Security โข Most of the schemes do not use exactly random maps. Many systems have the structure โข ๐(๐ฆ 1 , โฏ , ๐ฆ ๐ ) = ๐ 1 โ ๐บ โ ๐ 2 (๐ฆ 1 , โฏ , ๐ฆ ๐ ) ๐บ is a quadratic map with certain structure. (central map) โข This structure enables computing ๐บ โ1 easily. โข Slide 37
Security โข Most of the schemes do not use exactly random maps. Many systems have the structure โข ๐(๐ฆ 1 , โฏ , ๐ฆ ๐ ) = ๐ 1 โ ๐บ โ ๐ 2 (๐ฆ 1 , โฏ , ๐ฆ ๐ ) ๐บ is a quadratic map with certain structure. (central map) โข This structure enables computing ๐บ โ1 easily. โข ๐ 1 and ๐ 2 are full-rank linear maps used to hide ๐บ . โข Slide 38
Security โข MQ-Problem : Given a set of ๐ quadratic polynomials in ๐ variables x = (๐ฆ 1 , โฏ , ๐ฆ ๐ ) , solve the system: ๐ 1 ๐ฆ = โฏ = ๐ ๐ ๐ฆ = 0 Slide 39
Security โข MQ-Problem : Given a set of ๐ quadratic polynomials in ๐ variables x = (๐ฆ 1 , โฏ , ๐ฆ ๐ ) , solve the system: ๐ 1 ๐ฆ = โฏ = ๐ ๐ ๐ฆ = 0 1 , ๐บ 2 : ๐ฟ ๐ โถ ๐ฟ ๐ . IP-Problem : Given two polynomial maps ๐บ โข The problem is to look for two linear transformations ๐ 1 and ๐ 2 (if they exist) s.t.: 1 (๐ฆ 1 , โฏ , ๐ฆ ๐ ) = ๐ 1 โ ๐บ โ ๐ 2 (๐ฆ 1 , โฏ , ๐ฆ ๐ ) ๐บ Slide 40
Multivariate Quadratic Construction MQ system with ๐ equations in ๐ vars, all coefs. in ๐พ ๐ : โข Polynomial notation: ๐ ๐ฆ ๐ ๐ฆ ๐ ๐ ๐ฆ ๐ + ๐ (๐) ๐ ๐ ๐ฆ 1 , โฆ , ๐ฆ ๐ โ ๐ + ๐ ๐ ๐๐ ๐,๐ ๐ Vector notation: ๐ ๐ ๐ฆ 1 , โฆ , ๐ฆ ๐ = ๐ฆ๐ ๐ ๐ฆ ๐ + ๐ (๐) ๐ฆ + ๐ (๐) Slide 41
(Pure) Quadratic Map ๐ฌ ๐ฆ = โ โ ๐ฆ ๐ (๐) ๐ฆ ๐ = โ ๐ (๐ = 1, โฆ , ๐) ๐ฆ ๐ โ ๐ ๐ฆ ๐ (๐) = Slide 42
Matsumoto-Imai Cryptosystem Previously, many unsuccesfull attempts to construct an โข encryption scheme. Small number of variables. โข Huge key sizes. โข In 1988, Matsumoto and Imai adopted a โBigโ Field in their โข C* construction. Slide 43
Matsumoto-Imai Cryptosystem ๐ is a small finite field with ๐ = ๐ . โข Slide 44
Matsumoto-Imai Cryptosystem ๐ is a small finite field with ๐ = ๐ . โข = ๐ ๐ฆ /(๐(๐ฆ)) a degree ๐ extension of ๐ . ๐ฟ โข Slide 45
