Pasta:HHE Optimized Stream Cipher

news2024/11/16 13:05:37

参考文献:

  1. [Dae95] Daemen J .Cipher and hash function design strategies based on linear and differential cryptanalysis[J].Doctoral Dissertation K.u.leuven, 1995.
  2. [GPP11] Guo J, Peyrin T, Poschmann A. The PHOTON family of lightweight hash functions[C]//Advances in Cryptology–CRYPTO 2011: 31st Annual Cryptology Conference, Santa Barbara, CA, USA, August 14-18, 2011. Proceedings 31. Springer Berlin Heidelberg, 2011: 222-239.
  3. [DGH+23] Dobraunig C, Grassi L, Helminger L, et al. Pasta: A Case for Hybrid Homomorphic Encryption[J]. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2023, 2023(3): 30-73.

文章目录

[DGH+23] 给出了 HHE 的形式化定义,设计了一个通用的 HHE 测试框架,并评估了目前已有的 HHE 方案的执行效率。他们发现即使是很小的用例(use case)它们也都是不实用的。然后它们提出了 Pasta 方案,专门对 Leveled FHE 支持的 F p t \mathbb F_p^t Fpt 明文空间做了优化。对于 Leveled FHE,优化准则是最小化 SE 的乘法深度;对于 Pure FHE,优化准则应该修改为最小化 SE 的乘法数量。[DGH+23] 很早就在 eprint 上可用了,后续有多种 HHE 使用了 Pasta 的构造模块,例如 Rubato

HHE Benchmarking Framework

[DGH+23] 选择了如下的基准测试用例(Benchmarking a Generic Use Case),以反映真实世界中的 HHE 效率

  1. 三个仿射变换 x i ′ = M i ⋅ x i + b i x_i' = M_i \cdot x_i + b_i xi=Mixi+bi,其中 x i , x i ′ , b i ∈ F p 200 x_i,x_i',b_i \in \mathbb F_p^{200} xi,xi,biFp200 以及 M i ∈ F p 200 × 200 M_i \in \mathbb F_p^{200 \times 200} MiFp200×200,素数 p p p 的规模是 60 60 60 比特
  2. 给定某个(加密的)向量 x 0 x_0 x0,依次执行三个仿射变换,在它们之间插入了两个平方函数
  3. 这被视为是三层神经网络,使用的平方激活函数

[DGH+23] 使用 SEAL(明文空间 F p \mathbb F_p Fp)测试了:BFV 本身,对 F p \mathbb F_p Fp 优化的 Pasta,对 F 2 \mathbb F_2 F2 优化的 Agrasta,AES 加密,以及 LWE-Native 加密。基准测试的结果如下,

在这里插入图片描述

可以观察到:HE 需要大量的随机性,并且通信开销很大。LWE 对随机性的需要以及通信开销都大幅降低了,但依旧不算好。使用 Z 2 \mathbb Z_2 Z2 上的 SE 方案,由于 FHE 支持的明文空间是 Z p \mathbb Z_p Zp,布尔电路在这上面的深度很大,导致 Server 无法同态解密。[DGH+23] 所设计的 Pasta over F p \mathbb F_p Fp 做到了 Client 和 Server 之间的很好平衡。三种 HHE 在客户端的表现相似,但是在服务器上的差异巨大,主要就是因为 SE 是否设计在了 F p \mathbb F_p Fp 算术运算上,而非布尔电路。

考虑通信带宽的影响,Client 的时间开销为:

在这里插入图片描述

Inefficiency of Z 2 \mathbb Z_2 Z2 Ciphers

[DGH+23] 还展示了布尔电路上设计的 SE 应用到 HHE 时的低效。在这里,他们使用了很小的用例 r = M ⋅ x + b r=M \cdot x+b r=Mx+b,其中 r , x , b ∈ Z 65536 5 r,x,b \in \mathbb Z_{65536}^5 r,x,bZ655365 以及 M ∈ Z 65536 5 × 5 M \in \mathbb Z_{65536}^{5 \times 5} MZ655365×5,去执行完整的 HHE 计算流程。可以发现即使是这么小的用例,这些 SE 的效率也会非常的低。

[DGH+23] 测试了如下的 Ciphers(它们的设计细节请看原文),

在这里插入图片描述

在 SEAL 下的测试结果为:

在这里插入图片描述

他们把 SE 的解密称之为 decompressing the HHE ciphertext。在小用例的计算中,由于 SEAL 不支持 Z 2 \mathbb Z_2 Z2 上的打包,因此他们将单个 bit 加密在单个 BFV 密文的 coeff 常数项(好傻啊)

Efficient Cipher for HHE over F p \mathbb F_p Fp

在 Pasta 之前,已经存在了一些针对 F p \mathbb F_p Fp 而设计的 SE 方案,其中 2 12 < p < 2 60 2^{12}<p<2^{60} 212<p<260 是 SEAL 所支持的可打包的素数范围。

  • Masta:它是把 Rasta 简单地从 Z 2 \mathbb Z_2 Z2 扩展到了 F p \mathbb F_p Fp 上,使用了 randomized linear layers 策略
  • Hera:它被用于 RtF Framework,使用了 randomized key schedule 策略

SEAL 不支持自举,因此计算代价的度量应该首选为乘法深度,当然 ct-ct 甚至 pt-ct 乘法的数量也不可忽视。[DGH+23] 也遵循 Rasta 的设计,将它扩展到 F p \mathbb F_p Fp 上。为了降低乘法深度,采取的措施有:最小化轮数,低次数的 S-box(代价是更大的状态,但设计 packing-friendly cipher),平衡乘法深度和运算时间。

S-Box

[DGH+23] 考虑了多种 S-boxes 的计算代价和限制,

χ \chi χ-S-box:原始的 Rasta 使用了 [Dae95] 的 χ \chi χ-transformation over Z 2 t \mathbb Z_2^t Z2t 作为非线性层,但是它在一般的 F p t \mathbb F_p^t Fpt 中不再是一个置换。不过 Rasta 使用了随机化的线性层(已经抵御了统计攻击),因此它的非线性层只需要求逆的次数很高即可(抵御代数攻击)。定义
[ χ ( x ) ] i = x i + x i + 2 ⋅ ( 1 + x i + 1 ) ( m o d p ) [\chi(x)]_i = x_i+x_{i+2}\cdot(1+x_{i+1}) \pmod{p} [χ(x)]i=xi+xi+2(1+xi+1)(modp)
其中的 indices 都是 ( m o d t ) \pmod{t} (modt) 循环的。在 BFV 的打包技术下,上述运算只需要使用 2 次旋转和 1 次乘法(如果 t ≠ N t \neq N t=N,还需要使用 masking vectors 模拟)。

Cube S-box:假如 gcd ⁡ ( p − 1 , 3 ) = 1 \gcd(p-1,3)=1 gcd(p1,3)=1,那么存在 3 − 1 ∈ F p ∗ 3^{-1} \in \mathbb F_p^* 31Fp,从而 x 3 x^3 x3 是双射。定义:
[ S ( x ) ] i = x i 3 [S(x)]_i = x_i^3 [S(x)]i=xi3
在打包技术下,它只需两次阿达玛乘法,不需要 Rotate 运算。

Feistel-Like S-Box(via a Quadratic Function):定义一个使用 x 2 x^2 x2 函数的 Feistel 网络,
[ S ′ ( x ) ] i = { x i , i = 0 x i + x i − 1 2 , otherwise [S'(x)]_i = \left\{\begin{aligned} x_i, && i=0\\ x_i + x_{i-1}^2, && \text{otherwise} \end{aligned}\right. [S(x)]i={xi,xi+xi12,i=0otherwise
使用 [ 0 , 1 , 1 , ⋯   ] [0,1,1,\cdots] [0,1,1,] 作为 masking vector,容易实现它的 SIMD 运算。

Alternative Feistel-Like S-Box(via the χ \chi χ-Function):定义一个使用 χ \chi χ 函数的 Feistel 网络,
[ S ′ ′ ( x ) ] i = { x i , i ∈ { 0 , 1 } x i + x i − 1 ⋅ x i − 2 otherwise [S''(x)]_i = \left\{\begin{aligned} x_i, && i \in \{0,1\}\\ x_i + x_{i-1}\cdot x_{i-2} && \text{otherwise} \end{aligned}\right. [S′′(x)]i={xi,xi+xi1xi2i{0,1}otherwise
使用 [ 0 , 0 , 1 , 1 , ⋯   ] [0,0,1,1,\cdots] [0,0,1,1,] 作为 masking vector,也容易实现它的 SIMD 运算。

上述四种 S-boxes 的计算开销为:

