public key cryptosystems from lattice reduction problems - goldreich, goldwasser and halevi

8/7/2019 Public Key Cryptosystems from lattice reduction problems - Goldreich, Goldwasser and Halevi

http://slidepdf.com/reader/full/public-key-cryptosystems-from-lattice-reduction-problems-goldreich-goldwasser 1/30

ECCCTR96-056

FTP: ftp.eccc.uni-trier.de:/pub/eccc/

WWW: http://www.eccc.uni-trier.de/eccc/

Email: [email protected] with subject ’help eccc’

P u b l i c - K e y C r y p t o s y s t e m s

f r o m L a t t i c e R e d u c t i o n P r o b l e m s

O d e d G o l d r e i c h

S h a G o l d w a s s e r

y

S h a i H a l e v i

z

M I T - L a b o r a t o r y f o r C o m p u t e r S c i e n c e

N o v e m b e r 1 2 , 1 9 9 6

A b s t r a c t

W e p r e s e n t a n e w p r o p o s a l f o r a t r a p d o o r o n e - w a y f u n c t i o n , f r o m w h i c h w e

d e r i v e p u b l i c - k e y e n c r y p t i o n a n d d i g i t a l s i g n a t u r e s . T h e s e c u r i t y o f t h e n e w c o n -

s t r u c t i o n i s b a s e d o n t h e c o n j e c t u r e d c o m p u t a t i o n a l d i c u l t y o f l a t t i c e - r e d u c t i o n

p r o b l e m s , p r o v i d i n g a p o s s i b l e a l t e r n a t i v e t o e x i s t i n g p u b l i c - k e y e n c r y p t i o n a l g o -

r i t h m s a n d d i g i t a l s i g n a t u r e s s u c h a s R S A a n d D S S .

K e y w o r d s : P u b l i c - K e y C r y p t o s y s t e m s , L a t t i c e R e d u c t i o n P r o b l e m s , C o l l i s i o n F r e e H a s h i n g .

o d e d @ t h e o r y . l c s . m i t . e d u . O n s a b a t i c a l l e a v e f r o m t h e W e i z m a n n I n s t i t u t e o f S c i e n c e , I s r a e l

y

s h a f i @ t h e o r y . l c s . m i t . e d u

z

C o n t a c t a u t h o r a t M I T - L C S , N E 4 3 - 3 4 2 , 5 4 5 T e c h . S q u a r e , C a m b r i d g e , M A 0 2 1 3 9 , U S A . E - m a i l :

s h a i h @ t h e o r y . l c s . m i t . e d u

0



1 I n t r o d u c t i o n

T h e n e e d f o r p u b l i c - k e y e n c r y p t i o n a n d d i g i t a l s i g n a t u r e s i s s p r e a d i n g r a p i d l y t o d a y a s m o r e p e o p l e

u s e c o m p u t e r n e t w o r k s t o e x c h a n g e c o n d e n t i a l d o c u m e n t s , b u y p r o d u c t s a n d a c c e s s s e n s i t i v e d a t a .

I n f a c t , s e v e r a l o f t h e s e t a s k s a r e i m p o s s i b l e t o a c h i e v e w i t h o u t t h e a v a i l a b i l i t y o f g o o d ( s e c u r e a n d

e c i e n t ) p u b l i c - k e y c r y p t o g r a p h y .

I n l i g h t o f t h e i m p o r t a n c e o f p u b l i c k e y c r y p t o g r a p h y , i t i s s u r p r i s i n g t h a t t h e r e a r e r e l a t i v e l y

f e w p r o p o s a l s o f p u b l i c k e y c r y p t o s y s t e m s w h i c h h a v e r e c e i v e d a n y a t t e n t i o n . M o r e o v e r , t h e s o u r c e

o f s e c u r i t y o f t h e s e p r o p o s a l s a l m o s t a l w a y s r e l i e s o n t h e ( a p p a r e n t ) c o m p u t a t i o n a l i n t r a c t a b i l i t y

o f p r o b l e m s i n n i t e i n t e g e r r i n g s , s p e c i c a l l y i n t e g e r f a c t o r i z a t i o n a n d d i s c r e t e l o g a r i t h m c o m -

p u t a t i o n s . I n t h i s p a p e r w e p r o p o s e a n e w p u b l i c k e y e n c r y p t i o n a l g o r i t h m a n d d i g i t a l s i g n a t u r e

s c h e m e w h o s e s e c u r i t y r e l i e s o n t h e c o m p u t a t i o n a l d i c u l t y o f l a t t i c e r e d u c t i o n p r o b l e m s , i n p a r -

t i c u l a r t h e p r o b l e m o f n d i n g c l o s e s t v e c t o r s i n a l a t t i c e t o a g i v e n p o i n t ( C V P ) . F o r c o m p a r i s o n

w i t h e x i s t i n g s c h e m e s , w e r s t q u i c k l y r e v i e w s o m e o f t h e m o s t f a m o u s p u b l i c - k e y e n c r y p t i o n a n d

d i g i t a l s i g n a t u r e s p r o p o s a l s , w i t h e m p h a s i s o n t h e c o m p u t a t i o n a l p r o b l e m s t h e i r s e c u r i t y i s b a s e d

o n

1 . 1 P r e v i o u s p r o p o s a l s

T h e s e c u r i t y o f t h e R S A c r y p t o s y s t e m R S A ] , i s r e l a t e d t o t h e d i c u l t y o f i n t e g e r f a c t o r i z a t i o n

i n t h e s e n s e t h a t d i s c o v e r i n g t h e s e c r e t k e y i s a s h a r d a s f a c t o r i n g i n t e g e r s , a l t h o u g h t h e a c t u a l

c r y p t a n a l y s i s p r o b l e m i s p o t e n t i a l l y e a s i e r t h a n f a c t o r i n g i n t e g e r s . O t h e r m e t h o d s , w h o s e s e c u r i t y

r e l i e s o n t h e d i c u l t y o f f a c t o r i n g i n t e g e r s , i n c l u d e R a b i n ' s d i g i t a l s i g n a t u r e m e t h o d R a 7 9 ] ( a n d

i t s v a r i a n t s { e . g . , W i 8 4 ] ) , t h e s e m a n t i c a l l y - s e c u r e p u b l i c - k e y e n c r y p t i o n o f G M 8 2 , B G 8 4 ] , a n d

t h e e x i s t e n t i a l l y u n f o r g e a b l e s i g n a t u r e s c h e m e s o f G M R 8 5 ] .

T h e s e c u r i t y o f t h e D i e - H e l l m a n p u b l i c - k e y e n c r y p t i o n s c h e m e

1

i s r e l a t e d t o t h e p r o b l e m o f

c o m p u t i n g d i s c r e t e l o g a r i t h m s ( D L P ) i n n i t e e l d s i n t h e s e n s e t h a t n d i n g t h e s e c r e t k e y i s

a s h a r d a s c o m p u t i n g d i s c r e t e l o g a r i t h m s . A g a i n , t h e a c t u a l c r y p t a n a l y s i s p r o b l e m i s p o t e n t i a l l y

e a s i e r t h a n d i s c r e t e l o g c o m p u t a t i o n . T h e d i g i t a l s i g n a t u r e m e t h o d o f E l - G a m a l E l 8 5 ] ( a n d i t s

D S S m o d i c a t i o n D S S ] ) i s a l s o n o h a r d e r t o b r e a k t h a n i t i s t o s o l v e d i s c r e t e l o g a r i t h m s i n n i t e

e l d s . A s i m i l a r p a r a d i g m t o t h e a b o v e d i s c r e t e l o g b a s e d s c h e m e s , c a n b e c a r r i e d o u t o v e r e l l i p t i c

c u r v e s . I n t h a t c a s e , t h e u n d e r l y i n g c o m p u t a t i o n a l p r o b l e m i s t h e E l l i p t i c L o g a r i t h m p r o b l e m ,

t o c o m p u t e l o g a r i t h m s i n t h e a d d i t i v e g r o u p o f p o i n t s d e n e d b y e l l i p t i c - c u r v e s .

T h e M c E l i e c e p u b l i c - k e y e n c r y p t i o n s c h e m e M c 7 9 ] i s s u b s t a n t i a l l y d i e r e n t f r o m t h e a b o v e

p r o p o s a l s , i n t h a t i t s s e c u r i t y i s b a s e d o n a p r o b l e m f r o m a l g e b r a i c c o d i n g t h e o r y . T h e s e c u r i t y

o f t h i s s c h e m e i s b a s e d o n t h e c o n j e c t u r e t h a t d e c o d i n g w i t h a \ r a n d o m l o o k i n g " l i n e a r c o d e i s

a s h a r d a s d e c o d i n g w i t h a t r u l y r a n d o m l i n e a r c o d e , a n d o n t h e w i d e l y b e l i e v e d i n t r a c t a b i l i t y o f

d e c o d i n g w i t h r a n d o m l i n e a r c o d e s . I n t e r m s o f e c i e n c y , e n c r y p t i o n a n d d e c r y p t i o n a m o u n t t o a

m a t r i x - b y - v e c t o r m u l t i p l i c a t i o n w h i c h t a k e s t i m e q u a d r a t i c i n t h e n a t u r a l s e c u r i t y p a r a m e t e r ( i . e . ,

t h e d i m e n s i o n o f t h e m a t r i x ) . T h i s c o m p a r e s f a v o r a b l y t o t h e c u b i c t i m e r e q u i r e s i n R S A a n d t h e

o t h e r n u m b e r t h e o r e t i c p r o p o s a l s a b o v e , y e t t h e s i z e o f t h e p u b l i c k e y i s l a r g e r t h a n i n t h e c a s e o f

R S A ( i . e , q u a d r a t i c r a t h e r t h a n l i n e a r ) . T h e b e s t k n o w n c r y p t a n a l y t i c a t t a c k a g a i n s t t h e M c E l i e c e

s y s t e m t a k e s t i m e e x p o n e n t i a l i n t h e d i m e n s i o n o f t h e c o d e , y e t t h e s e c u r i t y o f t h e M c E l i e c e

s y s t e m h a s n o t b e e n s t u d i e d a s e x t e n s i v e l y a s t h e R S A s y s t e m . N o d i g i t a l s i g n a t u r e s c h e m e b a s e d

o n a l g e b r a i c c o d i n g t h e o r y h a s b e e n p r o p o s e d t o a c c o m p a n y t h e p u b l i c - k e y e n c r y p t i o n s c h e m e .

1

A s t r a i g h t f o r w a r d m o d i c a t i o n o f t h e i r e a r l i e r k e y - e x c h a n g e p r o t o c o l D H 7 6 ] .

1



I n a d d i t i o n , t h e r e a r e g e n e r a l c o n s t r u c t i o n s o f ( s e m a n t i c a l l y - s e c u r e G M 8 2 ] ) p u b l i c - k e y e n -

c r y p t i o n s c h e m e s b a s e d o n a n y t r a p d o o r f u n c t i o n Y a 8 2 ] . I n t e r e s t i n g l y , d i g i t a l s i g n a t u r e s c h e m e s

w h i c h a r e e x i s t e n t i a l l y - u n f o r g e a b l e G M R 8 5 ] , c a n b e c o n s t r u c t e d b a s e d o n a n y o n e - w a y f u n c -

t i o n N Y 8 9 , R o 9 0 ] , w i t h o u t n e e d o f t r a p d o o r . T h u s o n e m a y b e n e t f r o m t h e s l i g h t l y m o r e e x t e n d e d

v a r i e t y o f c a n d i d a t e o n e - w a y f u n c t i o n s w h i c h , i n a d d i t i o n t o t h e a b o v e , i n c l u d e a c a n d i d a t e b a s e d

o n t h e c o n j e c t u r e d i n t r a c t a b i l i t y o f d e c o d i n g r a n d o m l i n e a r c o d e s G K L ] a n d A j t a i ' s r e c e n t c a n d i -

d a t e A j 9 6 ] w h i c h i s b a s e d o n t h e w o r s t - c a s e c o m p l e x i t y o f a p p r o x i m a t i n g t h e s h o r t e s t v e c t o r i n

a l a t t i c e . U n f o r t u n a t e l y , t h e s e g e n e r a l c o n s t r u c t i o n s f o r d i g i t a l s i g n a t u r e s ( i . e . , o f N Y 8 9 , R o 9 0 ] )

t e n d t o b e i n e c i e n t .

1 . 2 T h e n e w p r o p o s a l

I n t h i s p a p e r w e p r o p o s e a n e w t r a p d o o r o n e - w a y f u n c t i o n r e l y i n g o n t h e c o m p u t a t i o n a l d i c u l t y

o f l a t t i c e r e d u c t i o n p r o b l e m s , i n p a r t i c u l a r t h e p r o b l e m o f n d i n g c l o s e s t v e c t o r s i n a l a t t i c e t o a

g i v e n p o i n t ( C V P ) .

S t a r t i n g w i t h t h i s t r a p d o o r f u n c t i o n , w e d e r i v e a p u b l i c - k e y e n c r y p t i o n a n d d i g i t a l s i g n a t u r e

m e t h o d s , w h i c h a r e a s y m p t o t i c a l l y m o r e e c i e n t t h a n R S A a n d i t s v a r i a n t s , i n t h a t t h e c o m p u t a -

t i o n t i m e f o r e n c r y p t i o n , d e c r y p t i o n , s i g n i n g , a n d v e r i f y i n g a r e a l l q u a d r a t i c i n t h e n a t u r a l s e c u r i t y

p a r a m e t e r . T h e s i z e o f t h e p u b l i c k e y , h o w e v e r , i s l o n g e r t h a n f o r t h e R S A s y s t e m . S p e c i c a l l y ,

f o r s e c u r i t y p a r a m e t e r k , t h e l e n g t h o f t h e R S A p u b l i c - k e y i s k a n d c o s t o f c o m p u t a t i o n t i m e i s

O ( k

3

) , w h e r e a s f o r t h e n e w s c h e m e t h e p u b l i c k e y i s o f s i z e O ( k

2

) a n d t h e c o m p u t a t i o n t i m e i s

O ( k

2

) . T h u s , o u r c o m p l e x i t i e s a r e a s i n M c E l i e c e e n c r y p t i o n s c h e m e M c 7 9 ] . W e f e e l t h a t i t i s

h i g h t i m e t o r e c o n s i d e r t h e b e l i e f t h a t s h o r t e r ( p r i v a t e a n d p u b l i c ) k e y s a r e p r e f e r a b l e t o f a s t e r

e n c r y p t i o n a n d d e c r y p t i o n t i m e ( o r s i g n i n g a n d v e r i c a t i o n f o r s i g n a t u r e s ) . I n p a r t i c u l a r , s p a c e

a n d c o m m u n i c a t i o n c o s t s ( a s s o c i a t e d w i t h k e y s ) i n I n t e r n e t a p p l i c a t i o n s s e e m t o b e l e s s r e s t r i c t e d

t h a n e n v i s i o n e d f o r p u b l i c - k e y c r y p t o g r a p h y a p p l i c a t i o n s 2 0 y e a r s a g o .

O u r t r a p d o o r f u n c t i o n . T h e i d e a u n d e r l i n g o u r c o n s t r u c t i o n i s t h a t , g i v e n a n y b a s i s f o r a

l a t t i c e , i t i s e a s y t o g e n e r a t e a v e c t o r w h i c h i s c l o s e t o a l a t t i c e p o i n t ( i . e . , b y t a k i n g a l a t t i c e p o i n t

a n d a d d i n g t o i t a s m a l l e r r o r v e c t o r ) . H o w e v e r i t s e e m s h a r d t o r e t u r n f r o m t h i s \ c l o s e - t o - l a t t i c e "

v e c t o r t o t h e o r i g i n a l l a t t i c e p o i n t ( g i v e n a n a r b i t r a r y l a t t i c e b a s i s ) . T h u s , t h e o p e r a t i o n o f a d d i n g

a s m a l l e r r o r v e c t o r t o a l a t t i c e p o i n t c a n b e t h o u g h t o f a s a o n e - w a y c o m p u t a t i o n .

I n o r d e r t o i n t r o d u c e a t r a p d o o r m e c h a n i s m i n t o t h i s o n e - w a y c o m p u t a t i o n , w e u s e t h e f a c t

t h a t d i e r e n t b a s e s o f t h e s a m e l a t t i c e s e e m s t o y i e l d a d i e r e n c e i n t h e a b i l i t y t o n d c l o s e l a t t i c e

p o i n t s t o a r b i t r a r y v e c t o r s i n R

n

. T h e r e f o r e t h e t r a p d o o r i n f o r m a t i o n m a y b e a b a s i s o f a l a t t i c e

w h i c h a l l o w s v e r y g o o d a p p r o x i m a t i o n o f t h e c l o s e s t l a t t i c e p o i n t p r o b l e m . T h u s , w e u s e t w o

d i e r e n t b a s e s o f t h e s a m e l a t t i c e . O n e b a s i s i s c h o s e n t o a l l o w s c o m p u t i n g t h e f u n c t i o n b u t n o t

i n v e r t i n g i t , w h i l e t h e o t h e r b a s i s i s c h o s e n t o a l l o w c o m p u t i n g t h e i n v e r s e f u n c t i o n b y p e r m i t t i n g

g o o d a p p r o x i m a t i o n t o t h e c l o s e t l a t t i c e v e c t o r p r o b l e m ( C V P ) . F o r t h e s a k e o f t h e i n t r o d u c t i o n ,

w e s i m p l y c a l l s u c h a b a s i s a r e d u c e d b a s i s . I n S e c t i o n 2 , w e d e n e a r e d u c e d b a s i s t o b e o n e

w i t h a s m a l l d u a l - o r t h o g o n a l i t y d e f e c t ( w h e r e ` s m a l l ' i s a p a r a m e t e r ) . B e l o w w e g i v e a n i n f o r m a l

d e s c r i p t i o n o f o u r t r a p d o o r o n e - w a y f u n c t i o n w h i c h u s e s t h e a b o v e i d e a s .

T h e p a r a m e t e r s o f t h e s y s t e m i n c l u d e s t h e s e c u r i t y p a r a m e t e r n ( w h i c h i s t h e d i m e n s i o n o f

t h e l a t t i c e s t h a t w e w o r k w i t h ) a n d a \ t h r e s h o l d " p a r a m e t e r w h i c h d e t e r m i n e s t h e s i z e o f t h e

e r r o r - v e c t o r s w h i c h w e a d d t o t h e l a t t i c e p o i n t s ( s a y , i n L

1

n o r m ) .

A p a r t i c u l a r f u n c t i o n a n d i t s t r a p d o o r i n f o r m a t i o n a r e s p e c i e d b y a p a i r o f b a s e s o f t h e s a m e

( f u l l r a n k ) l a t t i c e i n R

n

: A \ n o n - r e d u c e d " b a s i s B w h i c h i s u s e d t o c o m p u t e t h e f u n c t i o n a n d a

2



r e d u c e d b a s i s R w h i c h s e r v e s a s t h e t r a p d o o r i n f o r m a t i o n a n d i s u s e d f o r i n v e r s i o n . T h e \ r e d u c e d "

b a s i s i s s e l e c t e d \ u n i f o r m l y " a n d t h e \ n o n - r e d u c e d " b a s i s i s d e r i v e d f r o m i t u s i n g a r a n d o m i z e d

u n i - m o d u l a r t r a n s f o r m a t i o n .

T h e i n p u t t o t h e f u n c t i o n i s a l a t t i c e p o i n t ( w h i c h i s s p e c i e d b y a n i n t e g r a l l i n e a r c o m b i n a t i o n

o f t h e c o l u m n s o f B ) a n d a n e r r o r v e c t o r w h o s e s i z e i s b o u n d e d b y . T h e v a l u e o f t h e f u n c t i o n o n

t h i s i n p u t i s j u s t t h e v e c t o r s u m o f t h e t w o p o i n t s . T o i n v e r t t h e f u n c t i o n , w e u s e a r e d u c e d b a s i s

R i n o n e o f B a b a i ' s n e a r e s t - v e c t o r a p p r o x i m a t i o n a l g o r i t h m s B a 8 6 ] t o n d a l a t t i c e p o i n t w h i c h i s

a t m o s t a w a y f r o m t h e g i v e n v e c t o r .

T h e c r y p t a n a l y t i c p r o b l e m u n d e r l y i n g o u r s c h e m e i s t o a p p r o x i m a t e t h e c l o s e s t v e c t o r p r o b l e m

( C V P ) i n a l a t t i c e , g i v e n a \ n o n - r e d u c e d " b a s i s f o r t h a t l a t t i c e . A r e l a t e d p r o b l e m i s t h e p r o b l e m

o f r e d u c i n g t h e g i v e n p u b l i c b a s i s ( s i n c e o n e o b v i o u s a t t a c k i s t o r e d u c e t h e g i v e n b a s i s a n d t h e n

u s e t h e r e s u l t f o r i n v e r t i n g t h e f u n c t i o n ) . S e e S e c t i o n 2 . 1 f o r a d e s c r i p t i o n o f t h e s e c o m p u t a t i o n a l

p r o b l e m s i n l a t t i c e s .

F r o m t r a p d o o r f u n c t i o n t o e n c r y p t i o n s c h e m e . I n o r d e r t o u s e t h e a b o v e t r a p d o o r f u n c t i o n

f o r p u b l i c - k e y e n c r y p t i o n , w e n e e d a w a y t o e m b e d t h e m e s s a g e i n t h e a r g u m e n t s t o t h i s f u n c t i o n .

T h e r e a r e s e v e r a l w a y s t o d o t h a t , a n d w e d i s c u s s s o m e o f t h e m i n S e c t i o n 4 . 2 . H e r e w e o n l y

d e s c r i b e o n e o f t h e m , i n w h i c h t h e m e s s a g e i s e m b e d d e d i n t h e l a t t i c e p o i n t .

