Représentation de Nombres pour les Algorithmes Présentation du Schéma de Chiffrement Somewhat Homomorphe de Fan and Vercauteren Vincent Zucca Année 2016-2017

(1)

Repr´ esentation de Nombres pour les Algorithmes

Pr´ esentation du Sch´ ema de Chiffrement Somewhat Homomorphe de Fan and Vercauteren

Vincent Zucca

Ann´ ee 2016-2017

(2)

Contexte

Chiffrement Homomorphe:

Enc_pkpm₁q

Encpkpm₂q

‹ p‹ P t`,ˆuq

Encpkpm₁‹m₂q

sk

Dec m₁‹m₂

“Chiffrement Bruit´ e”

Chaque chiffr´ e contient un bruit.

Apr` es chaque op´ eration homomorphique le bruit grandit.

Le d´ echiffrement reste correct tant que le bruit ne d´ epasse pas une certaine borne.

ùñ Nombre limit´ e d’op´ erations.

ùñ Chiffrement “Somewhat” Homomorphe.

Probl` eme : pas tr` es efficace en pratique.

(3)

Contexte

Chiffrement Homomorphe:

Enc_pkpm₁q

Encpkpm₂q

‹ p‹ P t`,ˆuq

Encpkpm₁‹m₂q

sk

Dec m₁‹m₂

“Chiffrement Bruit´ e”

Chaque chiffr´ e contient un bruit.

Apr` es chaque op´ eration homomorphique le bruit grandit.

Le d´ echiffrement reste correct tant que le bruit ne d´ epasse pas une certaine borne.

ùñ Nombre limit´ e d’op´ erations.

ùñ Chiffrement “Somewhat” Homomorphe.

But : acc´ el´ erer l’arithm´ etique en utilisant des repr´ esentations adapt´ ees.

(4)

Sch´ ema de Chiffrement FV (Fan et Vercauteren, 2012)

Repr´ esentation des donn´ ees dans (FV)

Espace ambiant : R “ ZrX s{pX

ⁿ

` 1q avec n “ 2

^h

ě 2 ùñ polynˆ omes de degr´ e inf´ erieur ` a n ` a coefficients entiers

t: le module des clairs, m P R

_t

“ R{tR (coeff. modulo t)

q: le module des chiffr´ es (q ąą t), c P R

_q

ˆ R

_q

(coeff. modulo q ) Probabilit´ es sur R

_q

§

U coeff. entiers tir´ es ind´ ep. et uniform´ ement dans [-q/2,q/2[).

§

χ

_key

coeff. uniforme et ind´ ep. dans un ensemble “´ etroit” (t´1, 0, 1u)

§

χ

err

coeff. tir´ es ind´ ep. selon un gaussienne discr` ete centr´ ee en 0.

Notations

§

rxs

_q

est px mod qq in r´q{2, q{2r (reste centr´ e),

§

|x|

_q

est px mod qq in r0, qr (reste de la division euclidienne).

(5)

Sch´ ema de Chiffrement FV (Fan et Vercauteren, 2012)

G´ en´ eration des cl´ es

1

tirer s Ð χ

_key

2

tirer pa, eq Ð U ˆ χ

_err

3

retourner

§

pk “ pp

0

, p

1

q “ pr´pas ` eqs

q

, aq (´ Echantillon RLWE)

§

sk “ s

Chiffrement

Donn´ ees : r m s

t

P R

_t

` a chiffrer, cl´ e publique pk,

1

tirer pe

₁

, e

₂

, uq Ð pχ

_err

q

²

ˆ χ

key

2

retourner pc

₀

, c

₁

q “ pr∆rms

_t

` p

₀

u ` e

₁

s

q

, rp

₁

u ` e

₂

s

q

q (∆ “ t

^q_t

u)

Propri´ et´ e : r c

₀

` c

₁

s s

q

“ ∆r m s

t

` v (mod q ) avec v le “bruit” du chiffr´ e

(6)

Remarque

Un chiffr´ e peut ˆ etre vu comme un polynˆ ome de degr´ e 1 ` a coefficients dans R

_q

. C’est ` a dire un polynˆ ome dont les coefficients sont des polynˆ omes.