Matsumoto-Imai Cryptosystem ๐ is a small finite field with ๐ = ๐ . โข = ๐ ๐ฆ /(๐(๐ฆ)) a degree ๐ extension of ๐ . ๐ฟ โข โ ๐ ๐ and ๐ โ1 : ๐ ๐ โ ๐ฟ . The linear map ๐: ๐ฟ โข ๐ ๐ 0 + ๐ 1 ๐ฆ + โฏ + ๐ ๐โ1 ๐ฆ ๐โ1 = (๐ 0 , ๐ 1 , โฏ , ๐ ๐โ1 ) Slide 46
Matsumoto-Imai Cryptosystem ๐ is a small finite field with ๐ = ๐ . โข = ๐ ๐ฆ /(๐(๐ฆ)) a degree ๐ extension of ๐ . ๐ฟ โข โ ๐ ๐ and ๐ โ1 : ๐ ๐ โ ๐ฟ . The linear map ๐: ๐ฟ โข ๐ ๐ 0 + ๐ 1 ๐ฆ + โฏ + ๐ ๐โ1 ๐ฆ ๐โ1 = (๐ 0 , ๐ 1 , โฏ , ๐ ๐โ1 ) over ๐ฟ : Build a map ๐บ โข = ๐ 1 โ ๐ โ ๐บ โ ๐ โ1 โ ๐ 2 ๐บ where the ๐ ๐ are randomly chosen invertible maps over ๐ ๐ Slide 47
Matsumoto-Imai Cryptosystem ๐ is a small finite field with ๐ = ๐ . โข = ๐ ๐ฆ /(๐(๐ฆ)) a degree ๐ extension of ๐ . ๐ฟ โข โ ๐ ๐ and ๐ โ1 : ๐ ๐ โ ๐ฟ . The linear map ๐: ๐ฟ โข ๐ ๐ 0 + ๐ 1 ๐ฆ + โฏ + ๐ ๐โ1 ๐ฆ ๐โ1 = (๐ 0 , ๐ 1 , โฏ , ๐ ๐โ1 ) over ๐ฟ : Build a map ๐บ โข = ๐ 1 โ ๐ โ ๐บ โ ๐ โ1 โ ๐ 2 ๐บ where the ๐ ๐ are randomly chosen invertible maps over ๐ ๐ is related to the IP Problem Inversion of ๐บ โข Slide 48
Matsumoto-Imai Cryptosystem The map ๐บ adopted was: โข โถ ๐ฟ ๐บ โถ ๐ฟ ๐ โผ ๐ ๐ ๐ +1 Slide 49
Matsumoto-Imai Cryptosystem The map ๐บ adopted was: โข โถ ๐ฟ ๐บ โถ ๐ฟ ๐ โผ ๐ ๐ ๐ +1 โข Let ๐ฆ 1 , โฏ , ๐ฆ ๐ = ๐ โ ๐บ โ ๐ โ1 ๐ฆ 1 , โฏ , ๐ฆ ๐ = (๐บ ๐ฆ 1 , โฏ , ๐ฆ ๐ , โฏ , ๐บ ๐ (๐ฆ 1 , โฏ , ๐ฆ ๐ )) ๐บ 1 Slide 50
Matsumoto-Imai Cryptosystem The map ๐บ adopted was: โข โถ ๐ฟ ๐บ โถ ๐ฟ ๐ โผ ๐ ๐ ๐ +1 โข Let ๐ฆ 1 , โฏ , ๐ฆ ๐ = ๐ โ ๐บ โ ๐ โ1 ๐ฆ 1 , โฏ , ๐ฆ ๐ = (๐บ ๐ฆ 1 , โฏ , ๐ฆ ๐ , โฏ , ๐บ ๐ (๐ฆ 1 , โฏ , ๐ฆ ๐ )) ๐บ 1 are quadratic polynomials because the map โข ๐บ ๐ ๐ โผ ๐ ๐ ๐ is linear (it is the Frobenius automorphism of order ๐ ). Slide 51
Matsumoto-Imai Cryptosystem Encryption is done by the quadratic map over ๐ ๐ โข = ๐ 1 โ ๐ โ ๐บ โ ๐ โ1 โ ๐ 2 ๐บ where ๐ ๐ are affine maps over ๐ ๐ . Slide 52
Matsumoto-Imai Cryptosystem Encryption is done by the quadratic map over ๐ ๐ โข = ๐ 1 โ ๐ โ ๐บ โ ๐ โ1 โ ๐ 2 ๐บ where ๐ ๐ are affine maps over ๐ ๐ . โข Decryption is the inverse process โ1 = ๐ 2 โ1 โ ๐ โ ๐บ โ1 โ ๐ โ1 โ ๐ 1 โ1 ๐บ Slide 53
Matsumoto-Imai Cryptosystem Requirement: G.C.D. ๐ ๐ + 1, ๐ ๐ โ 1 = 1 โข โ1 to ensure the invertibility of the decryption map ๐บ Slide 54