T h e p r i v a t e a n d p u b l i c p a i r o f k e y s o f a u s e r a r e a p a i r o f t w o b a s e s o f t h e s a m e l a t t i c e o f

d i m e n s i o n n ( t h e s e c u r i t y p a r a m e t e r ) . T h e p u b l i c b a s i s w i l l a l l o w e n c r y p t i o n w h e r e a s t h e p r i v a t e

b a s i s i s c h o s e n t o a l l o w d e c r y p t i o n . T o e n c r y p t a m e s s a g e w e r s t m a p i t t o a l a t t i c e p o i n t b y

t a k i n g t h e i n t e g e r c o m b i n a t i o n s \ s p e c i e d " b y t h e m e s s a g e o f t h e p u b l i c b a s i s v e c t o r s , a n d t h e n

a d d t o t h e l a t t i c e p o i n t a \ s m a l l e r r o r v e c t o r " c h o s e n a t r a n d o m . T o d e c r y p t , w e l o o k f o r a l a t t i c e

p o i n t w h i c h i s c l o s e t o t h e c i p h e r t e x t . B y u s i n g t h e p r i v a t e b a s i s , w h i c h i s a r e d u c e d b a s i s , t h e

c o r r e c t d e c r y p t i o n i s o b t a i n e d w i t h h i g h p r o b a b i l i t y . W e r e m a r k t h a t o u r e n c r y p t i o n a l g o r i t h m i s

s i m i l a r i n i t s a l g o r i t h m i c n a t u r e t o M c E l i e c e ' s s c h e m e M c 7 9 ] .

O u r s i g n a t u r e s c h e m e . O u r s i g n a t u r e s c h e m e i s s i m i l a r t o t h e e n c r y p t i o n s c h e m e . R e g a r d t h e

m e s s a g e a s a n - d i m e n s i o n a l v e c t o r o v e r t h e r e a l s . T h e n , a s i g n a t u r e o f s u c h v e c t o r , i s a l a t t i c e p o i n t

w h i c h i s \ c l o s e " t o i t ( w h e r e c l o s e n e s s i s d e n e d b y a p u b l i s h e d t h r e s h o l d ) . T h e p r i v a t e b a s i s i s

r e d u c e d s o t h a t n d i n g \ c l o s e " p o i n t s i s p o s s i b l e . V e r i f y i n g c o r r e c t n e s s a m o u n t s t o c h e c k i n g t h a t

a s i g n a t u r e i s i n d e e d a l a t t i c e p o i n t a n d t h a t t h e m e s s a g e i s c l o s e t o t h e s i g n a t u r e .

I t i s i m p o r t a n t t o r e m a r k a t t h e o u t s e t , t h a t m e s s a g e s w h i c h a r e c l o s e t o e a c h o t h e r w i l l h a v e

t h e s a m e s i g n a t u r e . W h e n a p p l y i n g t h e m e t h o d i n a s e t t i n g w h e r e t h i s p r o p e r t y i s d e s i r a b l e ( e . g . ,

s i g n i n g a n a l o g s i g n a l s w h i c h m a y c h a n g e a l i t t l e i n t i m e ) , t h i s f e a t u r e i s o f g r e a t b e n e t . H o w e v e r ,

w h e n a p p l y i n g t h e m e t h o d t o a m e s s a g e s p a c e w h e r e s u c h p r o p e r t y i s u n d e s i r a b l e , w e p r o p o s e t o

r s t h a s h t h e m e s s a g e a n d o n l y t h e n s i g n i t . T h i s i s g o o d p r a c t i c e a l s o i n c a s e t h a t t h e s c h e m e

i s s u b j e c t t o a c h o s e n m e s s a g e a t t a c k , a s o t h e r w i s e b e i n g a b l e t o o b t a i n d i e r e n t s i g n a t u r e s o f

t w o m e s s a g e s w h i c h a r e c l o s e t o e a c h o t h e r w h e n v i e w e d a s p o i n t s i n R

n

w i l l i m p l y t h e a b i l i t y t o

c o m p u t e a s m a l l b a s i s f o r t h e l a t t i c e w h i c h i n t u r n w i l l e n a b l e t h e a t t a c k e r t o n d c l o s e v e c t o r s

i n a l a t t i c e a n d b r e a k t h e s c h e m e . I n t e r e s t i n g l y , a f a m i l y o f c o l l i s i o n - f r e e h a s h f u n c t i o n s c a n b e

c o n s t r u c t e d a s s u m i n g t h a t L a t t i c e - R e d u c t i o n i s h a r d o n t h e w o r s t - c a s e ( s e e b e l o w ) .

1 . 3 D i s c u s s i o n

O u r w o r k w a s i n s p i r e d b y a r e m a r k a b l e r e s u l t o f A j t a i A j 9 6 ] w h o i n t r o d u c e d a f u n c t i o n w h i c h

i s p r o v a b l y a o n e - w a y f u n c t i o n i f a p p r o x i m a t i n g t h e s h o r t e s t n o n - z e r o v e c t o r ( S V P ) i n a l a t t i c e

3



i s h a r d o n t h e w o r s t c a s e . A j t a i ' s w o r k m a y b e v i e w e d a s e x h i b i t i n g a s a m p l a b l e d i s t r i b u t i o n o n

l a t t i c e s a n d p r o v i n g t h a t a p p r o x i m a t i n g t h e s h o r t e s t n o n - z e r o v e c t o r i n l a t t i c e s c h o s e n a c c o r d i n g

t o t h i s d i s t r i b u t i o n i s a s h a r d a s t h e w o r s t c a s e i n s t a n c e o f a p p r o x i m a t i n g t h e s h o r t e s t n o n - z e r o

v e c t o r i n a l a t t i c e . A j t a i ' s c o n s t r u c t i o n , h o w e v e r , d o e s n o t p r o v i d e a t r a p d o o r f u n c t i o n a n d t h u s

d o e s n o t p r o v i d e a w a y o f d o i n g p u b l i c - k e y e n c r y p t i o n b a s e d o n l a t t i c e p r o b l e m s . C o n s t r u c t i n g

s u c h a t r a p d o o r f u n c t i o n i s t h e n o v e l t y a n d f o c u s o f o u r w o r k .

W e r e m a r k t h a t t h e c o n s t r u c t i o n o f N Y 8 9 ] c a n b e a p p l i e d t o t h e o n e - w a y f u n c t i o n o f A j t a i a n d

t h u s y i e l d a s i g n a t u r e s c h e m e b a s e d o n t h e S V P p r o b l e m . H o w e v e r , t h i s c o n s t r u c t i o n i s g e n e r i c

a n d t h u s q u i t e i n e c i e n t . I n c o n t r a s t , t h e s i g n a t u r e s c h e m e w h i c h w e s u g g e s t b a s e d o n t h e n e w

t r a p d o o r f u n c t i o n i s m o r e e c i e n t , a n d b a s e d o n t h e c o m p u t a t i o n a l d i c u l t y o f t h e C V P . A l a s , t h e

d i s t r i b u t i o n o v e r C V P i n s t a n c e s , i n d u c e d b y o u r c o n s t r u c t i o n , i s n o t k n o w n t o e n j o y t h e \ h a r d n e s s

o f t h e w o r s t - c a s e " p r o p e r t y o f A j t a i ' s r e s u l t .

I n r e t r o s p e c t , o u r e n c r y p t i o n s c h e m e b e a r s m u c h s i m i l a r i t y t o M c E l i e c e ' s s c h e m e M c 7 9 ] . H i s

s c h e m e u t i l i z e s a p a i r o f m a t r i c e s o v e r G F ( 2 ) , w h i c h c o r r e s p o n d s t o t w o r e p r e s e n t a t i o n s o f t h e

s a m e l i n e a r c o d e . T h e e n c r y p t i o n m e t h o d i s p r o b a b i l i s t i c : o n e m u l t i p l i e s t h e p u b l i c m a t r i x b y

t h e m e s s a g e v e c t o r a n d a d d s a r a n d o m n o i s e v e c t o r t o t h e r e s u l t i n g c o d e w o r d . T h u s i n b o t h

M c E l i e c e a n d o u r e n c r y p t i o n s c h e m e , e n c r y p t i o n a m o u n t s t o a m a t r i x - b y - v e c t o r m u l t i p l i c a t i o n

a n d t h e a d d i t i o n o f a s u i t a b l e r a n d o m v e c t o r t o t h e r e s u l t . H o w e v e r , t h e d o m a i n s i n w h i c h t h e s e

o p e r a t i o n s t a k e p l a c e a r e v a s t l y d i e r e n t a n d s o i s t h e a l g e b r a . A n o t h e r d i e r e n c e i s i n t h e w a y t h e

p r i v a t e - k e y i s g e n e r a t e d . I n M c E l i e c e ' s s c h e m e t h e p r i v a t e - k e y i s a r a n d o m G o p p a c o d e a n d h a s

s t r u c t u r e e s s e n t i a l f o r l e g i t i m a t e d e c o d i n g . I n o u r s c h e m e t h e p r i v a t e - k e y c a n b e c h o s e n u n i f o r m l y

a n d t h u s i s \ s t r u c t u r e - l e s s " { l e g i t i m a t e d e c o d i n g m e r e l y d e p e n d s o n a p r o p e r t y o f s u c h r a n d o m

c h o i c e s . I n b o t h s c h e m e s t h e p u b l i c - k e y i s o b t a i n e d b y a s u i t a b l e r a n d o m l i n e a r t r a n s f o r m a t i o n o f

t h e p r i v a t e - k e y ; h o w e v e r , i n o u r s c h e m e t h e c h o i c e o f t h i s t r a n s f o r m a t i o n s e e m s r i c h e r . I n g e n e r a l ,

w e b e l i e v e t h a t M c E l i e c e ' s s u g g e s t i o n a s w e l l a s o u r s d e s e r v e f u r t h e r i n v e s t i g a t i o n , e s p e c i a l l y d u e

t o t h e d i e r e n c e i n c o m p u t a t i o n a l c o m p l e x i t y r e q u i r e d f r o m t h e l e g a l s e n d e r a n d r e c e i v e r i n t h e s e

s c h e m e s a s c o m p a r e d w i t h t h e f a c t o r i n g / D L P b a s e d s c h e m e s .

W h a t c a n w e p r o v e a b o u t t h e s e c u r i t y o f o u r p r o p o s a l ? S i n c e c o m p l e x i t y t h e o r y h a s y e t t o

p r o d u c e a n o n - l i n e a r l o w e r b o u n d s f o r e v e n o n e N P - c o m p l e t e p r o b l e m s , o u r p r o p o s a l i s e s s e n t i a l l y

b a s e d o n t h e f a i l u r e o f p a s t r e s e a r c h e o r t s t o c o m e u p w i t h e c i e n t a l g o r i t h m s f o r t h e r e l e v a n t

l a t t i c e a p p r o x i m a t i o n t a s k s ( i . e . , S V P a n d C V P ) . U s i n g t h e b e s t k n o w n a l g o r i t h m s f o r a p p r o x i m a t -

i n g t h e c l o s e s t v e c t o r p r o b l e m w e s h o w i n S e c t i o n 6 t h a t a n a t u r a l a t t a c k o n o u r t r a p d o o r f u n c t i o n

t a k e s e x p o n e n t i a l t i m e i n t h e d i m e n s i o n o f t h e l a t t i c e . I n p a r t i c u l a r , a c c o r d i n g t o o u r e s t i m a t e s

t h i s a t t a c k s h o u l d b e i n t r a c t a b l e i n p r a c t i c e f o r d i m e n s i o n 2 0 0 .

D r a w i n g a n a n a l o g y f r o m t h e p a s t , i n p r o p o s i n g t h e R S A , R i v e s t e t . a l . R S A ] r e l i e d o n t h e

f a i l u r e o f p a s t r e s e a r c h t o p r o d u c e e c i e n t f a c t o r i n g a l g o r i t h m s , b u t d i d n o t r e d u c e f a c t o r i n g t o

t h e b r e a k i n g o f t h e i r p r o p o s a l . B y n o w , t h e a s s u m p t i o n t h a t R S A i t s e l f i s h a r d t o i n v e r t ( r a t h e r

t h a n f a c t o r i n g i n g e n e r a l ) c a n s t a n d o n i t s o w n , a s i t h a s b e e n s u b j e c t e d t o m u c h e x a m i n a t i o n a n d

s c r u t i n y . T h e s t r u c t u r e o f o u r p r o p o s a l ( i . e t h e k e y g e n e r a t i o n p r o c e s s ) i s m o r e c o m p l e x t h a n i n

R S A a n d r e q u i r e s s t a t i n g a m o r e c o m p l e x a s s u m p t i o n . E s s e n t i a l l y , w e n e e d t o c o n j e c t u r e t h a t f o r

s o m e n a t u r a l d i s t r i b u t i o n o n l a t t i c e s a n d b a s e s f o r t h e s e l a t t i c e s , t h e C V P i s h a r d . W e d o n ' t k n o w

i f a r e s u l t s i m i l a r t o A j t a i ' s c a n b e p r o v e d f o r t h e d i s t r i b u t i o n w h i c h w e p r o p o s e o v e r t h e C V P

i n s t a n c e s . ( S i m i l a r i t y , i t i s n o t k n o w n w h e t h e r s u c h a r e s u l t c a n b e p r o v e d f o r R S A . ) W e h o p e t h a t

o u r s u g g e s t i o n w i l l s t i r u p f u r t h e r i n v e s t i g a t i o n i n t o t h e c o m p l e x i t y o f l a t t i c e p r o b l e m s .

4



1 . 4 O r g a n i z a t i o n

I n S e c t i o n 2 w e r e v i e w n e c e s s a r y m a t e r i a l a b o u t l a t t i c e s a n d l a t t i c e p r o b l e m s . I n S e c t i o n 3 w e

d e s c r i b e o u r c o n s t r u c t i o n o f a t r a p d o o r f u n c t i o n a n d d i s c u s s v a r i o u s p a r a m e t e r s a n d a t t a c k s . S e c -

t i o n 4 d e s c r i b e s o u r e n c r y p t i o n s c h e m e a n d S e c t i o n 5 d e s c r i b e s o u r s i g n a t u r e s c h e m e . I n S e c t i o n 6

w e d e s c r i b e o u r e x p e r i m e n t a l r e s u l t s

2 L a t t i c e s a n d L a t t i c e R e d u c t i o n P r o b l e m s

N o t a t i o n s a n d c o n v e n t i o n s . I n t h e s e q u e l w e u s e t h e f o l l o w i n g c o n v e n t i o n s : W e d e n o t e t h e s e t

o f r e a l n u m b e r s b y R a n d t h e s e t o f i n t e g e r s b y Z . W e d e n o t e r e a l n u m b e r s b y s m a l l G r e e k l e t t e r s

( e . g . , ; ; e t c . ) a n d i n t e g e r s b y o n e o f t h e l e t t e r s i ; j ; k ; l ; m ; n . W e d e n o t e v e c t o r s b y b o l d - f a c e

l o w e r c a s e l e t t e r s ( e . g . , b ; c ; r e t c . ) . W e u s e c a p i t a l l e t t e r s ( e . g . , B ; C ; R , e t c . ) t o d e n o t e m a t r i c e s o r

s e t s o f v e c t o r s .

I n t h i s p a p e r w e o n l y c a r e a b o u t l a t t i c e s o f f u l l r a n k , s o t h e d e n i t i o n s b e l o w o n l y d e a l w i t h

t h o s e .

D e n i t i o n 1 : G i v e n a s e t o f n l i n e a r l y i n d e p e n d e n t v e c t o r s i n R

n

; B = f b

1

; ; b

n

g , w e d e n e

t h e l a t t i c e s p a n n e d b y B a s t h e s e t o f a l l p o s s i b l e l i n e a r c o m b i n a t i o n s o f t h e b

i

' s w i t h i n t e g r a l

c o e c i e n t s , n a m e l y

L ( B )

d e f

= f

X

i

k

i

b

i

: k

i

2 Z f o r a l l i g

W e c a l l B a b a s i s o f t h e l a t t i c e L ( B ) . W e s a y t h a t a s e t o f v e c t o r s L R

n

i s a l a t t i c e i f t h e r e i s

a b a s i s B s u c h t h a t L = L ( B ) . I f t h e v e c t o r v b e l o n g s t o t h e l a t t i c e L , t h e n w e s a y t h a t v i s a

l a t t i c e - v e c t o r ( o r a l a t t i c e p o i n t ) .

B e l o w w e b r i e y m e n t i o n a f e w w e l l - k n o w n f a c t s a b o u t l a t t i c e s . I n t h e s e q u e l w e v i e w a b a s i s

f o r a l a t t i c e i n R

n

a s a n n n n o n - s i n g u l a r m a t r i x B w h o s e c o l u m n s a r e t h e b a s i s v e c t o r s . V i e w e d

t h i s w a y , t h e l a t t i c e s p a n n e d b y B i s t h e s e t L ( B ) = f B v : v i s a n i n t e g r a l v e c t o r g . W e n o t e t h a t

t h e r e a r e m a n y d i e r e n t b a s e s f o r a n y l a t t i c e L . I n f a c t , i f t h e s e t B = f b

1

; ; b

n

g s p a n s s o m e

l a t t i c e t h e n b y t a k i n g a n y v e c t o r b

i

2 B a n d a d d i n g t o i t a n y i n t e g r a l l i n e a r c o m b i n a t i o n o f t h e

o t h e r v e c t o r s w e o b t a i n a d i e r e n t b a s i s f o r t h e s a m e l a t t i c e .

A l l b a s e s h a v e t h e s a m e d e t e r m i n a n t . T h e r s t i m p o r t a n t f a c t a b o u t l a t t i c e s i s t h a t a l l t h e

b a s e s o f a g i v e n l a t t i c e h a v e t h e s a m e d e t e r m i n a n t . T h i s f a c t f o l l o w s s i n c e t h e r e i s a n i n t e g e r m a t r i x

T s u c h t h a t B T = C a n d a n o t h e r i n t e g e r m a t r i x T

1

s u c h t h a t C T

1

= B

T h e d u a l l a t t i c e L e t B = b

1

; ; b

n

b e a b a s i s f o r s o m e l a t t i c e i n R

n

, L = L ( B ) . R e c a l l t h a t

w e t h i n k o f B a s a n n n m a t r i x w h o s e c o l u m n s a r e t h e b

i

' s . T h e d u a l l a t t i c e o f L i s t h e l a t t i c e

w h i c h i s s p a n n e d b y t h e r o w s o f t h e m a t r i x B

1

. L e t u s d e n o t e t h e r o w s o f B

1

b y

̂

b

1

; ;

̂

b

n

O r t h o g o n a l i t y D e f e c t T h e n o t i o n o f o f t h e o r t h o g o n a l i t y d e f e c t o f a b a s i s w h i c h w a s i n t r o d u c e d

b y S c h n o r r i n S c 8 7 ] p l a y s a c r u c i a l r o l e i n t h e s e c u r i t y o f o u r s c h e m e s .

D e n i t i o n 2 : L e t B b e a r e a l n o n - s i n g u l a r n n m a t r i x . T h e o r t h o g o n a l i t y d e f e c t o f B i s d e n e d

a s o r t h - d e f e c t ( B )

d e f

=

Q

i

k b

i

k

d e t ( B )

, w h e r e k b

i

k i s t h e E u c l i d e a n n o r m o f t h e i ' t h c o l u m n i n B

5



C l e a r l y w e h a v e o r t h - d e f e c t ( B ) = 1 i f a n d o n l y i f t h e c o l u m n s o f B a r e o r t h o g o n a l t o o n e a n o t h e r ,

a n d o r t h - d e f e c t ( B ) > 1 o t h e r w i s e . W h e n c o m p a r i n g d i e r e n t b a s e s o f t h e s a m e l a t t i c e i n R

n

, w e

r e a l l y o n l y c a r e a b o u t t h e p r o d u c t o f t h e k b

i

k ' s , s i n c e d e t ( B ) i s t h e s a m e f o r a l l o f t h e m ( a n d s e r v e s

j u s t a s a n o r m a l i z a t i o n f a c t o r ) . I n S e c t i o n 3 . 5 w e d e m o n s t r a t e t h e i m p o r t a n c e o f t h e o r t h o g o n a l i t y

d e f e c t t o t h e s e c u r i t y o f o u r s c h e m e s . I n p a r t i c u l a r w e s h o w t h a t w h e n w e u s e a b a s i s B f o r a l a t t i c e

L = L ( B ) f o r o u r t r a p d o o r f u n c t i o n , t h e w o r k l o a d w h i c h i s a s s o c i a t e d w i t h a b r u t e - f o r c e a t t a c k s

o n t h e s c h e m e i s p r o p o r t i o n a l t o t h e o r t h o g o n a l i t y d e f e c t o f t h e c o r r e s p o n d i n g b a s i s f o r t h e d u a l

l a t t i c e . I t w o u l d t h e r e f o r e b e c o n v e n i e n t f o r u s t o d e n e t h e d u a l o r t h o g o n a l i t y d e f e c t f o r a m a t r i x .

D e n i t i o n 3 : L e t B b e a r e a l n o n - s i n g u l a r n n m a t r i x . T h e d u a l o r t h o g o n a l i t y d e f e c t o f B i s

d e n e d a s o r t h - d e f e c t

( B )

d e f

=

Q

i

k

̂

b

i

k = d e t ( B

1

) = d e t ( B )

Q

i

k

̂

b

i

k , w h e r e k

̂

b

i

k i s t h e E u c l i d e a n

n o r m o f t h e i ' t h r o w i n B

1

2 . 1 H a r d p r o b l e m s i n l a t t i c e s

T h e s e c u r i t y o f o u r c o n s t r u c t i o n s i s r e l a t e d t o t h e ( c o n j e c t u r e d ) i n t r a c t a b i l i t y o f a f e w c o m p u t a t i o n a l

p r o b l e m s i n l a t t i c e s .

