Falcon 是一种加密签名算法,于2017年11月30日提交给了 NIST 后量子密码学 项目,是目前四个标准后量子密码算法之一。它由 Pierre-Alain Fouque, Jeffrey Hoffstein, Paul Kirchner, Vadim Lyubashevsky, Thomas Pornin, Thomas Prest, Thomas Ricosset, Gregor Seiler, William Whyte, Zhenfei Zhang 设计。
Falcon 基于格基签名方案的 Gentry、Peikert 和 Vaikuntanathan 的理论框架 。其利用称为 "快速傅里叶采样" 的陷门采样器,在 NTRU格 上构建GPV方案。Falcon的基础是 NTRU 格上的短整数解问题(SIS),量子计算机目前还无法高效攻破此问题。
简而言之,如参考文档中演示的:Falcon = GPV 框架 + NTRU格 + 快速傅里叶采样
以下对Falcon的密钥生成与签名验签逻辑进行详细说明,针对2022年发布的进入NIST标准化流程的版本 (Falcon在后续还会有FIPS版,但这个版本截止写作时尚未发布),下面说的参考实现和参考文档都可以在NIST官网 下载到。
本文章不包含任何正确性证明和推理的内容,仅阐述算法设计本身。
背景知识
GPV框架
GPV框架可以用于在格上生成签名算法。
密钥生成 :公钥为一个用于生成q-阶格Λ \Lambda Λ A ∈ Z q n × m , m > n A \in \mathbb{Z}^{n\times m}_q,m>n A ∈ Z q n × m , m > n B ∈ Z q m × m B\in \mathbb{Z}^{m \times m}_q B ∈ Z q m × m Λ q ⊥ \Lambda_q^{\perp} Λ q ⊥ B × A t = 0 B \times A^t = 0 B × A t = 0
签名 s A t = H ( m ) sA^t=H(m) s A t = H ( m ) c 0 A t = H ( m ) c_0A^t =H(m) c 0 A t = H ( m ) c 0 c_0 c 0 B B B v v v v A t = 0 vA^t=0 v A t = 0 s = c 0 − v s=c_0-v s = c 0 − v s A t = c 0 A t − v A t = H ( m ) − 0 = H ( m ) sA^t = c_0A^t-vA^t=H(m)-0=H(m) s A t = c 0 A t − v A t = H ( m ) − 0 = H ( m )
验签 :代入上面的式子验证,并要求s确实是一个短向量(Falcon实际实现中会校验L2范数小于等于1.17 q 1.17\sqrt{q} 1.17 q
NTRU格
令ϕ = x n + 1 \phi=x^n+1 ϕ = x n + 1 n = 2 k n=2^k n = 2 k q q q f , g , F , G f,g,F,G f , g , F , G Z [ x ] / ( ϕ ) \mathbb{Z}[x]/(\phi) Z [ x ] / ( ϕ ) f G − g F = q m o d ϕ fG-gF =q\mod \phi f G − g F = q mod ϕ f f f q q q h = g f − 1 m o d q h=gf^{-1} \mod q h = g f − 1 mod q h h h f , g , F , G f,g,F,G f , g , F , G f , g f,g f , g f , g f,g f , g f ′ , g ′ f^{\prime}, g^{\prime} f ′ , g ′ h = g ′ f ′ − 1 h=g^{\prime}{f^{\prime}}^{-1} h = g ′ f ′ − 1
快速傅里叶采样
陷门采样函数的目的是:给定矩阵A A A T T T c c c s s s s t A = c s^{t}A=c s t A = c 快速傅里叶采样 的算法。
标准细节
在NTRU格上应用GPV框架
首先说明:对于多项式f f f n × n n \times n n × n x i f m o d ϕ , i = 0.. n − 1 x^if\mod \phi, i=0..n-1 x i f mod ϕ , i = 0.. n − 1
公钥A = [ − h I n q I n O n ] A=\left[\begin{array}{c|c}-h & I_n\\ \hline qI_n &O_n\end{array}\right] A = [ − h q I n I n O n ] I I I O O O h = g / f m o d ϕ m o d q h=g/f\mod \phi \mod q h = g / f mod ϕ mod q
