Securely Instantiating Cryptographic Schemes Based on the Learning with Errors Assumption
Total Page:16
File Type:pdf, Size:1020Kb
Securely Instantiating Cryptographic Schemes Based on the Learning with Errors Assumption Vom Fachbereich Informatik der Technischen Universit¨atDarmstadt genehmigte Dissertation zur Erlangung des Grades Doktor rerum naturalium (Dr. rer. nat.) von Dipl.-Math. Florian G¨opfert geboren in W¨urzburg. Referenten: Prof. Dr. Johannes Buchmann Prof. Dr. Jintai Ding Tag der Einreichung: 11.08.2016 Tag der m¨undlichen Pr¨ufung: 22.09.2016 Hochschulkennziffer: D 17 Darmstadt 2016 August 11, 2016 Abstract Since its proposal by Regev in 2005 [Reg05], the Learning With Errors (LWE) problem was used as the underlying problem for a great variety of schemes. Its applications are many-fold, reaching from basic and highly practical primitives like key exchange [ADPS16], public-key encryption [LP11, LPR10], and signature schemes [ABBD15, DDLL13] to very advanced solutions like fully homomorphic encryption [BV14, BGV11], group signatures [LLLS13], and identity based encryp- tion [ABV+11]. One of the underlying reasons for this fertility is the flexibility with that LWE can be instantiated. Unfortunately, this comes at a cost: It makes selecting parameters for cryptographic applications complicated. When selecting parameters for a new LWE-based primitive, a researcher has to take the influence of several parameters on the efficiency of the scheme and the runtime of a variety of attacks into consideration. In fact, the missing trust in the concrete hardness of LWE is one of the main problems to overcome to bring LWE-based schemes to practice. This thesis aims at closing the gap between the theoretical knowledge of the hardness of LWE, and the concrete problem of selecting parameters for an LWE- based scheme. To this end, we analyze the existing methods to estimate the hardness of LWE, and introduce new estimation techniques where necessary. Afterwards, we show how to transfer this knowledge into instantiations that are at the same time secure and efficient. We show this process on three examples: • A highly optimized public-key encryption scheme for embedded devices that is based on a variant of Ring-LWE. • A practical signature scheme that served as the foundation of one of the best lattice-based signature schemes based on standard lattices. • An advanced public-key encryption scheme that enjoys the unique property of natural double hardness based on LWE instances similar to those used for fully homomorphic encryption. iii Zusammenfassung Einer der Grundpfeiler unserer modernen digitalen Gesellschaft sind asymmetrische Verschl¨usselungs- und Signaturverfahren. Asymmetrische Verfahren zeichnen sich dadurch aus, dass es nicht einen geheimen Schl¨usselgibt, sondern ein Schl¨usselpaar bestehend aus einem geheimen und einem ¨offentlichen Schl¨ussel. Der ¨offentliche Schl¨usselerlaubt etwa das Verschl¨usselneiner Nachricht oder das verifizieren einer Signatur, zum Entschl¨usselnder Nachricht oder erzeugen der Signatur ist hingegen der geheime Schl¨usselnotwendig. Allen diesen Verfahren gemein ist dass ihre Sicherheit auf einem numerisch schwer zu l¨osendenProblem beruht. In nahezu allen heute in der Praxis benutzen Verfahren ist dieses Problem entweder das Faktorisieren großer Zahlen, oder das diskrete Loga- rithmus Problem in verschiedenen