T h e S h o r t e s t n o n - z e r o V e c t o r P r o b l e m ( S V P ) . T h i s p r o b l e m u n d e r l i e s t h e s e c u r i t y o f

A j t a i ' s c o n s t r u c t i o n a n d o u r c o l l i s i o n - f r e e h a s h i n g . I n t h i s p r o b l e m w e a r e g i v e n a b a s i s B f o r

a l a t t i c e i n R

n

a n d o u r t a s k i s t o n d t h e n o n - z e r o v e c t o r i n L ( B ) w h o s e E u c l i d e a n n o r m i s

m i n i m u m . T h e r e a r e n o k n o w n p o l y n o m i a l - t i m e a l g o r i t h m s f o r s o l v i n g t h e S V P , a n d i t i s a l s o n o t

k n o w n w h e t h e r t h e S V P i s N P - h a r d ( a l t h o u g h a v e r s i o n o f i t , w h e r e t h e d i s t a n c e i s m e a s u r e d i n

L

1

n o r m , w a s s h o w n b y v a n E m d e B o a s B o 8 1 ] t o b e N P - h a r d ) . T h e r e a r e , h o w e v e r , d e t e r m i n i s t i c

p o l y n o m i a l - t i m e a p p r o x i m a t i o n a l g o r i t h m s f o r t h e S V P . T h e L L L a l g o r i t h m ( d u e t o L o v a s z , L e n s t r a

a n d L e n s t r a L L L ] ) a p p r o x i m a t e s t h e S V P i n R

n

u p t o a f a c t o r o f 2

n = 2

i n t h e w o r s t c a s e . T h i s w a s

l a t e r i m p r o v e d b y S c h n o r r S c 8 7 ] t o a f a c t o r o f ( 1 + " )

n

f o r a n y " > 0

N o p o l y n o m i a l - t i m e a l g o r i t h m i s k n o w n f o r a p p r o x i m a t i n g t h e S V P i n R

n

w i t h i n a p o l y n o m i a l

f a c t o r i n n . I n d e e d s u c h a n a p p r o x i m a t i o n h a s b e e n c o n j e c t u r e d t o b e i n f e a s i b l e t o a c h i e v e . R e -

c e n t l y , A j t a i A j 9 6 ] d e s c r i b e d s a m p l a b l e d i s t r i b u t i o n s w h i c h f o r m a l s o a \ h a r d - c o r e d i s t r i b u t i o n "

f o r t h e S V P . N a m e l y , a n y ( p r o b a b i l i s t i c p o l y n o m i a l t i m e ) a l g o r i t h m w h i c h c a n a p p r o x i m a t e t h e

S V P p r o b l e m w i t h a p o l y n o m i a l a p p r o x i m a t i o n r a t i o o n r a n d o m i n s t a n c e s d r a w n w i t h A j t a i ' s d i s -

t r i b u t i o n , c a n b e t r a n s f o r m e d i n t o a ( p r o b a b i l i s t i c p o l y n o m i a l t i m e ) a l g o r i t h m w h i c h a c h i e v e s a

p o l y n o m i a l a p p r o x i m a t i o n r a t i o o n e v e r y i n s t a n c e o f t h e S V P .

T h e C l o s e s t V e c t o r P r o b l e m ( C V P ) . T h i s i s t h e \ n o n - h o m o g e n e o u s " v e r s i o n o f t h e S V P .

I n t h i s p r o b l e m w e a r e g i v e n a b a s i s B f o r a l a t t i c e i n R

n

a n d a n o t h e r v e c t o r v 2 R

n

, a n d o u r

t a s k i s t o n d t h e v e c t o r i n L ( B ) w h i c h i s c l o s e s t t o v ( i n s o m e n o r m ) . T h e C V P w a s s h o w n b y

v a n E m d e B o a s B o 8 1 ] t o b e N P - h a r d . I n t e r m s o f a p p r o x i m a t i o n , i t w a s s h o w n i n K a ] t h a t a n y

a l g o r i t h m w h i c h a p p r o x i m a t e s t h e S V P t o w i t h i n a f a c t o r o f c a n b e t r a n s f o r m e d i n t o a n a l g o r i t h m

w h i c h a p p r o x i m a t e s t h e C V P t o w i t h i n a f a c t o r o f n

3 = 2

2

. C o m b i n e d w i t h S c h n o r r ' s a l g o r i t h m , t h i s

y i e l d s a p o l y n o m i a l - t i m e d e t e r m i n i s t i c a l g o r i t h m w h i c h a p p r o x i m a t e s t h e C V P i n R

n

t o w i t h i n a

f a c t o r o f ( 1 + " )

n

f o r a n y " > 0

A s w e e x p l a i n i n S e c t i o n 3 , a n a t t a c k a g a i n s t o u r t r a p d o o r f u n c t i o n a m o u n t s t o n d i n g a n e x a c t

s o l u t i o n f o r s o m e i n s t a n c e o f C V P .

6



T h e S m a l l e s t B a s i s P r o b l e m ( S B P ) . I n t h i s p r o b l e m , w e a r e g i v e n a b a s i s B f o r a l a t t i c e i n

R

n

a n d o u r g o a l i s t o n d t h e \ s m a l l e s t " b a s i s B f o r t h e s a m e l a t t i c e . T h e r e a r e m a n y v a r i a n t s

o f t h i s p r o b l e m , d e p e n d i n g o n t h e e x a c t m e a n i n g o f \ s m a l l e s t " . I n t h e c o n t e x t o f t h i s p a p e r , w e

c a r e a b o u t b a s e s w i t h s m a l l o r t h o g o n a l i t y d e f e c t . T h u s , w e c o n s i d e r t h e v e r s i o n i n w h i c h w e l o o k

f o r t h e b a s i s B o f L ( B ) w h i c h h a s s m a l l e s t o r t h o g o n a l i t y d e f e c t . I n o u t p u b l i c k e y c o n s t r u c t i o n s ,

n d i n g t h e p r i v a t e - k e y f r o m t h e p u b l i c - k e y r e q u i r e s s o l v i n g s o m e d i s t r i b u t i o n o v e r S B P i n s t a n c e s .

F o r t h i s p r o b l e m t o o t h e r e a r e n o k n o w n p o l y n o m i a l - t i m e a l g o r i t h m s , a n d t h e b e s t p o l y n o m i a l -

t i m e a p p r o x i m a t i o n a l g o r i t h m s f o r i t a r e a g a i n t h e L L L a n d S c h n o r r ' s a l g o r i t h m s w h i c h a c h i e v e a n

a p p r o x i m a t i o n r a t i o o f 2

O ( n

2

)

i n t h e w o r s t c a s e f o r S B P i n s t a n c e s i n R

n

W o r s t c a s e v s . a v e r a g e c a s e . T h e u p p e r - b o u n d s a b o v e o n t h e p e r f o r m a n c e o f t h e a p p r o x i m a -

t i o n a l g o r i t h m s a r e a l l w o r s t - c a s e b o u n d s . H o w e v e r , f o r t h e s e c u r i t y o f o u r s c h e m e w e a r e m o r e

i n t e r e s t e d i n t h e p e r f o r m a n c e o f t h e s e a l g o r i t h m s \ o n t h e a v e r a g e " . I n f a c t , t y p i c a l l y t h e L L L

a l g o r i t h m a n d i t s v a r i a n t s p e r f o r m m u c h b e t t e r t h a n t h e a b o v e u p p e r - b o u n d s .

T h e o n l y k n o w n t h e o r e t i c a l r e s u l t a b o u t t h e d i c u l t y o f \ a v e r a g e c a s e " l a t t i c e p r o b l e m s i s

A j t a i ' s r e s u l t w h i c h w e m e n t i o n e d a b o v e A j 9 6 ] . A s w e e x p l a i n e d i n t h e I n t r o d u c t i o n , h o w e v e r ,

w e c o u l d n o t d i r e c t l y u s e A j t a i ' s r e s u l t f o r o u r s c h e m e . W e i n s t e a d p r o p o s e a t r a p d o o r f u n c t i o n

a n d p r o v i d e s o m e e m p i r i c a l e v i d e n c e t o i t s s e c u r i t y , b y t e s t i n g t h e d i c u l t y o f t h e d i s t r i b u t i o n

o f l a t t i c e p r o b l e m s w h i c h i s d e n e d b y o u r s c h e m e a g a i n s t s o m e k n o w n a p p r o x i m a t i o n a l g o r i t h m s

w i t h v a r i o u s p a r a m e t e r s . W e d e s c r i b e t h e s e t e s t s i n S e c t i o n 6 .

3 A C a n d i d a t e T r a p d o o r F u n c t i o n

I n t h i s s e c t i o n w e d e n e o u r c a n d i d a t e t r a p d o o r f u n c t i o n a n d a n a l y z e a f e w p o s s i b l e a t t a c k s a g a i n s t

i t . W e s t a r t b y r e v i e w i n g t h e d e n i t i o n o f a c o l l e c t i o n o f t r a p d o o r f u n c t i o n s

D e n i t i o n 4 : A c o l l e c t i o n o f o n e - w a y t r a p d o o r f u n c t i o n s c o n s i s t s o f f o u r ( p r o b a b i l i s t i c ) p o l y n o m i a l -

t i m e a l g o r i t h m s , G e n e r a t e , S a m p l e , E v a l u a t e a n d I n v e r t

G e n e r a t e T h e r a n d o m i z e d a l g o r i t h m G e n e r a t e t a k e s a s i n p u t t h e s e c u r i t y p a r a m e t e r ( 1

n

) a n d

o u t p u t s a p a i r ( f ; t ) w h e r e f d e s c r i b e s a f u n c t i o n a n d t i s a t r a p d o o r i n f o r m a t i o n . T h e r e i s a

d o m a i n D

f

w h i c h i s a s s o c i a t e d w i t h e v e r y f u n c t i o n f

S a m p l e T h e r a n d o m i z e d a l g o r i t h m S a m p l e t a k e s a s i n p u t a f u n c t i o n d e s c r i p t i o n f ( w h i c h i s

p a r t o f t h e o u t p u t o f G e n e r a t e ) a n d o u t p u t s a p o i n t x 2 D

f

. T h e r a n d o m c h o i c e s o f t h i s

a l g o r i t h m i n d u c e a p r o b a b i l i t y d i s t r i b u t i o n o v e r t h e d o m a i n D

f

E v a l u a t e T h e a l g o r i t h m E v a l u a t e t a k e s a s i n p u t a f u n c t i o n d e s c r i p t i o n f a n d a p o i n t x 2 D

f

a n d r e t u r n s t h e v a l u e f ( x )

I n v e r t T h e a l g o r i t h m I n v e r t t a k e s a s i n p u t a f u n c t i o n d e s c r i p t i o n f , t h e c o r r e s p o n d i n g t r a p d o o r

i n f o r m a t i o n t a n d a p o i n t y i n t h e r a n g e o f f , a n d r e t u r n s a p o i n t x 2 D

f

f o r w h i c h f ( x ) = y

W e r e q u i r e t h a t t h e I n v e r t a l g o r i t h m b e s u c c e s s f u l w i t h h i g h p r o b a b i l i t y , w h e r e t h i s p r o b a -

b i l i t y i s t a k e n o v e r t h e r a n d o m c o i n - t o s s e s o f G e n e r a t e a n d S a m p l e , a n d o v e r t h e c o i n - t o s s e s

o f I n v e r t i t s e l f ( i f i t h a p p e n s t o b e r a n d o m i z e d ) .

A c o l l e c t i o n G e n e r a t e , S a m p l e , E v a l u a t e i s o n e - w a y i f E v a l u a t e i s a p o l y n o m i a l - t i m e a l g o -

r i t h m , a n d f o r a n y p r o b a b i l i s t i c p o l y n o m i a l t i m e a l g o r i t h m A , t h e p r o b a b i l i t y t h a t A s u c c e e d s i n

i n v e r t i n g f - w h e n i t i s o n l y g i v e n 1

n

; f ; f ( x ) - i s n e g l i g i b l e . T h e p r o b a b i l i t y i n t h i s c a s e i s t a k e n

7



o v e r t h e c o i n t o s s e s o f G e n e r a t e , S a m p l e a n d A i t s e l f , a n d i s m e a s u r e d a g a i n s t t h e s e c u r i t y

p a r a m e t e r w h i c h w a s t h e i n p u t t o b o t h G e n e r a t e a n d A . N a m e l y , w e h a v e

P r

f x

A ( 1

n

; f ; f ( x ) ) 2 f

1

f ( x ) = n e g l i g i b l e ( n )

w h e r e t h e p r o b a b i l i t y i s t a k e n o v e r t h e c h o i c e o f f b y G e n e r a t e , t h e c h o i c e o f x b y S a m p l e a n d

t h e i n t e r n a l c o i n - t o s s e s o f t h e A . ( w e s a y t h a t a r e a l - v a l u e d f u n c t i o n i s n e g l i g i b l e i n n , i f a s n g e t s

l a r g e r t h i s f u n c t i o n b e c o m e s s m a l l e r t h a n a n y p o l y n o m i a l i n 1 = n )

3 . 1 O u r c o n s t r u c t i o n

G e n e r a t e O n i n p u t 1

n

, w e g e n e r a t e t w o b a s e s B a n d R o f t h e s a m e f u l l - r a n k l a t t i c e i n Z

n

a n d a

p o s i t i v e r e a l n u m b e r . W e g e n e r a t e t h e s e b a s e s s o t h a t R h a s a l o w d u a l - o r t h o g o n a l i t y - d e f e c t

a n d B h a s a h i g h d u a l - o r t h o g o n a l i t y - d e f e c t . W e d e s c r i b e t h e g e n e r a t i o n p r o c e s s i n d e t a i l s

i n S e c t i o n 3 . 3 . T h e b a s e s B ; R a r e r e p r e s e n t e d b y n n m a t r i c e s w h e r e t h e b a s i s - v e c t o r s

a r e t h e c o l u m n s o f t h e s e m a t r i c e s . I n t h e s e q u e l w e c a l l B t h e \ p u b l i c b a s i s " a n d R t h e

\ p r i v a t e b a s i s " . W e v i e w ( B ; ) a s t h e d e s c r i p t i o n o f a f u n c t i o n f

B

a n d R a s t h e t r a p d o o r

i n f o r m a t i o n . T h e d o m a i n o f f

B

c o n s i s t s o f p a i r s o f v e c t o r s v ; e 2 R

n

S a m p l e G i v e n ( B ; ) , w e o u t p u t v e c t o r s v ; e 2 R

n

a s f o l l o w s :

T h e v e c t o r v i s c h o s e n a t r a n d o m f r o m a \ l a r g e e n o u g h " c u b e i n Z

n

. F o r e x a m p l e , w e c a n

p i c k e a c h e n t r y i n v u n i f o r m l y a t r a n d o m f r o m t h e r a n g e f ? n

2

; ? n

2

+ 1 ; ; + n

2

g

2

T h e v e c t o r e i s c h o s e n a t r a n d o m f r o m R

n

, s o t h a t e a c h e n t r y i n i t h a s z e r o - m e a n a n d v a r i a n c e

2

. F o r e x a m p l e , w e c a n p i c k e a c h e n t r y i n e a s , e a c h w i t h p r o b a b i l i t y

1

2

. A l t e r n a t i v e l y ,

i f w e w a n t e t o h a v e i n t e g r a l e n t r i e s w e c a n p i c k e a c h e n t r y a s e q u a l t o d e e a c h w i t h

p r o b a b i l i t y

2

= 2 d e

2

a n d 0 w i t h p r o b a b i l i t y 1 ?

2

= d e

2

E v a l u a t e G i v e n B ; ; v ; e , w e c o m p u t e c = f

B

( v ; e ) = B v + e

I n v e r t G i v e n R a n d c , w e u s e B a b a i ' s R o u n d - O a l g o r i t h m B a 8 6 ] t o i n v e r t t h e f u n c t i o n . N a m e l y ,

w e r e p r e s e n t c a s a l i n e a r c o m b i n a t i o n o n t h e c o l u m n s o f R a n d t h e n r o u n d t h e c o e c i e n t s

i n t h i s l i n e a r c o m b i n a t i o n t o t h e n e a r e s t i n t e g e r s t o g e t a l a t t i c e p o i n t . T h e r e p r e s e n t a t i o n o f

t h i s l a t t i c e p o i n t a s a l i n e a r c o m b i n a t i o n o n t h e c o l u m n s o f B i s t h e v e c t o r v . O n c e w e h a v e

v w e c a n c o m p u t e e . M o r e p r e c i s e l y , d e n o t e T

d e f

= B

1

R , s o w e c o m p u t e v T d R

1

c c a n d

e c ? B v

3 . 2 T h e I n v e r s i o n A l g o r i t h m

I n t h i s s e c t i o n w e s h o w h o w c a n b e c h o s e n s o t h a t t h e i n v e r s i o n a l g o r i t h m i s s u c c e s s f u l w i t h h i g h

p r o b a b i l i t y . R e c a l l t h a t t h e i n v e r s i o n a l g o r i t h m s u c c e e d s i n i n v e r t i n g t h e f u n c t i o n o n c i f u s i n g t h e

p r i v a t e b a s i s R i n B a b a i ' s \ r o u n d o " a l g o r i t h m r e s u l t s i n n d i n g t h e c l o s e s t l a t t i c e - p o i n t t o c

B e l o w w e s u g g e s t t w o d i e r e n t w a y s t o b o u n d t h e v a l u e o f , b a s e d o n t h e L

1

n o r m a n d L

1

n o r m

o f r o w s i n R

1

. B o t h b o u n d s u s e s t h e f o l l o w i n g l e m m a .

L e m m a 3 . 1 : L e t R b e t h e p r i v a t e b a s i s u s e d i n t h e i n v e r s i o n o f f

B

( v ; e ) . T h e n a n i n v e r s i o n

e r r o r o c c u r s i f a n d o n l y i f d R

1

e c 6=

0

2

W e d o n o t k n o w i f t h e s i z e o f t h i s r a n g e h a s a n y i n u e n c e o n t h e s e c u r i t y o f t h e c o n s t r u c t i o n . T h e v a l u e n

2

i s

r a t h e r a r b i t r a r y , a n d w a s o n l y c h o s e n t o g e t i n t e g e r s o f a b o u t 1 6 b i t s f o r t h e p a r a m e t e r s w h i c h w e w o r k w i t h .

8



P r o o f : L e t T b e t h e u n i m o d u l a r t r a n s f o r m a t i o n m a t r i x T = B

1

R . T h e n t h e i n v e r s i o n a l g o r i t h m

i s v = T d R

1

c c a n d e = c ? B v . O b v i o u s l y , i f v i s c o m p u t e d c o r r e c t l y t h e n s o i s e . T h u s , l e t u s

e x a m i n e t h e c o n d i t i o n s u n d e r w h i c h t h i s a l g o r i t h m n d s t h e c o r r e c t v e c t o r v . R e c a l l t h a t c w a s

c o m p u t e d a s c = B v + e , s o

T d R

1

c c = T d R

1

( B v + e ) c

= T d R

1

B v + R

1

e c = T d ( B T )

1

B v + R

1

e c = T d T

1

v + R

1

e c

B u t s i n c e T i s a u n i m o d u l a r m a t r i x ( a n d t h e r e f o r e , s o i t T

1

) a n d s i n c e v i s a n i n t e g r a l v e c t o r , t h e n

T

1

v i s a l s o a n i n t e g r a l v e c t o r . H e n c e w e h a v e d T

1

v + R

1

e c = T

1

v + d R

1

e c , a n d t h e r e f o r e

R

1

c

= T ( T

1

v +

R

1

e

) = v + T

R

1

e

T h u s t h e i n v e r s i o n a l g o r i t h m s u c c e e d s i f a n d o n l y i f d R

1

e c =

0

W e p r o c e e d t o s h o w t h e b o u n d s o n . I n b o t h t h e t h e o r e m s b e l o w w e a s s u m e t h a t e a c h e n t r y

i n t h e \ e r r o r v e c t o r " e i s c h o s e n e q u a l t o , e a c h w i t h p r o b a b i l i t y a h a l f . W e s t a r t b y a s s e r t i n g

t h a t w e c a n c h o o s e s o t h a t w e n e v e r g e t a n y i n v e r s i o n e r r o r s .

T h e o r e m 1 : L e t R b e t h e p r i v a t e b a s i s u s e d i n t h e i n v e r s i o n o f f

B

, a n d d e n o t e t h e m a x i m u m

L

1

n o r m o f t h e r o w s i n R

1

b y . T h e n a s l o n g a s < 1 = ( 2 ) , n o i n v e r s i o n e r r o r s c a n o c c u r .

P r o o f : W e r s t i n t r o d u c e a f e w n o t a t i o n s . W e d e n o t e d

d e f

= R

1

e a n d d e n o t e t h e i ' t h e n t r y i n d

a n d e b y

i

a n d

i

r e s p e c t i v e l y . A l s o , w e d e n o t e t h e i ' t h r o w i n R

1

b y r̂

i

a n d t h e i ; j ' t h e l e m e n t

i n R

1

b y

i j

B y L e m m a 3 . 1 a b o v e , w e g e t a n i n v e r s i o n e r r o r o n l y w h e n d R

1

e c 6=

0 , w h i c h m e a n s t h a t

i

>

1

2

f o r s o m e i . H o w e v e r , s i n c e a l l t h e e n t r i e s i n e a r e e q u a l , w e g e t f o r e v e r y i

i

= r̂

i

e =

X

j

i j

j

X

j

i j

<

1

2

A l t h o u g h T h e o r e m 1 g i v e s a s u c i e n t c o n d i t i o n t o g e t t h e e r r o r - p r o b a b i l i t y d o w n t o 0 , w e m a y

c h o o s e t o s e t a h i g h e r v a l u e f o r i n o r d e r t o g e t b e t t e r s e c u r i t y . T h e n e x t t h e o r e m a s s e r t s a

d i e r e n t b o u n d o n , w h i c h g u a r a n t e e a l o w e r r o r p r o b a b i l i t y .

T h e o r e m 2 : L e t R b e t h e p r i v a t e b a s i s u s e d i n t h e i n v e r s i o n o f f

B

, a n d d e n o t e t h e m a x i m u m

L

1

n o r m o f t h e r o w s i n R

1

b y

p

n

. T h e n t h e p r o b a b i l i t y o f i n v e r s i o n e r r o r s i s b o u n d e d b y

P r i n v e r s i o n e r r o r u s i n g R 2 n e x p

?

1

8

2

2

( 1 )

P r o o f : W e u s e t h e n o t a t i o n s d ;

i

;

i

; r̂

i

a n d

i j

a s i n t h e p r o o f o f T h e o r e m 1 . W e r s t x s o m e

i a n d e v a l u a t e P r

i

1

2

] . R e c a l l t h a t

i

= r̂

i

e =

P

j

i j

j

. S i n c e f o r a l l j ,

i j

=

p

n a n d

j

= , e a c h w i t h p r o b a b i l i t y

1

2

, t h e n a l l t h e r a n d o m v a r i a b l e s

i j

j

h a v e z e r o m e a n a n d t h e y a r e

a l l l i m i t e d t o t h e i n t e r v a l ?

p

n

; +

p

n

] . T h e r e f o r e w e c a n u s e H o e d i n g b o u n d t o c o n c l u d e t h a t

P r

i

>

1

2

= P r

2

4

X

j

i j

j

>

1

2

3

5

< 2 e x p

?

