Signature ¡Schemes ¡from ¡ La2ces ¡ Ananth ¡Raghunathan ¡ Stanford ¡University ¡ ISI ¡Kolkata, ¡Jan ¡2012 ¡
Short ¡Integer ¡Solu5ons ¡(SIS) ¡ A: ¡Z m ¡ -‑-‑> ¡(Z q ) n ¡ m ¡ v = ¡ 0 (mod ¡q) ¡ A ¡ u n ¡ The ¡ISIS ¡problem ¡(hard): ¡ Given ¡ ¡ A , ¡ u ¡find ¡ v ¡such ¡that ¡ A.v ¡= ¡u ¡ ¡and ¡| v | ¡is ¡ “small” ¡ The ¡ISIS ¡problem ¡has ¡a ¡trapdoor ¡(for ¡fixed ¡ A ): ¡[GPV ¡08] ¡ “Short” ¡solu5ons ¡ to ¡ A.x ¡= ¡0 ¡ ¡ ⇒ ¡ can ¡solve ¡ISIS ¡for ¡any ¡ u ¡ Basis ¡ of ¡laTce ¡Λ ⊥ ( A ) ¡= ¡{ ¡ v ¡ | ¡ A.v ¡= ¡0 ¡ } ¡ ¡
Spherical ¡Gaussian ¡Distribu5ons ¡ [images ¡courtesy ¡Peikert] ¡ LWE: ¡ Looks ¡ “uniform” ¡ in ¡ R n ¡ ¡ when ¡std-‑dev ¡≥ ¡shortest ¡basis ¡ Sampling ¡Theorem: ¡[GPV ¡08] ¡Given ¡basis ¡ T A ¡ of ¡laTce ¡Λ, ¡can ¡ sample ¡if ¡std-‑dev ¡≥ ¡max ¡|( T A ) i | ¡ ¡ ¡ ¡ ¡ ¡ ¡ (leaks ¡no ¡informa[on ¡about ¡ T A ) ¡
GPV ¡signatures ¡ m pp ¡= ¡H, ¡ A ¡ short ¡basis ¡ T A ¡ n of ¡Λ ⊥ ( A ) ¡ ¡ m ( m ,σ= e ) ¡ Use ¡ T A ¡ to ¡ ¡ Verify ¡given ¡( m , e ) ¡that ¡ find ¡short ¡ e : ¡ A.e ¡= ¡ H( m ) ¡(mod ¡q) ¡ A.e ¡= ¡ H( m ) ¡(mod ¡q) ¡ and ¡ e ¡ is ¡“short” ¡ How? ¡ Any ¡ z : ¡ A.z ¡= ¡ H( m ) ¡ Output ¡ z ¡+ ¡ ¡ Q: ¡What ¡does ¡this ¡ distribu[on ¡look ¡like? ¡ -‑z ¡
Security ¡ e ¡ ~ ¡ ¡ Over ¡ Z m ¡ ≈ ¡ condi[oned ¡on ¡ A.e ¡= ¡ H( m ) ¡ ¡ ¡ IMP: ¡Signatures ¡independent ¡of ¡ Alice’s ¡basis. ¡Only ¡depend ¡on ¡Λ. ¡ Simula[on ¡proof ¡in ¡Random ¡Oracle: ¡ • To ¡answer ¡adversarial ¡queries, ¡pick ¡ e ¡ from ¡discrete ¡ Theorem ¡(informal): ¡ Suppose ¡that ¡the ¡SIS ¡problem ¡is ¡ Gaussian ¡over ¡ Z m ¡ ¡ hard, ¡then ¡in ¡the ¡random ¡oracle ¡model, ¡GPV ¡signatures ¡ • Set ¡H( m ) ¡= ¡ A.e ¡(mod ¡q) ¡ are ¡existen[ally ¡unforgeable. ¡ ¡ • To ¡use ¡forgery ¡ σ* ¡ on ¡ m* ¡set ¡H( m* ) ¡to ¡ A.v ¡ for ¡some ¡ known ¡ “small” ¡v ¡ • (σ* ¡-‑ ¡v) ¡is ¡a ¡solu[on ¡to ¡SIS; ¡short ¡vector ¡in ¡Λ. ¡ ¡
