Abstract
An important feature of the transition and post-quantum period is the application of new mathematical methods to counteract quantum cryptanalysis. The world cryptographic community pays special attention to the open competition for the post-quantum standard of electronic signature. The problem is to prove the stability of new mathematical methods for the synthesis of transformations such as electronic signature, in particular with the use of algebraic lattices. The existing algorithms of electronic signature of the 2nd stage of the NIST competition are analyzed. Among the selected candidates for the EP 2 standard, 3 of the 3 algorithms are based on algebraic lattices, CRYSTALS-DILITHIUM and FALCON. The NIST has issued a statement saying that it is most likely that one of the algorithms will be chosen due to the same mathematical basis used in both algorithms. The main attacks on electronic signature algorithms based on the problem of learning with errors, as well as the parameters of the EP Dilithium algorithm, which affect the stability and complexity of transformations, are considered. Methods for generating system-wide parameters of stability levels of 512 bits of classical and 256 bits of quantum security, as well as the protection of the algorithm againstfrom attacks by third-party channels are considered. The dependence of the time of electronic signature production on the keys is analyzed. The results of calculations for the level of stability 512/256 are given, and also recommendations on the choice of system-wide parameters are given. The results of the 2nd stage of the NIST competition of post quantum cryptographic algorithms, as well as the prospects of standardization of transformations such as electronic signature at the 3rd stage are considered. Conclusions are made about the need for a more detailed study of attacks on algorithms based on the problem of learning with errors, as well as the importance of generating system-wide parameters of higher levels.
Highlights
Сутність атаки полягає у тому, щоб побудувати таку решітку, на якій буде лежати вектор (s, e,1) і він буде найменшим унікальним вектором, тобто, вона зводиться до задачі uSVP [4]
Кожен з цих підкласів задач зводиться до задачі пошуку достатньо малого вектору на решітці, для чого використовується алгоритм BKZ та його варіації
Довжина блоку залежить тільки від значень k, l, n, q і розраховується окремо для кожної з двох задач (SIS та LWE) та двох атак на кожну з них згідно з методикою, наведеною в [2,3] Для кожної з них зазначені параметри обчислюються за формулами
Summary
Для LWE цю ймовірність можливо оцінити як m 1erf i 0. Для того щоб ймовірність вирішення BDD була близька до одиниці, потрібно зменшити bi* , тобто редукувати базис. Вирішувач знаходить достатньо малий вектор на решітці, тобто вирішує задачу SVP. Сутність атаки полягає у тому, щоб побудувати таку решітку, на якій буде лежати вектор (s, e,1) і він буде найменшим унікальним вектором, тобто, вона зводиться до задачі uSVP [4]. Для пошуку вектору можливо скористатися вирішувачем BKZ 2.0 і редукувати решітку, як наслідок b0 буде рішенням, що необхідно знайти. Для вдалої редукції оцінити фактор Ерміта можливо виразом [6]. Кожен з цих підкласів задач зводиться до задачі пошуку достатньо малого вектору на решітці, для чого використовується алгоритм BKZ та його варіації. Які можуть змінюватися, задано в табл. 2 для всіх чотирьох режимів роботи, що наводяться авторами стандарту
Sign-in/Register to view highlights & summary Sign-in/Register to access full text options 
Free) 
Talk to us
Join us for a 30 min session where you can share your feedback and ask us any queries you have
Schedule a call