1

8

2

2

9



U s i n g t h e u n i o n b o u n d t o b o u n d t h e p r o b a b i l i t y t h a t a n y s u c h i e x i s t s c o m p l e t e s t h e p r o o f .

R e m a r k . T h e l a s t t h e o r e m i m p l i e s t h a t t o g e t t h e e r r o r p r o b a b i l i t y b e l o w " i t i s s u c i e n t t o

c h o o s e

p

8 l n ( 2 n = " )

1

. I n f a c t , t h e a b o v e b o u n d i s o v e r l y p e s s i m i s t i c i n t h a t i t o n l y l o o k s

a t t h e l a r g e s t e n t r y i n R

1

. A m o r e r e n e d b o u n d c a n b e o b t a i n e d b y c o n s i d e r i n g t h e f e w l a r g e s t

e n t r i e s i n e a c h r o w s e p a r a t e l y a n d a p p l y i n g t h e a b o v e a r g u m e n t t o t h e r e s t o f t h e e n t r i e s .

A l t e r n a t i v e l y , w e c a n g e t a n e s t i m a t e ( r a t h e r t h a t a b o u n d ) o f t h e e r r o r p r o b a b i l i t y b y u s i n g

E q u a t i o n 1 a s i f a l l t h e e n t r i e s i n e a c h r o w o f R

1

h a v e t h e s a m e a b s o l u t e v a l u e . I n t h i s c a s e i s

t h e m a x i m u m E u c l i d e a n n o r m o f t h e r o w s i n R

1

s o w e g e t a n e s t i m a t e o f t h e e r r o r - p r o b a b i l i t y i n

t e r m s o f t h e E u c l i d e a n n o r m o f t h e r o w s i n R

1

. T h i s e s t i m a t e i s a b o u t t h e s a m e a s t h e o n e w h i c h

w e g e t b y v i e w i n g e a c h o f t h e

i

' s a s a z e r o - m e a n G a u s s i a n r a n d o m v a r i a b l e w i t h v a r i a n c e ( k r̂

i

k )

2

( w h e r e k r̂

i

k i s t h e E u c l i d e a n n o r m o f t h e i ' t h r o w i n R

1

)

T o g e t a f e e l i n g f o r t h e s i z e o f t h e p a r a m e t e r s i n v o l v e d , c o n s i d e r t h e p a r a m e t e r s n = 1 4 0 ; " =

2

3 0

. F o r a c e r t a i n s e t t i n g o f t h e p a r a m e t e r s w h i c h w e t e s t e d , t h e E u c l i d e a n n o r m o f a l l t h e r o w s

i n R

1

i s b e l o w 1 = 3 0 . E v a l u a t i n g t h e e x p r e s s i o n a b o v e f o r = 1 = 3 0 y i e l d s

1

3 0

s

8 l n

2 8 0

2

3 0

!

1

3 0

1 4 6

2

F o r t h e s a m e p a r a m e t e r s o f R , s e t t i n g " = 1 0

4

y i e l d s 2 7

3 . 3 T h e G e n e r a t e A l g o r i t h m

I n t h i s s e c t i o n w e d i s c u s s v a r i o u s a s p e c t s o f t h e G e n e r a t e a l g o r i t h m . W e d e s c r i b e d i n S e c t i o n 3 . 2

h o w t h e v a l u e o f c a n b e c o m p u t e d o n c e w e h a v e t h e p r i v a t e b a s i s R . N o w w e s u g g e s t a f e w

w a y s t o p i c k R a n d B . R e c a l l t h a t R ; B a r e t w o b a s e s f o r s o m e l a t t i c e i n Z

n

, w h e r e R h a s s m a l l

d u a l o r t h o g o n a l i t y d e f e c t a n d B h a s a l a r g e d u a l o r t h o g o n a l i t y d e f e c t . O u r h i g h - l e v e l a p p r o a c h f o r

g e n e r a t i n g t h e p r i v a t e a n d p u b l i c b a s e s i s t o c h o o s e a t r a n d o m n v e c t o r s i n Z

n

t o g e t t h e p r i v a t e

b a s i s a n d t h e n t o m i x t h e m s o a s t o g e t t h e p u b l i c o n e . T h e r e a r e t w o d i s t r i b u t i o n s t o c o n s i d e r i n

t h i s p r o c e s s

A d i s t r i b u t i o n o n t h e l a t t i c e s i n Z

n

w h i c h i s i n d u c e d b y t h e c h o i c e o f t h e p r i v a t e b a s i s R

O n c e w e h a v e t h e p r i v a t e b a s i s R , t h e r e i s a d i s t r i b u t i o n w h i c h i s i n d u c e d o n t h e b a s e s o f

L ( R ) b y t h e p r o c e s s o f \ m i x i n g " R t o g e t t h e p u b l i c b a s i s B

T o g u i d e u s t h r o u g h t h e c h o i c e s o f t h e v a r i o u s p a r a m e t e r s , w e r e l i e d o n e x p e r i m e n t a l r e s u l t s ( S e e

S e c t i o n 6 ) . B e l o w w e b r i e y d i s c u s s t h e v a r i o u s p a r a m e t e r s w h i c h a r e i n v o l v e d i n t h i s p r o c e s s .

3 . 3 . 1 L a t t i c e d i m e n s i o n

T h e r s t p a r a m e t e r w e n e e d t o s e t i s t h e d i m e n s i o n o f t h e l a t t i c e ( t h e v a l u e o f n ) . C l e a r l y , t h e

l a r g e r n i s , w e e x p e c t t h a t o u r s c h e m e s w i l l b e m o r e s e c u r e . O n t h e o t h e r h a n d , b o t h t h e s p a c e

n e e d e d f o r t h e k e y p a i r a n d t h e r u n n i n g - t i m e o f f u n c t i o n - e v a l u a t i o n a n d f u n c t i o n - i n v e r s i o n g r o w

( a t l e a s t ) a s ( n

2

)

T h e l a t t i c e - r e d u c t i o n a l g o r i t h m w h i c h w e u s e d f o r o u r e x p e r i m e n t s i s c a p a b l e o f n d i n g a

b a s i s w i t h v e r y s m a l l o r t h o g o n a l i t y d e f e c t a s l o n g a s t h e l a t t i c e d i m e n s i o n i s n o m o r e t h a n 6 0 - 8 0

( d e p e n d i n g o n o t h e r p a r a m e t e r s ) . B e y o n d t h i s p o i n t , t h e q u a l i t y o f t h e b a s e s w e g e t f r o m t h i s

l a t t i c e r e d u c t i o n a l g o r i t h m d e g r a d e s r a p i d l y w i t h t h e d i m e n s i o n s . I n p a r t i c u l a r , w e f o u n d t h a t i n

1 0



d i m e n s i o n 1 0 0 , t h e b a s e s w e o b t a i n e d h a d a h i g h d i a l - o r t h o g o n a l i t y - d e f e c t . A t t h e p r e s e n t t i m e ,

t h e b e s t \ p r a c t i c a l l a t t i c e - r e d u c t i o n a l g o r i t h m " w h i c h w e a r e a w a r e o f i s S c h n o r r ` s b l o c k - r e d u c t i o n

s c h e m e ( w h i c h w a s u s e d t o a t t a c k t h e C h o r - R i v e s t c r y p t o s y s t e m , s e e S c 9 5 ] ) . W e s p e c u l a t e t h a t

w o r k i n g i n d i m e n s i o n s a b o u t 1 5 0 - 2 0 0 m i g h t b e g o o d e n o u g h w i t h r e s p e c t t o t h i s a l g o r i t h m .

3 . 3 . 2 D i s t r i b u t i o n o f t h e p r i v a t e b a s i s

A f t e r s e t t i n g t h e d i m e n s i o n , w e n e e d t o d e c i d e o n t h e d i s t r i b u t i o n a c c o r d i n g t o w h i c h w e c h o o s e

t h e p r i v a t e b a s i s . W e c o n s i d e r e d t w o p o s s i b l e s u c h d i s t r i b u t i o n s .

1 . C h o o s i n g a \ r a n d o m l a t t i c e " : W e c h o o s e a m a t r i x R w h i c h i s u n i f o r m l y d i s t r i b u t e d i n

f ? l ; ; + l g

n n

f o r s o m e i n t e g e r b o u n d l . I n o u r e x p e r i m e n t s , t h e v a l u e o f l h a d a l m o s t

n o e e c t o n t h e q u a l i t y o f t h e b a s e s w h i c h w e g o t . T h e r e f o r e w e c h o s e t o w o r k w i t h s m a l l

i n t e g e r s ( e . g , b e t w e e n 4 ) , s i n c e t h i s m a k e s s o m e o f t h e o p e r a t i o n s m o r e e c i e n t .

2 . C h o o s i n g a \ r e c t a n g u l a r l a t t i c e " : W e s t a r t f r o m t h e b o x k I i n R

n

( f o r s o m e n u m b e r k ) , a n d

a d d \ n o i s e " t o e a c h o f t h e b o x v e c t o r s . N a m e l y , w e r s t p i c k a m a t r i x R w h i c h i s u n i f o r m l y

d i s t r i b u t e d i n f ? l ; ; + l g

n n

, a n d t h e n c o m p u t e R R + k I

T h e l a r g e r t h e v a l u e o f k i s , t h i s p r o c e s s g e n e r a t e s a b a s i s w i t h s m a l l e r d u a l o r t h o g o n a l i t y

f a c t o r , b u t i t m a y a l s o a l l o w a n a t t a c k e r t o o b t a i n a b a s i s w i t h s m a l l e r d u a l o r t h o g o n a l i t y

f a c t o r b y r e d u c i n g t h e p u b l i c b a s i s .

3 . 3 . 3 G e n e r a t i n g t h e p u b l i c b a s i s

O n c e w e h a v e t h e p r i v a t e b a s i s R , w e s h o u l d p i c k t h e p u b l i c b a s i s a c c o r d i n g t o s o m e d i s t r i b u t i o n

o n t h e b a s e s o f t h e l a t t i c e L ( R ) . S i n c e e v e r y b a s i s o f L ( R ) i s o b t a i n e d a s B = R T f o r s o m e

u n i m o d u l a r t r a n s f o r m a t i o n m a t r i x T , t h e n p i c k i n g B w h e n w e h a v e R i s e q u i v a l e n t t o p i c k i n g a

\ r a n d o m u n i m o d u l a r t r a n s f o r m a t i o n " . W e t r i e d t w o w a y s o f g e n e r a t i n g t h e s e \ r a n d o m u n i m o d u l a r

t r a n s f o r m a t i o n s " . B o t h m e t h o d s w o r k b y m u l t i p l y i n g m a n y \ e l e m e n t a r y m a t r i c e s " , o f d i e r e n t

f o r m s .

O n e t y p e o f e l e m e n t a r y m a t r i c e s w h i c h w e c o n s i d e r e d a r e m a t r i c e s o f t h e f o r m

0

B

B

B

B

B

B

B

B

B

B

B

@

1 ?

1 ?

1

? 1

? 1

1

C

C

C

C

C

C

C

C

C

C

C

A

o r

0

B

B

B

B

B

B

B

B

B

B

@

1

1

? ? 1 ? ?

1

1

1

C

C

C

C

C

C

C

C

C

C

A

w h e r e t h e ? ' s r e p r e s e n t a n y i n t e g e r s a n d t h e b l a n k s r e p r e s e n t z e r o s . ( T h e r s t f o r m c o r r e -

s p o n d s t o a d d i n g t o t h e i ' t h c o l u m n s a n i n t e g e r l i n e a r c o m b i n a t i o n o f t h e o t h e r c o l u m n s a n d

t h e s e c o n d c o r r e s p o n d s t o a d d i n g a n i n t e g r a l m u l t i p l e o f t h e i ' t h c o l u m n t o a l l t h e o t h e r

c o l u m n s . ) W e t y p i c a l l y c h o s e t h e ? c o m p o n e n t s a t r a n d o m f r o m f ? 1 ; 0 ; 1 g w i t h a b i a s t o -

w a r d s 0 ( s p e c i c a l l y , w e u s e d P r 1 ] = P r ? 1 ] = 1 = 7 ) . T h i s w a s d o n e s o t h a t t h e s i z e o f t h e

n u m b e r s i n t h e p u b l i c b a s i s w i l l n o t g r o w t o o f a s t .

1 1



A n i m p o r t a n t p a r a m e t e r i n t h i s p r o c e s s i s t h e n u m b e r o f e l e m e n t a r y m a t r i c e s w h i c h w e

m u l t i p l y t o g e t h e r ( w h i c h w e r e f e r t o a s t h e \ n u m b e r o f m i x i n g s t e p s " ) . I n o u r e x p e r i m e n t s

w e o n l y u s e d m a t r i c e s o f t h e r s t f o r m , a n d w e n t t h r o u g h t h e v a l u e s o f i i n o r d e r s o a s t o

m a k e s u r e t h a t w e h i t t h e m a l l . O u r e x p e r i m e n t s i n d i c a t e t h a t u s i n g 2 n s u c h m a t r i c e s i s

s u c i e n t .

A n o t h e r p o s s i b l e t y p e o f e l e m e n t a r y m a t r i c e s a r e u p p e r - a n d l o w e r - t r i a n g u l a r m a t r i c e s w i t h

1 o n t h e m a i n d i a g o n a l . W e d i d v e r y f e w e x p e r i m e n t s w i t h t h e s e m a t r i c e s . I n t h e s e e x -

p e r i m e n t s w e c h o s e t h e n o n - z e r o e n t r i e s i n L a n d U ( w h i c h a r e l o w e r - a n d u p p e r - d i a g o n a l

r e s p e c t i v e l y ) f r o m f ? 1 ; 0 ; 1 g . W e f o u n d t h a t w e n e e d t o m u l t i p l y a t l e a s t 4 L U p a i r s t o

p r e v e n t L L L f r o m r e c o v e r i n g t h e o r i g i n a l b a s i s .

C o m p a r i n g t h e t w o m e t h o d s , w e f o u n d t h a t f o r t h e s a m e \ l e v e l o f s e c u r i t y " , t h e s e c o n d m e t h o d

r e q u i r e d a b a s i s B w i t h l a r g e r e n t r i e s . T h u s w e u s e d t h e r s t m e t h o d i n t h e m o s t o f o u r e x p e r i m e n t s .

O n e w a y t o k e e p t h e e n t r i e s o f t h e p u b l i c b a s i s s m a l l ( u s i n g e i t h e r o f t h e d i s t r i b u t i o n s a b o v e ) i s t o

L L L - r e d u c e t h e m i x e d b a s i s . T h i s d o e s n o t a e c t t h e s e c u r i t y o f t h e t r a p d o o r f u n c t i o n ( s i n c e a n

a t t a c k e r c a n d o t h e s a m e t h i n g ) . H o w e v e r , w h e n u s e d i n t h e e n c r y p t i o n s c h e m e w h i c h w e s u g g e s t

i n S e c t i o n 4 , t h e r e m a y b e s o m e a d v a n t a g e i n k e e p i n g t h e e n t r i e s i n B \ n o t t o o s m a l l " .

3 . 4 B a s e s r e p r e s e n t a t i o n .

T o m a k e e v a l u a t i n g a n d i n v e r t i n g t h e f u n c t i o n m o r e e c i e n t , w e c h o s e t h e f o l l o w i n g r e p r e s e n t a t i o n

f o r t h e p r i v a t e a n d p u b l i c b a s e s . T h e p u b l i c b a s e s i s r e p r e s e n t e d b y t h e i n t e g e r m a t r i x B w h o s e

c o l u m n s a r e t h e b a s i s - v e c t o r s , s o t h a t e v a l u a t i n g f

B

( v ; e ) = B v + e c a n b e d o n e i n q u a d r a t i c

t i m e . T o i n v e r t f

B

e c i e n t l y , h o w e v e r , w e d o n o t s t o r e t h e p r i v a t e b a s i s R i t s e l f . I n s t e a d , w e

s t o r e t h e m a t r i x R

1

a n d t h e u n i m o d u l a r m a t r i x T = B

1

R . T h e n , t o c o m p u t e f

1

B

( c ) w e s e t

v = T d R

1

c c a n d e = c ? B v , b o t h o f w h i c h c a n b e d o n e i n q u a d r a t i c t i m e .

R e p r e s e n t i n g B ; T i s e a s y s i n c e t h e y a r e i n t e g r a l m a t r i c e s , b u t R

1

i s n o t a n i n t e g r a l m a t r i x , s o

w e n e e d t o c o n s i d e r h o w i t s h o u l d b e r e p r e s e n t e d . O n e p o s s i b i l i t y , o f c o u r s e , i s t o k e e p t h e e x a c t

v a l u e s o f a l l t h e e n t r i e s i n R

1

. A f t e r a l l , t h e e n t r i e s o f R

1

a r e a l l r a t i o n a l , a n d t h e n u m b e r o f b i t s i t

t a k e t o w r i t e t h e m d o w n i s a t m o s t p o l y n o m i a l i n t h e n u m b e r o f b i t s o f R . T h i s a p p r o a c h , h o w e v e r ,

i s r a t h e r e x p e n s i v e i n t e r m s o f r u n n i n g t i m e . A l t h o u g h t h e e n t r i e s i n R a r e s m a l l ( t y p i c a l l y , o n l y

2 - 3 b i t s ) t h e d e t e r m i n a n t o f R i s m u c h l a r g e r ( a b o u t 2 0 0 b i t s i f R i s a 1 0 0 1 0 0 m a t r i x ) w h i c h

m e a n s t h a t w e n e e d t o w o r k w i t h v e r y l a r g e n u m b e r s i n o r d e r t o p e r f o r m o p e r a t i o n s o n R

1

A

d i e r e n t a p p r o a c h i s t o o n l y k e e p a f e w b i t s o f e a c h e n t r y i n R

1

. T h i s , o f c o u r s e , m a y i n t r o d u c e s

e r r o r s . I f w e o n l y k e e p ̀ b i t s p e r e n t r y t h e n w e g e t a n e r r o r o f a t m o s t 2

̀

i n e a c h e n t r y .

C l e a r l y , t h i s h a s n o e e c t o n t h e s e c u r i t y o f t h e s y s t e m ( s i n c e i t o n l y e e c t s t h e o p e r a t i o n s

d o n e u s i n g t h e p r i v a t e b a s i s ) , b u t i t m a y i n c r e a s e t h e p r o b a b i l i t y o f i n v e r s i o n e r r o r s . S i n c e w e o n l y

p e r f o r m l i n e a r o p e r a t i o n s o n R

1

, i t i s r a t h e r s t r a i g h t f o r w a r d t o e v a l u a t e t h e e e c t o f a d d i n g s m a l l

e r r o r s t o i t s e n t r i e s . D e n o t e t h e \ e r r o r m a t r i x " b y E = (

i j

) . T h a t i s ,

i j

i s t h e d i e r e n c e b e t w e e n

t h e v a l u e w h i c h i s s t o r e d f o r ( R

1

)

i j

a n d t h e r e a l v a l u e o f t h a t e n t r y . T h e n w e h a v e

i j

< 2

̀

f o r

a l l i ; j . W h e n i n v e r t i n g t h e f u n c t i o n , w e a p p l y t h e s a m e p r o c e d u r e a s a b o v e , b u t u s e s t h e m a t r i x

R

d e f

= R

1

+ E i n s t e a d o f t h e m a t r i x R

1

i t s e l f .

R e c a l l t h a t t h e v a l u e o f t h e f u n c t i o n i s c = B v + e , w h e r e v i s a n i n t e g e r v e c t o r a n d e i s t h e

\ e r r o r v e c t o r " . T h u s t h e v e c t o r v c o m p u t e d b y t h e i n v e r s i o n r o u t i n e i s

v = T d R c c = T

( R

1

+ E ) ( B v + e )

= v + T

R

1

e + E ( B v + e )

w h e r e t h e l a s t e q u a l i t y f o l l o w s s i n c e R

1

B v i s a n i n t e g r a l v e c t o r s o w e c a n t a k e i t o u t o f t h e

r o u n d i n g o p e r a t i o n a n d t h e n w e h a v e T R

1

B v = v . T h e r e f o r e , w e i n v e r t c o r r e c t l y i f a n d o n l y i f

1 2



d R

1

e + E ( B v + e ) c =

0 , w h i c h m e a n s t h a t a l l t h e e n t r i e s i n R

1

e + E ( B v + e ) a r e l e s s t h a n a

1

2

i n a b s o l u t e v a l u e . T h e s i z e o f t h e e n t r i e s i n t h e v e c t o r R

1

e i s a n a l y z e d i n S e c t i o n 3 . 2 , s o h e r e w e

o n l y c o n s i d e r t h e v e c t o r E ( B v + e )

R e c a l l t h a t a l l t h e e n t r i e s i n E a r e l e s s t h a n 2

̀

i n a b s o l u t e v a l u e , a n d t h a t t h e e r r o r v e c t o r

e c o n s i s t s o n l y o f s m a l l e n t r i e s ( e . g . , f o r o u r p a r a m e t e r s , t h e e n t r i e s i n e a r e a l w a y s l e s s t h a n 1 0 ) .

T h u s t h e c o n t r i b u t i o n o f t h e v e c t o r E e c a n b e a t m o s t 1 0 2

̀

i n e a c h c o o r d i n a t e , s o w e m i g h t a s

w e l l i g n o r e i t . T o e v a l u a t e t h e e n t r i e s i n E B v , a s s u m e t h a t w e r e p r e s e n t e a c h e n t r y i n t h e m a t r i x

B u s i n g k b i t s , a n d e a c h e n t r y i n t h e v e c t o r v u s i n g m b i t s . T h e n , e a c h e n t r y i n t h e v e c t o r E B v

m u s t b e s m a l l e r t h a n n 2

k + m ̀

i n a b s o l u t e v a l u e .