在这里插入图片描述

综合考虑乘法深度以及 KS 的开销,最终 Pasta 选取 Feistel 作为 main S-box。但同时也使用了 Cube 作为补充,去提升 Cipher 的次数(从而抵御线性分析,降低状态规模)。

Linear Layer

[DGH+23] 使用的是随机化线性层的策略,但是 F p \mathbb F_p Fp 上的矩阵可逆性的检查是昂贵的(在明文下生成随机矩阵,而非在同态下)。[DGH+23] 采用了 [GPP11] 提出的 sequential matrix 生成方式,直接随机生成一个必然可逆的矩阵。对于 d d d 阶矩阵,随机采样 α 1 , ⋯   , α d ∈ F p \ { 0 } \alpha_1,\cdots, \alpha_d \in \mathbb F_p\backslash\{0\} α1,,αdFp\{0},首先构造
A = S e r i a l ( α 1 , ⋯   , α d ) : = [ 0 1 0 ⋯ 0 0 0 1 ⋯ 0 ⋮ ⋱ ⋮ 0 0 0 ⋯ 1 α 1 α 2 α 3 ⋯ α d ] ∈ F p d × d A = Serial(\alpha_1,\cdots,\alpha_d) := \begin{bmatrix} 0 & 1 & 0 & \cdots & 0\\ 0 & 0 & 1 & \cdots & 0\\ \vdots & & & \ddots & \vdots\\ 0 & 0 & 0 & \cdots & 1\\ \alpha_1 & \alpha_2 & \alpha_3 & \cdots & \alpha_d \end{bmatrix} \in \mathbb F_p^{d \times d} A=Serial(α1,,αd):= 000α1100α2010α3001αd Fpd×d
然后计算 M = A d M = A^d M=Ad 作为随机的可逆矩阵。由于 A A A 是具有特殊结构的稀疏矩阵,计算 M M M 只需要 d ( d − 1 ) d(d-1) d(d1) 次乘法以及 ( d − 1 ) 2 (d-1)^2 (d1)2 次加法(怎么快速计算的?)。

如果采用的分圆环维度 N N N 是二的幂次,那么 Z 2 N ∗ = { 1 , 3 , ⋯   , 2 N − 1 } = ⟨ − 1 , 3 ⟩ \mathbb Z_{2N}^* = \{1,3,\cdots,2N-1\} = \langle-1,3\rangle Z2N={1,3,,2N1}=1,3,其中 o r d ( − 1 ) = 2 , o r d ( 3 ) = N / 2 ord(-1)=2, ord(3)=N/2 ord(1)=2,ord(3)=N/2,因此明文槽组成了形状是 F p 2 × N / 2 \mathbb F_p^{2 \times N/2} Fp2×N/2 的立方。为了使得 babystep-giantstep optimized diagonal method 中使用的旋转操作的开销更小,[DGH+23] 使用了 Rotate1D 而非 Rotate,并行地执行两个 t ∣ ( N / 2 ) t \mid (N/2) t(N/2) 阶线性变换,然后再组合它们。

确切地,假设 x = [ x L , x R ] ∈ F p 2 t x = [x_L,x_R] \in \mathbb F_p^{2t} x=[xL,xR]Fp2t,那么仿射层的运算如下:
[ 2 I I I 2 I ] ⋅ ( [ M L O O M R ] ⋅ [ x L x R ] + [ c L c R ] ) \begin{bmatrix} 2I & I\\ I & 2I \end{bmatrix} \cdot \left( \begin{bmatrix} M_L & O\\ O & M_R \end{bmatrix} \cdot \begin{bmatrix} x_L\\ x_R \end{bmatrix} + \begin{bmatrix} c_L\\ c_R \end{bmatrix} \right) [2III2I]([MLOOMR][xLxR]+[cLcR])
这里的 M L , M R M_L, M_R ML,MR 都是 t t t 阶矩阵, O O O I I I 分别是零矩阵和单位阵。首先使用自同构 τ 3 i \tau_{3^i} τ3i 执行两个并行的 BSGS 矩阵乘法,然后再使用自同构 τ − 1 \tau_{-1} τ1 实现这两个仿射变换的结果混合

