NTRUEncrypt

NTRUEncrypt ist ein asymmetrisches Verschlüsselungsverfahren, das 1996 von den Mathematikern Jeffrey Hoffstein, Jill Pipher und Joseph H. Silverman entwickelt wurde.^[1] Es basiert lose auf Gitterproblemen, die selbst mit Quantenrechnern als nicht knackbar gelten. Allerdings ist NTRUEncrypt bisher nicht so gut untersucht wie gebräuchlichere Verfahren (z. B. RSA).

Der Algorithmus ist in den USA patentiert; die Patente liefen im Jahr 2021 aus.^[2] NTRUEncrypt ist durch IEEE P1363.1 standardisiert. Eingesetzt wird es z. B. von den US-Firmen WiKID,^[3] Echosat,^[4] yaSSL^[5] und unter anderem dem Programm OpenSSH.^[6]

Es wird im Folgenden lediglich der Kernalgorithmus beschrieben. Dieser ist für sich allein genommen anfällig gegenüber bestimmten Angriffen; siehe den Abschnitt Vor- und Nachbearbeitung.

Alle Berechnungen finden, soweit nicht anders vermerkt, im Ring ${\displaystyle R={\mathbb{Z}}_q[X]/(X^N-1)}$ statt, d. h. der Grad des Polynoms übersteigt nie ${\displaystyle N}$. Die Multiplikation „*“ ist eine zyklische Faltung modulo ${\displaystyle q}$: Das Produkt zweier Polynome ${\displaystyle f=[f_0,f_1,\dots ,f_{N-1}]}$ und ${\displaystyle g=[g_0,g_1,\dots ,g_{N-1}]}$ ist ${\displaystyle f*g=[\sum _{i+j\equiv kmodN}{f}_i\cdot g_{j}modq{]}_{k=0,...,N-1}}$.

1. Wahl der Parameter ${\displaystyle N,p,q}$ mit ${\displaystyle q>p,\mathrm{ggT}(p,q)=1}$.
2. Wahl eines zufälligen Polynoms ${\displaystyle f}$, dessen Koeffizienten in {−1, 0, 1} liegen. Die Inversen ${\displaystyle f_p}$ (das Inverse modulo ${\displaystyle p}$) und ${\displaystyle f_q}$ (das Inverse modulo ${\displaystyle q}$) müssen existieren.
3. Erzeugung eines Zufallspolynoms ${\displaystyle g}$, dessen Koeffizienten in {−1, 0, 1} liegen.
4. ${\displaystyle h\equiv f_q*gmodq}$ ist der öffentliche Schlüssel, ${\displaystyle f}$ der geheime Schlüssel. (Zur schnelleren Entschlüsselung kann auch ${\displaystyle f_p}$ mit in den geheimen Schlüssel aufgenommen werden.)

1. Umwandlung des Klartexts in ein Polynom ${\displaystyle m}$.
2. Wahl eines zufälligen Polynoms ${\displaystyle r}$ mit kleinen Koeffizienten.
3. Das Polynom ${\displaystyle e\equiv pr*h+mmodq}$ ist der Geheimtext.

1. Berechnung von ${\displaystyle a\equiv f*emodq}$ mit Wahl der Repräsentanten der Koeffizienten von ${\displaystyle a}$ im Intervall ${\displaystyle [-q/2,q/2)}$.
2. Berechnung von ${\displaystyle c\equiv f_p*amodp}$.
3. Durch Umwandlung des Polynoms ${\displaystyle c}$ in die Textdarstellung ergibt sich der Klartext.

Für das Polynom ${\displaystyle a}$ gilt: ${\displaystyle a\equiv f*e\equiv f*pr*h+f*mmodq=f*pr*f_q*g+f*mmodq=pr*g+f*mmodq}$. Weil die Koeffizienten alle klein sind, gilt diese Gleichung auch im Ring ${\displaystyle R}$. Deshalb wird im zweiten Schritt ${\displaystyle c=f_p*pr*g+f_p*f*mmodp=mmodp}$ korrekt berechnet.

Um die Multiplikation zu beschleunigen, können die Polynome ${\displaystyle f}$ und ${\displaystyle g}$ so gewählt werden, dass viele Koeffizienten Null sind. Dazu werden Parameter ${\displaystyle d_f,d_g}$ gewählt und bei der Wahl von ${\displaystyle f}$ werden ${\displaystyle d_f}$ Koeffizienten gleich 1, ${\displaystyle d_f-1}$ Koeffizienten gleich −1 und der Rest gleich 0 gesetzt. Bei der Wahl von ${\displaystyle g}$ werden ${\displaystyle d_g}$ Koeffizienten gleich 1, ${\displaystyle d_g-1}$ Koeffizienten gleich −1 und der Rest gleich 0 gesetzt (Bem.: Die Anzahl Einsen muss ungleich der Anzahl Minus-Einsen sein, weil das Polynom sonst nicht invertierbar ist).

