許多最近的基於格的方案需要從離散高斯中取樣(例如,參見[bai14],[mp12],[lyu12],[gpv08],[bliss13])。離散高斯引數由特殊方案的安全證明決定。現有演算法不能從離散高斯分布中取樣,因此必須從統計上接近它的分布中取樣。通常的做法是要求取樣分布與期望的離散高斯分布的統計距離小於2
−100
2^2−
100。
1如果要實現小於2
−100
2^2−
100的統計距離,計算概率需要至少100位精度的浮點操作。而任何預計算都意味著儲存相同精度的變數值。這可能會嚴重影響個人計算機上的取樣效能,甚至使實現在受限裝置上完全不切實際。高斯取樣佔簽名方案[lyu12]執行時間的50%。因此,對離散高斯訊號進行有效取樣對這些基元的效能起著至關重要的作用.
在整數上的高斯抽樣是基於格的密碼學的乙個關鍵工具,但在最近幾年,執行乙個通用的,有效的和可證明的安全高斯抽被證明是乙個巨大的挑戰。嚴重的是,高斯取樣容易遭受側通道攻擊23。
並行高斯取樣4
。整數上恆定時間的高斯取樣56。
使用均勻取樣替代。
側通道攻擊7
參考thomas prest. gaussian sampling in lattice-based cryptography. theses, école normale supérieure,december 2015. ↩︎
bruinderink l g, hulsing a, lange t, et al. flush, gauss, and reload - a cache attack on the bliss lattice-based signature scheme[j]. cryptographic hardware and embedded systems - ches 2016, 2016. ↩︎
pessl p, bruinderink l g, yarom y. to bliss-b or not to be: attacking strongswan』s implementation of post-quantum signatures[c], 2017. ↩︎
chris peikert. an efficient and parallel gaussian sampler for lattices. crypto 2010. ↩︎
raymond k. zhao, ron steinfeld, and amin sakzad. facct: fast, compact, and constant-time discrete gaussian sampler over integers. ieee trans. computers ↩︎
d.micciancio and michael walter. gaussian sampling over the integers: efficient, generic,constant-time. crypto 2017. ↩︎
pierre-alain fouque. key recovery from gram-schmidt norm leakage in hash-and-sign signatures over ntru lattices, eurocrypt 2020. ↩︎
格密碼學重要概念 拒絕取樣技術
rejection sampling 拒絕取樣或拋棄取樣 1.格上的高斯取樣較為複雜,嚴重影響簽名效率。2.z s c y mathbf z sc y 形如這樣的簽名z mathbf z z直接輸出會導致金鑰的洩露,因為z mathbf z z的分布於s mathbf s s的分布有關聯,所以要使用...
密碼學概念
aes,advanced encryption standard,高階加密標準 des,data encryption standard,資料加密標準。64位的分組長度,金鑰為64bit,實際為56bit,含有8bit的奇偶校驗位。idea,international data encryption...
密碼學相關概念
密碼學中提到的密碼 cipher 是一種用於加密和解密的演算法,和我們平常所提到的密碼 password 是不一樣的,password 是一種口令,是用來驗證的一組文字字串。金鑰是使用密碼 cipher 的過程中輸入的引數,同乙個明文在相同的密碼演算法下,不同的金鑰計算會產生不同的密文。金鑰的長度越...