StephanM nkehues SWIFFT-Modifikationen,KorrekturvonOperm5 Diplomarbeit

Technische Universit¨at Darmstadt Fachbereich Informatik Kryptographie und Computeralgebra

Diplomarbeit

April 2011

SWIFFT-Modifikationen, Korrektur von Operm5

Stephan M¨onkehues

Technische Universit¨at Darmstadt Fachbereich Mathematik

Betreut durch Prof. Dr. Johannes Buchmann, Dr. Richard Lindner

Danksagung

Ich bedanke mich bei Prof. Dr. Johannes Buchmann, der es versteht Stu- denten wie mich f¨ur die Kryptographie zu begeistern. Ein besonderer Dank geht an Dr. Richard Lindner f¨ur seine gute Betreuung. Ich danke ihm auch daf¨ur, dass er es mir m¨oglich machte meine Diplomarbeit ¨uber solch ein interessantes Thema zu schreiben.

F¨ur das Suchen und Finden von Fehlern danke ich Patrick Schmidt und Dr. Michael Linker. Ein weiterer Dank geht an Prof. Robert G. Brown und Teeproduzenten in aller Welt.

Erkl¨ arung

Hiermit versichere ich, dass der Inhalt dieser Diplomarbeit Ergebnis mei- ner Arbeit ist und alle verwendeten Quellen angegeben sind. Diese Arbeit hat in gleicher oder ¨ahnlicher Form noch keiner Pr¨ufungsbeh¨orde vorgelegen.

Ort, Datum Unterschrift

Inhaltsverzeichnis

Einleitung 1

1 Gitter und Berechnungsprobleme 2

2 Number-Theoretic Transform 5

3 SWIFFT 11

3.1 SWIFFT in SWIFFTX . . . 12

4 NTT-Algorithmen 14 4.1 Cooley-Tukey-Algorithmus . . . 14

4.2 Konstruktion des Cooley-Tukey-Netzwerks . . . 16

4.3 Beispiele von Cooley-Tukey-NTT-Netzwerken . . . 18

4.4 Rechenaufwand f¨ur Cooley-Tukey . . . 21

4.5 Radix-4, Split-Radix . . . 22

4.6 Rechenaufwand f¨ur einen 3-er NTT . . . 23

4.7 Primfaktor-NTT . . . 24

5 NTT in mehreren Dimensionen 26 5.1 Multidimensionaler NTT vs. Cooley Tukey . . . 29

6 NTT-Ebenen vorbechnen 30 6.1 Geschwindigkeitsvergleich . . . 32

7 Tests auf Zuf¨alligkeit 34 7.1 Wahrscheinlichkeitstheorie . . . 34

7.2 Testbeschreibungen . . . 38

7.3 Marsaglias Diehard Testsuite . . . 44

7.4 Dieharder Testsuite . . . 46

8 Korrektur von Operm5 48 8.1 Abh¨angigkeiten von sich ¨uberlappenden Zufallsvariablen . . . 48

8.2 Marsaglias Weg . . . 50

8.3 Berechnung der Kovarianzmatrix . . . 52

8.4 Funktionserl¨auterungen . . . 56

Ausblick 60

Literatur 62

A NTT-Code 63

B Operm5-Code 69

Einleitung

In einer mehr und mehr vernetzten Welt wird die Kryptographie immer wichtiger. Nicht zuletzt durch vermehrtes Cloud-Computing wird ihre An- wendung auch in Zukunft weiter zunehmen. Wird sie z.B. in Smartcards, Au- tofunkschl¨usseln usw. eingesetzt, wird sie oft gar nicht mehr wahrgenommen.

Viele kryptographische Verfahren verwenden Hashfunktionen. Einsatzfelder f¨ur Hashfunktionen sind z.B. Integrit¨atspr¨ufungen oder digitale Signaturen.

Diese Arbeit besch¨aftigt sich mit ihrer Verwendung als Pseudozufallsgenera- tor. F¨ur viele Kryptosysteme sind Zufallszahlen, oder meist Pseudozufalls- zahlen grundlegend. So wie das beste T¨urschloss nicht viel wert ist, falls jeder F¨unfte das gleiche T¨urschloss mit demselben Schl¨ussel besitzt, sind die besten Kryptosysteme nicht viel wert, falls geheime Schl¨ussel nicht (pseudo- )zuf¨allig gew¨ahlt werden. Um die G¨ute von Zufallszahlen beurteilen zu k¨on- nen, sind Zufallstests sehr hilfreich.