La2ce ¡Delega5on ¡ ( ) ⇒ ¡ ¡ ( ) Basis ¡of ¡Λ ⊥ ¡ ¡ ¡ ¡ Basis ¡of ¡Λ ⊥ ¡ ¡ ¡ ¡ A ¡ A ¡ B ¡ X ¡ = ¡-‑ ¡ B ¡ I ¡ = ¡ 0 ⇒ ¡ ¡ A ¡ B ¡ A ¡ T A ¡ X ¡ 0 ¡ More ¡importantly: ¡ Can ¡simulate! ¡ Useful ¡result: ¡[CHKP10, ¡ABB10a] ¡ B ¡ Without ¡basis ¡ ¡ can ¡output ¡ “random ¡looking” ¡ ) ( ( ) with ¡basis ¡of ¡Λ ⊥ ¡ ¡ of ¡Λ ⊥ ¡ A ¡ A ¡ B ¡
ABB ¡signatures ¡ pp ¡= ¡H, ¡ A 0 ¡ A 1 ¡ A 2 ¡ short ¡basis ¡ T A ¡ of ¡Λ ⊥ ( A 0 ) ¡ ¡ m ( ¡ ) ¡ T A ¡ ⇒ ¡ ¡ ¡ Basis ¡of ¡Λ ⊥ ¡ ¡ ¡ ¡ A 0 ¡ F m ¡ = ¡ ¡ + ¡H(m) ¡ ¡ A 2 ¡ F m ¡ A 1 ¡ ( ¡ ) ¡ = ¡“short ¡vector” ¡ in ¡Λ ⊥ A 0 ¡ F m ¡ ¡ ¡ • Standard ¡Model ¡selec[vely-‑secure ¡signatures ¡ • Gives ¡(H)IBE ¡ • H ¡maps ¡messages ¡to ¡matrices ¡with ¡ “full ¡rank ¡difference” ¡
More ¡schemes ¡ • [CHKP10]: ¡another ¡signature ¡and ¡(H)IBE ¡ ¡ – F m ¡ is ¡concatena[on ¡of ¡matrices. ¡ – Longer ¡public ¡key. ¡ – Also ¡selec[vely ¡secure. ¡ • [Boy10]: ¡ ¡ – F m ¡ is ¡subset ¡sum ¡of ¡appropriate ¡matrices. ¡ – Fully ¡secure ¡signatures ¡and ¡IBE. ¡ • [ABB10b]: ¡signatures, ¡IBE ¡in ¡fixed ¡dimension ¡
Threshold ¡signatures ¡ pp ¡ Correctness: ¡ • Final ¡signatures ¡are ¡EUF-‑CMA ¡ secure ¡ • Usually ¡look ¡like ¡underlying ¡ signatures ¡ • Any ¡subset ¡of ¡ t ¡ players ¡can ¡ reconstruct ¡a ¡signature ¡ • Do ¡not ¡reconstruct ¡secret ¡at ¡any ¡ point ¡in ¡protocol ¡ • No ¡interac[ons ¡between ¡players ¡ Security: ¡ EUF-‑CMA ¡security ¡when ¡adversary ¡ is ¡given ¡access ¡to ¡ t-‑1 ¡ secret ¡shares ¡ m and ¡signatures ¡on ¡chosen ¡ messages ¡
Shamir ¡Secret ¡Sharing ¡ s ¡ s ¡ s 1 ¡ • (2,N) ¡secret ¡sharing ¡ s 2 ¡ • In ¡general ¡(t,N) ¡secret ¡sharing ¡ Proper[es: ¡ s N ¡ • t-‑1 ¡shares ¡leak ¡no ¡informa[on ¡ about ¡the ¡secret ¡ • Any ¡subset ¡of ¡t ¡players ¡can ¡ reconstruct ¡the ¡secret ¡ IMP: ¡ Secret ¡reconstruc[on ¡ is ¡a ¡ linear ¡func5on ¡ of ¡the ¡ secret ¡shares ¡ ¡ ¡
Threshold ¡RSA ¡signatures ¡[Fra88, ¡Sho00] ¡ pp ¡= ¡N, ¡e ¡ d ¡ d ¡ m m m m H(m) ¡ 1 H(m) ¡ d 1 ¡ Proof: ¡ 2 H(m) ¡ • Correctness: ¡Can ¡compute ¡ d 2 ¡ d ¡such ¡that ¡ ¡ 3 linear ¡func[on ¡of ¡exponents. ¡ e.d=1 ¡mod ¡φ(N) ¡ H(m) ¡ d 3 ¡ Final ¡signature ¡is ¡ iden5cal ¡ to ¡ N underlying ¡RSA ¡signatures ¡ H(m) ¡ d N ¡ • Security: ¡Simulate ¡t-‑1 ¡secret ¡ shares ¡with ¡random ¡values. ¡ Use ¡RSA ¡signing ¡oracle ¡to ¡ IMP: ¡ RSA ¡allows ¡linear ¡func[on ¡of ¡ par[al ¡sigs ¡to ¡be ¡computed; ¡final ¡ simulate ¡t th ¡ par[al ¡sig. ¡ sig ¡ iden5cal ¡ to ¡underlying ¡sig ¡ ¡
