקיימים . הוכח שבעיה זו כמעט שקולה לבעיית הווקטור הקצר ביותר במחלקה מיוחדת של סריגים. תאורטית המתקיף יכול לנסות לשבור את המערכת על ידי ניסיון לפתור את בעיית הווקטור הקצר ביותר. אפשר למצוא וקטור כזה בחיפוש ממצא או עם אלגוריתם LLL אך סיבוכיות התקפה כזו לרוב אינה מעשית היות שבעיית הווקטור הקצר ביותר ידועה כבעיה קשה מאד ולא ידוע על פתרון פולינומי.

בחירת פרמטרים

המפתחים הציעו שלוש קונפיגורציות של פרמטרים המציעות דרגות שונות של בטחון מהקל אל הכבד:

אופציה 1. בטחון נמוך המתאים למסרים בעלי חשיבות נמוכה או כאשר המפתחות מוחלפים בתדירות גובהה, כמו בהצפנת שיחה אלחוטית או ממיר טלוויזיה.

. הפולינום פירושו פולינום טרינארי שמכיל 15 מקדמים חיוביים () ו-14 מקדמים שליליים ().

המפתח הפרטי הוא באורך 340 סיביות והמפתח הציבורי באורך 642 סיביות. דרגת בטחון של המפתח היא .

אופציה 2. בטחון בינוני.

המפתח הפרטי באורך 530 סיביות והציבורי 1169 סיביות. רמת בטחון של .

אופציה 3. בטחון גבוה.

אורך מפתח פרטי 1595 סיביות וציבורי 4024 סיביות. רמת בטחון של .

דוגמה במספרים קטנים

הדוגמה הבאה ממחישה את הצפנת NTRU במספרים קטנים. כמובן שבפועל מערכת כזו צריכה להיות בקנה מידה הרבה יותר גדול כדי שתהיה בטוחה. נניח שהפרמטרים של המערכת הם:

להכנה בוב בוחר את הפולינומים:

וכן

ומחשב את ההופכיים שלהם:

בוב שומר את ואת ההופכי שלו כמפתח פרטי.

כעת בוב מחשב ומפרסם ברבים את המפתח הציבורי שלו:

נניח שאליס מעוניינת לשלוח לבוב את המסר:

תחילה היא בוחרת מספר אקראי נניח: משתמשת במפתח הציבורי של בוב ומחשבת את:

אותו היא שולחת לבוב. כאשר בוב מקבל את הוא פועל כדלהלן. תחילה מחשב את:

ואז מבצע מירכוז (Centerlift) של מקדמי התוצאה מודולו ומקבל את:

לבסוף מצמצם את מקדמי מודולו ומכפיל בהופכי:

ממרכז (Centerlift) את התוצאה האחרונה מודולו ומקבל את:

שיטות מתקדמות

הצפנות מבוססות סריגים נכשלו לא אחת בגלל התקפות שניצלו מבנה מיוחד של הסריג למשל בחוג הפולינומים או שדה מסדר ראשוני גבוה. מסיבה זו הוצעו מספר מבנים שונים שנועדו לחזק את המערכת נגד קריפטואנליזה המנצלת חולשות הנובעות ממבנה החוג וכן נגד קרפיטואנליזה קוונטית. כמה מבנים אפשריים הם:

  • כאשר ראשוני ו- הוא חזקה של 2 כמו בגרסה המקורית של NTRU.
  • כאשר הוא חזקה של 2 ו- גם ראשוני. מבנה זה הוצע על ידי Damien Stehlé ו-Ron Steinfeld לשיפור NTRU כך שיהיה בעל בטחון מוכח וכן נמצא בשימוש RingLWE.
  • כאשר ראשוני. הוצע על ידי דניאל ברנשטיין ואחרים כתחליף טוב יותר למבנה החוג ב-NTRU.

