Réduction de réseau et cryptologie.

Size: px

Start display at page:

Download "Réduction de réseau et cryptologie."

Loren Young
5 years ago
Views:

1 Réduction de réseau et cryptologie Séminaire CCA Nicolas Gama Ensicaen 8 janvier 2010 Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

2 Outline 1 Example of lattice problems and lattice-based cryptosystems 2 Lattice reduction and LLL algorithm 3 Application to fundamental problems of arithmetic Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

3 Lattice problems Why using lattice-based crypto Simple description, look almost linear Very Dicult to solve (NP-Hard, Worst case to average case red) No quantum algorithm known Cryptanalysis Many problems can be eciently reduced to lattices problems Lattice attacks: RSA, Knapsacks Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

4 NTRU Cryptosystem Created in 1998 Allow both encryption and digital signature Since 10 years of active research, the underlying problem has not (yet) been broken Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

5 NTRU Problem toy parameters - demo 3D q = 11 N = 7 dr = 2 lowest sec parameters (1998) q = 64 N = 167 dr = 20 keys public: H = 8 + 8X + X 2 + 9X 3 + X 4 + 6X 5 mod (X 7 1) mod 11 private: f small such that f H = g is small Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

6 NTRU Problem toy parameters - demo 3D q = 11 N = 7 dr = 2 lowest sec parameters (1998) q = 64 N = 167 dr = 20 keys public: H = 8 + 8X + X 2 + 9X 3 + X 4 + 6X 5 mod (X 7 1) mod 11 private: f small such that f H = g is small f = 1 + X 2 + X 6 X 4 X 5 mod (X 7 1) mod 11 g = 1 + X 4 + X 5 mod (X 7 1) mod 11 Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

7 NTRU Problem toy parameters - demo 3D q = 11 N = 7 dr = 2 lowest sec parameters (2009) q = 1024 N = 400 dr = 43 keys public: H = 8 + 8X + X 2 + 9X 3 + X 4 + 6X 5 mod (X 7 1) mod 11 private: f small such that f H = g is small f = 1 + X 2 + X 6 X 4 X 5 mod (X 7 1) mod 11 g = 1 + X 4 + X 5 mod (X 7 1) mod 11 Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

8 Lattice representation - public Public basis: q q q 0 0 h 0 h 1 h N h N h 0 h N h 1 h N h Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

9 Lattice representation - public Public basis:??? f 0 f 1 f N q q q 0 0 h 0 h 1 h N h N h 0 h N h 1 h N h Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

10 Lattice representation - private Private basis: g 0 g 1 g N f 0 f 1 f N???????????????????????????????????????????????????????? Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

11 Lattice representation - private Private basis: g 0 g 1 g N f 0 f 1 f N g N g 0 g N 1 f N f 0 f N 1 g 1 g N g 0 f 1 f N f 0???????????????????????????????? Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

12 Lattice representation - private Private basis: g 0 g 1 g N f 0 f 1 f N g N g 0 g N 1 f N f 0 f N 1 g 1 g N g 0 f 1 f N f 0 G 0 G 1 G N F 0 F 1 F N G N G 0 G N 1 F N F 0 F N 1 G 1 G N G 0 F 1 F N F 0 Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

13 Is the NTRU problem hard? Question of the century Is the NTRU problem truely hard Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

14 NP-Hardness Subset Sum Problem given a rectangular matrix n m, nd two subsets of columns whose sum are equal (in Z or mod q) Find a vector in its kernel with coecients in { 1, 0, 1} Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

15 NP-Hardness Subset Sum Problem given a rectangular matrix n m, nd two subsets of columns whose sum are equal (in Z or mod q) Find a vector in its kernel with coecients in { 1, 0, 1} Hardness results NP-Hard (even with one row, xor small integers) Hard in average Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

16 Matrix representation (Row) Basis B = q q 0 0 h 1,1 h 1,n h 2,1 h 2,n h m,1 h m,n Search v = [ 1, 0, 1, 1, 0,, 1, 0] L(B)? Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

17 Lattice problems Part 1 Hard lattice problems Theory of Lattice reduction Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

18 Lattice 0 Denitions Lattice Basis Dimension Volume (vol(l)) Minima (λ i (L)) Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

