当前位置：首页 > news >正文

NTRU 公钥加密系统详解

news 2025/10/26 9:33:03

1. 引言

现代大多数密码算法与协议的安全性都依赖于某些数学问题的计算困难性，如：

两个大素数乘积的因数分解问题（RSA）；
某些群上的离散对数问题（Diffie–Hellman 密钥交换、ElGamal 加密系统）。

这些问题被认为没有有效的（多项式时间）解法，因此任何基于这些问题的密码协议至少应当同样难以被破解。
只要假设潜在攻击者的计算能力有限，就可以认为这些协议是安全的。

然而，这种假设在量子计算机出现后将不再成立。
如果攻击者拥有量子计算能力（几年内或许并非天方夜谭），许多此类算法问题（或其中一部分）将变得容易求解。

如，RSA 的模数 $N = pq$ 可以通过 Shor 算法在多项式时间内被分解。
因此，RSA 以及许多其他流行协议，如 Diffie–Hellman 密钥交换、ElGamal 加密、DES、ECC（椭圆曲线密码）等，都将失效。
这些方案必须被新的、在量子计算假设下仍安全的算法所取代。

幸运的是，有一些数学问题被认为在经典计算机与量子计算机上都难以求解。
这类后量子密码算法包括以下几大类：

基于哈希（hash-based）密码；
基于纠错码（code-based）密码；
基于多元二次方程（MQ，multivariate-quadratic-equations）密码；
基于格（lattice-based）密码。

其中，NTRU（包括 NTRUEncrypt 与 NTRUSign）就是一种基于格中特殊点计算困难性的公钥密码系统。

2. 格（Lattices）

一个 $n$ 维格可以想象为 $n$ 维空间中的一个规则点阵。
它是以下形式的向量（点）集合：
$1≤i≤n},\begin{equation} L(v_1, v_2, \dots, v_n) = \biggl\{ \sum_{i=1}^n a_iv_i \mid a_i \in \mathbb{Z} \text{ for } 1 \leq i \leq n \biggr\}, \end{equation}$

其中 $v1,v2,…,vn∈Znv_1, v_2, \dots, v_n \in \mathbb{Z}^n$ 为线性无关的整数向量（称为格 $L$ 的基向量）。

如，在二维空间中，一个简单的格就是所有整数坐标点的集合（此时 $v_1 = [0,1]$ ， $v_2 = [1,0]$ ）。
等价地说，一个格就是在某个基下具有整数坐标的所有点的集合。

可以将这些基向量组成矩阵 $\in \mathbb{Z}^{n \times n}$ 的列，于是格也可写为：
$L(B)=L([v1,v2,…,vn])=L(v1,v2,…,vn)={Bx∣x∈Zn}.\begin{equation} L(B) = L([v_1, v_2, \dots, v_n]) = L(v_1, v_2, \dots, v_n) = \lbrace Bx \mid x \in \mathbb{Z}^n\rbrace. \end{equation}$

现在定义一个模 $q$ 的格（即点的坐标都在模 $q$ 下取值）—— $q$ -进制格（ $q$ -ary Lattice）。

取任意矩阵 $\in \mathbb{Z}_q^{n\times m}$ （具有 $n$ 行 $m$ 列的整数矩阵），定义：
$q,s∈Zn}\begin{equation} L_q(A) = \lbrace y \in \mathbb{Z}^m \mid y = A^Ts \text{ mod } q,\, s \in \mathbb{Z}^n\rbrace \end{equation}$

该定义足以引出格密码学（lattice-based cryptography）中3个最核心、计算上极为困难的问题：

1）SVP – 最短向量问题（Shortest Vector Problem）
给定一个 $n$ 维格 $L$ 的基向量 $v1,v2,…,vnv_1, v_2, \dots, v_n$ ，求出 $L$ 中最短的非零向量。
2）CVP – 最近向量问题（Closest Vector Problem）
给定一个 $n$ 维格 $L$ 的基向量 $v1,v2,…,vnv_1, v_2, \dots, v_n$ ，以及某个向量 $v$ ，求出 $L$ 中最接近 $v$ 的向量。
3）SIVP – 最短线性无关向量问题（Shortest Independent Vector Problem）
给定一个 $n$ 维格 $L$ 的基向量 $v1,v2,…,vnv_1, v_2, \dots, v_n$ ，求出一组新的基向量 $v1′,v2′,…,vn′v'_1, v'_2, \dots, v'_n$ ，使得该组基向量中最长向量的长度最小化。

