# 後量子密碼學06 NTRU I
NTRU 密碼系統,翻譯為「吾乃數論學家」密碼系統。其實與我們之前討論過的二維晶格密碼系統非常類似。除了加密過程中會有各種模算數以外,解密的正確性也有類似模式:因為係數的大小可以被控制,所以會得到比模數等號還強的整數等號。
## 符號
我們也趁這時候先講好一些約定符號:
首先我們要考慮以下三個多項式商環
\begin{align}
R = \mathbb{Z}[x] / \langle x^N-1\rangle,\quad
R_{p} = \mathbb{Z}_{p}[x] / \langle x^N-1\rangle,\quad
R_{q} = \mathbb{Z}_{q}[x] / \langle x^N-1\rangle
\end{align}
再來,我們要考慮這種集合
\begin{align}
T(a,b) \subset R
\end{align}
裡面包涵「洽有 $a$ 個係數等於 $1$、洽有 $b$ 個係數等於 $-1$、其他係數等於 $0$ 」的所有多項式:例如
\begin{align}
1+x -x^2 + x^{6} \in T(3,1).
\end{align}
這種集合被稱為「三元多項式」(ternary polynomial)
後續的 SageMath 程式中,我們會使用 `ternary_polynomial(a, b, N)` 函數來生成這些多項式。
## 係數有號提升(center-lift)
另外我們需要一個重要概念:「有號提升」Center-lift
我們之前講過所謂的「提升」(lift),就是直接把整數商環的整數當作平常的整數來用。如果本來是模除 m 的整數商環,那提升的結果會是落在 $0, 1, ..., m-1$。
所謂的「有號提升」是指,把每個在模除 $m$ 的整數商環,都提升至以下區間內的整數:
\begin{align}
\left( -\frac{m}{2}, \frac{m}{2} \right]
\end{align}
如果你對一個在
\begin{align}
R_{q} = \mathbb{Z}_{q}[x] / \langle x^N-1\rangle
\end{align}
裡面的多項式進行有號提升,其結果就是把每個係數都提升到 $(-m/2, m/2]$ 的區間
## 密碼系統
### 密鑰生成
數組 $(N, p, q, d)$
- $N$, $p$ 為質數
- $gcd(N,q) = gcd(p,q) = 1$ ,也就是 $q$ 與 $N, p$ 皆互質。
- $q > (6d + 1) p$ 這是為了最後解碼的正確性而做的設定,暫且不需理會。
以上這些可稱為,全域參數(global parameters),是公開資訊的一部分。
```python=+
# NTRU parameters
N = 11 # degree of the polynomial, should be prime
p = 3 # small modulus
q = 73 # large modulus
d = 2
print(q > (6*d+1)*p)
# Polynomial ring
R_poly = quotient(PolynomialRing(ZZ,x),x^N-1)
R_q = quotient(ZZ,q*ZZ)
R_q_poly = quotient(PolynomialRing(R_q,x),x^N-1)
R_p = quotient(ZZ,p*ZZ)
R_p_poly = quotient(PolynomialRing(R_p,x),x^N-1)
# Outputs:
# True
```
Alice 隨機生成以下兩個多項式:
- $f(x) \in T(d+1,d)$
- $g(x) \in T(d,d)$
並計算
- $F_q(x) = (f(x))^{-1} \in R_{q}$
- $F_p(x) = (f(x))^{-1} \in R_{p}$
如果上面這兩個皆不存在,重新生成 $f$
```python=+
# Ternary polynomial generation
def ternary_polynomial(d1, d2, N):
poly_coeffs = [1]*d1 + [-1]*d2 + [0]*(N-d1-d2)
shuffle(poly_coeffs)
return R_poly(poly_coeffs)
f = ternary_polynomial(d+1,d,N)
g = ternary_polynomial(d,d,N)
F_q = R_q_poly(f)^(-1)
F_p = R_p_poly(f)^(-1)
```
接著在 $R_q$ 中計算
\begin{align}
h(x) = F_{q}(x) g(x) \in R_{q}
\end{align}
$F_p$ 可為留作解密使用。
```python=+
h = F_q*R_q_poly(g)
print(h)
# Outputs:
# 67*xbar^10 + 44*xbar^9 + 55*xbar^8 + 59*xbar^7 + 16*xbar^6 + 36*xbar^5 + 47*xbar^4 + 31*xbar^3 + 71*xbar^2 + 22*xbar + 63
```
公鑰為:$h(x)$、以及 $(N, p, q, d)$
私鑰為:$f(x)$, $g(x)$
### 加密訊息
加密:Bob 欲傳加密訊息給 Alice
- Bob 將要傳的訊息表示為一個多項式:
\begin{align}
m(x) \in R\quad -\frac{p}{2} (q // 2):
coeff -= q
center_lifted_coeffs.append(coeff)
return R_poly(center_lifted_coeffs)
a = center_lift(a,q)
print(a)
# Outputs:
# xbar^10 + 72*xbar^9 + 2*xbar^8 + 67*xbar^7 + xbar^6 + 9*xbar^5 + 63*xbar^4 + 72*xbar^3 + 7*xbar^2 + 72*xbar + 2
```
最後在 $R_p$ 中計算
\begin{align}
b(x) = F_{p}(x)a(x) \in R_{p}
\end{align}
此 $b(x)$ 即等於 $m(x)$。
```python=+
a = center_lift(a,q)
print(a)
print(type(a))
# Outputs:
# xbar^10 - xbar^9 + 2*xbar^8 - 6*xbar^7 + xbar^6 + 9*xbar^5 - 10*xbar^4 - xbar^3 + 7*xbar^2 - xbar + 2
#
```
好!看到這裡,你大概很好奇:「為什麼這樣胡搞瞎搞最後解密會成功?」我們以下開始詳細的數學證明。
## 正確性
首先我們展開多項式 $a(x)$
\begin{aligned}
a(x) &= f(x) \cdot e(x) \pmod{q} \\ &= f(x) \cdot (ph(x) \cdot r(x) + m(x)) \pmod{q} \\ &= pf(x) \cdot F_q(x) \cdot g(x) \cdot r(x) + f(x) \cdot m(x) \pmod{q} \\ &= pg(x) \cdot r(x) + f(x) \cdot m(x) \pmod{q}
\end{aligned}
好的,我們來對
\begin{align}
pg(x) \cdot r(x) + f(x) \cdot m(x) \pmod{q}
\end{align}
做分析:
首先注意到根據我們的構造, $g(x),r(x) \in\mathcal T(d,d)$,所以乘積 $g(x) r(x)$ 可能的最大係數為 $2d$ 。(這種情況是兩個多項式的 $1$ 與 $-1$ 都互相有配對到的時候)
又注意到 $f(x) \in \mathcal T(d+1,d)$,而 $m(x)$ 的係數落於
$$- \frac{p}{2}
