Lattice algorithms and lattice-based cryptography
Algorithmes de réseaux et cryptographie basée sur les réseaux
Résumé
Lattice-based cryptography is an area of research that studies the construction of tools and protocols for secure communication based on hard lattice problems. Lattice-based cryptography is one of the most promising candidates for post-quantum secure communication due to its conjectured security against quantum attacks and algorithmic efficiency. Another attractive feature of lattice-based cryptography is a wide range of available constructions which includes even Fully Homomorphic Encryption (FHE) schemes. This thesis studies algorithms for solving hard lattice problems and their application to evaluating security of lattice-based cryptographic constructions. This thesis has two parts.
In the first part, we introduce a new family of lattice sieving algorithms called cylindrical sieving. Heuristic sieving is currently the fastest approach for solving central lattice problems, the Shortest Vector Problem (SVP) and the Closest Vector Problem (CVP). In this thesis, we propose a new sieving algorithm for solving SVP and CVP, that works with lattice vectors of different geometry compared to usual sieving algorithms. Cylindrical sieving works by generating a list of lattice vectors inside a long and narrow hypercylinder and then it iteratively sieves vectors from the list in order to obtain a new list of vectors inside of much shorter but slightly wider hypercylinder. We show that this approach can be very efficient for solving certain variations of CVP and SVP. First, cylindrical sieving improves asymptotical time complexity for solving SVP on lattices whose volume is a relatively small prime number. For example, it allows to solve SVP for n-dimensional lattice of prime volume about 2^n in time 2^(0.229n). Second, it allows to achieve the polynomial time complexity of one query for solving the Closest Vector Problem with Preprocessing (CVPP), at the cost of spending 2^(0.531n) time and 2^(n/2) memory on the preprocessing for an arbitrary lattice.
In the second part, we study the security of the Fast Fully Homomorphic Encryption scheme over the Torus (TFHE). TFHE is one of the fastest FHE schemes based on the (ring-)Learning with Errors (LWE) problem. In this thesis, we improve the dual lattice attack used in the original security estimate of the scheme. More precisely, we use the dual attack on a projected sublattice, which allows to generate instances of the LWE problem with a slightly bigger noise that correspond to a fraction of the secret key. Then, we search for the fraction of the secret key by computing the corresponding noise for each candidate using the constructed LWE samples. As the TFHE keys are binary vectors, we can perform the search step very efficiently by exploiting the recursive structure of the search space. This approach offers a trade-off between the cost of lattice reduction and the complexity of the search part which allows to speed up the attack. We implement a script that estimates the complexity of the original dual attack and of our hybrid method for various parameters under three different cost models for lattice reduction and show that current (as of March 2020) security level of the TFHE scheme should be re-evaluated according to the proposed improvement.
La cryptographie basée sur les réseaux est un domaine de recherche qui étudie la construction d’outils et de protocoles pour une communication sécurisée basée sur des problèmes de réseau difficiles. La cryptographie basée sur les réseaux est l’un des candidats les plus prometteurs
pour la communication sécurisée post-quantique en raison de sa sécurité conjecturée contre les attaques quantiques et de son efficacité algorithmique. Une autre caractéristique intéressante de la cryptographie basée sur les réseaux est un large éventail de constructions disponibles qui incluent même des schémas de chiffrement totalement homomorphes (Fully Homomorphic Encryption ou FHE en anglais). Cette thèse étudie les algorithmes pour résoudre les problèmes de réseau difficiles et leur application à l’évaluation de la sécurité des constructions cryptographiques basées sur les réseau. Cette thèse comporte deux parties.
Dans la première partie, on introduit une nouvelle famille d’algorithmes de sieving appelé sieiving cylindrique. Le sieving heuristique est actuellement l’approche la plus rapide pour résoudre les problèmes de réseau central, le problème de vecteur le plus court (Shortest Vector Problem ou SVP en anglais) et le problème de vecteur le plus proche (Closest Vector Problem ou CVP en anglais). Dans cette thèse, on propose un nouvel algorithme de sieving pour résoudre SVP et CVP, qui fonctionne avec des vecteurs de réseau de géométrie différente par rapport aux algorithmes de sieving habituels. Le sieving cylindrique fonctionne en générant une liste de vecteurs de réseau à l’intérieur d’un hypercylindre long et étroit, puis il tamise de manière itérative les vecteurs de la liste afin d’obtenir une nouvelle liste de vecteurs `a l’intérieur d’un hypercylindre beaucoup plus court mais légèrement plus large. On montre que cette approche peut être très efficace pour résoudre certaines variations de CVP et SVP. Premièrement, le sieving cylindrique améliore la complexité temporelle asymptotique pour la résolution de SVP sur des réseaux dont le volume est un nombre premier relativement petit. Par exemple, il permet de résoudre SVP pour un réseau de dimension n de volume premier d’environ 2^n dans le temps 2^(0.229n). Deuxièmement, il permet d’obtenir la complexité temporelle polynomiale d’une requête pour résoudre le problème de vecteur le plus proche avec prétraitement (Closest Vector Problem ou CVPP en anglais), pour un coût en temps de 2(0^531n) et en memoire 2^(n/2) lors de la phase de prétraitement pour un réseau arbitraire.
Dans la deuxième partie, on étudie la sécurité de Fast Fully Homomorphic Encryption scheme over Torus (TFHE). TFHE est l’un des schémas de chiffrement totalement homomorphe les plus rapides basé sur le problème (ring-)Learning with Errors (LWE). Dans cette thèse, on améliore
l’attaque à base de réseau dual utilisée dans l’estimation de sécurité initiale du schéma. Plus précisément, on réalise l’attaque duale sur des sous-réseaux projetés, qui permet de générer des instances du problème LWE avec un bruit légèrement plus grand qui correspond à une
fraction de la clé secrète. Ensuite, on recherche la fraction de la clé secrète en calculant le bruit correspondant pour chaque candidat en utilisant les échantillons LWE construits. Comme les clés de TFHE sont des vecteurs binaires, on peut effectuer l’étape de recherche très efficacement
en exploitant la structure récursive de l’espace de recherche. Cette approche offre un compromis entre le coût de la réduction du réseau et la complexité de la partie recherche qui permet d’accélérer l’attaque. On implémente un script qui estime la complexité de l’attaque duale
d’origine et de notre méthode hybride pour divers paramètres sous trois modèles de coûts différents pour la réduction du réseau et montre que le niveau de sécurité actuel (en mars 2020) de TFHE devrait être réévalué selon l’amélioration proposée.
Origine : Fichiers produits par l'(les) auteur(s)
Loading...