Matsumoto-Imai Cryptosystem Requirement: G.C.D. ๐ ๐ + 1, ๐ ๐ โ 1 = 1 โข โ1 to ensure the invertibility of the decryption map ๐บ โข ๐บ โ1 ๐ = ๐ ๐ข , ๐ โ ๐ฟ where ๐ข ร ๐ ๐ + 1 โก 1 ๐๐๐(๐ ๐ โ 1) . = (๐บ , โฏ , ๐บ ) โข The public key includes ๐ and ๐บ 1 ๐ . โข The private key includes ๐ 1 , ๐ 2 and ๐ฟ Slide 55
UOV Signature Trapdoor to invert ๐บ [Patarin] โข Slide 56
UOV Signature Trapdoor to invert ๐บ [Patarin] โข โ = ๐ผ๐๐กโ(๐) โข Slide 57
UOV Signature Trapdoor to invert ๐บ [Patarin] โข โ = ๐ผ๐๐กโ(๐) โข Split vars. into 2 sets: oil variables : O โ (๐ฆ 1 , โฏ , ๐ฆ ๐ ) โข vinegar variables: ๐ โ (๐ฆ 1 โฒ , โฆ , ๐ฆ ๐ค โฒ ) Slide 58
UOV Signature Trapdoor to invert ๐บ [Patarin] โข โ = ๐ผ๐๐กโ(๐) โข Split vars. into 2 sets: oil variables : O โ (๐ฆ 1 , โฏ , ๐ฆ ๐ ) โข vinegar variables: ๐ โ (๐ฆ 1 โฒ , โฆ , ๐ฆ ๐ค โฒ ) โฒ , โฆ , ๐ฆ ๐ค โฒ = โ ๐ = ๐ ๐ ๐ฆ 1 , โฏ , x ๐ , ๐ฆ 1 ๐ ๐ฆ ๐ ๐ฆโฒ ๐ ๐ ๐ฆโฒ ๐ ๐ฆโฒ ๐ ๐ ๐ฆ ๐ ๐ ๐ฆโฒ ๐ + ๐ (๐) = ๐บ ๐๐ + ๐บ ๐๐ + ๐ ๐ + ๐ ๐ ๐ร๐ ๐ร๐ ๐ ๐ Slide 59
UOV Signature Trapdoor to invert ๐บ [Patarin] โข โ = ๐ผ๐๐กโ(๐) โข Choose uniformly at random vinegars: ๐ โ (๐ฆ 1 โฒ , โฆ , ๐ฆ ๐ค โฒ ) โข โฒ , โฆ , ๐ฆ ๐ค โฒ = โ ๐ = ๐ ๐ ๐ฆ 1 , โฏ , x ๐ , ๐ฆ 1 ๐ ๐ฆ ๐ ๐ฆโฒ ๐ ๐ ๐ฆโฒ ๐ ๐ฆโฒ ๐ ๐ ๐ฆ ๐ ๐ ๐ฆโฒ ๐ + ๐ (๐) = ๐บ ๐๐ + ๐บ ๐๐ + ๐ ๐ + ๐ ๐ ๐ร๐ ๐ร๐ ๐ ๐ Slide 60
UOV Signature Trapdoor to invert ๐บ [Patarin] โข โ = ๐ผ๐๐กโ(๐) โข โฒ Fix vinegars: ๐ โ ๐ฆ 1 โฒ , โฆ , ๐ฆ ๐ค โข โฒ , โฆ , ๐ฆ ๐ค โฒ = โ ๐ ๐ ๐ ๐ฆ 1 , โฏ , x ๐ , ๐ฆ 1 ๐ ๐ฆ ๐ ๐ฆโฒ ๐ ๐ ๐ฆโฒ ๐ ๐ฆโฒ ๐ ๐ ๐ฆ ๐ ๐ ๐ฆโฒ ๐ + ๐ (๐) = ๐บ ๐๐ + ๐บ ๐๐ + ๐ ๐ + ๐ ๐ ๐ร๐ ๐ร๐ ๐ ๐ This becomes an ๐๐ฆ๐ system of linear equations. โข Slide 61
UOV Signature Trapdoor to invert ๐บ [Patarin] โข โ = ๐ผ๐๐กโ(๐) โข โฒ Fix vinegars: ๐ โ ๐ฆ 1 โฒ , โฆ , ๐ฆ ๐ค โข โฒ , โฆ , ๐ฆ ๐ค โฒ = ๐ ๐ ๐ฆ 1 , โฏ , x ๐ , ๐ฆ 1 ๐ ๐ฆ ๐ ๐ฆโฒ ๐ ๐ ๐ฆโฒ ๐ ๐ฆโฒ ๐ ๐ ๐ฆ ๐ ๐ ๐ฆโฒ ๐ + ๐ (๐) = ๐บ ๐๐ + ๐บ ๐๐ + ๐ ๐ + ๐ ๐ ๐ร๐ ๐ร๐ ๐ ๐ This becomes an ๐๐ฆ๐ system of linear equations. โข It has a solution with high probability (โ 1 โ 1/๐) . โข Slide 62