Evaluer un chiffr´ ´ e en la cl´ e secr` ete s , permet de r´ ev´ eler un multiple du message plus une “petite” erreur.

Application

On consid` ere R “ ZrX s{pX

²

` 1q, q “ 221, t “ 2.

Calculer le chiffr´ e du message m “ ´X ´ 1, avec sk “ X ´ 1 et pk “ p83X ` 62, 73X ´ 12q et d´ eterminer le bruit v du message.

avec u “ ´X , e

1

“ ´3 et e

2

“ X Solution

c “ p49X ´ 30, 13X ` 73q, rc

₀

` c

₁

s s

q

“ 109X ` 105, v “ ´X ´ 5

(7)

Sch´ ema de Chiffrement FV (Fan et Vercauteren, 2012)

D´ echiffrement

Donn´ ees : pc

₀

, c

₁

q un chiffr´ e de rms

_t

, cl´ e secr` ete s.

Renvoie :

”Y

t

q

r c

₀

` c

₁

s s

q

Uı

t

Propri´ et´ e : si le bruit v d’un chiffr´ e c d’un message r m s

t

satisfait : }v }

8

ď ∆ ´ |q|

_t

2 Alors la fonction de d´ echiffrement renverra bien r m s

t

. Remarque : plus ∆ est grand plus la borne est grande.

Application

V´ erifier que le chiffr´ e pr´ ec´ edent se d´ echiffre bien correctement. On

rappelle que c “ p49X ´ 30, 13X ` 73q, s “ X ´ 1 et m “ ´X ´ 1.

(8)

Sch´ ema de Chiffrement FV (Fan et Vercauteren, 2012)

Addition

Donn´ ees : deux messages chiffr´ es avec pk, c

¹

“ pc

₀¹

, c

₁¹

q, c

²

“ pc

₀²

, c

₁²

q Renvoie : c

_add

“ pc

₀¹

` c

₀²

, c

₁¹

` c

₁²

q

Propri´ et´ e : l’algorithme ci-dessus retourne bien un chiffr´ e de m

₁

` m

₂

. Quel impact sur le bruit ?

ùñ }v

_add

}

8

ď }v

₁

}

8

` }v

₂

}

8

. Application

Additionner le chiffr´ e pr´ ec´ edent avec c

¹

“ p´37X ´ 31, 19X ´ 51q.

V´ erifier que la somme des deux chiffr´ es d´ echiffre bien en m “ ´1.

Solution

c

_add

“ p12X ´ 61, 32X ` 22q Y

t

q

¨ rc

_add₀₀

` c

_add₁

ss

_q

U

“ X

₄

221

T ¨ X ` X

₂₁₂

221

T “ 1

(9)

Sch´ ema de Chiffrement FV (Fan et Vercauteren, 2012)

Multiplication homomorphique de pc

₀

, c

₁

q by pc

₀¹

, c

₁¹

q Version Na¨ıve

1

Calcule le produit p˜ c

0

, c ˜

1

, c ˜

2

q “ pc

0

c

₀¹

, c

0

c

₁¹

` c

₀¹

c

1

, c

1

c

₁¹

q dans Z

2

Normalisation + Arrondi : c ˆ

i

“

” t

_q^t

¨ ˜ c

i

s

ı

q

ù rˆ c

0

` c ˆ

1

s ` ˆ c

2

s

²

s

q

“ ∆rm

1

m

2

s

t

` v

¹¹

mod q

3

Relin´ earisation: prˆ c

0

` c ˆ

2

s

²

s

q

, c ˆ

1

q Ñ prˆ c

0

` c ˆ

2

ps

²

` e ` asqs

q

, rˆ c

1

´ aˆ c

2

s

q

q Remarque : on ne peut pas r´ ev´ eler s donc on fournit une cl´ e d’´ evaluation qui est quasiment un chiffr´ e de s

²

:

evk “ prs

²

` e ` as s

q

, ´aq avec a Ð χ

_key

et e Ð χ

_err

. Probl` eme :

Le terme c ˆ

₂

ˆ e se rajoute au bruit.