19 SVP/CVP SVP: Given a lattice basis B, nd the shortest non-zero vector of L(B) CVP: Given a lattice basis B M n,m (Z) and a target vector v R m, nd the lattice vector of L(B) closest to v v 0 0 Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

20 SVP/CVP SVP: Given a lattice basis B, nd the shortest non-zero vector of L(B) CVP: Given a lattice basis B M n,m (Z) and a target vector v R m, nd the lattice vector of L(B) closest to v v 0 0 Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

21 Approximation problems Hardness of exact problems Some problems cannot be solved exactly (SVP? CVP?) Approximations Problems Approx-SVP nd v L shorter than α λ 1 (L) Hermite-SVP nd v L shorter than α vol(l) 1/n Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

22 Some complexity results Exact 1/ log log(n) n n Approx of SVP anything when n < n n log(n) exp(o(n/ log(n))) Worst-case Avg case N P co-n P N P Hard P Practical Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

23 Solving SVP: Mathematics Minkowski's theorem and Hermite's constant Lattice invariants Any lattice can be viewed as a sphere packing (diameter λ 1 (L)) Each sphere is smaller than the lattice volume (vol(l)) Minkowski's theorem λ 1 (L) 2 Γ( n/2+1) 1/n π vol(l) 1/n Hermite Constant: γn 2 Γ( n/2+1) 1/n π Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

24 Solving SVP: exhaustive search Principle: enumerate every lattice vector whose norm is γ n n det(b) return the shortest of them Why does it work: The intersection of a compact set and a lattice is nite let d i = distance(b i, vect(b\b i )) > 0 Then n j=1 u j b j ui d i Finite number of choices for each u i Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

25 Exhaustive search algorithm Require: A basis B = [b 1,, b n ] Ensure: A shortest vector v of L(B) 1: v b 1 2: for u n = u min n to u max n do 3: for u n 1 = u min n 1 4: [] 5: for u 1 = u min to umax n 1 do 6: 1 to u max 1 do v shortest(v, n j=1 u jb j ) 7: end for 8: [] 9: end for 10: end for 11: return v n nested for loops hope that the number of candidates is 0 or 1 2 exponential Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

26 Lattice basis reduction Goal Method shortest vectors possible most orthogonal elementary operations swap: B i B i+1 transvections: B i B i + αb j where j < i Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

27 Lagrange's algorithm (1773, dim=2) b 2 (Sw) b 1 Output Hermite factor ( b1 vol(l) 1/2 ) 2 4/3 b 1 b 2 b 1 (Tr) b 1 b 2 b 2 Mathematic analogue γ 2 4/3 Connection lattice reduction algorithm bound on Hermite Constant ( )? Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

28 Lagrange's algorithm (1773, dim=2) b 2 Output Hermite factor ( b1 vol(l) 1/2 ) 2 4/3 Mathematic analogue b 1 γ 2 4/3 Connection lattice reduction algorithm bound on Hermite Constant ( )? Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

29 Higher dimension Orthogonalization Triangular isometric representation Gram Schmidt b 2 b 1 = b 1 b 3 b 2 b 3 Givens, HouseHolder QR (LQ) decomposition B b 1 0 0? b 2?? 0 Q??? b n Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

30 Reduction criterion: slope of the GSL 1e+06 pas reduit B b 1 0 0? b 2?? 0??? b n e-06 1e-08 1e Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

31 Reduction criterion: slope of the GSL B b 1 0 0? b 2?? 0??? b n 1e e-06 pas reduit LLL reduit Ultra reduit 1e-08 1e Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

32 LLL: a divide and conquer algorithm B [1,2] Divide the basis (and conquer) n 1 blocks of dim 2 B [2,3] B [3,4] Quality improve locally each 2 dim-blocks The global basis will be reduced B triang B [n 1,n] Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

33 LLL: a divide and conquer algorithm Complexity 1 Potential: n 1 i=1 vol(b [1,i]) 2 N 2 Can only decrease 3 Allow a factor 1 + ε of imperfection B [1,2] B [2,3] B [3,4] Decreases geometrically! (LLL82) B triang B [n 1,n] Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