其中 “向量的长度” 通常指欧几里得范数（Euclidean norm），其定义为：
$∥x∥n=∥[x1,x2,…,xn]∥n=x12+x22+⋯+xn2.\newcommand{\norm}[1]{\left\lVert#1\right\rVert} \norm{x}_n = \norm{[x_1, x_2, \dots, x_n]}_n = \sqrt{x_1^2 + x_2^2 + \dots + x_n^2}.$

格密码的基本思想是：

一个格（lattice）可以用许多不同的基向量集（basis）来表示。
- 某些基向量集非常“简单”，容易计算；
- 而另一些则非常“复杂”，即使要找到SVP/CVP最短向量的多项式近似解，也需要进行极其复杂的计算。

在格密码中，寻找 SVP 近似解的最常用方法是 LLL 算法（Lenstra–Lenstra–Lovász）。

该算法能够在多项式时间内找到“相对较短”的向量，但这种近似的精度有限——LLL 只保证找到的向量长度不超过：
$(23)Ns\left(\frac{2}{\sqrt{3}}\right)^Ns$

其中 $s$ 是该格中最短向量的长度。在很多实际应用中，这样的近似仍不足以解决 SVP 或 CVP 的困难性。

一般认为：

CVP 问题是 NP 完全的；
SVP 问题是 NP 困难的（尚未被严格证明）。

因此，目前没有有效算法能近似求解这些问题。

3. GGH 算法（Goldreich–Goldwaser–Halevi）

格密码中最早的两个公钥方案是 GGH 和 NTRUEncrypt。

然而在 2008 年，P. Nguyen 指出了 GGH 协议存在信息泄露与结构性缺陷，使其安全性基石（CVP 难解性）被削弱，因此GGH算法现已被认为不安全。

尽管如此，GGH 仍然很好地展示了如何利用 CVP 的困难性构建一个公钥系统。

来看两个格基（ $ZN\mathbb{Z}^N$ 中的 $N$ 个线性无关向量）：

$B$ 和 $H$ 。

可以以这样的方式生成 $B$ 和 $H$ ，使得 $L (B) = L (H)$ —— 也就是说，这两个基都生成同一个格 $L = L (B) = L (H)$ 。
其中：

$B$ 是容易处理的（几乎正交，其向量尽可能短），
而 $H$ 则不是 —— 仅凭 $H$ ，在格 $L$ 中求解最短向量问题（SVP）和最近向量问题（CVP）都是困难的。

将 $B$ 设为私钥，将 $H$ 设为公钥。
加密的过程非常简单：

取任意向量 $\in L$ ，并将其与另一个向量 $m$ （消息）相加。
密文因此为：
$c = v + m .$

解密的过程是：

找到一个在格 $L$ 中最接近 $c$ 的点 $v^{'}$ （希望它与加密时选择的 $v$ 相同），然后将其从 $c$ 中减去。
- 这一操作只有在给定基 $B$ 的情况下才能高效完成，因为有了 $B$ ，就可以容易地解决最近向量问题（CVP）。

如果 $v = v^{'}$ ，则能成功解密密文，并得到：
$m^{'} = c - v^{'} .$
为了保证 $m = m^{'}$ ，必须选择一个“相对较短”的消息向量 $m$ ，以确保最接近的格点确实是 $v$ 。

这个协议的描述是非常简化的，但它很好地展示了该加密思想的基本原理。

4. NTRUEncrypt

与其他任何公钥密码系统一样，为了实现安全通信，需要私钥和公钥各一份，并定义两个函数：
$Encrypt(message,public_key)\texttt{Encrypt}(\texttt{message}, \texttt{public\_key})$
和
$Decrypt(ciphertext,private_key).\texttt{Decrypt}(\texttt{ciphertext}, \texttt{private\_key}).$