Pasta

现在我们描述 Pasta 方案。选择 t = t 1 ⋅ t 2 t=t_1 \cdot t_2 t=t1t2 是两个大小接近的整数的乘积,选择满足 gcd ⁡ ( p − 1 , 3 ) = 1 \gcd(p-1,3)=1 gcd(p1,3)=1 的一个 NTT 友好的大素数。它同时使用了 Feistel 和 Cube 两种 S-boxes,

在这里插入图片描述

对于第 i i i 个消息分组,使用 XOF 来产生随机化的仿射层(在明文下),对主密钥 K K K(在密文下)执行 AES-like 轮函数迭代(状态大小为 2 t 2t 2t),最后截断长度为 t t t 的密钥流,加到消息分组上。

在这里插入图片描述

经过不同攻击的分析,[DGH+23] 给出了推荐的参数集。用例为 Z 65536 5 × 5 \mathbb Z_{65536}^{5 \times 5} Z655365×5 上仿射变换,Pasta 的计算效率:

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1620154.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【笔试】03

FLOPS FLOPS 是 Floating Point Operations Per Second 的缩写&#xff0c;意为每秒浮点运算次数。它是衡量计算机性能的指标&#xff0c;特别是用于衡量计算机每秒能够执行多少浮点运算。在高性能计算领域&#xff0c;FLOPS 被广泛用来评估超级计算机、CPU、GPU 和其他处理器…

日志分析简单总结

1、分析日志的目的 误报&#xff1a;不是攻击而上报成攻击 漏报&#xff1a;是攻击而没有防御的情况 日志分析可以判断是否误判或者漏判&#xff0c;可以溯源攻击行为 在护网作为防守方必备的技能&#xff08;分析NGAF和态势感知&#xff0c;发现异常&#xff09; 2、攻击出现…

芯科科技大大简化面向无电池物联网的能量采集产品的开发

芯科科技推出其迄今最高能量效率且支持能量采集功能的无线SoC 中国&#xff0c;北京 – 2024年4月22日 – 致力于以安全、智能无线连接技术&#xff0c;建立更互联世界的全球领导厂商Silicon Labs&#xff08;亦称“芯科科技”&#xff0c;NASDAQ&#xff1a;SLAB&#xff09;…

一个联合均值与方差模型的R包——dglm

目录 一、引言二、包的安装与载入三、模拟例子3.1 数据生成3.2 数据查看3.3 模型估计参数 一、引言 在 R 语言中&#xff0c;dglm 包是用于拟合双参数广义线性模型&#xff08;Double Generalized Linear Models&#xff0c;简称 DGLMs&#xff09;的一个工具。这类模型允许同…

fakak详解(2)

Kafka和Flume整合 Kafka与flume整合流程 Kafka整合flume流程图 flume主要是做日志数据(离线或实时)地采集。 图-21 数据处理 图-21显示的是flume采集完毕数据之后&#xff0c;进行的离线处理和实时处理两条业务线&#xff0c;现在再来学习flume和kafka的整合处理。 配置fl…

centos7使用源码安装方式redis

安装编译源码的工具gcc yum install -y gcc下载源码 源码下载地址 https://download.redis.io/releases/ 注意事项 不建议安装最新版本redis&#xff0c;所以我这里选择6.2.6版本 下载 wget https://download.redis.io/releases/redis-6.2.6.tar.gz解压 tar -zxvf redis-…

基于表面法线法的二维人脸图构建三维人脸模型matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 5.算法完整程序工程 1.算法运行效果图预览 2.算法运行软件版本 matlab2022a 3.部分核心程序 ............................................................................for j 1 : …

Python基础进阶语法

目录&#xff1a; 一、基础语法二、进阶语法 一、基础语法 二、进阶语法 1、列表推导式运用 解析&#xff1a;先循环1到10内的数字&#xff0c;然后过滤大于5的数&#xff0c;赋值到new_list数组中进行打印结果。

数字信号处理操作教程_音频解码:3-8 G711A音频解码实验

一、实验目的 学习G711音频的格式和G711A音频解码的原理&#xff0c;并实现将BIT格式解码为PCM格式。 二、实验原理 G711 G711是国际电信联盟订定出来的一套语音压缩标准&#xff0c;主要用于电话。它主要用脉冲编码调制对音频采样&#xff0c;采样率为8k每秒。它利用一个 …

VUE2版本的仿微信通讯录侧滑列表

<template><!-- Vue模板部分 --><div><div v-for"(group, index) in groupedArray" :key"index" ref"indexcatch"><h2>{{ letter[index] }}</h2><ul><li v-for"item in group" :key&quo…

什么因素可以影响到代理IP稳定性?爬虫代理IP有哪些作用?