Gruppen. Die auf diesen Problemen beruhenden Verfahren sind effizient und werden f¨ursicher gehalten, haben jedoch ein großes Problem: Wie Peter Shor 1994 zeigte, k¨onnen sie von Quantencomputern in poly- nomieller Zeit gel¨ostwerden. In einer Zukunft, in der Quantencomputer existieren (was zufolge vieler Experten bereits in 20 Jahren der Fall sein k¨onnte), sind auf sie also zum sichern vertraulicher Kommunikation ungeeignet. Diese Arbeit befasst sich mit der Schwere des Learning With Errors (LWE) Prob- lems. Auf LWE basierende Verfahren geh¨orenzu den vielversprechendsten Kandi- daten, um Faktorisierungs- und diskrete Logarithmus basierte Verfahren abzul¨osen. Sie sind sehr effizient und k¨onnennach dem aktuellen Stand der Forschung nicht von Quantencomputern angegriffen werden. Die Verfahren sind ¨ublicherweise mithilfe eines Sicherheitsbeweises an LWE gebunden. Dieser besagt dass man eine bestimmte LWE Instanz l¨osenmuss, um das Verfahren zu brechen. Uber¨ die theoretische Schwere von LWE ist bereits viel bekannt. Wie Regev bereits 2005 zeigte, sind zuf¨alligeInstanzen von LWE (asymptotisch) mindestens so schwer wie die schwersten Instanzen verschiedener, etablierter Gitterprobleme. Leider sagen weder Regev's Resultat ¨uber die asymptotische Schwere von LWE, noch der Sicherheitsbeweis etwas dar¨uber aus, wie schwer diese LWE Instanz ist. Folglich ist es von erheblicher Bedeutung f¨urTheorie und Praxis, die Schwere konkreter LWE Instanzen zu untersuchen, und aus diesen Erkenntnissen korrekte Parameter f¨urdie LWE-basierten Verfahren abzuleiten. Folglich ist diese Arbeit in zwei Abschnitte unterteilt. Der Erste pr¨asentiert neue v Abstract theoretische und experimentelle Ergebnisse ¨uber die Schwere von LWE. Es besteht aus neuen Resultaten ¨uber die Schwere von LWE Instanzen unter Einschr¨ankungen, die in der Praxis auftreten (Kapitel 3), eine experimentelle Untersuchung der Pa- rallelisierbarkeit eines der vielversprechendsten LWE-L¨osers(Kapitel 4), ein neuer Algorithmus zum L¨osenvon LWE (Kapitel 5), und eine neue Methode zum expe- rimentellen Vergleich verschiedener LWE-L¨oser(Kapitel 6). Der zweite Abschnitt zeigt anhand dreier Beispiele, wie sich die Erkenntnisse ¨uber die Schwere von LWE nutzen lassen, um Parameter f¨urkryptographische Verfahren zu w¨ahlen. Die Ver- fahren sind ein Signaturverfahren (Kapitel 7), ein Verschl¨usselungsverfahren (Kapi- tel 8), und ein Verschl¨usselungsverfahren mit erweiterten Sicherheitseigenschaften (Kapitel 9). vi Contents Abstract iii Zusammenfassung v Publications 1 1. Introduction 3 1.1. Organisation . .4 2. Background 7 2.1. Lattices . .7 2.1.1. Lattices and Bases . .7 2.1.2. Basis Quality and Basis Reduction . .8 2.2. Computational Problems . 10 2.2.1. Short Vector Problems (SVP) . 10 2.2.2. Short Integer Solution (SIS) . 11 2.2.3. Learning with Errors (LWE) . 11 2.3. Algorithms for LWE . 12 2.3.1. The Blum Kalai Wasserman Algorithm . 13 2.3.2. The Distinguishing Attack . 14 2.3.3. The Decoding Attack . 15 2.3.4. Kannan's Reduction to unique SVP . 18 2.3.5. Reduction to Inhomogeneous SIS . 18 I. Hardness of LWE 19 3. LWE Instances with Few Samples 21 3.1. Known Solvers . 21 3.1.1. Distinguishing Attack . 21 3.1.2. Decoding Attack . 22 3.1.3. Kannan's Embedding Attack . 23 vii Contents 3.1.4. Reduction to uSVP via ISIS . 25 3.2. Concrete Complexity of LWE with Few Samples . 