Der erste Teil dieser Arbeit besch¨aftigt sich mit SWIFFT, dem Hauptbau- stein der Hashfunktion SWIFFTX. SWIFFTX wurde von Vadim Lyubas- hevsky, Daniele Micciancio, Chris Peikert und Alon Rosen entworfen und war ein SHA-3-Kandidat, ist aber leider ausgeschieden. Allerdings nicht wie viele andere Kandidaten, weil sie gebrochen wurde, sondern weil sie im Ver- gleich zu den jetzigen Finalisten langsamer ist. Es wird gezeigt, wie man SWIFFT bei bleibender Effizienz noch flexibler und damit interessanter ma- chen kann.

Dazu wird in Kapitel 1 zun¨achst eine kurze Einf¨uhrung in die Gittertheo- rie gegeben. Kapitel 2 und 3 stellen denNumber-Theoretic Transform(N T T) vor und wie man mit ihm Polynommultiplikationen und somit SWIFFT be- rechnen kann. Die Kapitel 4, 5 und 6 zeigen wie man den N T T geschickt und effizient berechnen kann.

Der zweite Teil behandelt Zufallstests. Hauptbestandteil hierbei ist die Kor- rektur von Operm5, einem der vorgestellten Zufallstests. Er ist in den Test- suitendieharder von Robert G. Brown, und dem Vorg¨angerdiehard von Ge- orge Marsaglia enthalten. Ergebnis ist ein neuer Rechenweg, die tats¨achliche Berechnung und daraus resultierend ein neuer Quellcode, der inzwischen in der aktuellendieharder-Version enthalten ist.

Kapitel 7 enth¨alt eine Einf¨uhrung in die Wahrscheinlichkeitstheorie, stellt Test-Suiten und deren Zufallstests vor und wendet diese auf SWIFFTX an.

Kapitel 8 enth¨alt die Theorie und die zur Korrektur von Operm5 n¨otigen Berechnungen.

1 Gitter und Berechnungsprobleme

Dieses Kapitel soll lediglich eine knappe Einf¨uhrung in die f¨ur diese Arbeit relevante Gittertheorie darstellen. Als Quellen dienten Kapitel 6 des Skripts von Prof. Alexander May zur Kryptoanalyse [14] und das Skript zur Vorle- sung ”Post-Quantum Cryptography“ von Prof. Buchmann, geschrieben von Patrick Schmidt [17].

Definition 1.1 (Gitter). Ein Gitter ist eine diskrete abelsche Untergruppe des Rⁿ.

Definition 1.2 (Gitter,Gitterdimension). Seienb1, b2, ..., b_d∈Rⁿ linear un- abh¨angige Vektoren. Dann ist

L= (

v∈Rⁿ

d

X

i=1

a_i·b_i, a_i∈Z )

ein Gitter mit Dimensiond.

Die Matrix B = {b₁, b2, ..., bd} wird auch als Basis von L bezeichnet. Ein mehrdimensionales Gitter hat unendlich viele Basen.

Definition 1.3 (λ_i(L)). SeiLein Gitter mit Dimensiond. Dasi-te sukzes- sive Minimum λi(L) von L ist der minimale Radius des Balls (der Sph¨are) um Null, der ilinear unabh¨angige Vektoren enth¨alt.

Es ist im Allgemeinen schwierig die sukzessiven Minima auszurechnen.

Definition 1.4 (SVP). Das shortest vector problem (SVP) ist wie folgt definiert: Gegeben eine BasisBeines GittersL. Findex∈Lmitkxk ≤λ1(L) und x6= 0.

Das Problem besteht also darin, einen k¨urzesten Vektor des Gitters zu finden. Hat man eine , gute‘ Basis, ist es einfach einen k¨urzesten Vektor abzulesen. Hat man allerdings eine ,schlechte‘ Basis, ist es schwer.