ב-2011 הציעו Damien Stehlé ו-Ron Steinfeld גרסה משופרת[12] בשינויים קלים של הצפנה/חתימה דיגיטלית NTRU המוכחת כבטוחה נגד התקפת מוצפן-נבחר במסגרת מודל אורקל אקראי או מודל סיבוכיות סטנדרטי, תחת הנחת הקושי שבפתרון בעיות סריגים (במחשב קלאסי או קוונטי) עם הגבלה לסוג מסוים של סריגים מעל שדה ציקלוטומי. הם הראו שאם בוחרים את הפולינומים הסודיים של המקבל כפונקציית גאוסיין בדידית אז המפתח הציבורי ייראה מבחינה סטטיסטית אחיד ובלתי ניתן להבחנה מעל הטווח שלה. תכונת אי-הבחנה בהקשר של מפתח ציבורי פירושה קושי בניחוש המפתח הפרטי מתוך המפתח הציבורי.

בתהליך ההכנה של NTRU. המפתח הפרטי הוא שני פולינומים "דלילים" ממעלה הנמוכה מ- עם מקדמים . המפתח הציבורי הוא המנה שלהם בחוג . בחירת המפתח הפרטי נעשית כפונקציה גאוסיאנית בדידית באופן כזה שסטיית התקן תהיה בערך . השינויים שהוצעו לעומת הגרסה המקורית הם כדלהלן:

  1. החלפת חוג הפולינומים ב- כאשר הוא חזקה של 2. כך מתקבל חוג שלמים מעל שדה ציקלוטומי.
  2. הוא ראשוני כך שמתקיים מתחלק ל- גורמים (העתקות ליניאריות) שונים מודולו .
  3. ו- נלקחים מתוך דגימה גאוסיאנית דיסקרטית מעל החוג , בתנאי שהם הפיכים מודולו . אם הם אינם הפיכים מתעלמים מהדגימה ומנסים דגימה אחרת עד שהתנאי מתקיים. כמו כן הוא מהצורה כאשר הוא הדגימה הגאוסיאנית האמורה. התוספת האחרונה מקלה על הפענוח כי אם מתקיים לא צריך את ההכפלה האחרונה בהופכי של .
  4. מוסיפים וקטור שגיאה קטן להצפנה כך שההצפנה כעת היא: , כאשר נבחר טווח השגיאה של בעיית RingLWE.

השינויים הללו מעלים מעט את סיבוכיות ההצפנה לעומת ההצעה המקורית, בעיקר בגלל התוספות האמורות, אך בתמורה מושג שיפור משמעותי בבטחון ההצפנה.

תקנים

NTRU נמצא בתהליך תקינה של שני גופים בינלאומיים:

בנוסף האלגוריתם הוצע בטיוטת IETF כמועמד לפרוטוקול TLS. ב-2009 הוזכר NTRU על ידי NIST כמועמד אפשרי לאלגוריתם הצפנה אסימטרי פוסט-קוונטי, שיחליף את האלגוריתמים הנוכחיים. במסגרת המאמץ להתכונן לקראת העידן הקוונטי[15] ב-NIST מתכוונים לפרסם בסוף 2016 תחרות פתוחה[16] שבה יבחנו הצעות לאלגוריתם פוסט-קוונטי.

יישומים

NTRU זמינה כקוד פתוח תחת רישיון GPL ו-FOSS. בתנאי שכל שימוש בו יהיה זמין גם הוא כקוד פתוח. זאת במטרה להסיר מכשולים ולאפשר למפתחים להטמיע את האלגוריתם מהר ככל האפשר. כמו כן האלגוריתם ניתן לשימוש מסחרי תחת רישיון BSD. כיום ישנם ב-GitHub שני פרויקטי קוד פתוח ב-C וב-Java המיישמים את NTRU; פרויקט NTRU[17] תחת רישיון GPL וספריית NTRU[18] ברישיון BSD.

ראו גם

הערות שוליים

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

22383811NTRU