34 Quality of LLL Algorithmic meets mathematics Hermite inequality γ n γ n 1 2 Maths Hermite s Inequality 1847 Hermite factor ( b1 vol(l) 1/n ) 2 (γ2 (1 + ε)) n 1 Algo LLL 1982 Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

35 Quality of LLL Algorithmic meets mathematics Hermite inequality γ n γ n 1 2 Maths Hermite s Inequality 1847 Hermite factor ( b1 vol(l) 1/n ) 2 (γ2 (1 + ε)) n 1 Algo LLL 1982 Tight Worst case bases: echelon bases Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

36 Practical quality Theory: The Quality factors of LLL are exponential in the dimension ex: HF = γ 2 n n LLL reduit Worst case LLL 001 Practice They are indeed exponential But much smaller: HF 1022 n 1e Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

37 Practical quality Theory: The Quality factors of LLL are exponential in the dimension ex: HF = γ 2 n n Practice 1 They are indeed exponential But much smaller: HF 1022 n 025 Hermite Factor LLL bound dimension Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

38 Towards a practical SVP oracle Theory: LLL solves SVP in dim 2 only Practice: in average, LLL solves SVP up to dim 30 with 30% success success rate 100 LLL dimension Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

39 Consequences of LLL the exhaustive search algorithm LLL time: seconds Reducing the basis helps the exhaustive search algorithm blocksize Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

40 Consequences of LLL the exhaustive search algorithm time: seconds LLL BKZ 20 BKZ 25 DEEP 40 Reducing the basis helps the exhaustive search algorithm Exhaustive search algorithm helps reducing the basis blocksize Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

41 Oracle based algorithms SVP Oracle dim=k Polynomial Quality Reduction Algorithm Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

42 Possible bloc extensions of LLL the mathematics point of view Maths Hermite s Inequality Mordell s inequality Algo LLL 1982 Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

43 Possible bloc extensions of LLL the mathematics point of view Hermite's inequality: Mordell's inequality: γ n γ n 1 2 γ n γ (n 1)/(k 1) k Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

44 Blockwise reduction Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

45 Blockwise reduction Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

46 Blockwise reduction Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

47 Blockwise reduction Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

48 Blockwise reduction Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

49 Primal HKZ reduction Goal: HKZ reduction is not regular GSL looks concave beginning more reduced than the end dierences of geometry between blocks Make the reduction uniform (GSL) log( b i ) 1 k 2k Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

50 Reverse Duality (GSL) log( b i ) Duality B (BB t ) t B GSO T??? 1 k 2k Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

51 Reverse Duality (GSL) log( b i ) Duality R n = B R n (BB t ) t B GSO T R n T t R n 1 k 2k Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

52 Reverse Duality (GSL) log( b i ) Duality R n = B R n (BB t ) t B GSO T R n T t R n 1 k 2k Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

53 Reverse Duality (GSL) log( b i ) Duality R n = B R n (BB t ) t B GSO T R n T t R n 1 k 2k Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

54 Blockwise reduction Building Blocks 1 size-reduction 2 l-svp-reduction, 2 l k 3 l-dsvp-reduction, 2 l k Z LLL reduction Z HKZ reduction Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

55 Example: BKZ-2 B [1,2] B [2,3] Example: BKZ-2 i [1; n 1], B [i,i+1] is 2-reduced B [3,4] B triang B [n 1,n] Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

56 Example: BKZ-k Example: BKZ-k i [2; k], B [n i+1,n] is i-dsvp-reduced i [k; n k], B [i,i+k 1] is k-dsvp-reduced BKZ Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

57 Example: dual-bkz-k Example: dual-bkz-k i [2; k 1], B [1,i] is i-dsvp-reduced i [k; n], B [i k+1,i] is k-dsvp-reduced dual BKZ Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

58 Example: Slide-k Example: slide-k p [0; n/k 1] i [2; k], B [pk+1,pk+i] is i-svp-reduced p [0; n/k 2], B [pk+2,pk+k+1] is k-dsvp-reduced Slide Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

59 Lattice reduction: summary Approximations of SVP ( n): seems very dicult (NP-hard?) only exponential algorithms known Θ( n): estimated security level of NTRU > n: at most NP co NP GSO/GSL slope is enough γ (n 1)/(k 1) k : Achieved by k-blockwize algorithms (Slide) underexp if k log(n) reasonable time if k n : Achieveable in practice (LLL) 101 n : Achieveable in practice (Blockwise algos) Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