F o r e x a m p l e , i f w e w o r k i n d i m e n s i o n 2 0 0 , u s e 1 6 b i t s f o r e a c h e n t r y i n B a n d 1 6 b i t s f o r e a c h

e n t r y i n v , a n d k e e p o n l y t h e 6 4 m o s t s i g n i c a n t b i t s o f e a c h e n t r y i n R

1

t h e n t h e e n t r i e s i n E B v

w i l l b e b o u n d e d b y 2 0 0 2

1 6 + 1 6 6 4

2

2 4

. T h u s , a s u c i e n t c o n d i t i o n f o r c o r r e c t i n v e r s i o n i s t h a t

e a c h e n t r y i n R

1

e i s l e s s t h a n

1

2

? 2

2 4

i n a b s o l u t e v a l u e ( a s o p p o s e d t o l e s s t h a n

1

2

w h i c h w e g e t

w h e n w e s t o r e t h e e x a c t v a l u e s f o r R

1

) . C l e a r l y , t h i s h a s a l m o s t n o e e c t o n t h e p r o b a b i l i t y o f

i n v e r s i o n e r r o r s .

3 . 5 S e c u r i t y A n a l y s i s

I n t h i s s e c t i o n w e p r o v i d e s o m e a n a l y s i s f o r t h e s e c u r i t y o f t h e s u g g e s t e d t r a p d o o r f u n c t i o n b y

c o n s i d e r i n g s e v e r a l p o s s i b l e a t t a c k s a n d t r y i n g t o a n a l y z e t h e i r w o r k - l o a d . W e s t a r t w i t h e v a l u a t i n g

t h e w o r k - l o a d o f a b r u t e - f o r c e a t t a c k .

3 . 5 . 1 B r u t e - F o r c e A t t a c k

A n o b v i o u s p r e - p r o c e s s i n g s t e p i n e v e r y a t t a c k o n t h i s c o n s t r u c t i o n i s t o r e d u c e t h e p u b l i c b a s i s

B t o g e t a b e t t e r b a s i s B w h i c h c a n t h e n b e u s e d t o i n v e r t t h e f u n c t i o n . N o t i c e t h a t t h e o n l y

f e a t u r e o f R w h i c h w e u s e d w h e n w e a n a l y z e d t h e e r r o r - p r o b a b i l i t y i s t h a t t h e r o w s o f R

1

h a v e

s m a l l E u c l i d e a n n o r m ( i n o t h e r w o r d s , R h a s a v e r y s m a l l d u a l o r t h o g o n a l i t y d e f e c t ) . I f w e c a n

n d a n o t h e r b a s i s w i t h t h i s p r o p e r t y , t h e n w e c a n u s e i t j u s t a s w e l l . H o w e v e r , n d i n g a b a s i s w i t h

a v e r y l o w d u a l o r t h o g o n a l i t y d e f e c t i s a s s u m e d t o b e a h a r d p r o b l e m .

T h u s , w e a s s u m e t h a t e v e n a f t e r t h e l a t t i c e r e d u c t i o n , t h e a t t a c k e r s t i l l h a v e a b a s i s B w i t h a

r a t h e r l a r g e d u a l o r t h o g o n a l i t y d e f e c t .

3

F o r t h e s a k e o f s i m p l i c i t y , w e a s s u m e t h a t t h e b a s i s u s e d

b y t h e a t t a c k e r i s t h e p u b l i c b a s i s B . T r y i n g t o u s e t h e b a s i s B f o r i n v e r t i n g t h e f u n c t i o n i n t h e

s a m e m a n n e r a s w e u s e t h e b a s i s R m e a n s t h a t g i v e n t h e c i p h e r t e x t c = B v + e , w e c o m p u t e

B

1

c = v + B

1

e . T h e n w e c a n d o a n e x h a u s t i v e s e a r c h f o r t h e v e c t o r d

d e f

= B

1

e . B e l o w w e

g i v e a n a p p r o x i m a t e a n a l y s i s f o r t h e s i z e o f t h e s e a r c h s p a c e t h a t t h e a t t a c k e r n e e d s t o g o t h r o u g h

b e f o r e i t n d s t h e c o r r e c t v e c t o r d

D e n o t e t h e i ' t h e n t r y i n d a n d e b y

i

a n d

i

r e s p e c t i v e l y . T h e i ' t h r o w o f B

1

b y

̂

b

i

a n d t h e

( i ; j ) ' t h e l e m e n t i n B

1

b y

i j

. U s i n g t h e s e n o t a t i o n s w e c a n w r i t e

i

=

̂

b

i

e =

P

j

i j

j

, a n d

t h e r e f o r e

E

i

] = 0 a n d V A R

i

=

X

j

2

i j

E

2

j

= ( k

̂

b

i

k )

2

w h e r e k

̂

b

i

k i s t h e E u c l i d e a n n o r m o f t h e i ' t h r o w o f B

1

T o e v a l u a t e t h e s i z e o f t h i s s e a r c h s p a c e f o r d , w e m a k e t h e s i m p l i f y i n g a s s u m p t i o n s t h a t

e a c h e n t r y

i

i n d i s G a u s s i a n , a n d t h a t t h e e n t r i e s a r e i n d e p e n d e n t . B a s e d o n t h e s e s i m p l i f y i n g

3

T h i s w i l l b e t h e c a s e , f o r e x a m p l e , i f t h e p u b l i c b a s i s B i s o b t a i n e d b y a p p l y i n g a \ g o o d l a t t i c e - r e d u c t i o n

a l g o r i t h m " t o t h e b a s i s w h i c h w a s o b t a i n e d b y m i x i n g t h e p r i v a t e b a s i s R

1 3



a s s u m p t i o n s , t h e s i z e o f t h e e e c t i v e s e a r c h s p a c e i s e x p o n e n t i a l i n t h e d i e r e n t i a l e n t r o p y o f t h e

G a u s s i a n r a n d o m v e c t o r d . R e c a l l t h a t t h e d i e r e n t i a l e n t r o p y o f a G a u s s i a n r a n d o m v a r i a b l e x

w i t h v a r i a n c e

2

i s h ( x ) =

1

2

l o g ( e

2

) . S i n c e w e a s s u m e t h a t t h e

i

' s a r e i n d e p e n d e n t , t h e n t h e

d i e r e n t i a l e n t r o p y o f t h e v e c t o r d e q u a l s t h e s u m o f t h e d i e r e n t i a l e n t r o p i e s o f t h e e n t r i e s , s o w e

g e t

h ( d ) =

1

2

X

i

l o g ( e

2

k

̂

b

i

k

2

) =

n

2

l o g ( e

2

) +

X

i

l o g k

̂

b

i

k

s o t h e s i z e o f t h e s e a r c h s p a c e i s 2

h ( d )

= ( e )

n = 2

n

Q

i

k

̂

b

i

k = ( e )

n = 2

n

o r t h - d e f e c t

( B ) = d e t ( B )

N o t e t h a t t h e t e r m d e t ( B ) i n t h e l a s t e x p r e s s i o n d e p e n d s o n l y o n t h e l a t t i c e a n d i s i n d e p e n d e n t o f

t h e a c t u a l b a s i s B

T y p i c a l n u m e r i c v a l u e s . I n t h e e x p e r i m e n t s w h i c h w e p e r f o r m e d ( i n d i m e n s i o n 1 0 0 w i t h = 2 )

e v a l u a t i n g t h i s l a s t e x p r e s s i o n o n t h e ( L L L - r e d u c e d ) p u b l i c b a s e s r e s u l t e d i n t y p i c a l w o r k - l o a d o f

a b o u t 1 0

7 0

2

2 3 0

3 . 5 . 2 O t h e r A t t a c k s

I n t h i s s e c t i o n w e d i s c u s s o t h e r p o s s i b l e l i n e s o f a t t a c k a g a i n s t t h e s c h e m e . O n e r a t h e r o b v i o u s

i m p r o v e m e n t o n t h e b r u t e f o r c e a t t a c k w h i c h i s d e s c r i b e d a b o v e i s t o u s e a b e t t e r a p p r o x i m a t i o n

a l g o r i t h m f o r t h e C V P . I n p a r t i c u l a r , i n s t e a d o f u s i n g B a b a i ' s \ R o u n d - o " a l g o r i t h m w e c a n u s e

t h e \ N e a r e s t - p l a n e " a l g o r i t h m w h i c h w a s a l s o d e s c r i b e d i n B a 8 6 ] . O n a h i g h - l e v e l , t h e d i e r e n c e

b e t w e e n t h e R o u n d - o a n d t h e N e a r e s t - p l a n e a l g o r i t h m s i s t h a t i n t h e N e a r e s t - p l a n e , t h e r o u n d i n g

i n t h e d i e r e n t e n t r i e s a r e d o n e a d a p t i v e l y ( r a t h e r t h a t a l l a t o n c e ) .

O n e w a y t o d e s c r i b e t h e N e a r e s t - p l a n e a l g o r i t h m ( w h i c h i s s o m e w h a t d i e r e n t t h a n t h e w a y i t i s

d e s c r i b e d i n B a 8 6 ] ) i s a s f o l l o w s : G i v e n t h e p o i n t c a n d t h e ( L L L r e d u c e d ) b a s i s B = f b

1

; ; b

n

g

( i n t h e o r d e r i n d u c e d b y t h e L L L r e d u c t i o n ) . W e c o m p u t e t h e r e p r e s e n t a t i o n o f c a s a l i n e a r

c o m b i n a t i o n o f t h e b

i

' s , c =

P

i

i

b

i

, b u t w e o n l y l o o k a t t h e l a s t c o e c i e n t

n

. W e t h e n r e p l a c e c

w i t h t h e p o i n t c = c ? d

n

c b

n

, a n d r e p l a c e b

n

w i t h a v e c t o r b

n

w h i c h i s o r t h o g o n a l t o a l l t h e o t h e r

b a s i s v e c t o r s . D e n o t e t h e n e w b a s i s b y B = f b

n

; b

1

; ; b

n 1

. W e t h e n a p p l y t h e s a m e p r o c e s s t o

c a n d B ( t h i s t i m e l o o k i n g a t t h e c o e c i e n t o f b

n 1

) . W e r e p e a t t h i s u n t i l w e e l i m i n a t e a l l t h e

v e c t o r s f r o m t h e o r i g i n a l b a s i s B . I t i s c l e a r t h a t i f a t e a c h s t e p w e g o t t h e r i g h t c o e c i e n t t h e n

t h e v e c t o r w h i c h i s l e f t a t t h e e n d i s j u s t t h e e r r o r v e c t o r e

A s w a s p o i n t e d t o u s b y D o n C o p p e r s m i t h , t h i s a t t a c k c a n b e i m p r o v e d i n p r a c t i c e i n s e v e r a l

d i e r e n t w a y s :

I n s t e a d o f p i c k i n g t h e v e c t o r s b y t h e o r d e r w h i c h w a s i n d u c e d b y L L L , w e c a n p i c k t h e m

b y t h e s i z e o f t h e E u c l i d e a n n o r m i n t h e c o r r e s p o n d i n g r o w s o f B

1

. A s w e s h o w e d i n t h e

a n a l y s i s o f t h e b r u t e - f o r c e a t t a c k , t h i s c h o i c e m a x i m i z e s t h e p r o b a b i l i t y t h a t t h e c o e c i e n t s

o b t a i n e d b y r o u n d i n g a r e r e a l l y t h e r i g h t c o e c i e n t s .

W e c a n a p p l y a l a t t i c e - r e d u c t i o n p r o c e d u r e t o t h e r e m a i n i n g b a s i s - v e c t o r s a f t e r e a c h i t e r a t i o n

( o r o n c e e v e r y f e w i t e r a t i o n s ) . T h i s i m p r o v e m e n t i s p a r t i c u l a r l y u s e f u l s i n c e t h e p e r f o r m a n c e

o f t h e l a t t i c e - r e d u c t i o n a l g o r i t h m i m p r o v e s r a p i d l y a s t h e d i m e n s i o n d e c r e a s e s . A l s o , w e

c a n r o u n d m o r e t h a n o n e c o e c i e n t a t a t i m e ( i f t h e r e a r e s e v e r a l v e c t o r s f o r w h i c h t h e

c o r r e s p o n d i n g r o w s o f B

1

h a v e s m a l l n o r m ) .

I f a l l t h e r o w s i n B

1

h a v e a l a r g e E u c l i d e a n n o r m , w e c a n a p p l y a n e x h a u s t i v e s e a r c h s i m i l a r

t o o u r b r u t e f o r c e a t t a c k t o t h e f e w e n t r i e s w h i c h h a s t h e s m a l l e s t E u c l i d e a n n o r m . T h a t i s ,

1 4



w e t r y t o c o n t i n u e t h e s a m e a l g o r i t h m f o r e a c h p l a u s i b l e s e t t i n g o f t h e s e e n t r i e s . S i n c e w e

o n l y a f e w e n t r i e s ( a n d w e p i c k e d t h e o n e s w i t h t h e s m a l l e s t n o r m ) , w e e x p e c t t h a t t h e s i z e

o f t h i s e x h a u s t i v e s e a r c h w i l l b e r a t h e r s m a l l .

T o d e f e a t t h i s a t t a c k , w e m u s t m a k e t h e d i m e n s i o n o f t h e o r i g i n a l l a t t i c e l a r g e e n o u g h s o t h a t a l l

t h e r o w s i n B

1

w i l l h a v e l a r g e E u c l i d e a n n o r m . A l t h o u g h w e d i d n o t p e r f o r m e x t e n s i v e t e s t s o f

t h i s a t t a c k , t h e d a t a t h a t w e h a v e s o f a r i n d i c a t e s t h a t w h e n u s i n g L L L a s o u r l a t t i c e - r e d u c t i o n

a l g o r i t h m , w e n e e d t o d o s o m e e x h a u s t i v e s e a r c h e v e n f o r d i m e n s i o n 1 2 0 . I t s e e m s t h a t w h e n

u s i n g L L L , t h i s a t t a c k i s i n f e a s i b l e f o r d i m e n s i o n s a b o v e 1 4 0 . W e s t i l l d o n o t h a v e d a t a a b o u t t h e

p e r f o r m a n c e o f t h i s a t t a c k u s i n g b e t t e r l a t t i c e - r e d u c t i o n a l g o r i t h m s .

4 E n c r y p t i o n S c h e m e

O u r p u b l i c - k e y E n c r y p t i o n s c h e m e i s b a s e d o n o u r c a n d i d a t e o n e w a y t r a p d o o r f u n c t i o n i n t h e u s u a l

w a y . T h a t i s , t o e n c r y p t a m e s s a g e w e e m b e d i t i n s i d e t h e a r g u m e n t t o t h e f u n c t i o n , c o m p u t e t h e

f u n c t i o n a n d t h e r e s u l t i s t h e c i p h e r t e x t . T o d e c r y p t , w e u s e t h e t r a p d o o r i n f o r m a t i o n t o i n v e r t

t h e f u n c t i o n a n d e x t r a c t t h e m e s s a g e f r o m t h e a r g u m e n t .

R e c a l l f r o m S e c t i o n 3 t h a t , i n h i g h l e v e l , o u r o n e w a y t r a p d o o r f u n c t i o n t a k e s a l a t t i c e v e c t o r

a n d a d d s t o i t a s m a l l e r r o r v e c t o r . I n t h e c o n t e x t o f a n e n c r y p t i o n s c h e m e , w e s a y t h a t w e ` e n c r y p t

a l a t t i c e v e c t o r ' b y a d d i n g t o i t a s m a l l e r r o r v e c t o r , a n d t h e r e s u l t i n g v e c t o r i n R

n

i s t h e c i p h e r t e x t .

T o e n c r y p t a r b i t r a r y m e s s a g e s , w e s p e c i f y a n ( e a s i l y i n v e r t i b l e ) e n c o d i n g w h i c h m a p s m e s s a g e s i n t o

l a t t i c e v e c t o r s w h i c h a r e t h e n e n c r y p t e d a s a b o v e . D e c r y p t i n g t h e c i p h e r t e x t a m o u n t s t o s o l v i n g a

p a r t i c u l a r t y p e o f C V P i n s t a n c e s w h i c h w a s d i s c u s s e d i n S e c t i o n 3 . I n a n u t s h e l l , t h e E n c r y p t i o n

s c h e m e c a n b e d e s c r i b e d a s f o l l o w s ( u s i n g t h e a l g o r i t h m s G e n e r a t e , S a m p l e , E v a l u a t e a n d

I n v e r t f r o m t h e d e s c r i p t i o n o f o u r t r a p d o o r f u n c t i o n ) .

G e n e r a t i n g K e y s . O n s e c u r i t y p a r a m e t e r 1

n

, r u n a l g o r i t h m G e n e r a t e ( 1

n

) t o g e t t h e t r i p l e t

( B ; R ; ) . W e l e t t h e p u b l i c k e y b e ( B ; ) a n d t h e s e c r e t k e y t o b e ( R

1

; T ) w h e r e T = B

1

R

E n c r y p t i o n . O n i n p u t m e s s a g e s a n d p u b l i c k e y ( B ; ) , w e r s t a p p l y s o m e ( r a n d o m i z e d ) e n -

c o d i n g f u n c t i o n v E n c ( s ) t o e n c o d e s a s a v e c t o r v 2 Z

n

. W e n o t e t h a t t h i s e n c o d i n g i s i n

f a c t t h e o n l y c o m p o n e n t o f t h e e n c r y p t i o n s c h e m e w h i c h i s n o t d i r e c t l y i m p l i e d b y t h e t r a p d o o r

f u n c t i o n c o n s t r u c t i o n . W e d i s c u s s t h i s e n c o d i n g f u n c t i o n i n S e c t i o n 4 . 2 . ( F o r n o w , w e l e t E n c ; D e c

d e n o t e a p a i r o f p u b l i c a n d e a s y t o c o m p u t e f u n c t i o n s s u c h t h a t D e c ( E n c ( s ) ) = s )

O n c e w e c o m p u t e d v , w e p i c k a t r a n d o m a n \ e r r o r - v e c t o r " e 2 R

n

a c c o r d i n g t o t h e d i s t r i b u t i o n

i n d u c e d b y t h e S a m p l e a l g o r i t h m f r o m S e c t i o n 3 . W e t h e n a p p l y t h e f u n c t i o n f

B

t o v a n d e t o

g e t t h e c i p h e r t e x t c f

B

( v ; e ) = B v + e

T h e o p e r a t i o n s i n v o l v e d i n e n c r y p t i n g a m e s s a g e a r e t h e r e f o r e : ( 1 ) E n c o d i n g i t a s a i n t e g e r

v e c t o r ; ( 2 ) C h o o s i n g a r a n d o m v e c t o r ; a n d ( 3 ) P e r f o r m i n g o n e m a t r i x - v e c t o r m u l t i p l i c a t i o n a n d

o n e v e c t o r a d d i t i o n . T h u s w e h a v e a n O ( n

2

) a l g o r i t h m f o r e n c r y p t i o n ( w h e r e n i s t h e d i m e n s i o n

w e w o r k i n ) .

D e c r y p t i o n . T o d e c r y p t c w e u s e t h e p r i v a t e k e y t o i n v e r t t h e f u n c t i o n f

B

b y s e t t i n g v

T d R

1

c c . W e t h e n e x t r a c t t h e m e s s a g e s f r o m t h e v e c t o r v b y s e t t i n g s = D e c ( v ) . D e c r y p t i n g

a m e s s a g e a m o u n t s t o t w o m a t r i x - v e c t o r m u l t i p l i c a t i o n s a n d o n e r o u n d i n g o p e r a t i o n o n a v e c t o r .

T h u s w e a l s o h a v e a n O ( n

2

) a l g o r i t h m f o r d e c r y p t i o n .

1 5



D e t e c t i n g d e c r y p t i o n e r r o r s . O n e p r o p e r t y o f t h e a b o v e d e c r y p t i o n p r o c e d u r e i s t h a t a l t h o u g h

t h e r e i s a p r o b a b i l i t y o f e r r o r , i t i s s t i l l p o s s i b l e t o v e r i f y w h e n t h e m e s s a g e i s d e c r y p t e d c o r r e c t l y .

T h i s e n a b l e s t h e l e g i t i m a t e u s e r t o i d e n t i f y d e c r y p t i o n e r r o r s , s o t h a t i t c a n t a k e m e a s u r e s t o

c o r r e c t t h e m . R e c a l l t h a t w e e n c r y p t t h e l a t t i c e p o i n t p b y a d d i n g t o i t a s m a l l e r r o r v e c t o r e ,

t h u s o b t a i n i n g t h e c i p h e r t e x t c = p + e . W h e n w e d e c r y p t c a n d n d a l a t t i c e p o i n t p ( w h i c h w e

h o p e i s t h e s a m e a s p ) , w e c a n v e r i f y t h a t t h i s i s t h e r i g h t l a t t i c e p o i n t b y c h e c k i n g t h a t t h e e r r o r

e = c ? p i s i n d e e d s m a l l . F o r e x a m p l e , i f w e p i c k t h e e r r o r v e c t o r s o t h a t i t n e v e r c o n t a i n s a n y

e n t r y l a r g e r t h a n , t h e n w e c a n c h e c k t h a t

i

i n e a c h c o m p o n e n t . T h u s w e g e t

F a c t 4 . 1 : I f t h e u n d e r l y i n g l a t t i c e d o e s n o t c o n t a i n a n y n o n - z e r o v e c t o r w i t h L

1

2 t h e n

d e c r y p t i o n e r r o r s c a n a l w a y s b e d e t e c t e d .