} c ˆ

₂

ˆ e }

8

ď n} c ˆ

₂

}

8

}e}

₈

ď n

^q₂

B

_err

ùñ Le message ne d´ echiffrera pas correctement.

(10)

Sch´ ema de Chiffrement FV (Fan et Vercauteren, 2012)

Solution : d´ ecomposer c ˆ

₂

en base ω ą 2.

Plus pr´ ecisemment...

Soit ω un entier plus grand que 2, `

_ω,q

“ tlog

_ω

pqqu ` 1 et a P R

_q

, on d´ efinit les fonctions suivantes :

D

_ω,q

paq “ pras

_ω

, rtaω

^´1

us

ω

, ¨ ¨ ¨ , rtaω

^´p`^ω,q^´1q

us

ω

q P R

^`_q^ω,q

P

_ω,q

paq “ pras

_q

, raωs

_q

, ¨ ¨ ¨ , raω

^p`^ω,q^´1q

s

q

q P R

^`_q^ω,q

Lemme : pour tout pa, bq P R

²_q

on a : x D

_ω,q

pbq, P

_ω,q

pbqy ” ab rq s.

Et donc...

On modifie la cl´ e d’´ evaluation en :

evk “ prP

_ω,q

ps

²

q ` Ý Ñ e ` Ý Ñ a ss

_q

, ´Ý Ñ a q avec ( Ý Ñ a , Ý Ñ e q Ð χ

^`_key^ω,q

ˆ χ

^`err^ω,q

.

On calcule prˆ c

₀

` x D

_ω,q

pˆ c

₂

q, evk

₀

ys

q

, rˆ c

₁

` xevk

₁

, D

_ω,q

pˆ c

₂

qys

q

Remarque : } xD

_ω,q

p c ˆ

₂

q, Ý Ñ e y }

8

ď n`

_ω,q^ω₂

B

_err

.

(11)

Sch´ ema de Chiffrement FV (Fan et Vercauteren, 2012)

Application :

On donne ω “ 4, evk

0

“ pX ´ 2, ´8X ` 1, ´32X ` 2, 92X q et evk

1

“ p´1, 0, X , ´X ` 1q. Calculer le produit des chiffr´ es c “ p49X ´ 30, 13X ` 73q et c

¹

“ p´37X ´ 31, 19X ´ 51q.

Solution ˆ

c

_mult

“ p´409X ` 2743, ´6173X ´ 1183, 724X ´ 3970q

”Y

t q

¨ c ˆ

_mult

Uı

q

“ p´4X ` 25, ´56X ´ 11, 7X ´ 36q D

_ω,q

p7X ´ 36q “ p´X , ´2X ´ 1, X ´ 2, 0q

x D

_ω,q

p7X ´ 36q, evk

₀

y “ 74X ` 12

xevk

₁

, D

_ω,q

p7X ´ 36qy “ ´X ´ 1

c

_mult

“ p70X ` 37, ´57X ´ 12q

(12)

S´ ecurit´ e du Sch´ ema

Pour que le RLWE soit difficile il faut que n et q soit suffisemment grand pour qu’on ne puisse pas attaquer la cl´ e par force brute (i.e. essayer toutes les possibilit´ es).

Param` etres

Voici quelques exemples de param` etres pour 80 bits de s´ ecurit´ e : n “ 2048, log

₂

pqq “ 95, L “ 2

n “ 4096, log

₂

pqq “ 190, L “ 6 n “ 8192, log

₂

pqq “ 390, L “ 13 n “ 16384, log

₂