Ajtais Reduktion Ajtai bewies, dass man das Problem einen kurzen Vek- tor in irgend einem Gitter der Dimensiondzu finden auf das Problem einen kurzen Vektor in einem zuf¨alligen Gitter der Dimension m d zu finden reduzieren kann.

Theorem 1.5. Falls es einfach ist einen kurzen Vektor in einem zuf¨alligen Gitter der Dimension m d zu finden, dann ist es einfach einen kurzen Vektor in allen Gittern der Dimension dzu finden.

Beweis. Ajtai konstruierte eine Kompressionsfunktionf, die kolissionsresis- tent ist, falls dasSVP in einigen Gittern der Dimension m hart ist. W¨ahle hierzu positive Zahlend, q, e, m ∈N mitdsehr klein und m ^d·log_log ^2(q)

2(e) und eine zuf¨allige MatrixA∈Z^d×mq . Die Kompressionsfuntion ist dann gegeben durch

f_A:Z^me →Z^dq :x7→Ax (mod q).

Da x ∈Z^m_e die Bitl¨ange m·log₂(e) und Ax (modq) ∈ Z^d_q die Bitl¨ange d·log₂(q)< m·log₂(e) hat, istf eine Kompressionsfunktion.

Findet man nun eine Kollision von f_A, hat man x₁, x₂ ∈ Z^me mit Ax₁ = Ax₂ (modq) gefunden. Also gilt A(x₁−x₂) = 0 (mod q). Der Vektor y = (y1, y2, ..., yd) = x1−x2 ist kurz, da |y_i| ≤ e und somit (nach euklidischer Norm) |y| ≤ p

(e−1)²+ (e−1)²+...+ (e−1)² = p

d·(e−1)². W¨ahlt man e = 2, erh¨alt man also |y| ≤ 1. Die Menge L = {y ∈ Z^m|Ay = 0 (modq)} ist ein Gitter, da die L¨osungen diskret sind und mit y1 ∈ L und y₂∈Lauch y₁+y₂ inLliegt.

Definition 1.6 (Ideale Gitter). Sei R = Z[x]/(f) ein Ring modulo einem monischen Polynom f =a₀·x⁰ +a₁·x¹ +...+a_d·x^d vom Grad d. Da R isomorph zuZ^d und eine additive Gruppe ist, ist R auch ein Gitter. Gitter dieser Form heißen Idealgitter.

Der Ring R ist isomorph zu Z^d, also R^md (m passend) isomorph zu Z^m. Werden die Koeffizienten von R modulo q gerechnet, schreiben wir hierf¨ur Rq. F¨ur Rq gilt Rq ∼= Z^dq. ¨Ubertr¨agt man Ajtais Konstruktion einer Kom- pressionsfunktion auf ideale Gitter, so erh¨alt man

f_a0,a1,...,am

d−1 : Z^me ∼=R

m

ed −→ R_q ∼=Z^dq

: (x0, x1, ..., x^m

d−1) 7−→ P^m_d⁻¹

i=0 ai·xi (mod q) Ein Vorteil von fa0,a1,...,am

d−1 gegen¨uber fA ist, dass man zu seiner Re- pr¨asentation weniger Elemente und somit weniger Speicherplatz ben¨otigt.

F¨ur f_A werden m·dElemente aus Zq ben¨otigt. F¨ur f_a0,a1,...,am

d−1 hingegen langen ^m_d Elemente ausRq, gleichzusetzen mitm Elementen aus Zq.

Wir m¨ochten jedoch ein gr¨oßeres Augenmerk auf die Geschwindigkeit der Berechnungen vonf_Aund f_a0,a1,...,am

d−1 legen.

Zur Erinnerung: O ist eines der Landau-Symbole (

”Big O Notation“).

Seienf und g reellwertige Funktionen, dann istO wie folgt definiert:

f ∈ O(g)⇐⇒0≤lim sup

x→∞

f(x) g(x)

<∞

Umf_Azu berechnen werden durch das Multiplizieren der MatrixAanx insgesamt O(m·d) Rechenschritte gebraucht. F¨ur fa0,a1,...,am

d−1 fallen kon- servativ ^m_d Polynommultiplikationen an. Pro Polynommultiplikation ergeben sich (d·d) Multiplikationen und Additionen, was ebenfalls zu einer Gesamt- laufzeit von O(m·d) f¨uhrt.

