Оценки вероятности ошибочного расшифрования сообщений в шифросистеме NTRUEncrypt при фиксированном ключе

Асиметрична система шифрування NTRUEncrypt є однією з найшвидших постквантових шифросистем. На сьогодні відомо декілька версій цієї шифросистеми, проте усі вони володіють небажаною властивістю припускатися помилок розшифрування, що, поряд з незручностями для законних користувачів, приводить до  специфічних атак на шифросистему і, як наслідок, зменшує її стійкість. При традиційному підході до оцінювання ймовірності помилкового розшифрування вважається, що ця ймовірність визначається відносно випадкового вибору всіх елементів, які використовуються для формування шифротексту: відкритого тексту, ключа та так званого рандомізуючого полінома. Поряд з тим, з практичного погляду більш адекватним показником частоти виникнення помилок є набір ймовірностей, обчислених для кожного фіксованого значення секретного ключа. У даній статті отримано верхні оцінки ймовірності помилкового розшифрування повідомлень при фіксованому ключі для однієї з найпоширеніших версій шифросистеми NTRUEncrypt. Перша з двох отриманих оцінок є наближеною в тому сенсі, що при її доведенні здійснюється заміна розподілу ймовірностей суми певних незалежних випадкових величин граничним (нормальним) розподілом. Друга отримана оцінка доводиться за допомогою нерівності Гефдінга та не базується на жодних евристичних припущеннях. В цілому, отримані результати надають більш адекватну інформацію про частоту виникнення помилок при розшифруванні для розглянутої версії NTRUEncrypt та можуть бути використані в подальшому при виборі параметрів цієї шифросистеми для її оптимізації за стійкістю або практичністю.  The asymmetric encryption scheme NTRUEncrypt is one of the fastest post-quantum encryption schemes. To date, there are several versions of this encryption scheme but all of them have an unwanted feature that assumes decryption failure. Besides the inconvenience for authorized users, this feature leads to specific attacks on the encryption scheme and consequently reduces its security. The traditional approach to estimating the decryption failure probability assumes that this probability is determined by random selection of all elements used to form the encrypted message: the plain text, the key and so-called randomizing polynomial. At the same time, from a practical point of view, a more adequate indicator of the failure frequency is the set of probabilities calculated for each fixed value of the secret key. In this article, we get upper bounds for the decryption failure probability for a fixed key for one of the most extensive versions of the NTRUEncrypt encryption scheme. The first of two obtained bounds is approximate in the sense that, when it is proved, the replacement of the probability distribution of certain independent random variables sum by the limit (normal) distribution is carried out. The second obtained bound is due to Hoeffding's inequality and it is not based on any heuristic assumptions. In general, the obtained results provide more adequate information about the frequency of decryption failure for the considered version of NTRUEncrypt and can be used later in choosing the parameters of this encryption scheme to optimize it for security or practicality.Асимметричная система шифрования NTRUEncrypt является одной из самых быстрых постквантових шифрсистем. В настоящее время известно несколько версий этой шифрсистемы, однако все они обладают нежелательным свойством допускать ошибки расшифрования, что, наряду с неудобствами для законных пользователей, приводит к специфическим атакам на шифрсистему и, как следствие, уменьшает её стойкость. При традиционном подходе к оценке вероятности ошибочного расшифрования предполагается, что эта вероятность определяется относительно случайного выбора всех элементов, используемых для формирования шифртекста: открытого текста, ключа и так называемого рандомизирующего полинома. Вместе с тем, с практической точки зрения более адекватным показателем частоты появления ошибок является набор вероятностей, вычисленных для каждого фиксированного значения секретного ключа. В данной статье получены верхние оценки вероятности ошибочного расшифрования сообщений при фиксированном ключе для одной из наиболее распространённых версий шифросистемы NTRUEncrypt. Первая из двух полученных оценок является приближенной в том смысле, что при ее обосновании производится замена распределения вероятностей суммы определенных независимых случайных величин предельным (нормальным) распределением. Вторая полученная оценка доказывается с помощью неравенства Гефдинга и не базируется на каких-либо эвристических предположениях. В целом, полученные результаты дают более адекватную информацию о частоте возникновения ошибок при расшифровании для рассмотренной версии NTRUEncrypt и могут быть использованы в дальнейшем при выборе параметров этой шифрсистемы для ее оптимизации по стойкости или практичности