P l a i n t e x t A w a r e n e s s . I t s e e m s t h a t o u r s c h e m e e n j o y s s o m e w e a k n o t i o n o f \ p l a i n t e x t a w a r e -

n e s s " i n t h a t t h e r e i s n o o b v i o u s w a y t o g e n e r a t e f r o m s c r a t c h a v a l i d c i p h e r t e x t ( i . e . , o n e w h i c h

t h e d e c r y p t i o n a l g o r i t h m c a n d e c r y p t ) w i t h o u t k n o w i n g t h e c o r r e s p o n d i n g l a t t i c e p o i n t . S t i l l t h i s

p l a i n t e x t a w a r e n e s s i s l i m i t e d , s i n c e a f t e r s e e i n g o n e v a l i d c i p h e r t e x t c , i t i s p o s s i b l e t o g e n e r a t e

o t h e r v a l i d c i p h e r t e x t s w i t h o u t k n o w i n g t h e c o r r e s p o n d i n g l a t t i c e - p o i n t s ( s i m p l y b y a d d i n g a n y

l a t t i c e p o i n t t o c )

4 . 1 P a r t i a l I n f o r m a t i o n A t t a c k s

I n a d d i t i o n t o t h e a t t a c k s o n t h e u n d e r l y i n g t r a p d o o r f u n c t i o n w h i c h w e r e o u t l i n e d i n S e c t i o n 3 . 5 ,

t h e r e a r e t y p e s o f a t t a c k s w h i c h o n l y m a k e s e n s e i n t h e c o n t e x t o f e n c r y p t i o n s c h e m e . N a m e l y ,

r a t h e r t h a n t r y i n g t o r e c o v e r t h e o r i g i n a l m e s s a g e i t s e l f , t h e a t t a c k e r c a n i n s t e a d t r y t o e x t r a c t

f r o m t h e c i p h e r t e x t s o m e p a r t i a l i n f o r m a t i o n a b o u t t h e m e s s a g e ( e . g . , t h e v a l u e o f a s p e c i c b i t i n

i t ) . O n w a y i n w h i c h s u c h p a r t i a l i n f o r m a t i o n a t t a c k s c a n b e m o u n t e d a g a i n s t t h i s s c h e m e i s a s

f o l l o w s :

R e c a l l t h a t t h e c i p h e r t e x t i s c o m p u t e d a s c = B v + e a n d t h e r e f o r e B

1

c = v + d , w h e r e d i s

d e n e d d

d e f

= B

1

e . T h u s , t h e i ' t h e n t r y o f ( B

1

c ) i s e q u a l t o

i

+

i

(

i

;

i

a r e t h e i ' t h e n t r i e s i n

v ; d r e s p e c t i v e l y ) . W e s a w i n S e c t i o n 3 . 2 t h a t i f t h e E u c l i d e a n n o r m o f t h e r o w

̂

b

i

i n B

1

i s s m a l l ,

t h e n t h e v a r i a n c e o f

i

w i l l a l s o b e s m a l l ( n o t i c e t h a t t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f B m a y s t i l l

b e l a r g e b e c a u s e o f o t h e r r o w s i n B

1

t h a t h a v e m u c h l a r g e r E u c l i d e a n n o r m ) . I n p a r t i c u l a r , i f

k

̂

b

i

k < 1 t h e n t h e r e i s a r e a s o n a b l e p r o b a b i l i t y t h a t

i

< 1 = 2 , i n w h i c h c a s e

i

i s j u s t t h e i ' t h

e n t r y o f t h e r o u n d e d v e c t o r B

1

c

T h u s , a n a t t a c k e r c o u l d j u s t f o c u s o n t h e r o w s o f B

1

w h i c h h a v e l o w E u c l i d e a n n o r m , a n d t r y

t o c o m p u t e t h e c o r r e s p o n d i n g e n t r i e s i n v . K n o w i n g s o m e o f t h e e n t r i e s i n v m a y - i n t u r n - g i v e

s o m e p a r t i a l i n f o r m a t i o n a b o u t t h e m e s s a g e s . M o r e g e n e r a l l y , t h e a d v e r s a r y m a y v i e w t h e i ' t h

e n t r y o f B

1

c a s a n e s t i m a t e f o r

i

( w h i c h i s p r o b a b l y a c c u r a t e u p t o k

̂

b

i

k ) , a n d u s e t h i s p a r t i a l

k n o w l e d g e a b o u t t h e e n t r i e s i n v t o o b t a i n s o m e p a r t i a l k n o w l e d g e a b o u t s

S o m e w h a t s u r p r i s i n g l y , f o r t h e p u r p o s e o f t h i s a t t a c k - r e d u c i n g t h e b a s i s B d o e s n o t s e e m

t o h e l p ( o f c o u r s e , a s l o n g a s t h e r e s u l t i n g b a s i s i s n o t \ r e d u c e d e n o u g h " t o b r e a k t h e u n d e r l y i n g

t r a p d o o r f u n c t i o n ) . T o s e e w h y , c o n s i d e r t h e u n i m o d u l a r t r a n s f o r m a t i o n T b e t w e e n t h e o r i g i n a l

b a s i s B a n d t h e r e d u c e d b a s i s B ( T = ( B )

1

B ) . S i n c e c i s c o m p u t e d u s i n g t h e o r i g i n a l m a t r i x

B , t h e n w h e n t r y i n g t o e x t r a c t p a r t i a l i n f o r m a t i o n u s i n g B w e c o m p u t e

v = ( B )

1

c = ( B )

1

( B v + e ) = ( B )

1

B v + ( B )

1

e = T v + ( B )

1

e

I f ( B )

1

h a s r o w s w i t h s m a l l E u c l i d e a n n o r m , t h e n t h e a t t a c k e r m a y b e a b l e t o l e a r n t h e c o r r e -

s p o n d i n g e n t r i e s i n T v , b u t t h i s s t i l l d o e s n o t s e e m t o y i e l d a n e s t i m a t e a b o u t a n y e n t r y i n v I t

1 6



f o l l o w s t h a t i n t h i s e n c r y p t i o n s c h e m e , i t m a y b e u s e f u l t o p u b l i s h p u b l i c b a s i s w h i c h i s n o t L L L

r e d u c e d .

I n a n y c a s e , f o i l i n g t h e p a r t i a l i n f o r m a t i o n a t t a c k s r e q u i r e s a c a r e f u l d e s i g n o f t h e e n c o d i n g

s c h e m e v E n c ( s ) , s o t h a t p a r t i a l i n f o r m a t i o n t h a t c a n b e r e v e a l e d a b o u t v w i l l n o t y i e l d p a r t i a l

i n f o r m a t i o n a b o u t s . T h i s i s d i s c u s s e d n e x t .

4 . 2 E n c o d i n g m e s s a g e s a s v e c t o r s i n Z

n

I n t h i s s e c t i o n w e d i s c u s s w a y s t o e n c o d e m e s s a g e s a s v e c t o r s i n Z

n

. A s w e m e n t i o n e d a b o v e , w e

w o u l d l i k e t o h a v e a n e n c o d i n g s c h e m e s u c h t h a t k n o w i n g a f e w e n t r i e s i n v e x a c t l y a n d k n o w i n g

s o m e r o u g h e s t i m a t e o n a l l t h e o t h e r e n t r i e s s t i l l y i e l d s \ a l m o s t n o i n f o r m a t i o n " a b o u t s

I n c h o o s i n g a n e n c o d i n g f u n c t i o n , t h e r e a r e o t h e r p a r a m e t e r s ( b e s i d e s s e c u r i t y ) w h i c h n e e d t o

b e c o n s i d e r e d . P e r h a p s t h e m o s t i m p o r t a n t o f t h e m i s t o o b t a i n h i g h b a n d w i d t h : S i n c e f o r e v e r y

e n c r y p t i o n o p e r a t i o n w e e n d u p s e n d i n g t h e v e c t o r c = B v + e , w e w o u l d l i k e t o u s e a s m u c h o f

t h i s b a n d w i d t h a s p o s s i b l e f o r m e s s a g e b i t s .

T h e T r a p d o o r F u n c t i o n P a r a d i g m : U s i n g h a r d b i t s . T h e r s t a p p r o a c h i s a g e n e r i c o n e .

S i n c e w e h a v e a c a n d i d a t e f o r a t r a p d o o r o n e - w a y f u n c t i o n , w e m a y u s e h a r d - c o r e b i t s o f t h i s

f u n c t i o n a s t h e m e s s a g e b i t s . I n p a r t i c u l a r , w e c a n u s e t h e g e n e r a l c o n s t r u c t i o n o f G o l d r e i c h - L e v i n ,

G L 8 4 ] ) w h i c h s h o w s h o w a n d w h e r e t o h i d e h a r d c o r e b i t s i n a p r e - i m a g e o f a n y o n e - w a y f u n c t i o n .

( T h i s c o n s t r u c t i o n e n a b l e s h i d i n g l o g n b i t s i n o n e f u n c t i o n e v a l u a t i o n . )

T h i s a p p r o a c h h a s t h e a d v a n t a g e o f b e i n g a b l e t o p r o v e t h a t i t i s i m p o s s i b l e t o e v e n d i s t i n g u i s h i n

p o l y n o m i a l t i m e b e t w e e n a n y t w o m e s s a g e s , u n d e r t h e a s s u m p t i o n t h a t w e s t a r t e d w i t h a t r a p d o o r

f u n c t i o n . T h e m a j o r d r a w b a c k i s i n t e r m s b a n d w i d t h , s i n c e w e c a n o n l y s e n d l o g n b i t s a t a t i m e

f o r o n e f u n c t i o n e v a l u a t i o n . M o r e o v e r , s i n c e t h i s a p p r o a c h i s g e n e r i c , i t d o e s n ' t p r o v i d e u s w i t h

a n y i n s i g h t w h i c h w e m a y e x p l o i t t o i n c r e a s e t h e b a n d w i d t h .

U s i n g t h e l o w - o r d e r b i t s i n v . A n o t h e r a p p r o a c h i s t o e m b e d t h e b i t s o f s d i r e c t l y i n t h e

v e c t o r v . S i n c e a n a t t a c k e r c a n g e t a n e s t i m a t e f o r t h e e n t r i e s i n v , t h e n i t i s c l e a r t h a t w e n e e d

t o e m b e d s i n t h e l e a s t s i g n i c a n t b i t s o f t h e s e e n t r i e s . A l s o , t h e f a c t t h a t t h e a t t a c k e r m a y b e

a b l e t o l e a r n e x a c t l y s o m e o f t h e e n t r i e s i n v i m p l i e s t h a t w e s h o u l d n o t p u t a n y b i t s o f s i n t h o s e

e n t r i e s . N o t e t h a t w e k n o w i n a d v a n c e w h i c h a r e t h e \ w e a k e n t r i e s " , s i n c e t h e s e c o r r e s p o n d t o t h e

r o w s i n B

1

w i t h s m a l l E u c l i d e a n n o r m .

W e s t a r t b y e x a m i n i n g t h e s i m p l e c a s e i n w h i c h w e o n l y u s e t h e l e a s t - s i g n i c a n t - b i t o f e a c h

e n t r y ( e x c e p t f o r t h e \ w e a k e n t r i e s " ) . a n d p i c k a l l t h e o t h e r b i t s a t r a n d o m . T h e n , g i v e n a n

e s t i m a t e ~

i

=

i

+

i

f o r t h e e n t r y

i

, t h e a t t a c k e r s h o u l d d e c i d e w h e t h e r t h e n u m b e r i n t h a t e n t r y

w a s e v e n o r o d d ( t h a t i s , w h e t h e r t h e m e s s a g e b i t i s a 0 o r 1 ) .

I f w e a s s u m e t h a t e a c h e n t r y i n ~

i

c a n b e a p p r o x i m a t e d b y a G a u s s i a n r a n d o m v a r i a b l e w i t h

m e a n

i

a n d v a r i a n c e

2

k

̂

b

i

k

2

( w h i c h i s r e a s o n a b l e s i n c e ~

i

i s a s u m o f n i n d e p e n d e n t r a n d o m

v a r i a b l e w h i c h a r e a l l \ m o r e o r l e s s t h e s a m e " , t h e n g i v e n t h e e x p e r i m e n t a l v a l u e ~

i

, t h e s t a t i s t i c a l

a d v a n t a g e P r

i

i s e v e n ~

i

? P r

i

i s o d d ~

i

i s e x p o n e n t i a l l y s m a l l i n k

̂

b

i

k . T h u s , i f t h e

E u c l i d e a n n o r m o f

̂

b

i

i s l a r g e e n o u g h , t h e n t h e a t t a c k e r , w h o k n o w s ~

i

, g e t s o n l y a s m a l l s t a t i s t i c a l

a d v a n t a g e i n g u e s s i n g t h e c o r r e s p o n d i n g b i t o f s . I f w e h a v e a r o w o f B

1

w i t h v e r y h i g h E u c l i d e a n

n o r m , t h e n w e m a y b e a b l e t o u s e t h e c o r r e s p o n d i n g e n t r y o f v f o r ̀ m e s s a g e - b i t s . I t c a n b e

s h o w n t h a t t h e s t a t i s t i c a l a d v a n t a g e i n g u e s s i n g a n y o f t h e s e b i t s i s a t m o s t e x p o n e n t i a l l y s m a l l i n

k

̂

b

i

k = 2

̀

. I f t h e E u c l i d e a n n o r m o f e a c h i n d i v i d u a l r o w i n B

1

i s t o o s m a l l , w e c a n r e p r e s e n t e a c h

1 7



b i t o f s u s i n g s e v e r a l e n t r i e s b y m a k i n g t h a t b i t t h e X O R o f t h e l e a s t s i g n i c a n t b i t i n a l l t h o s e

e n t r i e s .

R e d u c i n g m o d 2 N o t i c e t h a t u s i n g o n l y t h e l e a s t s i g n i c a n t b i t s f o r t h e b i t s o f s i s r e a l l y a

l i n e a r o p e r a t i o n , s i n c e w e c a n w r i t e v = s + 2 r , w h e r e s i s t h e f 0 ; 1 g v e c t o r w i t h t h e m e s s a g e b i t s

a n d r i s a r a n d o m i n t e g e r v e c t o r . T h e r e f o r e , w h e n u s i n g t h i s e n c o d i n g w e s h o u l d c o n s i d e r a t t a c k i n

w h i c h a l l t h e m a t r i c e s i n v o l v e d a r e r e d u c e d m o d u l o 2 , a n d t h e a t t a c k e r t r i e s t o c o m p u t e t h e v e c t o r

v m o d 2 .

N a m e l y , w e h a v e c = B v + e = B s + 2 B r + e , s o w h e n r e d u c e t h e l a s t e q u a t i o n m o d 2 w e g e t

c = B s + e ( m o d 2 ) . W e c a n n o w c o m p u t e t h e i n v e r s e o f B m o d 2 o v e r Z

2

. I f s u c h a n i n v e r s e

e x i s t s t h e n d e n o t e i t b y B

1

2

. I n t h i s c a s e w e g e t B

1

2

c = s + B

1

2

e ( m o d 2 ) . N o t i c e , h o w e v e r ,

t h a t e m o d 2 i s a r a n d o m b i n a r y v e c t o r w h i c h i s 1 w i t h p r o b a b i l i t y

2

, a n d s o - f o r e a c h e n t r y

i

o f

d = B

1

2

e m o d 2 - t h e s t a t i s t i c a l d i e r e n c e P r

i

= 0 ? P r

i

= 1 i s e x p o n e n t i a l l y s m a l l w i t h n

5 S i g n a t u r e s c h e m e

I n t h i s s e c t i o n w e d e s c r i b e a s l i g h t m o d i c a t i o n o f o u r t r a p d o o r f u n c t i o n w h i c h i s m o r e s u i t a b l e f o r

a s i g n a t u r e s c h e m e , a n d p r o v i d e a n i n i t i a l a s s e s s m e n t o f i t s p r o p e r t i e s . I n t h i s s i g n a t u r e s c h e m e ,

j u s t l i k e i n t h e e n c r y p t i o n s c h e m e , t h e u s e r u s e s i t s p r i v a t e b a s i s B t o n d l a t t i c e p o i n t s w h i c h a r e

c l o s e t o s o m e g i v e n v e c t o r s i n R

n

. I n t h i s s c h e m e , w e \ s i g n a v e c t o r i n R

n

" b y p r o v i d i n g a l a t t i c e

p o i n t w h i c h i s \ r a t h e r c l o s e " t o t h a t v e c t o r . T h e p u b l i c k e y f o r t h e s i g n a t u r e s c h e m e c o n t a i n s a

p u b l i c b a s i s B f o r t h e l a t t i c e , a n d a t h r e s h o l d > 0 w h i c h d e n e s h o w c l o s e s h o u l d t h e l a t t i c e

p o i n t b e t o t h e g i v e n v e c t o r . T h e c h o i c e o f i s d i s c u s s e d i n S e c t i o n 5 . 3 . 1 .

5 . 1 O p e r a t i o n

T h e k e y - g e n e r a t i o n p r o c e d u r e a m o u n t s t o t h e g e n e r a t i o n o f t w o b a s e s ( a s i n t h e G e n e r a t e p r o -

c e d u r e o f t h e t r a p d o o r f u n c t i o n ) a n d t o t h e d e t e r m i n a t i o n o f t h e t h r e s h o l d

S i g n a t u r e . T o s i g n a m e s s a g e s , w e r s t n e e d t o i n t e r p r e t s a s a v e c t o r i n R

n

. F o r t h i s w e u s e

s o m e e n c o d i n g f u n c t i o n t o g e t u E n c ( s ) ( s e e S e c t i o n 5 . 3 . 2 ) . T h e n , u s i n g t h e p r i v a t e k e y ( R

1

; T )

w e a p p l y t h e e x a c t s a m e p r o c e d u r e a s f o r d e c r y p t i n g a m e s s a g e , n a m e l y c o m p u t e v T d R

1

u c

T h e v e c t o r v i s t h e s i g n a t u r e o n s . T h e s i g n i n g t i m e i s O ( n

2

) j u s t l i k e f o r e n c r y p t i o n , p r o v i d e d

t h a t t h e e n c o d i n g t i m e i s s o b o u n d e d .

N o t i c e t h a t v i s a n i n t e g r a l v e c t o r , w h i c h w e v i e w a s a r e p r e s e n t a t i o n o f t h e l a t t i c e p o i n t

p = B v . T h e r e a s o n t h a t w e e x p e c t p t o b e \ r a t h e r c l o s e " t o u i s t h a t t h e r e p r e s e n t a t i o n o f u

a s a l i n e a r c o m b i n a t i o n o f t h e c o l u m n s o f R i s R

1

u , w h i l e t h e r e p r e s e n t a t i o n o f p a s a l i n e a r

c o m b i n a t i o n o f t h e c o l u m n s o f R i s d R

1

u c , a n d t h e s e t w o r e p r e s e n t a t i o n s d i e r b y a t m o s t a h a l f

i n e a c h c o o r d i n a t e . W e d i s c u s s t h i s f u r t h e r i n S e c t i o n 5 . 3 . 1 .

V e r i c a t i o n . T o v e r i f y a s i g n a t u r e v o n m e s s a g e s w . r . t . t h e p u b l i c k e y ( B ; ) , w e c o m p u t e t h e

v e c t o r s u E n c ( s ) ; p B v , a n d c h e c k t h a t t h e E u c l i d e a n d i s t a n c e b e t w e e n t h e m i s l e s s t h a n

. N a m e l y , t h e v e r i c a t i o n p r o c e s s c o n s i s t s o f c h e c k i n g t h e i n e q u a l i t y k E n c ( s ) ? B v k < . T h i s

p r o c e s s t o o t a k e s t i m e O ( n

2

) , p r o v i d e d a g a i n t h a t t h e e n c o d i n g t i m e i s s o b o u n d e d .

1 8



5 . 2 O n t h e a n a l o g n a t u r e o f t h e s c h e m e

W e n o t e t h a t b e c a u s e o f i t s \ a n a l o g n a t u r e " , o u r s c h e m e h a s s o m e p r o p e r t i e s w h i c h a r e v e r y d i e r e n t

t h a n t h o s e o f o t h e r k n o w n s i g n a t u r e s c h e m e s . I n p a r t i c u l a r , n o t i c e t h a t i f u ; u a r e t w o v e c t o r s i n

R

n

w h i c h a r e v e r y c l o s e t o e a c h o t h e r ( m u c h c l o s e r t h a n t h e t h r e s h o l d ) , t h e n i t i s v e r y l i k e l y

t h a t a s i g n a t u r e o n u w i l l a l s o b e a s i g n a t u r e o n u . T h i s \ m e t r i c p r e s e r v i n g " p r o p e r t y s u g g e s t s

d i e r e n t s i g n i n g p r o c e d u r e s f o r d i g i t a l v e r s u s a n a l o g d a t a .

I f w e a r e s i g n i n g d i g i t a l d a t a t h e n w e s h o u l d m a k e s u r e t h a t a s i g n a t u r e o n o n e m e s s a g e c o u l d

n o t b e u s e d t o o b t a i n a s i g n a t u r e o n a n o t h e r m e s s a g e . T h i s c a n b e a c h i e v e d b y t h e u s e o f a \ g o o d

h a s h f u n c t i o n " t o h a s h t h e m e s s a g e b e f o r e w e i n t e r p r e t i t a s a v e c t o r i n R

n

( o r , a l t e r n a t i v e l y , a s

t h e m e a n s t o m a p m e s s a g e s t o s u c h v e c t o r s ) . I f i n d e e d t h e h a s h f u n c t i o n i s g o o d e n o u g h , i t w i l l

e n s u r e t h a t e v e n i f t w o m e s s a g e s t o b e s i g n e d a r e c l o s e t o e a c h o t h e r a t t h e o u t s e t , t h e y w i l l b e

f a r a p a r t a f t e r b e i n g h a s h e d a n d t h u s b e m a p p e d t o d i e r e n t s i g n a t u r e s . N o t e t h a t t h e h a s h i n g

a n d s i g n i n g p a r a d i g m i s w h a t i s n e c e s s a r y a n d i n f a c t d o n e i n p r a c t i c e w h e n u s i n g t h e R S A a n d

D S A s i g n a t u r e s c h e m e s . T h e r e a s o n i s t o e n s u r e t h e d i c u l t y o f f o r g i n g t h e s i g n a t u r e o f m e s s a g e s

r e l a t e d t o t h o s e m e s s a g e s s i g n e d p r e v i o u s l y b y a l e g i t i m a t e u s e r { a f o r g e r y w h i c h i s o t h e r w i s e e a s y

i n b o t h t h e c a s e o f \ b a r e " R S A a n d D S A .

O n t h e o t h e r h a n d , t h e \ m e t r i c p r e s e r v i n g " p r o p e r t y m a y u s e f u l w h e n s i g n i n g a n a l o g d a t a

s u c h a s m u s i c , s p e e c h , i m a g e s e t c . I n e m p l o y i n g a t r a d i t i o n a l d i g i t a l s i g n a t u r e s c h e m e t o s u c h d a t a ,

t h e n a t u r a l p r o c e d u r e i s t o r s t s a m p l e t h e d a t a s o a s t o o b t a i n d i g i t a l r e p r e s e n t a t i o n o f i t , a n d

n e x t t o a p p l y t h e s i g n a t u r e s c h e m e t o t h i s d i g i t a l r e p r e s e n t a t i o n . T h i s p r o c e d u r e h a s t h e d i s a d -

v a n t a g e o f p o t e n t i a l l y m a p p i n g c l o s e a n a l o g s i g n a l s t o d i e r e n t ( y e t c l o s e ) d i g i t a l r e p r e s e n t a t i o n s .