UOV Signature Trapdoor to invert ๐บ [Patarin] โข Oil variables not mixed. โข Vinegar Oil variables variables ๐ ๐ โฆ ๐ ๐ โฆ ๐ ๐ ๐ ๐ ๐บ (๐) = โฎ Vinegar variables ๐ ๐ 0 โฎ Oil variables ๐ ๐ Slide 63
Rainbow Signature Rainbow Quadratic Map โข Slide 64
MQ Signatures UOV key sizes. โข Public Key Scheme (KiB) 113.4 99.4 77.7 66.7 14.5 11.0 10.2 Slide 65
โข Technique for Key Size Reduction Slide 66
MQ Signatures - Cyclic UOV Technique for reduction of UOV public keys. โข Slide 67
MQ Signatures - Cyclic UOV Technique for reduction of UOV public keys. โข Part of the public key with short representation. โข Slide 68
MQ Signatures - Cyclic UOV Technique for reduction of UOV public keys. โข Part of the public key with short representation. โข Achieves a 6x reduction factor for 80-bit security. โข Slide 69
MQ Signatures - Cyclic UOV Public matrix of coefficients ๐ ๐ ๐ (1) ๐ ๐ = โฎ ๐ (2) โฎ ๐๐ฆ l โฒ ๐ (๐) l โฒ = ๐ ๐ + 1 2 Slide 70
MQ Signatures - Cyclic UOV Public matrix of coefficients ๐ ๐ ๐ท ๐ถ = ๐ ๐ = โฎ ๐๐ฆ l โฒ ๐๐ฆ l โฒ l l l = ๐ค ๐ค + 1 l โฒ = ๐ ๐ + 1 + ๐๐ค, 2 2 Slide 71
MQ Signatures - Cyclic UOV Private matrix of coefficients ๐ ๐บ ๐บ 1 0 0 ๐ ๐บ = โฎ ๐บ 2 0 โฎ 0 ๐๐ฆ l โฒ l ๐บ ๐ 0 l = ๐ค ๐ค + 1 l โฒ = ๐ ๐ + 1 + ๐๐ค, 2 2 Slide 72
MQ Signatures - Cyclic UOV Private matrix of coefficients ๐ ๐บ 0 ๐บ = ๐ ๐บ = 0 โฎ 0 ๐๐ฆ l โฒ ๐๐ฆ l โฒ l l l = ๐ค ๐ค + 1 l โฒ = ๐ ๐ + 1 + ๐๐ค, 2 2 Slide 73
MQ Signatures - Cyclic UOV There is a linear relation between ๐ถ and ๐บ which only depends โข on ๐ถ , ๐บ and ๐ [Petzoldt et. al, 2010] ๐ถ = ๐บ โ ๐ต ๐๐๐ (S) ๐ถ ๐ท ๐ ๐ = ๐ ๐ก = ๐ก ๐ ๐ . ๐ก ๐ก๐ , ๐ = ๐ ๐ ๐๐ ๐ โ ๐ ๐ก ๐ ๐ . ๐ก ๐ก๐ + ๐ก ๐ ๐ . ๐ก ๐ก๐ , ๐๐ฆ l โฒ l 1 โค ๐ โค ๐ค, ๐ โค ๐ โค ๐ 1 โค ๐ โค ๐ค, ๐ โค ๐ก โค ๐ ๐บ ๐ ๐บ = 0 ๐๐ฆ l โฒ l Slide 74
MQ Signatures - Cyclic UOV By choosing ๐ต ๐๐๐ (๐) invertible: โ1 โข ๐บ can be computed from ๐ถ and ๐ต ๐๐๐ โ1 ๐บ = ๐ถ โ ๐ต ๐๐๐ Slide 75
MQ Signatures - Cyclic UOV By choosing ๐ต ๐๐๐ (๐) invertible: โ1 โข ๐บ can be computed from ๐ถ and ๐ต ๐๐๐ โ1 ๐บ = ๐ถ โ ๐ต ๐๐๐ Thus, the choice of ๐ถ becomes flexible. โข Slide 76