Das Entschlüsseln wird effizienter, wenn man das Polynom ${\displaystyle f}$ nach der Formel ${\displaystyle f=1+p\cdot f_1}$ mit ${\displaystyle f_1\in {\mathbb{Z}}_p[X]}$ bildet. Da dann ${\displaystyle f_p^{-1}=1}$ gilt, entfällt die Berechnung der Inversen modulo ${\displaystyle p}$. Es ist jedoch bei der Parameterwahl darauf zu achten, dass das gewünschte Maß an Sicherheit erhalten bleibt, da ein Angreifer nun die Menge der ${\displaystyle f_1}$ durchsuchen kann.^[7]

Weiterhin kann man zur Beschleunigung der Multiplikation das Polynom ${\displaystyle f}$ nach der Formel ${\displaystyle f(x)=1+p(f_1(x)*f_2(x)+f_3(x)}$ bilden, wobei ${\displaystyle f_1}$, ${\displaystyle f_2}$ und ${\displaystyle f_3}$ sehr dünn besetzt sein können.^[7] An die Stelle des Parameters ${\displaystyle d_f}$ treten dann die drei Parameter ${\displaystyle d_{f1}}$, ${\displaystyle d_{f2}}$ und ${\displaystyle d_{f3}}$. Die Effizienzsteigerung ergibt sich dadurch, dass ${\displaystyle d_{f1}+d_{f2}+d_{f3}<d_f}$ gilt (${\displaystyle f_1*f_2+f_3}$ aber dennoch genügend Koeffizienten ungleich null hat) und deshalb mit ${\displaystyle f_1*f_2+f_3}$ schneller als mit ${\displaystyle f}$ multipliziert werden kann.

Schließlich kann ${\displaystyle p}$ statt einer Primzahl auch als Polynom gewählt werden, wobei ${\displaystyle p(x)=x+2}$ die günstigste Wahl ist.^[7] Diese Variante taucht aber nur in der älteren Literatur auf.

Es gibt für NTRUEncrypt keinen formalen Sicherheitsbeweis wie für andere kryptographische Verfahren, dennoch wird das Verfahren für hinreichend große Parameter für sicher gehalten. Anfang 2011 erschien eine Arbeit der Kryptologen Damien Stehlé und Ron Steinfeld, in der ein Sicherheitsbeweis für eine abgewandelte Form von NTRUEncrypt geführt wird.^[8]

Es sind verschiedene Angriffe auf NTRUEncrypt möglich. Der simpelste davon ist das Durchprobieren aller Polynome ${\displaystyle f}$, die für die Parameter ${\displaystyle N}$ und ${\displaystyle d_f}$ in Frage kommen. Ein effektiverer Angriff ist der Hälftenangriff (engl. Meet-in-the-middle-Attack), bei dem statt eines Polynoms der vollen Länge ${\displaystyle N}$ zwei Polynome mit nur ${\displaystyle N/2}$ Koeffizienten gleichzeitig durchprobiert werden. Dadurch benötigt dieser Angriff nur die Quadratwurzel der Anzahl der Schritte, die beim primitiven Durchprobieren ausgeführt werden. Noch effektiver ist eine Gitterreduktion, z. B. mittels des LLL-Algorithmus.

Der NTRUEncrypt-Kernalgorithmus bietet keine Sicherheit gegenüber Angreifern, die die Daten nach der Verschlüsselung manipulieren. Dies kann durch ein spezielles Padding behoben werden, anhand dessen der Empfänger manipulierte Chiffrate erkennen kann.

Es sind drei solcher Verfahren bekannt. SVES-1 und SVES-2 sind älter und gegen Angriffe, die Entschlüsselungsfehler ausnutzen, anfällig.^[9] SVES-3 behebt diese Schwächen und ist im P1363.1-Standard unter der Bezeichnung SVES beschrieben.

Ursprünglich wurden für die Länge von ${\displaystyle N}$ Werte zwischen 167 und 503 empfohlen, nach dem Bekanntwerden diverser Angriffe wurden die Empfehlungen aber entsprechend angepasst. Die folgenden Parameter^[10] werden allen derzeit bekannten (Stand 9/2011) Angriffen gerecht:

• Post-Quanten-Kryptographie

• Beschreibung des Algorithmus und empfohlene Parameter (Registrierung erforderlich)
• Beschreibung des Algorithmus (ohne Registrierung zugänglich) (PDF-Datei; 315 kB)
• NTRUEncrypt als Java-Quelltext
• Eine NTRUEncrypt-Implementation der TU Darmstadt ist per SVN mit dem Befehl
  svn co --username guest --password guest https://svn.cdc.informatik.tu-darmstadt.de/svn/repos/flexiprovider
  erhältlich (Der NTRU-Code befindet sich im Verzeichnis flexiprovider/trunk/FlexiProvider/src/de/flexiprovider/pqc/ntru/).