私钥B = [ g − f G − F ] B=\left[\begin{array}{c|c}g&-f\\ \hline G & -F\end{array}\right] B = [ g G − f − F ] f G − g F = q m o d ϕ fG-gF =q\mod \phi f G − g F = q mod ϕ
签名包含一个nonce值r r r ( s 1 , s 2 ) (s_1, s_2) ( s 1 , s 2 ) s 1 + s 2 h = H ( r ∣ ∣ m ) s_1+s_2h=H(r||m) s 1 + s 2 h = H ( r ∣∣ m ) s 1 s_1 s 1 s 2 s_2 s 2 ( r , s 2 ) (r,s_2) ( r , s 2 )
注意这里描述的只是理论状态,按参考文档描述:实际上存储的公私钥应当经过编码和预处理,减小了体积、便于计算的版本。
私钥sk = ( B ^ , T ) \textbf{sk}=({\hat{\textbf{B}}}, \textbf{T}) sk = ( B ^ , T )
B ^ = [ F F T ( g ) − F F T ( f ) F F T ( G ) − F F T ( F ) ] \hat{\textbf{B}}=\left[\begin{array}{c|c}FFT(g)&-FFT(f)\\ \hline FFT(G) & -FFT(F)\end{array}\right] B ^ = [ FFT ( g ) FFT ( G ) − FFT ( f ) − FFT ( F ) ]
T \textbf{T} T
但参考实现中似乎并没有这么做。参考实现中的私钥就仅仅只是简单的f , g , F f,g,F f , g , F G G G
而公钥pk = h \textbf{pk}=h pk = h
密钥对生成
对高斯分布采样生成f , g f,g f , g
从前面的说明可以看到,f , g f,g f , g
采样的分布本身保证它们是足够小的向量(E [ ∥ ( f , g ) ∥ ] = 1.17 q \mathbb{E}[\|(f,g)\|]=1.17\sqrt{q} E [ ∥ ( f , g ) ∥ ] = 1.17 q
两个多项式的系数和模2均为1(即都是奇数),以此支持后续解NTRU方程时的运算。
每一项系数需要在特定大小范围内:为了满足后续的编码要求
校验∥ ( f , g ) ∥ < = 1.17 q \|(f,g)\|<=1.17\sqrt{q} ∥ ( f , g ) ∥ <= 1.17 q
校验γ = m a x { ∥ ( g , − f ) ∥ , ∥ ( q f ⋆ f f ⋆ + g g ⋆ , q g ⋆ f f ⋆ + g g ⋆ ) ∥ } ≤ 1.17 q \gamma = max \{\|(g,-f)\|,\|(\frac{qf^\star}{ff^{\star}+gg^\star},\frac{qg^\star}{ff^\star+gg^\star})\|\} \le 1.17\sqrt{q} γ = ma x { ∥ ( g , − f ) ∥ , ∥ ( f f ⋆ + g g ⋆ q f ⋆ , f f ⋆ + g g ⋆ q g ⋆ ) ∥ } ≤ 1.17 q
如果不符合上述要求重新生成,期望的生成次数为4左右。
在计算过程中,乘法都通过FFT和预计算的模q q q
通过NTRU方程计算F , G F,G F , G
解此方程的基本思路如下:
根据同构结构 Z n ≅ ( Z [ x ] / ( x 2 + 1 ) ) n / 2 ≅ . . . ≅ ( Z [ x ] / ( x n / 2 + 1 ) ) 2 ≅ Z [ x ] / ( x n + 1 ) \mathbb{Z}^n \cong (\mathbb{Z}[x]/(x^2+1))^{n/2} \cong ... \cong (\mathbb{Z}[x]/(x^{n/2}+1))^{2} \cong \mathbb{Z}[x]/(x^n+1) Z n ≅ ( Z [ x ] / ( x 2 + 1 ) ) n /2 ≅ ... ≅ ( Z [ x ] / ( x n /2 + 1 ) ) 2 ≅ Z [ x ] / ( x n + 1 ) f , g f,g f , g Z [ x ] / ( ϕ ) \mathbb{Z}[x]/(\phi) Z [ x ] / ( ϕ ) Z \mathbb{Z} Z
通过扩展GCD算法求解NTRU方程。