A Lightweight Implementation of NTRU Prime for the Post-Quantum Internet of Things

The dawning era of quantum computing has initiated various initiatives for the standardization of post-quantum cryptosystems with the goal of (eventually) replacing RSA and ECC. NTRU Prime is a variant of the classical NTRU cryptosystem that comes with a couple of tweaks to minimize the attack surface; most notably, it avoids rings with "worrisome" structure. This paper presents, to our knowledge, the first assembler-optimized implementation of Streamlined NTRU Prime for an 8-bit AVR microcontroller and shows that high-security lattice-based cryptography is feasible for small IoT devices. An encapsulation operation using parameters for 128-bit post-quantum security requires 8.2 million clock cycles when executed on an 8-bit ATmega1284 microcontroller. The decapsulation is approximately twice as costly and has an execution time of 15.6 million cycles. We achieved this performance through (i) new low-level software optimization techniques to accelerate Karatsuba-based polynomial multiplication on the 8-bit AVR platform and (ii) an efficient implementation of the coefficient modular reduction written in assembly language. The execution time of encapsulation and decapsulation is independent of secret data, which makes our software resistant against timing attacks. Finally, we assess the performance one could theoretically gain by using a so-called product-form polynomial as part of the secret key and discuss potential security implications

A Subfield Lattice Attack on Overstretched NTRU Assumptions:Cryptanalysis of Some FHE and Graded Encoding Schemes

International audienc

Enhancement of Nth degree truncated polynomial ring for improving decryption failure

Nth Degree Truncated Polynomial (NTRU) is a public key cryptosystem constructed in a polynomial ring with integer coefficients that is based on three main key integer parameters N; p and q. However, decryption failure of validly created ciphertexts may occur, at which point the encrypted message is discarded and the sender re-encrypts the messages using different parameters. This may leak information about the private key of the recipient thereby making it vulnerable to attacks. Due to this, the study focused on reduction or elimination of decryption failure through several solutions. The study began with an experimental evaluation of NTRU parameters and existing selection criteria by uniform quartile random sampling without replacement in order to identify the most influential parameter(s) for decryption failure, and thus developed a predictive parameter selection model with the aid of machine learning. Subsequently, an improved NTRU modular inverse algorithm was developed following an exploratory evaluation of alternative modular inverse algorithms in terms of probability of invertibility, speed of inversion and computational complexity. Finally, several alternative algebraic ring structures were evaluated in terms of simplification of multiplication, modular inversion, one-way function properties and security analysis for NTRU variant formulation. The study showed that the private key f and large prime q were the most influential parameters in decryption failure. Firstly, an extended parameter selection criteria specifying that the private polynomial f should be selected such that f(1) = 1, number of 1 coefficients should be one more or one less than -1 coefficients, which doubles the range of invertible polynomials thereby doubling the presented key space. Furthermore, selecting q 2:5754 f(1)+83:9038 gave an appropriate size q with the least size required for successful message decryption, resulting in a 33.05% reduction of the public key size. Secondly, an improved modular inverse algorithm was developed using the least squares method of finding a generalized inverse applying homomorphism of ring R and an (N x N) circulant matrix with integer coefficients. This ensured inversion for selected polynomial f except for binary polynomial having all 1 coefficients. This resulted in an increase of 48% to 51% whereby the number of invertible polynomials enlarged the key space and consequently improved security. Finally, an NTRU variant based on the ring of integers, Integer TRUncated ring (ITRU) was developed to address the invertiblity problem of key generation which causes decryption failure. Based on this analysis, inversion is guaranteed, and less pre-computation is required. Besides, a lower key generation computational complexity of O(N2) compared to O(N2(log2p+log2q)) for NTRU as well as a public key size that is 38% to 53% smaller, and a message expansion factor that is 2 to15 times larger than that of NTRU enhanced message security were obtained