27 4. Attacking LWE with Parallel Enumeration 29 4.1. Parallel Version of Enumeration . 30 4.1.1. On the Necessity of the Projection . 30 4.1.2. Returning the Error Vector . 31 4.1.3. Parallelization . 32 4.2. Further Possible Improvements . 33 4.3. Bounds on the Speedup . 34 5. LWE with Binary Error 39 5.1. The Hybrid Lattice-Reduction and Meet-in-the-Middle Attack . 40 5.1.1. The Hybrid Attack . 40 5.1.2. Runtime Analysis . 41 5.1.3. Minimizing the Expected Runtime . 51 5.2. Performance of Known Attacks . 51 5.2.1. Number of Samples . 52 5.2.2. Algorithms for solving LWE . 52 5.2.3. Comparison . 56 6. The LWE Challenge 57 6.1. Instances Provided by the LWE Challenge . 58 6.1.1. Choice of Parameters . 58 6.1.2. Uniqueness and Correctness of Solutions . 61 6.2. The Challenge Web Page . 64 6.2.1. How to Download Challenges . 64 6.2.2. How to Submit Solutions . 65 6.3. First Results of the LWE Challenge . 65 II. Selecting Parameters 67 7. Signature Scheme by Bai/Galbraith 69 7.1. The Scheme . 70 7.1.1. Description of the BG Signature Scheme . 70 7.1.2. Optimizing Rejection Sampling . 71 7.2. Revisiting the Old Parameter Sets . 72 7.3. Security Analysis and Parameter Selection . 74 7.3.1. Hardness of LWE . 74 7.3.2. Hardness of SIS . 75 7.3.3. An Instantiation for Software Efficiency . 75 viii Contents 8. A New and Highly Efficient Encryption Scheme 79 8.1. Ring-LWE Based Public Key Encryption Scheme . 80 8.1.1. Preliminaries . 80 8.1.2. The Scheme . 81 8.2. Correctness and Security of R-BinLWEEnc . 82 8.2.1. Parameter Selection . 83 8.2.2. Hardness Assessment of Binary LWE . 83 8.3. Instantiation and Results . 86 9. A Double Secure Encryption Scheme 89 9.1. The Representation Problem . 90 9.1.1. Definition and Properties . 90 9.2. Learning with Errors in the Exponent . 93 9.2.1. Definition . 93 9.2.2. Relations to Group and Lattice Problems . 94 9.2.3. On the Generic Hardness of LWEE . 97 9.3. Public Key Encryption from LWEE . 97 9.3.1. The High-Level Idea . 97 9.3.2. Our Construction . 98 9.3.3. Correctness . 98 9.3.4. Ciphertext Indistinguishability . 99 9.4. Parameter Selection . 101 9.4.1. Hardness of the Decisional Representation Problem . 101 9.4.2. Hardness of the Learning with Errors Problem . 104 9.4.3. Candidate Instantiations of our Encryption Scheme . 106 10.Conclusion 109 Bibliography 111 ix Publications Publication Used in This Thesis 1. Johannes Buchmann, Christian Bischof, Ozg¨urDagdelen,¨ Robert Fitzpatrick, Florian G¨opfertand Artur Mariano: Nearest Planes in Practice. BalkanCrypt- Sec 2014. Chapter 4. [BBD+14] 2. Florian G¨opfert,Rachel Player, Thomas Wunderer: On the Hardness of LWE with Binary Error: Revisiting the Hybrid Lattice-Reduction and Meet-in-the- Middle Attack. Africacrypt 2016. Chapter 5. [BGPW16] 3. Johannes Buchmann, Niklas B¨uscher, Florian G¨opfert,Juliane Kr¨amer,Daniele Micciancio, Christine van Vredendaal, Michael Walter: Creating Cryptographic Challenges Using Multi-Party Computation: The LWE Challenge. PKC@AsiaCCS. Chapter 6. [BBG+16] 4. Ozg¨urDagdelen,¨ Rachid El Bansarkhani, Florian G¨opfert, Tim G¨uneysu, Tobias Oder, Thomas P¨oppelmann, Ana Helena Sanchez, Peter Schwabe: High-speed signatures from standard lattices. Latincrypt 2014. Chapter 7. [DBG+14] 5. Johannes Buchmann, Florian G¨opfert,Tim G¨uneysu,Tobias Oder, Thomas P¨oppelmann: High-Performance and Lightweight Lattice-Based Public-Key Encryption.