逐级上推,将求解结果还原到原始环上
注意在计算的过程中,最终得到的元素往往是超大的整数,因此实际计算中采用CRT的方式进行存储与计算。
F , G F,G F , G
构建Falcon树
计算B ^ = [ F F T ( g ) − F F T ( f ) F F T ( G ) − F F T ( F ) ] \hat{\textbf{B}}=\left[\begin{array}{c|c}FFT(g)&-FFT(f)\\ \hline FFT(G) & -FFT(F)\end{array}\right] B ^ = [ FFT ( g ) FFT ( G ) − FFT ( f ) − FFT ( F ) ] T \textbf{T} T
计算G = ← B ^ × B ^ ⋆ \textbf{G}=\leftarrow \hat{\textbf{B}} \times \hat{\textbf{B}}^{\star} G =← B ^ × B ^ ⋆
对G \textbf{G} G L , D \textbf{L},\textbf{D} L , D L \textbf{L} L D \textbf{D} D
对D \textbf{D} D G 0 , G 1 \textbf{G}_0,\textbf{G}_1 G 0 , G 1
当前节点的值为L 10 \textbf{L}_{10} L 10 G 0 , G 1 \textbf{G}_0,\textbf{G}_1 G 0 , G 1 D \textbf{D} D
对生成的树的叶节点值做规范化(norm),让其方差缩小到指定的范围。做法是v = σ / v v=\sigma/\sqrt{v} v = σ / v
这一步的目的是在预处理的同时,对矩阵进行递归压缩,尽量减小实际占用的空间大小。
注意虽然文档中将这一步写在了密钥生成环节,但参考代码的密钥对生成实现中并没有这一步,而是放在了签名中。
签名
生成nonce,并将其与信息放在一起生成r ∥ m r\|m r ∥ m HashToPoint算法(算法不复杂,就是通过Shake256挨个生成每个点)生成一个环上的多项式c c c
计算t ← ( − 1 q F F T ( c ) ⋅ F F T ( F ) , − 1 q F F T ( c ) ⋅ F F T ( f ) ) \textbf{t}\leftarrow (-\frac{1}{q}FFT(c)\cdot FFT(F), -\frac{1}{q}FFT(c)\cdot FFT(f)) t ← ( − q 1 FFT ( c ) ⋅ FFT ( F ) , − q 1 FFT ( c ) ⋅ FFT ( f )) ( − c F q , − c f q ) (-\frac{cF}{q},-\frac{cf}q) ( − q c F , − q c f ) ( c , 0 ) (c,0) ( c , 0 )
通过快速傅里叶采样算法,得到t \textbf{t} t z \textbf{z} z ( s 1 , s 2 ) (s1,s2) ( s 1 , s 2 )
这个算法的核心思路是:仍然采用之前所述的环同构结构类似的思路,将Q [ x ] / ( x n + 1 ) \mathbb{Q}[x]/(x^n+1) Q [ x ] / ( x n + 1 ) Q \mathbb{Q} Q Z [ x ] / ( x n + 1 ) \mathbb{Z}[x]/(x^n+1) Z [ x ] / ( x n + 1 )
具体的采样流程很简单:生成一个μ = t , σ μ=\textbf{t}, \sigma μ = t , σ L \textbf{L} L
对其L2范数做校验,要求小于一定阈值,它们就是签名的结果。如果L2范数不符合要求,则重新采样做生成。
对签名做压缩
验签
验签环节相对来说最简单:
生成nonce,并将其与信息放在一起生成r ∥ m r\|m r ∥ m HashToPoint算法(见前)生成一个环上的多项式c c c
从压缩过的签名解压出s 2 s_2 s 2 s 1 = c − s 2 h m o d q s_1 = c-s_2h \mod q s 1 = c − s 2 h mod q
校验∥ ( s 1 , s 2 ) ∥ \|(s_1,s_2)\| ∥ ( s 1 , s 2 ) ∥
上述计算和校验都通过,则认为验签成功,否则验签失败
可以看出,整个签名算法的核心是:不知道f , g f,g f , g h h h ( s 1 , s 2 ) (s_1,s_2) ( s 1 , s 2 )
算法还有很多其他细节,诸如计算上的优化技巧,编码、压缩的格式,但它们并非Falcon算法的核心所在。读者可以自行参考参考文档与实现,以了解其中细节。