I n p a r t i c u l a r , m i n o r c h a n g e s i n t h e e i t h e r t h e s a m p l i n g p r o c e s s o r i n t h e a n a l o g s i g n a l i t s e l f , m a y

r e s u l t i n a d i e r e n t d i g i t a l r e p r e s e n t a t i o n . C o n s e q u e n t l y , t h e s i g n a t u r e m a y n o t b e v a l i d w h e n t h e

a n a l o g s i g n a l c h a n g e s a l i t t l e . T h u s , a m e t h o d s u c h a s o u r s , w h e r e t h e a n a l o g s i g n a l m a y b e s i g n e d

d i r e c t l y h a v e a n a d v a n t a g e o f s u p p l y i n g s i g n a t u r e s w h i c h r e m a i n v a l i d ( o r a t l e a s t m e a n i n g f u l )

u n d e r s m a l l c h a n g e s o f t h e a n a l o g s i g n a l .

N o t e t h a t t h e a b o v e d i s c u s s i o n d e p e n d s o n t h e e n c o d i n g o f d a t a a s v e c t o r s i n R

n

. E a c h o f t h e

t w o s e t t i n g s c a l l s f o r a d i e r e n t t y p e o f e n c o d i n g . I n t h e \ d i g i t a l " s e t t i n g w e w i s h t h e e n c o d i n g

t o s c r a m b l e m e s s a g e s s o t o d e s t r o y a n y s t r u c t u r e ( e . g . , r e l a t e d m e s s a g e s s h o u l d y i e l d u n r e l a t e d

e n c o d i n g ) . I n t h e \ a n a l o g " s e t t i n g w e w a n t t h e e n c o d i n g t o p r e s e r v e t h e m e t r i c o f t h e d a t a s p a c e

( e . g . , c l o s e a n a l o g s i g n a l s s h o u l d y i e l d c l o s e e n c o d i n g i n R

n

) . F o r f u r t h e r d e t a i l s s e e S e c t i o n 5 . 3 . 2 .

5 . 3 V a r i o u s c h o i c e s

I n a d d i t i o n t o t h e c h o i c e s m a d e f o r t h e p r o c e s s o f s e l e c t i n g t h e p r i v a t e a n d p u b l i c b a s e s ( d i s c u s s e d i n

S e c t i o n 3 ) , t h e r e a r e t w o i m p o r t a n t c h o i c e s t o b e m a d e : F i r s t l y , w e n e e d t o d e t e r m i n e t h e t h r e s h o l d

p a r a m e t e r , a n d s e c o n d l y w e n e e d t o d e t e r m i n e t h e m e t h o d o f e n c o d i n g d a t a a s v e c t o r s i n R

n

5 . 3 . 1 C h o o s i n g t h e t h r e s h o l d

I n t h i s s e c t i o n w e s h o w h o w t h e t h r e s h o l d s h o u l d b e c h o s e n s o t h a t t h e s i g n a t u r e a l g o r i t h m i s

s u c c e s s f u l w i t h h i g h p r o b a b i l i t y , a n d i n S e c t i o n 5 . 4 w e e x a m i n e t h e e e c t s o f t h e c h o i s e o f t h e

s e c u r i t y o f t h e s i g n a t u r e s c h e m e .

I n t h e a n a l y s i s b e l o w w e u s e t h e f o l l o w i n g n o t a t i o n s . L e t A b e a b a s i s f o r s o m e l a t t i c e i n

R

n

. W e d e n o t e b y R o u n d

A

( u ) t h e l a t t i c e p o i n t w h i c h i s g e n e r a t e d f r o m u b y c o n s i d e r i n g t h e

r e p r e s e n t a t i o n o f u a s a l i n e a r c o m b i n a t i o n o f t h e v e c t o r s i n B a n d r o u n d i n g t h e c o e c i e n t s t o t h e

n e a r e s t i n t e g e r s . T h a t i s , R o u n d

A

( u )

d e f

= A d A

1

u c

1 9



C o n s i d e r n o w a r a n d o m v e c t o r u 2 R

n

a n d w e t r y t o e v a l u a t e t h e d i s t a n c e b e t w e e n u a n d

R o u n d

R

( u ) , w h e r e R i s t h e p r i v a t e b a s i s . R e c a l l t h a t c o n c e p t u a l l y , t h e l a t t i c e p o i n t R o u n d

R

( u )

i s t h e s i g n a t u r e o n t h e v e c t o r u ( t h o u g h t h e a c t u a l s i g n a t u r e i s t h e r e p r e s e n t a t i o n o f t h a t p o i n t

w . r . t . t h e p u b l i c b a s i s B ) . D e n e t h e \ e r r o r v e c t o r "

e

d e f

= R

1

u ? R

1

u

t h a t i s , t h e i ' t h e n t r y

i

i n e i s t h e d i e r e n c e b e t w e e n t h e i ' t h c o e c i e n t i n t h e r e p r e s e n t a t i o n o f u

a s a l i n e a r c o m b i n a t i o n o f t h e v e c t o r s i n R a n d t h e n e a r e s t i n t e g e r . T h e n t h e d i s t a n c e b e t w e e n u

a n d R o u n d

R

( u ) i s j u s t t h e E u c l i d e a n n o r m o f t h e v e c t o r R e . C l e a r l y , w e h a v e

i

1 = 2 f o r a l l i ,

s i n c e t h i s i s j u s t t h e d i e r e n c e b e t w e e n s o m e r e a l n u m b e r a n d t h e n e a r e s t i n t e g e r . T h i s i m m e d i a t e l y

g i v e s u s

C l a i m 5 . 1 : L e t R b e t h e p r i v a t e b a s i s u s e d f o r s i g n i n g a n d d e n o t e t h e m a x i m u m L

1

n o r m o f a n y

r o w i n R b y . I f w e s e t =

p

n = 2 t h e n t h e s i g n i n g a l g o r i t h m a l w a y s s u c c e e d s ( w i t h p r o b a b i l i t y

1 )

P r o o f : D e n o t e d

d e f

= R e . W e c a n w r i t e t h e i ' t h e n t r y i n d a s

i

=

P

j

i j

j

w h e r e

i j

i s t h e i ; j ' t h

e n t r y i n R a n d

j

i s t h e j ' t h e n t r y i n e . T h e r e f o r e

i

P

j

i j

j

1

2

P

j

i j

1

2

a n d s o

k d k =

v

u

u

t

n

X

i = 1

2

i

v

u

u

t

n

X

i = 1

1

2

2

=

p

n = 2

A s f o r t h e t r a p d o o r f u n c t i o n , w e m a y c h o o s e t o s e t a l o w e r v a l u e f o r t o g e t a b e t t e r s e c u r i t y .

W e n o w d e s c r i b e a n \ a p p r o x i m a t e a n a l y s i s " w h i c h e n a b l e s u s t o e s t i m a t e t h e f a i l u r e p r o b a b i l i t y

f o r l o w e r v a l u e s o f

( A s o p p o s e d t o t h e s i t u a t i o n w i t h t h e t r a p d o o r f u n c t i o n , h o w e v e r , e v e n t h e s e a p p r o x i m a t e

e s t i m a t e s a r e n o t v e r y g o o d . E x p e r i m e n t a l l y , w e f o u n d t h a t w e c a n s e t t h e v a l u e o f t o b e a b o u t

h a l f t h e v a l u e w h i c h w e g e t f r o m t h e a n a l y s i s b e l o w . )

R e c a l l t h a t t h e d i s t a n c e b e t w e e n u a n d R o u n d

R

( u ) i s t h e E u c l i d e a n n o r m o f t h e v e c t o r R e

w h e r e

i

1 = 2 f o r a l l i . M o r e o v e r , i f u i s c h o s e n u n i f o r m l y a t r a n d o m f r o m a l a r g e e n o u g h b o x

i n R

n

t h e n t h e d i s t r i b u t i o n i n d u c e d o v e r t h e v e c t o r e i s c l o s e t o t h e u n i f o r m d i s t r i b u t i o n o v e r

( ?

1

2

; +

1

2

n

T o s e e t h a t , n o t i c e t h a t i f w e c h o o s e u u n i f o r m l y f r o m t h e p a r a l l e l e p i p e d f

P

i

i

r

i

: 0

i

< 1 g

( w h e r e r

i

i s t h e i ' t h c o l u m n o f R ) t h e n t h e i n d u c e d d i s t r i b u t i o n o n e i s e x a c t l y t h e u n i f o r m

d i s t r i b u t i o n . M o r e o v e r , e v e r y l a r g e e n o u g h b o x i n R

n

c a n b e v i e w e d a s u n i o n o f m a n y d i s j o i n t

p a r a l l e l e p i p e d s l i k e t h a t , p l u s s o m e \ l e f t o v e r " v o l u m e . A s t h e v o l u m e o f t h e b o x i n c r e a s e s , t h e

f r a c t i o n o f t h i s \ l e f t o v e r " v o l u m e d e c r e a s e s . T h u s , t h e i n d u c e d d i s t r i b u t i o n o f t h e v e c t o r e g e t s

c l o s e r t o t h e u n i f o r m d i s t r i b u t i o n .

T h u s , t o e v a l u a t e t h e d i s t a n c e b e t w e e n u a n d R o u n d

R

( u ) w h e n u i s u n i f o r m i n s o m e l a r g e b o x

i n R

n

, w e n e e d t o e v a l u a t e t h e E u c l i d e a n n o r m o f t h e v e c t o r R e w h e n e i s u n i f o r m i n ( ?

1

2

; +

1

2

n

W e c a n w r i t e e a c h e n t r y i n t h i s v e c t o r a s

i

=

P

j

i j

j

w h e r e

i j

i s t h e i ; j ' t h e n t r y i n R a n d

j

i s

t h e j ' t h e n t r y i n e

D e n o t e t h e l a r g e s t e n t r y i n R b y

m a x

, t h e n e a c h o f t h e r a n d o m v a r i a b l e s

i j

j

i s d i s t r i b u t e d

i n t h e i n t e r v a l ?

m a x

2

; +

m a x

2

] a n d h a s z e r o m e a n . U s i n g H o e d i n g b o u n d w e c o n c l u d e t h a t f o r a n y

> 0

P r

i

> n < 2 e x p

?

2

2

n

2

m a x

2 0



w h i c h i m p l i e s t h a t

P r

k d k

2

>

2

n

3

P r

9 i s : t :

2

i

>

2

n

2

2 n e x p

?

2

2

n

2

m a x

T h e r e f o r e , t o m a k e t h e e r r o r p r o b a b i l i t y l e s s t h a n " i t i s s u c i e n t t o s e t > (

m a x

l n ( 2 n = " ) = 2 n ) ,

w h i c h m e a n s t h a t t h e t h r e s h o l d i s s e t t o

=

p

2

n

3

m a x

2

l n ( 2 n = " )

p

n ( 2 )

T y p i c a l n u m e r i c v a l u e s . T h e v a l u e o f t h e t h r e s h o l d w h i c h w e o b t a i n f r o m E q u a t i o n 2 w i t h

" = 2

3 0

a n d n = 1 4 0 i s

=

m a x

2

l n ( 2 8 0 2

3 0

)

p

1 4 0 1 5 6

m a x

I n o u r e x p e r i m e n t s w e t y p i c a l l y h a v e

m a x

= 4 , w h i c h i m p l i e s t h a t 6 2 5 . I f w e a r e w i l l i n g t o

s e t t l e f o r " = 1 0

4

t h e w e c a n m a k e 3 5 0 . A s w e s a i d a b o v e , w e f o u n d t h a t e x p e r i m e n t a l l y

w e c a n a c t u a l l y u s e t h r e s h o l d v a l u e w h i c h i s a b o u t h a l f o f w h a t w e g e t f r o m t h e s e b o u n d s . I n

p a r t i c u l a r , f o r t h e s e t t i n g a b o v e w e c a n s e t = 2 0 0 t o g e t t h e e r r o r p r o b a b i l i t y b e l o w 1 0

4

5 . 3 . 2 E n c o d i n g m e s s a g e s a s v e c t o r s i n R

n

R e c a l l t h a t i n t h e a b o v e s c h e m e , a l a t t i c e - p o i n t p i s c o n s i d e r e d a v a l i d s i g n a t u r e o n a v e c t o r v i f

t h e t w o v e c t o r s a r e \ c l o s e e n o u g h " . T h i s m e a n s t h a t t h e s a m e l a t t i c e p o i n t p i s v a l i d w i t h r e s p e c t

t o m a n y d i e r e n t v e c t o r s ( i n f a c t , a l l t h e v e c t o r s i n a s p h e r e o f r a d i u s c e n t e r e d a t p ) . T h i s f a c t

h a s t w o i m p l i c a t i o n s : O n o n e h a n d , w e c a n a l l o w m a n y \ s l i g h t l y d i e r e n t " r e p r e s e n t a t i o n s o f t h e

s a m e \ l o g i c a l d a t u m " w i t h o u t e e c t i n g t h e v a l i d i t y o f t h e s i g n a t u r e . O n t h e o v e r h a n d , v e c t o r s

w h i c h r e p r e s e n t d i e r e n t \ l o g i c a l d a t u m " m u s t b e v e r y d i e r e n t f r o m o n e a n o t h e r .

S i g n i n g a n a l o g d a t a . A s a s i m p l e e x a m p l e o f a n a n a l o g d a t a , c o n s i d e r a t t a c h i n g a d i g i t a l

s i g n a t u r e t o a F A X d o c u m e n t ( s a y , b y p r i n t i n g a b a r - c o d e c o n t a i n i n g t h e s i g n a t u r e o n t h e d o c u m e n t

i t s e l f ) . C l e a r l y , i n t h i s c a s e w e c a n n o t e x p e c t t h a t t h e s e n d e r s d i g i t a l r e p r e s e n t a t i o n o f t h e d o c u m e n t

w i l l b e i d e n t i c a l t o t h e r e p r e s e n t a t i o n o b t a i n e d b y t h e r e c e i v e r a f t e r t h e d o c u m e n t i s p r i n t e d .

H o w e v e r , s u p p o s e t h a t w e c o u l d r e p r e s e n t t h e \ c o n t e n t s " o f t h e F A X e d d o c u m e n t u s i n g s o m e s m a l l

s e t o f p a r a m e t e r s , i n s u c h a w a y t h a t

P r i n t i n g a n d r e - s c a n n i n g t h e d o c u m e n t d o e s n o t c h a n g e i t s p a r a m e t e r s v e r y m u c h ; a n d

D o c u m e n t s w h i c h c o n t a i n s d i e r e n t c o n t e n t s a r e r e p r e s e n t e d b y v e r y d i e r e n t s e t s o f p a r a m -

e t e r s .

I f w e h a v e s u c h r e p r e s e n t a t i o n , w e c o u l d u s e t h e s e s e t s o f p a r a m e t e r s t o r e p r e s e n t a d o c u m e n t a s

a v e c t o r i n R

n

. C o n s e q u e n t l y , i t w i l l b e v e r y l i k e l y t h a t a d i g i t a l s i g n a t u r e o n s o m e r e p r e s e n t a t i o n

o f t h e d o c u m e n t w i l l s t i l l b e v a l i d e v e n a f t e r t h e d o c u m e n t w a s p r i n t e d a n d r e - s c a n n e d . W e w i l l

n e e d t o a s s u m e t h a t s u c h a r e p r e s e n t a t i o n w i l l b e s u c i e n t l y r i c h i n t h e s e n s e t h a t d o c u m e n t s o f

i n t e r e s t w i l l r e s u l t s i n r e p r e s e n t a t i o n s i n a s u c i e n t l y l a r g e b o x o f R

n

. ( C l e a r l y , s i g n a t u r e s a r e

e a s y t o f o r g e i f d o c u m e n t s o f i n t e r e s t a r e a l l m a p p e d t o a s m a l l r e g i o n o f R

n

{ a n d c a r r y i n g t h e

a r g u m e n t t o a n e x t r e m e , w e d e n i t e l y d o n o t w a n t a l l d o c u m e n t s t o b e m a p p e d t o w i t h i n d i s t a n c e

o f t h e s a m e l a t t i c e p o i n t . ) F u r t h e r m o r e , i t s h o u l d b e i n f e a s i b l e t o o b t a i n a m e a n i n g f u l d o c u m e n t

w h i c h m a t c h e s a r a n d o m v e c t o r i n t h i s l a r g e b o x o f R

n

2 1



S i g n i n g d i g i t a l d a t a . W h e n s i g n i n g d i g i t a l d a t a , w e d o n o t h a v e t h e \ m u l t i p l e r e p r e s e n t a t i o n "

p r o b l e m a s a b o v e { t h e r e i s a u n i q u e b i n a r y s t r i n g w h i c h r e p r e s e n t s t h e l o g i c a l d a t u m . W h a t w e

n e e d i s a n e n c o d i n g o f b i n a r y s t r i n g s a s \ r a n d o m " p o i n t s i n R

n

. W e m a y a s s u m e , w i t h o u t l o s s

o f g e n e r a l i t y , t h a t t h e s t r i n g h a s l e n g t h n , s i n c e s h o r t e r a n d l o n g e r s t r i n g s c a n b e h a n d l e d u s i n g

w e l l - k n o w n m e t h o d s ( s u c h a s p a d d i n g a n d c o l l i s i o n - f r e e h a s h i n g , r e s p e c t i v e l y ) . S o w h a t w e n e e d i s

a m a p p i n g o f f 0 ; 1 g

n

t o R

n

w h i c h d o e s n o t m a p t w o d i e r e n t s t r i n g s t o o c l o s e t o o n e a n o t h e r ( i . e . ,

t o w i t h i n p r o x i m i t y ) . T h i s i s v e r y e a s y t o d o . H o w e v e r , w e w a n t t h e r a n g e o f t h i s m a p p i n g t o b e

s u c i e n t \ r a n d o m " s o t h a t n d i n g a c l o s e l a t t i c e p o i n t w i l l b e h a r d f o r t h e s e m a p p i n g - i m a g e s .

5 . 4 S e c u r i t y o f t h e S i g n a t u r e S c h e m e

T o g e t s o m e i n i t i a l i n d i c a t i o n f o r t h e s e c u r i t y o f t h i s s c h e m e , w e c o n s i d e r w h a t h a p p e n s w h e n

w e t r y t o e x e c u t e t h e s i g n i n g a l g o r i t h m u s i n g t h e p u b l i c b a s i s B . H e r e w e d o n o t e v e n h a v e a n

a p p r o x i m a t e a n a l y s i s . I n s t e a d w e c o n d u c t e d e x p e r i m e n t s t o e v a l u a t e h o w c l o s e t o t h e t h r e s h o l d

w e c a n g e t w h e n u s i n g t h e p u b l i c b a s i s f o r s i g n i n g . F o r t h e s a m e s e t t i n g a s t h e \ t y p i c a l n u m e r i c

v a l u e s " i n S e c t i o n 5 . 3 . 1 , ( n = 1 4 0 , m a x - e n t r y i n R = 4 ) , w e g o t d i s t a n c e s w h i c h w e r e a l l a b o v e 5 2 0

( w e t r i e d 5 d i e r e n t L L L - r e d u c e d b a s e s , 1 0 0 0 0 \ s i g n a t u r e s " f o r e a c h b a s i s ) . T h i s s u g g e s t s t h a t f o r

t h e s e p a r a m e t e r s , p i c k i n g t h e t h r e s h o l d a t = 2 0 0 m a y b e g o o d e n o u g h t o c o u n t e r t h i s a t t a c k , a t

l e a s t w h e n u s i n g L L L a s o u r l a t t i c e - r e d u c t i o n a l g o r i t h m .

6 E x p e r i m e n t a l R e s u l t s

W e p e r f o r m e d s e v e r a l e x p e r i m e n t s i n o r d e r t o m e a s u r e t h e e e c t o f v a r i o u s p a r a m e t e r s i n t h e b a s i s

g e n e r a t i o n p r o c e s s o n t h e s e c u r i t y o f o u r s c h e m e . S i n c e , a s w e d e s c r i b e d i n S e c t i o n 3 . 5 , t h e s e c u r i t y

o f t h e s c h e m e i s r e l a t e d t o t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e b a s e s i n v o l v e d , w e v i e w t h e r a t i o

b e t w e e n t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e p u b l i c a n d p r i v a t e b a s e s a s o u r \ m e a s u r e o f s e c u r i t y " .

T e s t i n g m e t h o d s . F o r o u r e x p e r i m e n t s w e u s e d a n i m p l e m e n t a t i o n o f t h e L L L l a t t i c e r e d u c t i o n

a l g o r i t h m d u e t o t h e L i D I A g r o u p L i 9 5 ] . I n e a c h e x p e r i m e n t , w e c h o s e a p r i v a t e a n d p u b l i c b a s e s -

p a i r a n d e v a l u a t e d t h e r a t i o b e t w e e n t h e i r d u a l - o r t h o g o n a l i t y - d e f e c t s . W e g e n e r a t e d t h e p u b l i c

b a s i s f r o m t h e p r i v a t e o n e b y m i x i n g i t ( a s d e s c r i b e d i n S e c t i o n 3 . 3 ) a n d L L L - r e d u c i n g t h e r e s u l t .

T o g a i n s o m e c o n d e n c e i n o u r r e s u l t s , w e r e p e a t e d t h i s e x p e r i m e n t s e v e r a l t i m e s f o r e a c h s e t t i n g

o f t h e p a r a m e t e r s .

F o r e a c h p r i v a t e b a s i s , w e g e n e r a t e d v e p u b l i c b a s e s a n d u s e d t h e r a t i o b e t w e e n t h e m i n i m u m

d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e s e p u b l i c b a s e s a n d t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e p r i v a t e

b a s i s a s t h e \ s e c u r i t y - l e v e l " o f t h i s p r i v a t e b a s i s .

F o r e a c h s e t t i n g o f t h e p a r a m e t e r s , w e g e n e r a t e d s e v e n p r i v a t e b a s e s w i t h t h e s e s e t t i n g a n d

c o n s i d e r e d t h e m e d i a n \ s e c u r i t y - l e v e l " o f t h e s e s e v e n b a s e s .

P a r a m e t e r s . T h e p a r a m e t e r s w h i c h w e t e s t e d a r e

1 . T h e d i m e n s i o n o f t h e l a t t i c e , d e n o t e d b y n . W e p e r f o r m e d m o s t o f t h e t e s t s i n d i m e n s i o n s

8 0 - 1 2 0 .