60 Part 2 part 2 Application of lattice reduction to arithmetic problems Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

61 Application of lattice reduction to arithmetic problems Solving modular polynomials: Small integer roots of univariate polynomials modulo N (Coppersmith, 1997) Small integer roots of univariate polynomials modulo a divisor of N (Boneh Durfee, 1999) Small integer roots of multivariate polynomials modulo a divisor of N (May, 2008) Small rational roots of polynomials modulo a divisor of N (now) Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

62 Idea Problem: Find u v = c mod q with N = p qr with u U and v V log(q) and log(p) are known Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

63 Method Let P (X, Y ) = X cy Z[X, Y ] P (u, v) = u cv Z = 0 mod q Consider the polynomials: Q k = N t k max(0, r ) P (X, Y ) k Y m k for k = 0m Properties: k [0, m], Q k (u, v) = 0 mod q t R Q 0 Z + Q 1 Z + Q 2 Z + + Q m Z R(u, v) = 0 mod q t Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

64 Lattice Mapping Basis of expression in R m+1 : Mapping B = ( Y m XY m 1 V,, m X2 Y m 2,, Xm UV m 1 U 2 V m 2 U ) m Polynomial R(X, Y ) = m k=0 α kx k Y m k vector v R = (α 0 U 0 V m, α 1 U 1 V m 1,, α m U m V 0 ) Norm: u U, v V, R(u, v) v R 2 m Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

65 The Lattice Group: Q 0 Z + Q 1 Z + Q 2 Z + + Q m Z Basis: 2 N max(0, r t ) V m l m N max(0, t 1 ) r UV m l m N max(0, t 2 ) r UV m N max(0, Volume: vol(l) N t2 2r (UV ) m2 2 Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

66 Epilogue Find S(X, Y ) such that v s is small S(u,v) q t Optimizations: m ApproxF (N t 2 2rm q t )(UV ) m 2 choose m large enough choose t = mr log(q) log(n) Resolution constraint: ( ) 2 S(u,v) m q t We know: S(u, v) = 0 mod q t Then: S(u, v)=0 in Z < (1 + ε) AF 2 log qr m (q log N ) (UV ) <? 1 Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

67 Example: factorize pq r Original Boneh Durfee: q = ??????????? 2 r ) log(n) write q = c + x with x < q log(q Solve the equation c + X = 0 mod q (for each guess of c) requires: r = O(log(p)) Randomized-integer Boneh-Durfee: Pick a random c mod N Try to solve q = c + x with x < q log(q r ) log(n) polynomial probabilistic complexity when r = O(log(p)/log(log(N))) Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

68 Example: factorize pq r Randomized-integer Boneh-Durfee: Pick a random c mod N Try to solve q = c + x with x < q log(q r ) log(n) polynomial probabilistic complexity when r = O(log(p)/log(log(N))) Randomized-rational Boneh-Durfee: Pick a random c mod N Try to solve q = c + u log(q v with uv < q log(n) polynomial probabilistic complexity when r = O(log(p)/log(log(N))) r ) Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

69 Example: Nice Cryptosystem Cryptanalyses: CaLa09, CJLJN09, N = pq 2 where p is a Schinzel sleeper One can compute in polynomial time: a quadratic form f(x, y) = ax 2 + bxy + cy 2 of discriminant b 2 4ac = N such that (u, v) Z 2 with uv N 1/6, f(u, v) = q 2 note: f(x, y) = a(x + b 2a y)2 N 4a = a(x + b 2a y)2 mod q 2 f(u, v) = 0 mod q 2 u v + b 2a = 0 mod q Attack rational Boneh-Durfee: uv <? q log(q 2 ) log(n) = N 2 9 OK, with m = 9, t = 6, even with LLL! Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

70 Example: NTRU The NTRU problem: H = 0 mod q (take N = q and r = 1) g f 1 ) log(n) rational Boneh-Durfee: fg < q log(q f, g, H are no integers! absolute value/ euclidean norm? lattice mapping and reduction? = q if we nd P (f, g) = 0, can we nd f, g? Do the current parameters pass the bounds? Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