此外，假设存在一些对所有参与者都已知的全局参数：

$N$ —— 一个整数，决定“维度”；
$p$ , $q$ —— 两个互质的整数模数（ $g c d (p, q) = 1$ ）；
$d_f$ , $d_g$ , $d_r$ , $d_m$ —— 用于限定私钥、公钥以及消息空间的整数边界。

在 NTRU 中，加密与解密是以多项式的形式描述的（定义在 $Z[X]/(XN−1)\mathbb{Z}[X]/(X^N - 1)$ 环上），其中系数是整数、阶数 $≤N−1\leq N - 1$ 。
这只是比使用格向量更一致的一种描述方式，本质思想保持不变。

在 NTRU 中，需要三种多项式运算：

1）卷积乘积（Convolutional product）
2）多项式求逆
3）模整数的多项式约简

4.1 卷积乘积（Convolutional Product）运算

两个多项式 $f$ 和 $g$ 的卷积乘积定义为：
$\star g = \sum_{i + j = k \bmod N} f_i g_j,$

其中：
$\sum_{i=0}^{N-1} f_i x^i, \quad g = \sum_{i=0}^{N-1} g_i x^i.$

这意味着，在对两个多项式做“普通”乘法之后，还必须将所有 $X$ 的指数模 $N$ 进行约简。
换言之，指数在 $N$ 上循环（即 $X^N = 1$ ）。

4.2 多项式的逆元（Inverse Polynomial）运算

多项式 $f$ 的逆元 $f^{-1}$ 定义为满足下式的多项式：
$\star f^{-1} = f^{-1} \star f = 1.$

4.3 多项式模 $q$ 约简（Reduction Modulo $q$ ）运算

将多项式模 $q$ 约简，意味着对多项式的所有系数取模 $q$ 。

4.4 系数计数符号

还将使用记号 $_a f$ ，表示多项式 $f$ 中系数等于 $a$ 的项的数量。

如，当 $N = 5$ 时：
$f(x) = 2x^4 + 2x^3 + x + 3$

则有：
$_0 f = 1 \\ \#_1 f = 1 \\ \#_2 f = 2 \\ \#_3 f = 1$

4.5 私钥（Private Key）

私钥由两个多项式 $f$ 和 $g$ 组成，它们满足：【即系数由 $0, 1, - 1$ 组成】

$#0f=N−2df+1\#_{1}f = d_f\text{, }\#_{-1}f = d_f-1\text{, and }\#_{0}f = N-2d_f+1$
$#0g=N−2dg\#_{1}g = \#_{-1}g = d_g\text{, and }\#_{0}g=N-2d_g$
要求 $f$ 在模 $q$ 意义下可逆，即存在多项式 $f_p^{-1}$ 和 $f_q^{-1}$ ，使得：
$\star f_p^{-1} = 1 \pmod p,$
$\star f_q^{-1} = 1 \pmod q.$

因此，私钥为 $(f, g)$ pair。出于效率考虑， $f_q^{-1}$ 通常在密钥生成阶段计算并作为私钥的一部分存储。

4.6 公钥（Public Key）

公钥的定义非常简单：
$f_q^{-1} \star g \pmod q.$

4.7 加密（Encryption）

NTRU 的加密过程为：

1）首先，消息需要被编码成一个三元（trinary）多项式消息 $m$ ，并且必须满足：
$#0m=N−2dm\#_1m=\#_{-1}m=d_m \text{, and } \#_0m=N-2d_m$
2）然后，需要生成一个随机多项式 $r$ ，其形式与消息类似：
$#0r=N−2dr.\#_1r=\#_{-1}r=d_r\text{, and }\#_0r=N-2d_r.$
3）接着，密文 $c$ 定义为：
$pr\star h \text{ mod } q,$
其中，密文 $c$ 的系数要模 $q$ 约简，使其落在区间 $(−q2,q2]\left(-\frac{q}{2}, \frac{q}{2}\right]$ 内，从而使密文 $c$ 的值以 0 为中心。

4.8 解密（Decryption）

解密过程非常直接，只需将密文 $c$ 与私钥多项式 $f$ 进行卷积乘积（ $⋆\star$ ）：
$qc\star f = f\star m + f\star pr \star h \text{ mod }q\\ = f\star m + pr \star f \star f_q^{-1}\star g \text{ mod } q\\ = f \star m + pr \star g \text{ mod } q$