2 . T h e r a n g e o f i n t e g e r s ( f ? l ; ; + l g ) f r o m w h i c h w e c h o o s e t h e e n t r i e s i n t h e p r i v a t e b a s i s .

B e l o w w e r e f e r t o t h i s r a n g e a s t h e ` l - p a r a m e t e r ' o f t h e p r i v a t e b a s i s .

2 2



3 . H o w \ c u b e - l i k e " i s t h e p r i v a t e b a s i s . N a m e l y , w e g e n e r a t e d t h e p r i v a t e b a s i s a s R = k I +

r a n d ( l ) f o r s e v e r a l v a l u e s o f k . ( W h e r e I i s t h e i d e n t i t y m a t r i x a n d r a n d ( l ) i s a r a n d o m

m a t r i x w i t h e n t r i e s i n f ? l ; ; + l g . ) B e l o w w e r e f e r t o t h i s p a r a m e t e r a s t h e ` k - p a r a m e t e r '

o f t h e p r i v a t e b a s i s .

4 . H o w m a n y \ m i x i n g s t e p s " a r e u s e d t o g e n e r a t e t h e p u b l i c b a s i s f r o m t h e p r i v a t e o n e .

6 . 1 G e n e r a t i n g t h e P r i v a t e B a s i s

W e r s t m e a s u r e d t h e e e c t s o f t h e p a r a m e t e r s i n v o l v e d i n c h o o s i n g t h e p r i v a t e b a s i s , n a m e l y

l a t t i c e d i m e n s i o n ( n ) , r a n g e o f i n t e g e r s ( l ) a n d \ c u b e - l i k e n e s s " ( k ) . F o r e a c h s e t t i n g o f k ; l , w e

t e s t e d d i m e n s i o n s 8 0 t h r o u g h 1 2 0 ( i n i n c r e m e n t s o f 1 0 ) .

E n t r y s i z e ( l ) W e t e s t e d t h e l - p a r a m e t e r s e t t i n g s o f 1 , 4 a n d 1 0 , w o r k i n g w i t h b o t h \ r a n d o m

l a t t i c e s " ( k = 0 ) a n d \ c u b e - l i k e l a t t i c e s " ( k = l d 1 +

p

n e ) . T h e r e s u l t s o f t h e s e e x p e r i m e n t s a r e

s u m m a r i z e d i n F i g u r e 1 . I n a l l t h e s e e x p e r i m e n t s , w e a p p l i e d 2 n \ e l e m e n t a r y m i x i n g m i x i n g - s t e p s "

t o t h e p r i v a t e b a s e s a n d L L L - r e d u c e d t h e r e s u l t t o o b t a i n t h e p u b l i c b a s i s ( S e e S e c t i o n ? ? . A s c a n

b e s e e n f r o m t h e s e r e s u l t s , t h e l - p a r a m e t e r h a d n o e e c t o n t h e \ s e c u r i t y - l e v e l " o f t h e b a s e s w h i c h

w e o b t a i n e d .

\ C u b e - l i k e " p a r a m e t e r ( k ) T h e s e t t i n g s o f t h e k - p a r a m e t e r w h i c h w e t e s t e d a r e k = 0 ; k =

1

2

l d 1 +

p

n e a n d k = l d 1 +

p

n e . T h e r e a s o n t h a t w e e x p r e s s k i n \ u n i t s " o f l

p

n i s t h a t t h e

e x p e c t e d l e n g t h o f a r a n d o m v e c t o r i n f ? l + l g

n

i s O ( l

p

n ) . W e t e s t e d t h e s e s e t t i n g s w i t h l = 1

a n d l = 4 . T h e r e s u l t s a r e s u m m a r i z e d i n F i g u r e 2 . V a r y i n g t h e v a l u e o f k h a d t h e f o l l o w i n g e e c t s

I n c r e a s i n g t h e v a l u e o f k i n c r e a s e s t h e d i m e n s i o n s i n w h i c h L L L c a n r e c o v e r t h e p r i v a t e b a s i s .

F o r e x a m p l e , L L L c o u l d r e c o v e r t h e p r i v a t e b a s i s i n d i m e n s i o n 8 0 w h e n w e s e t k = l d 1 +

p

n e ,

b u t f a i l e d f o r t h e s m a l l e r v a l u e s o f k

W h e n t h e d i m e n s i o n s i n c r e a s e b e y o n d s o m e t h r e s h o l d , t h e r a t i o o f t h e d u a l - o r t h o g o n a l i t y -

d e f e c t b e c o m e s m u c h l a r g e r f o r l a r g e v a l u e s o f k . T h e r e a s o n i s t h a t t h e d u a l - o r t h o g o n a l i t y -

d e f e c t o f t h e p r i v a t e b a s i s b e c o m e s s m a l l e r ( s i n c e t h e p r i v a t e b a s i s i s m o r e \ c u b e - l i k e " ) . I n

f a c t , f o r k = l d 1 +

p

n e , t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e p r i v a t e b a s i s i s a l r e a d y v e r y

c l o s e t o o n e . O n t h e o t h e r h a n d , t h e d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e c o r r e s p o n d i n g p u b l i c

b a s i s i s n o t a e c t e d b y t h i s c h a n g e ( s i n c e b e y o n d s o m e t h r e s h o l d d i m e n s i o n , L L L f a i l s t o

t a k e a d v a n t a g e o f t h e \ c u b e - l i k e n e s s " o f t h e l a t t i c e ) . T h u s , t h e r a t i o b e t w e e n t h e d u a l -

o r t h o g o n a l i t y - d e f e c t o f t h e p u b l i c a n d p r i v a t e b a s i s i n c r e a s e s c o n s i d e r a b l y .

6 . 2 H o w M a n y M i x i n g S t e p s

W e a l s o t e s t e d t h e n u m b e r o f \ e l e m e n t a r y m i x i n g s t e p s " w h i c h w e a p p l y t o t h e p r i v a t e b a s i s i n

o r d e r t o g e t t h e p u b l i c b a s i s . I n e a c h e l e m e n t a r y m i x i n g s t e p , w e p i c k o n e o f t h e b a s i s v e c t o r s a n d

a d d t o i t a r a n d o m i n t e g r a l l i n e a r c o m b i n a t i o n o f t h e o t h e r v e c t o r s . I n o u r e x p e r i m e n t s w e c h o s e

t h e c o e c i e n t s o f t h i s l i n e a r c o m b i n a t i o n f r o m f ? 1 ; 0 ; 1 g w i t h P r 1 ] = P r ? 1 ] = 1 = 7 . T o m a k e s u r e

t h a t w e r e p l a c e a l l t h e v e c t o r s i n t h e p r i v a t e b a s i s , w e m u s t m a k e a t l e a s t n m i x i n g s t e p s . T o m a k e

s u r e t h a t w e h i t t h e m a l l , w e c h o s e a r a n d o m p e r m u t a t i o n o v e r f 1 ; n g a n d p i c k e d t h e v e c t o r s

a c c o r d i n g t o t h e o r d e r i n t h a t p e r m u t a t i o n .

T o e v a l u a t e h o w \ s e c u r e " i s t h e r e s u l t i n g p u b l i c b a s i s , w e L L L - r e d u c e d i t a n d c o m p a r e d t h e

d u a l - o r t h o g o n a l i t y - d e f e c t o f t h e r e s u l t w i t h t h a t o f t h e p r i v a t e b a s i s . I n o u r e x p e r i m e n t s w e t r i e d

2 3



80 85 90 95 100 105 110 115 12010

20

1040

1060

1080

10100

10120

10140

Dimension (n)

d u a l - o r t h o g o n a l i t y - d e f e c t

r a t i o

R = rand(+-L). Applying 2*n mixing steps to get B

"*" - L = 4

"o" - L = 1

80 85 90 95 100 105 110 115 12010

0

10

50

10100

10150

10200

10250

Dimension (n)


r a t i o

R = L*(sqrt(n)+1)*I + rand(+-L). Applying 2*n mixing steps to get B

"o" - L = 1

"*" - L = 4

"+" - L = 10

F i g u r e 1 : T h e e e c t o f v a r y i n g t h e e n t r y s i z e l f o r k = 0 ( u p p e r g u r e ) a n d k = d 1 +

p

n e l ( l o w e r

g u r e ) .

2 4



80 85 90 95 100 105 11010

0

1020

1040

1060

1080

10100

10120

10140

10160

10180

10200

Dimension (n)


r a t i o

R = k*I + rand(+-1). Applying 2*n mixing steps to get B

"*" - k = 1+sqrt(n)

"o" - k = 0

80 85 90 95 100 105 110 115 12010

0

10

50

10100

10150

10200

10250

Dimension (n)


r a t i o

R = k*I + rand(+-4). Applying 2*n mixing steps to get B

"+" - k = 4*(1+sqrt(n))

"*" - k = 2*(1+sqrt(n))

"o" - k = 0

F i g u r e 2 : T h e e e c t o f v a r y i n g t h e p a r a m e t e r k f o r l = 1 ( u p p e r g u r e ) a n d l = 4 ( l o w e r g u r e ) .

W e t e s s t e d t h e v a l u e s k = 0 ; k =

1

2

l d 1 +

p

n e a n d k = l d 1 +

p

n e

2 5



80 85 90 95 100 105 110 115 12010

0

1020

1040

1060

1080

10100

10120

10140

Dimension (n)


r a t i o

R = k*I + rand(+-4). Applying n mixing steps to get B

"*" - k = 4*(1+sqrt(n))

"o" - k = 0

F i g u r e 3 : M a k i n g o n l y n m i x i n g - s t e p s . N o t i c e t h a t f o r a c u b e - l i k e l a t t i c e , w e w e r e a b l e t o r e c o v e r

t h e p r i v a t e b a s i s i n a l l t h e d i m e n s i o n s .

2 6



t o m a k e n a n d 2 n m i x i n g s t e p s b e f o r e t h e L L L - r e d u c t i o n . T h e r e s u l t s f o r 2 n m i x i n g s t e p s ( w i t h

v a r i o u s p a r a m e t e r s o f t h e p r i v a t e b a s i s ) a r e p r e s e n t e d i n F i g u r e s 1 a n d 2 . T h e r e s u l t s w e g e t w h e n

w e o n l y m a k e n m i x i n g s t e p s ( f o r l = 4 a n d k = 0 ; k = l d 1 +

p

n e ) a r e s u m m a r i z e d i n F i g u r e 3 .

I t c a n b e s e e n t h a t w h e n m a k i n g o n l y n m i x i n g s t e p s o n a c u b e - l i k e l a t t i c e , L L L w a s a l w a y s

a b l e t o r e c o v e r t h e p r i v a t e b a s i s . A n o t h e r p r o b l e m w i t h m a k i n g s o f e w m i x i n g s t e p s ( w h i c h i s n o t

r e e c t e d i n F i g u r e 3 ) i s t h a t t h e v a r i a n c e w h i c h w e g e t f o r e a c h s e t t i n g o f t h e p a r a m e t e r s i s m u c h

l a r g e r t h a n w h a t w e g e t f o r 2 n m i x i n g s t e p s . I n f a c t , a l t h o u g h t h e m e d i a n r e s u l t s f o r k = 0 s e e m

t o i n c r e a s e e x p o n e n t i a l l y w i t h t h e d i m e n s i o n , t h e m i n i m u m r e s u l t s a r e v e r y c l o s e t o o n e e v e n i n

d i m e n s i o n 1 2 0 .

A c k n o w l e d g m e n t s .

T h e a u t h o r s t h a n k D a n B o n e h , D o n C o p p e r s m i t h , C l a u s S c h n o r r a n d J a c q u e s S t r e n f o r s e v e r a l

e n l i g h t e n i n g c o n v e r s a t i o n s .

R e f e r e n c e s

A j 9 6 ] M . A j t a i . G e n e r a t i n g h a r d i n s t a n c e s o f l a t t i c e p r o b l e m s . I n P r o c e e d i n g s o f t h e 2 8 t h

A n n u a l A C M S y m p o s i u m o n T h e o r y o f C o m p u t i n g , p a g e s 9 9 - 1 0 8 , P h i l a d e l p h i a , P A ,

1 9 9 6 .

B a 8 6 ] L . B a b a i , O n L o v a s z l a t t i c e r e d u c t i o n a n d t h e n e a r e s t l a t t i c e p o i n t p r o b l e m . i n C o m b i -

n a t o r i c a , v o l . 6 , 1 9 8 6 , p p . 1 - 1 3 .

B G 8 4 ] M . B l u m a n d S . G o l d w a s s e r . A n E c i e n t P r o b a b i l i s t i c P u b l i c - K e y E n c r y p t i o n S c h e m e

w h i c h H i d e s A l l P a r t i a l I n f o r m a t i o n . i n P r o c e e d i n g s o f C R Y P T O ' 8 4 , S p r i n g e r - V e r l a g ,

1 9 8 5 , p p . 2 8 9 - 2 9 9 .

B o 8 1 ] P . v a n E m d e B o a s , A n o t h e r N P - c o m p l e t e p r o b l e m a n d t h e c o m p l e x i t y o f c o m p u t i n g s h o r t

v e c t o r s i n a l a t t i c e . R e p r o t 8 1 - 0 4 , M a t h e m a t i s c h e I n s t i t u u t , U n i v e r s i t y o f A m s t e r d a m ,

1 9 8 1 .

B L 9 6 ] D . B o n e h a n d R . L i p t o n , A l g o r i t h m s f o r B l a c k - B o x F i e l d s a n d T h e i r A p p l i c a t i o n t o

C r y p t o g r a p h y . i n P r o c c e d i n g s o f C R Y P T O ' 9 6 , L e c t u r e N o t e s i n C o m p u t e r S c i e n c e N o .

1 1 0 9 , S p r i n g e r - V e r l a g , 1 9 9 6 . p p . 2 8 3 - 2 9 7 .

D S S ] D i g i t a l S i g n a t u r e S t a n d a r d ( D S S ) . F I P S P U B 1 8 6 , 1 9 9 4 .

D H 7 6 ] W . D i e a n d M . E . H e l l m a n . N e w D i r e c t i o n s I n C r y p t o g r a p h y . I E E E T r a n s a c t i o n s o n

I n f o r m a t i o n T h e o r y , V o l I T - 2 2 , 1 9 7 6 , p p . 6 4 4 - 6 5 4 .

E l 8 5 ] T . E l - G a m a l . A P u b l i c K e y C r y p t o s y s t e m a n d a S i g n a t u r e S c h e m e B a s e d o n D i s c r e t e

L o g a r i t h m s . I E E E T r a n s . I n f o r m a t i o n T h e o r y , v o l . 3 1 , 1 9 8 5 , p p . 4 6 9 - 4 7 2

G 8 6 ] O . G o l d r e i c h . T w o R e m a r k s C o n c e r n i n g t h e G o l d w a s s e r - M i c a l i - R i v e s t S i g n a t u r e S c h e m e .

i n P r o c e e d i n g s C R Y P T O 8 6 , L e c t u r e N o t e s i n C o m p u t e r S c i e n c e N o . 2 6 3 . S p r i n g e r - V e r l a g ,

1 9 8 7 . p p . 1 0 4 - 1 1 0 .

G K L ] O . G o l d r e i c h , H . K r a w c z y k a n d M . L u b y . O n t h e e x i s t e n c e o f p s e u d o r a n d o m g e n e r a t o r s .

S I A M J . o n C o m p u t i n g , V o l . 2 2 ( 6 ) , 1 9 9 3 . p p . 1 1 6 3 - 1 1 7 5

2 7



G L 8 4 ] O . G o l d r e i c h a n d L . A . L e v i n A H a r d - C o r e P r e d i c a t e f o r A l l O n e - W a y F u n c t i o n s P r o -

c e e d i n g s o f t h e 2 1 s t A C M S y m p o s i u m o n T h e o r y o f C o m p u t i n g , 1 9 8 9 , p p . 2 5 - 3 2

G M 8 2 ] G o l d w a s s e r , S . a n d M i c a l i , S . , P r o b a b i l i s t i c E n c r y p t i o n . J o u r n a l o f C o m p u t e r a n d S y s t e m

S c i e n c e s , V o l . 2 8 , 1 9 8 4 , p p . 2 7 0 - 2 9 9 .

G M R 8 5 ] S . G o l d w a s s e r , S . M i c a l i a n d R . L . R i v e s t . A D i g i t a l S i g n a t u r e S c h e m e S e c u r e A g a i n s t

A d a p t i v e C h o s e n M e s s a g e A t t a c k . S I A M J o u r n a l o n C o m p u t i n g , V o l . 1 7 , n o . 2 , 1 9 8 8 ,

p p . 2 8 1 - 3 0 8 . S e e c o m m e n t r e g a r d i n g e c i e n c y i n G 8 6 ] .

I N 8 9 ] R . I m p a g l i a z z o a n d M . N a o r . E c i e n t c r y p t o g r a p h i c s c h e m e s p r o v a b l y a s s e c u r e a s s u b s e t

s u m . I n 3 0 t h A n n u a l S y m p o s i u m o n F o u n d a t i o n s o f C o m p u t e r S c i e n c e , I E E E . 1 9 8 9 . p p .

2 3 6 - 2 4 1

I R 8 8 ] S . R u d i c h a n d R . I m p a g l i a z z o , L i m i t s o n t h e P r o v a b l e c o n s e q u e n c e s o f O n e - W a y P e r m u t a -

t i o n s . i n P r o c e e d i n g s o f C R Y P T O ' 8 8 , S . G o l d w a s s e r , e d i t o r . L e c t u r e N o t e s i n C o m p u t e r

S c i e n c e , v o l u m e 4 0 3 , S p r i n g e r - V e r l a g , 1 9 8 8 . p p . 8 - 2 6

K a ] R . K a n n a n . U n p u b l i s h e d m a n u s c r i p t .

L i 9 5 ] T h e L i D I A p r o j e c t s o f t w a r e - p a c k a g e a n d u s e r - m a n u a l . A v a i l a b l e f r o m

f t p : / / c r y p t 1 . c s . u n i - s b . d e / p u b / s y s t e m s / L i D I A

L L L ] A . K . L e n s t r a , H . W . L e n s t r a , L . L o v a s z . F a c t o r i n g p o l y n o m i a l s w i t h r a t i o n a l c o e c i e n t s .

M a t h e m a t i s c h e A n n a l e n 2 6 1 , 5 1 5 - 5 3 4 ( 1 9 8 2 ) .

M c 7 9 ] R . J . M c E l i e c e , A P u b l i c - K e y C r y p t o s y s t e m B a s e d o n A l g e b r a i c C o d i n g T h e o r y . D S N

P r o g r e s s R e p o r t 4 2 - 4 4 , J e t P r o p u l s i o n L a b o r a t o r y

N Y 8 9 ] M . N a o r , a n d M . Y u n g , U n i v e r s a l O n e - W a y H a s h F u n c t i o n s a n d t h e i r C r y p t o g r a p h i c

A p p l i c a t i o n s . i n P r o c . 2 1 s t A C M S y m p . o n T h e o r y o f C o m p u t i n g , 1 9 8 9 , p p . 3 3 - 4 3

R a 7 9 ] M . O . R a b i n , D i g i t a l S i g n a t u r e s a n d P u b l i c - K e y F u n c t i o n s a s I n t r a c t a b l e a s F a c t o r i z a t i o n .

T e c h n i c a l R e p o r t M I T / L C S / T R - 2 1 2 , M . I . T . , 1 9 7 8 .

R o 9 0 ] J . R o m p e l . O n e - w a y f u n c t i o n s a r e n e c e s s a r y a n d s u c i e n t f o r s e c u r e s i g n a t u r e s . I n

P r o c e e d i n g s o f t h e T w e n t y S e c o n d A n n u a l A C M S y m p o s i u m o n T h e o r y o f C o m p u t i n g ,

1 9 9 0 , p p . 3 8 7 - 3 9 4 .

R S A ] R . L . R i v e s t , A . S h a m i r a n d L . A d l e m a n . A M e t h o d f o r O b t a i n i n g D i g i t a l S i g n a t u r e s a n d

P u b l i c - K e y C r y p t o s y s t e m s . C o m m u n i c a t i o n s o f t h e A C M , V o l . 2 1 , 1 9 7 8 , p p . 1 2 0 - 1 2 6 .

S c 8 7 ] C . P . S c h n o r r . A h i e r a r c h y o f p o l y n o m i a l t i m e l a t t i c e b a s i s r e d u c t i o n a l g o r i t h m s . i n

T h e o r e t i c a l C o m p u t e r S c i e n c e , v o l . 5 3 , 1 9 8 7 , p p . 2 0 1 - 2 2 4

S c 9 5 ] C . P . S c h n o r r a n d H . H . H o r n e r , A t t a c k i n g t h e C h o r - R i v e s t C r y p t o s y s t e m b y I m p r o v e d

L a t t i c e R e d u c t i o n . i n P r o c e e d i n g s o f E U R O C R Y P T ' 9 5 , L o u i s C . G u i l l o u a n d J e a n -

J a c q u e s Q u i s q u a t e r , e d i t o r s . L e c t u r e N o t e s i n C o m p u t e r S c i e n c e , v o l u m e 9 2 1 , S p r i n g e r -

V e r l a g , 1 9 9 5 . p p . 1 - 1 2

W i 8 4 ] H . C . W i l l i a m s , S o m e P u b l i c K e y C r y p t o - F u n c t i o n s a s I n t r a c t a b l e a s F a c t o r i z a t i o n . i n

P r o c e e d i n g s o f C R Y P T O 8 4 , G . R . B l a k l e y a n d D . C . C h a u m , e d i t o r s . L e c t u r e N o t e s i n

C o m p u t e r S c i e n c e , v o l u m e 1 9 6 , S p r i n g e r - V e r l a g , 1 9 8 5 . P a g e s 6 6 - 7 0 .

2 8



Y a 8 2 ] A . C . Y a o . T h e o r y a n d A p p l i c a t i o n s o f T r a p d o o r F u n c t i o n s . i n P r o c e e d i n g s o f t h e 2 3 r d

I E E E S y m p o s i u m o n F o u n d a t i o n s o f C o m p u t e r S c i e n c e , 1 9 8 2 , p p . 8 0 - 9 1 .

public key cryptosystems from lattice reduction problems - goldreich, goldwasser and halevi

Documents