一、什么因素可以影响到代理IP稳定性 代理IP的稳定性受到多种因素的影响&#xff0c;以下是一些主要的因素&#xff1a; 代理IP的质量&#xff1a;不同的代理IP提供商提供的代理IP质量参差不齐&#xff0c;一些低质量的代理IP可能经常出现连接问题或速度慢的情况&#xff0c;…

Day:动态规划 LeedCode 123.买卖股票的最佳时机III 188.买卖股票的最佳时机IV

123. 买卖股票的最佳时机 III 给定一个数组&#xff0c;它的第 i 个元素是一支给定的股票在第 i 天的价格。 设计一个算法来计算你所能获取的最大利润。你最多可以完成 两笔 交易。 注意&#xff1a;你不能同时参与多笔交易&#xff08;你必须在再次购买前出售掉之前的股票&a…

解码数据世界:统计学入门与应用指南

引言 统计学可以被定义为研究数据的科学&#xff0c;它涉及到数据的收集、分析、解释和呈现。其目标是从数据中提取有意义的信息&#xff0c;并使用这些信息来做出推断与决策。 统计学主要分别以下几个主要领域&#xff1a; 描述性统计&#xff1a;使用图表、图形和其他工具…

C++之入门

文章目录 1、前言2、C的关键字2.1C语言32关键字2.2C关键字(63个) 3、命名空间4、输入输出(cout、cin)4、缺省参数5、函数重载6 引用6.1 引用的定义6.2 引用的特性6.3引用的使用场景6.4 实际例子6.5、总结 7、内联函数8、auto关键字9、nullptr关键字 1、前言 C语言是结构化和模…

【声呐仿真】学习记录0-服务器配置docker、ros环境

【声呐仿真】学习记录0-服务器配置docker、ros环境 前言一、~~0.设置mobaXterm~~1.拉取镜像2.服务器开启xhost&#xff0c;可视化&#xff08;rviz、gazebo&#xff09;3.创建容器&#xff0c;挂载数据卷4.测试宿主机与容器数据是否同步5.测试5.0测试xclock5.1测试ros小乌龟5.2…

算术表达式计算程序:Python语言实现

算术表达式计算程序&#xff1a;Python语言实现 本文介绍通过Python语言实现算术表达式计算程序的过程。 我们将按照软件工程的基本步骤来介绍&#xff1a; 需求分析设计实现 程序的需求 我们的程序具有如下功能&#xff1a; 用户在提示符下输入一个算术表达式&#xff0…

碰到今日伦敦银价格走势图不懂得分析怎么办?

踏入2024年&#xff0c;伦敦银出现了比往年更多的投资机会&#xff0c;尤其是近期伦敦银价格连续上涨突破多个整数关口&#xff0c;现在已经站在28上方。碰到这么强的走势&#xff0c;投资者自然很想快点入场交易。但是交易前投资者需要分析今日伦敦银价格走势图之后再入场&…

ffmpeg支持MP3编码的方法

目录 现象 解决办法 如果有编译包没有链接上的情况 现象 解决办法 在ffmpeg安装包目录下 &#xff0c;通过./configure --list-encoders 和 ./configure --list-decoders 命令可以看到&#xff0c;ffmpeg只支持mp3解码&#xff0c;但是不支持mp3编码。 上网查寻后发现&…

idm序列号永久激活码2023免费可用 IDM软件破解版下载 最新版Internet Download Manager 网络下载加速必备神器 IDM设置中文

IDM是一款多线程下载工具&#xff0c;全称Internet Download Manager。IDM的多线程加速功能&#xff0c;能够充分利用宽带&#xff0c;所以下载速度会比较快&#xff0c;而且它支持断点续传。它的网站音视频捕获、站点抓取、静默下载等功能&#xff0c;也特别实用。 idm使用技…

SS34B-ASEMI超低Low VF肖特基SS34B

编辑&#xff1a;ll SS34B-ASEMI超低Low VF肖特基SS34B 型号&#xff1a;SS34B 品牌&#xff1a;ASEMI 封装&#xff1a;SMB 最大平均正向电流&#xff08;IF&#xff09;&#xff1a;3A 最大循环峰值反向电压&#xff08;VRRM&#xff09;&#xff1a;40V 最大正向电压…