MQ Signatures - Cyclic UOV By choosing ๐ต ๐๐๐ (๐) invertible: โ1 โข ๐บ can be computed from ๐ถ and ๐ต ๐๐๐ โ1 ๐บ = ๐ถ โ ๐ต ๐๐๐ Thus, the choice of ๐ถ becomes flexible. โข In particular: โข ๐ถ = 0 does not result in a valid F , โ1 , ๐ถ = Identity blocks, reveals too much info of ๐ต ๐๐๐ ๐ถ circulant was adopted by [Petzoldt et. al, 2010] Slide 77
MQ Signatures - Cyclic UOV By choosing ๐ต ๐๐๐ (๐) invertible: โ1 โข ๐บ can be computed from ๐ถ and ๐ต ๐๐๐ โ1 ๐บ = ๐ถ โ ๐ต ๐๐๐ Thus, the choice of ๐ถ becomes flexible. โข In particular: โข ๐ถ = 0 does not result in a valid F , โ1 , ๐ถ = Identity blocks, reveals too much info of ๐ต ๐๐๐ ๐ถ circulant was adopted by [Petzoldt et. al, 2010] Petzoldt et. al. showed by theorem that the choice of a circulant ๐ถ provides consistent UOV signatures. Slide 78
MQ Signatures - Cyclic UOV Adopting ๐ถ circulant: ๐ถ ๐ท ๐ ๐ = โฎ ๐๐ฆ l โฒ l ๐๐ฆ l โฒ l โฏ ๐ = (๐ 1 , โฏ , ๐ l ) |๐ต ๐ธ | = l + ๐( l โฒ โ l ) Slide 79
MQ Signatures - Cyclic UOV Public matrices ๐ ๐ ๐ 1 Slide 80
MQ Signatures - Cyclic UOV Public matrices ๐ ๐ ๐ 2 Slide 81
MQ Signatures - Cyclic UOV Public matrices ๐ ๐ ๐ 3 Slide 82
MQ Signatures - Cyclic UOV Public matrices ๐ ๐ ๐ 4 Slide 83
MQ Signatures - Cyclic UOV Public matrices ๐ ๐ โฏ Slide 84
Equivalent Keys in UOV Idea: Find equivalent private keys that enables solving any โข given public key system. Slide 85
Equivalent Keys in UOV Idea: Find equivalent private keys that enables solving any โข given public key system. A class of equivalent private keys with a simpler structure. โข Slide 86
Equivalent Keys in UOV Idea: Find equivalent private keys that enables solving any โข given public key system. A class of equivalent private keys with a simpler structure. โข Thus, private keys can be built using this short structure. โข Slide 87
Equivalent Keys in UOV UOV public key: โข ๐ (๐) = ๐๐บ (๐) ๐ ๐ , 1 โค ๐ โค ๐ Slide 88
Equivalent Keys in UOV UOV public key: โข ๐ (๐) = ๐๐บ (๐) ๐ ๐ , 1 โค ๐ โค ๐ Question: Are there classes of keys ๐ โฒ and ๐บโฒ s.t. โข ๐ (๐) = ๐๐บ (๐) ๐ ๐ = ๐ โฒ ๐บ โฒ(๐) ๐ โฒ๐ , 1 โค ๐ โค ๐ where matrices ๐บ โฒ(๐) share with ๐บ (๐) the same trapdoor structure? Slide 89