Порівняльний аналіз алгоритмів шифрування NTRUEncrypt та NTRUCipher

The asymmetric encryption scheme NTRUEncrypt proposed in 1996 and is one of the fastest post-quantum encryption schemes. It is included in the ANSI X9.98-2010 standard and is the prototype of cryptosystems’ wide class with the same name, which security is based on the difficulty of finding short vectors in some lattices. The cryptographic properties of NTRUEncrypt encryption scheme are sufficiently explored and its latest modifications are presented at the current NIST competition to standardize post-quantum asymmetric encryption, key encapsulation and digital signature.One of the most important problem in the field of cryptology is the design of symmetric encryption schemes, whose security, similarly to the asymmetric one, is based on the complexity of solving only one particular problem (for example, for RSA this is the problem of factorization of numbers). Due to this, in 2017 the symmetric encryption scheme NTRUCipher based on NTRUEncrypt was proposed. For it, a preliminary security analysis was performed and a parameter selection algorithm was proposed. At the same time, there are essential errors in the proof of CPA-se­curity of the encryption algorithm NTRUCipher. Moreover, the problem of comparative analysis of NTRUCipher and NTRUEncrypt encryption schemes is not solved for security and practicality.The purpose of this article is to conduct a comparative analysis of the abovementioned encryption schemes and to prove correctly the conditions that ensure the CPA-security of the NTRUCipher encryption scheme. A certain result is analytical bounds of decryption failure probability in NTRUCipher encryption scheme. This result is important for the proper parameters’ choice of the encryption scheme in its practical implementation. It is shown that the decryption failure probability in the NTRUCipher varies from  to  while the value of this probability for the NTRUEncrypt encryption scheme varies from  to . In addition, the obtained bounds are not based on any heuristic assumptions.Асиметрична система шифрування NTRUEncrypt запропонована в 1996 р. та є однією з найшвидших постквантових шифросистем. Вона включена до стандарту ANSI X9.98-2010 та є прототипом широкого класу криптосистем з однойменною назвою, стійкість яких базується на складності знаходження коротких векторів в деяких решітках. Криптографічні властивості шифросистеми NTRUEncrypt достатньо повно досліджені, а її останні модифікації представлено на поточному конкурсі NIST із стандартизації постквантових асиметричних алгоритмів шифрування, інкапсуляції ключів та цифрового підпису. Однією з актуальних задач у галузі криптології є створення симетричних шифросистем, стійкість яких, аналогічно асиметричним, базується на складності розв’язанні лише однієї конкретної задачі (наприклад, для RSA це — задача факторизації чисел). У зв’язку з цим в 2017 р. на базі NTRUEncrypt запропонована симетрична шифросистема NTRUCipher, для якої проведено попередній аналіз стійкості та запропоновано алгоритм вибору параметрів. Поряд з тим, у доведенні CPA-стійкості алгоритму шифрування NTRUCipher містяться суттєві помилки; до того ж залишається не вирішеною задача порівняльного аналізу шифросистем NTRUCipher та NTRUEncrypt за стійкістю та практичністю.Мета цієї роботи — проведення порівняльного аналізу зазначених шифросистем, а також коректне обґрунтування умов, що забезпечують CPA-стійкість шифросистеми NTRUCipher. Окремим результатом є аналітичні оцінки ймовірності помилкового розшифрування повідомлень для NTRUCipher, що є важливим для належного вибору параметрів шифросистеми при її практичному застосуванні. Показано, що значення ймовірності помилкового розшифрування повідомлень у шифросистемі NTRUCipher змінюється в межах від  до  водночас як значення цієї ймовірності для шифросистеми NTRU­Encrypt змінюється в межах від  до . Крім того, отримані оцінки не базуються на жодних евристичних припущення