71 absolute-value, euclidean norm representation: a circulant block p 0 p 1 p N p Z[X]/(X N p N p 0 p N 1 1) [p] = p 1 p N p 0 operations: +,,, / abs: we want f k = f k = take the spectral radius: max f(exp( 2ikπ n )) eucl norm: take the euclidean norm of the eigenvalues (equivalently the euclidean norm of the coecients) Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

72 Lattice mapping and reduction Build a block-circulant lattice: [ ] [q] 0 m = 2 [H] [1] (public basis) Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

73 Lattice mapping and reduction Build a block-circulant lattice: m = 3 [q 2 ] 0 0 [qh] [q] 0 [ H 2 ] [ 2H] [1] Warning Huge dimension! Cannot nd the SVP, only approximations! Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

74 P (f, g) = 0 = f, g? Recover f, g from P (f, g) = 0 1 one can approximate g(η)/f(η) with signicant digits 2 from there, one can retrieve the secret sub-lattice 3 This seems to be enough to break NTRU Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

75 example (3X 3 + 1) f 2 + (2X 4 3X + 1) fg + ( 3X X 32+7 ) g 2 = 0 mod (X 53 1) Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

76 example (3X 3 + 1) f 2 + (2X 4 3X + 1) fg + ( 3X X 32+7 ) g 2 = 0 mod (X 53 1) (3η 3 + 1) + (2η 4 3η + 1) (g/f)(η) + ( 3η η 32+7 ) (g/f)(η) 2 = 0 Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

77 example (3η 3 + 1) + (2η 4 3η + 1) (g/f)(η) + ( 3η η 32+7 ) (g/f)(η) 2 = 0 (g/f)(η) = ν i Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

78 example (g/f)(η) = ν i R(ν) 10 9 I(ν) R(νη) 10 9 I(νη) R(νη p ) 10 9 I(νη p ) Reduce R(1) 10 9 I(1) R(η) 10 9 R(η) R(η p ) 10 9 R(η p ) Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

79 example 2 R(ν) 10 9 I(ν) R(νη) 10 9 I(νη) R(νη p ) 10 9 I(νη p ) Reduce R(1) 10 9 I(1) R(η) 10 9 R(η) R(η p ) 10 9 R(η p ) ˆ Search [ small small ] Deduce small small f 1 f 2 f p g 1 g 2 g p not so fast!! Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

80 example ˆ Search [ small small ] Deduce small small f 1 f 2 f p g 1 g 2 g p not soˆfast!! small small small small small small small small Search Deduce the secret half-lattice Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

81 example ˆ Search small small small small small small small small Deduce the secret half-lattice Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

82 Do the current NTRU parameters pass the bounds? overview: fg <? q: new parameters = yes! but: True bound: (1 + ε) ApproxFactor 2 m (q 1 f g ) <? 1 High dimension, ApproxFactor not negligible! Approx-Factor 101 dim : doesn't work Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

83 Do the current NTRU parameters pass the bounds? overview: fg <? q: new parameters = yes! but: True bound: (1 + ε) ApproxFactor 2 m (q 1 f g ) <? 1 High dimension, ApproxFactor not negligible! Approx-Factor 101 dim : doesn't work must be at most subexponential: polynomial? Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

84 Do the current NTRU parameters pass the bounds? overview: fg <? q: new parameters = yes! but: True bound: (1 + ε) ApproxFactor 2 m (q 1 f g ) <? 1 High dimension, ApproxFactor not negligible! Approx-Factor 101 dim : doesn't work must be at most subexponential: polynomial? And even with that, NTRU is not designed to be asymptoticly sure! Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

85 Summary Exact 1/ log log(n) n n Approx of SVP anything when n < n n log(n) exp(o(n/ log(n))) Worst-case Avg case N P co-n P N P Hard P Practical Nicolas Gama (Ensicaen) Réduction de réseau et cryptologie 8 janvier / 54

Predicting Lattice Reduction

Predicting Lattice Reduction Nicolas Gama and Phong Q. Nguyen École normale supérieure/cnrs/inria, 45 rue d Ulm, 75005 Paris, France nicolas.gama@ens.fr http://www.di.ens.fr/~pnguyen Abstract. Despite