Equivalent Keys in UOV Idea: Introduce a matrix ฮฉ in ๐ (๐) : โข ๐ ๐ = ๐ฮฉ โ1 ฮฉ๐บ ๐ ฮฉ ๐ ฮฉ ๐โ1 ๐ ๐ Define ๐บ โฒ ๐ โ ฮฉ๐บ (๐) ฮฉ ๐ โข Slide 90
Equivalent Keys in UOV Idea: Introduce a matrix ฮฉ in ๐ (๐) : โข ๐ ๐ = ๐ฮฉ โ1 ฮฉ๐บ ๐ ฮฉ ๐ ฮฉ ๐โ1 ๐ ๐ Define ๐บ โฒ ๐ โ ฮฉ๐บ (๐) ฮฉ ๐ โข We want ฮฉ that keeps the original ๐บ structure in ๐บโฒ : โข ๐ค ๐ ๐ค ๐ ๐ค ๐ ๐ค ฮฉ 1 ฮฉ 2 ๐ค ๐บ ๐ค ๐บ 2 ๐ 1 ๐ ฮฉ 1 ฮฉ 3 = ฮฉ 4 ๐ ฮฉ 3 0 ๐ ๐บ 3 ฮฉ 2 ๐ ๐ ฮฉ 4 ๐ ๐ ๐บ (๐) ฮฉ ฮฉ T ๐บโฒ (๐) Slide 91
Equivalent Keys in UOV From the previous equality we obtain: โข ๐ + ฮฉ 3 ๐บ 2 ฮฉ 4 ๐ = 0 ๐ = ฮฉ 3 ๐บ 1 + ฮฉ 4 ๐บ 3 ฮฉ 3 and ฮฉ 3 = 0 is a solution. ๐ค ๐ ๐ค ฮฉ 1 ฮฉ 2 ฮฉ = ๐ ฮฉ 4 0 Slide 92
Equivalent Keys in UOV Thus, ๐บโฒ (๐) = ฮฉ๐บ (๐) ฮฉ ๐ has the same structure of ๐บ ๐ . โข Going back to definition โข ๐ ๐ = ๐ฮฉ โ1 (ฮฉ๐บ ๐ ฮฉ ๐ )ฮฉ ๐โ1 ๐ ๐ Slide 93
Equivalent Keys in UOV Thus, ๐บโฒ (๐) = ฮฉ๐บ (๐) ฮฉ ๐ has the same structure of ๐บ ๐ . โข Going back to definition โข ๐ ๐ = ๐ฮฉ โ1 (๐บโฒ (๐) )ฮฉ ๐โ1 ๐ ๐ Slide 94
Equivalent Keys in UOV Thus, ๐บโฒ (๐) = ฮฉ๐บ (๐) ฮฉ ๐ has the same structure of ๐บ ๐ . โข Going back to definition โข ๐ ๐ = ๐ฮฉ โ1 (๐บโฒ (๐) )ฮฉ ๐โ1 ๐ ๐ So, defining ๐ โฒ โ ๐ฮฉ โ1 one finally gets: โข ๐ ๐ = ๐ โฒ ๐บ โฒ(๐) ๐ โฒ๐ Slide 95
Equivalent Keys in UOV ๐ค ๐ โ1 ฮฉ 2 โ1 โ1 ๐ค ฮฉ 1 โ1 ฮฉ 1 ฮฉ 2 ๐ 1 ๐ 2 ๐ โฒ = ๐ฮฉ โ1 = โ1 ๐ 3 ฮฉ 4 โ1 ๐ 4 ๐ 0 ฮฉ 4 ฮฉ โ1 ๐ Note that ฮฉ โ1 has the same structure of ฮฉ . โข Slide 96
Equivalent Keys in UOV โ1 , it is possible to get: By choosing suitable values of ฮฉ ๐ โข โฒ = ๐ฝ ๐ค๐ฆ๐ค ๐ 1 โฒ = 0 ๐ค๐ฆ๐ ๐ 2 โฒ = ๐ฝ ๐๐ฆ๐ ๐ 4 what implies โฒ = ๐ 3 ๐ 1 โ1 + ๐ 4 (๐ 4 โ ๐ 3 ๐ 1 โ1 ๐ 2 ๐ 1 โ1 ๐ 2 ) โ1 ๐ 3 Slide 97
Equivalent Keys in UOV Structure of ๐โฒ : โข ๐ ๐ค ๐ ๐ โฒ = โฒ ๐ 3 ๐ค Slide 98
Equivalent Keys in UOV Structure of ๐โฒ : โข ๐ ๐ค ๐ ๐ โฒ = โฒ ๐ 3 ๐ค So, the answer is yes , there exist equivalent ๐ โฒ , ๐บ โฒ(๐) s.t. โข ๐ฮฉ โ1 ๐ = ๐ ๐ ๐ โฒ ๐บ โฒ(๐) (๐ โฒ ) ๐ = (๐ฮฉ โ1 ) ฮฉ๐บ ๐ ฮฉ ๐ and ๐บ โฒ(๐) have the desired trapdoor structure. Slide 99
Recap. MQ Schemes Slide 100
Recommend
More recommend