GGH 暗号方式

テンプレート:翻訳直後 Goldreich–Goldwasser–Halevi (GGH) 格子暗号方式とは、格子に基づく非対称方式のひとつである。テンプレート:仮リンクも存在する。

Goldreich–Goldwasser–Halevi (GGH) 暗号方式では、テンプレート:仮リンクの困難性を利用している。格子基底縮小の難しさに依存する落とし戸付き一方向関数を用いており、1997年に テンプレート:仮リンク, Shafi Goldwasser, テンプレート:仮リンク により発表された。この一方向性関数は、格子の基底が与えられたときに格子点の近くのベクトルを生成するのは簡単だが（例えば格子点を選んで小さな誤差ベクトルを足せばよい）、この誤差を含んだベクトルから元の格子点を得るには特別な基底が必要である、というアイデアに基づいている。

GGH 暗号は Phong Q. Nguyen により1999年に暗号解読された。

GGH 暗号では、次の秘密鍵と公開鍵を用いる。

秘密鍵は，格子 ${\displaystyle L}$ の"良い性質を持つ"基底 ${\displaystyle B}$ と、ユニモジュラ行列 ${\displaystyle U}$ である。"良い性質"とは、基底が短く、テンプレート:仮リンクしているなどの性質である。

公開鍵は、格子 テンプレート:Mvar の別の基底 ${\displaystyle B^{\prime }=UB}$ である。

平文空間は一定の テンプレート:Mvar に対して テンプレート:Math を満たす整数ベクトル テンプレート:Math である。

平文が テンプレート:Math 、公開鍵が ${\displaystyle B^{\prime }=(b{\text{'}}_1,\dots ,b{\text{'}}_n)}$ であるとき、まず次のように計算する。

${\displaystyle v=\sum {\lambda }_i{b_i}^{\prime }}$

これは行列記法を使えば以下のように書ける。

${\displaystyle v=m\cdot B^{\prime }}$

${\displaystyle m}$ が整数値からなり、各 ${\displaystyle b{\text{'}}_i}$ が格子点であるから、 ${\displaystyle v}$ も格子点となる。次に、小さな誤差ベクトル ${\displaystyle e}$ を選び、暗号文は次のように計算される。

${\displaystyle c=v+e=m\cdot B^{\prime }+e}$

暗号文を復号するには、次のように計算する。

${\displaystyle c\cdot B^{-1}=(m\cdot B^{\prime }+e)B^{-1}=m\cdot U\cdot B\cdot B^{-1}+e\cdot B^{-1}=m\cdot U+e\cdot B^{-1}}$

${\displaystyle e\cdot B^{-1}}$ が十分に小さいならば、Babai 丸め法を用いることでこの項を除去することができる。最終的に次のように平文を計算できる。

${\displaystyle m=m\cdot U\cdot U^{-1}}$

テンプレート:Math を、以下のような基底 テンプレート:Mvar とその逆 テンプレート:Math をもつ格子とする。

${\displaystyle B=\left(\begin{array}{cc}7& 0\\ 0& 3\end{array}\right)}$, ${\displaystyle B^{-1}=\left(\begin{array}{cc}\frac{1}{7}& 0\\ 0& \frac{1}{3}\end{array}\right)}$

くわえて、

${\displaystyle U=\left(\begin{array}{cc}2& 3\\ 3& 5\end{array}\right)}$ および

${\displaystyle U^{-1}=\left(\begin{array}{cc}5& -3\\ -3& 2\end{array}\right)}$

とすると、以下を得る。

${\displaystyle B^{\prime }=UB=\left(\begin{array}{cc}14& 9\\ 21& 15\end{array}\right)}$

平文を テンプレート:Math とし、誤差を テンプレート:Math とすると、以下のように暗号文を得る。

${\displaystyle c=m{B}^{\prime }+e=(-104,-79)}$

これを復号するには、次の計算を行う。

${\displaystyle c{B}^{-1}=(\frac{-104}{7},\frac{-79}{3})}$

これを丸めると テンプレート:Math が得られ、次のように平文を得ることができる。

${\displaystyle m=(-15,-26)U^{-1}=(3,-7)}$

1999年、Nguyen は国際会議 Crypto にて GGH 暗号方式には方式設計上の欠陥があることを示した。暗号文から平文の一部が漏れること、および、GGH暗号の復号問題が、一般の最近ベクトル問題よりも格段に容易な特別の最近ベクトル問題に帰着できることが示された。

• Oded Goldreich, Shafi Goldwasser, and Shai Halevi. Public-key cryptosystems from lattice reduction problems. In CRYPTO ’97: Proceedings of the 17th Annual International Cryptology Conference on Advances in Cryptology, pages 112–131, London, UK, 1997. Springer-Verlag.
• Phong Q. Nguyen. Cryptanalysis of the Goldreich–Goldwasser–Halevi Cryptosystem from Crypto ’97. In CRYPTO ’99: Proceedings of the 19th Annual International Cryptology Conference on Advances in Cryptology, pages 288–304, London, UK, 1999. Springer-Verlag.