A ¡first ¡afempt ¡ A ¡ B ¡ v = ¡ u Need: ¡ Linear ¡scheme ¡ R -‑1 ¡ R ¡ Basic ¡Idea: ¡Low ¡norm ¡transference ¡matrix ¡R ¡ ¡ R ¡transfers ¡short ¡vectors ¡from ¡Λ ⊥ ( A ) ¡to ¡Λ ⊥ ( B ) ¡where ¡ B=AR -‑1 ¡ Basic ¡idea ¡behind ¡[ABB10a, ¡ABB10b, ¡MP11] ¡ ¡ Using ¡GPV ¡signatures: ¡Shamir ¡secret ¡share ¡R ¡ ¡ v ¡ signature ¡ R ¡ R ¡ R 1 ¡ R 3 ¡ v ¡ v ¡ v ¡ R N ¡ R 3 ¡ R 2 ¡ R 1 ¡ on ¡ m ¡ (pp ¡= ¡A) ¡ B.(Rv) ¡= ¡H(m) ¡ and ¡ Rv ¡ is ¡ “short” ¡ R N ¡ v ¡ Q: ¡ Is ¡this ¡secure? ¡What ¡does ¡ Rv ¡look ¡like? ¡
Skewed ¡Gaussians ¡ Recollect: ¡ In ¡proof ¡of ¡GPV ¡sigs, ¡final ¡distribu[on ¡is ¡ independent ¡ of ¡the ¡secret ¡(basis). ¡ ¡ In ¡our ¡scheme, ¡ Rv ¡is ¡ not ¡independent ¡ of ¡ R. ¡ Adversary ¡sees ¡( v, ¡Rv ) ¡for ¡ many ¡ Need ¡ Have ¡ values ¡ of ¡ v . ¡ m ¡ tuples ¡can ¡be ¡used ¡to ¡ recover ¡R ¡ Thus, ¡the ¡scheme ¡is ¡not ¡secure. ¡ + ¡ = ¡ How ¡to ¡correct: ¡ Perturb ¡with ¡ appropriately ¡skewed ¡Gaussian. ¡ Require: ¡ Convolu[on ¡lemma ¡for ¡ In ¡addi[on ¡to ¡shares ¡of ¡ R , ¡Alice ¡ discrete ¡Gaussians. ¡ gives ¡ pre-‑shared ¡randomness ¡ [CG ¡99] ¡to ¡each ¡player ¡that ¡is ¡ v ¡ + ¡ δ R i ¡ Note: ¡ S[ll ¡linear ¡ used ¡to ¡perturb ¡ R i ¡ v ¡
Open ¡Problems ¡ • Re-‑use ¡or ¡eliminate ¡pre-‑shared ¡randomness ¡ • Make ¡robust ¡without ¡rounds ¡of ¡ communica[on. ¡ ¡ – Will ¡require ¡new ¡laTce-‑based ¡NIZKs ¡to ¡prove ¡ par[al ¡signatures ¡are ¡well-‑formed ¡ • Other ¡efficient ¡threshold ¡construc[ons ¡ – Can ¡you ¡compress ¡laTce ¡trapdoors? ¡ Given ¡trapdoors ¡for ¡Λ ⊥ ( A|B ) ¡and ¡Λ ⊥ ( A|C ) ¡efficiently ¡ compute ¡trapdoor ¡for ¡Λ ⊥ ( A ). ¡ – Leads ¡to ¡other ¡applica[ons ¡(possibly). ¡
Thank ¡you! ¡ Any ¡ques5ons? ¡
Recommend
More recommend