Im folgendem Kapitel wird der Number-Theoretic Transform vorgestellt, und wie man mit ihm Polynommultiplikationen der Form (a₀, a₁, ..., ad−1)· (x0, x1, ..., xd−1) (mod q) durchf¨uhren kann. In Kapitel 4 werden effiziente Algorithmen vorgestellt, mit denen es m¨oglich ist, die Polynommultiplikation mit einer Laufzeit von O(d·log(d)) zu berechnen.

2 Number-Theoretic Transform

Der Number-Theoretic Transform (N T T) ist dem Discrete Fourier Trans- form (DF T) ¨ahnlich, einer Form der Fourier-Transformation, die ein wich- tiges Werkzeug in der digitalen Signalverarbeitung ist. Im Gegensatz zum DFT operiert derN T T aber nicht auf komplexen Zahlen, sondern auf gan- zen Zahlen modulo einer Zahlp (nicht notwendig prim).

Ziel dieses Kapitels ist zu zeigen, wie man Polynommultiplikationen der Formg(α)·h(α) = (g₀·α⁰, g₁·α¹, ..., gd−1·α^d−1)·(h₀·α⁰, h₁·α¹, ..., hd−1· α^d−1) (modp) mithilfe desN T Ts berechnen kann. Es wird inZp gerechnet, f¨ur eine bessere Lesbarkeit und aus Platzgr¨unden wird aber das , (modp)‘

weggelassen.

Definition 2.1. (Number-theoretic transform (N T T)). Seien p∈N und γ so gew¨ahlt, dassord(γ) =d (modp) und die Inversed⁻¹ (modp) existiert.

Weiter sei x = (x₀, ..., xd−1) ∈ Z^d_p. Dann hat N T T(x) die Ordnung d und ist ein Vektor mit

N T T(x) :Z^d_p →Z^d_p :N T T(x)i=

d−1

X

k=0

xk·γ^i·k.

f¨ur 0< i < d−1.

Theorem 2.2. Der N T T ist bijektiv, f¨ur seine Inverse N T T⁻¹ gilt:

N T T⁻¹(y)j =d⁻¹·

d−1

X

i=0

yi·(γ⁻¹)^j·i Beweis.

(N T T⁻¹(N T T(x)))j =d⁻¹·

d−1

X

i=0 d−1

X

k=0

xk·γ^i·k

!

·(γ⁻¹)^j·i

=d⁻¹·

d−1

X

i=0 d−1

X

k=0

x_k·(γ^k−j)ⁱ

!

=d⁻¹·

d−1

X

k=0

x_k

d−1

X

i=0

(γ^k−j)ⁱ

!

F¨ur k=j (mod d) gilt

d−1

X

i=0

(γ^k−j)ⁱ=

d−1

X

i=0

1ⁱ =d.

Behauptung: F¨ur k6=j (modd) istPd−1

i=0(γ^k−j)ⁱ= 0.

1 +γ^k−j·

d−1

X

i=0

(γ^k−j)ⁱ= 1 +·

d

X

i=1

(γ^k−j)ⁱ

1 +γ^k−j·

d−1

X

i=0

(γ^k−j)ⁱ= (γ^k−j)⁰+

d−1

X

i=1

(γ^k−j)ⁱ+ (γ^k−j)^d

1 +γ^k−j·

d−1

X

i=0

(γ^k−j)ⁱ=

d−1

X

i=1

(γ^k−j)ⁱ+ 1

γ^k−j·

d−1

X

i=0

(γ^k−j)ⁱ=

d−1

X

i=1

(γ^k−j)ⁱ

(γ^k−j−1)·

d−1

X

i=0

(γ^k−j)ⁱ= 0

Aus γ^k−j 6= 1 folgt die Behauptung. Setzt man beides ein, folgt die Inverse:

(N T T⁻¹(N T T(x)))_j =d⁻¹·

d−1

X

k=0

x_k

d−1

X

i=0

(γ^k−j)ⁱ

!

=d⁻¹·x_j·d

=x_j

Definition 2.3. (Cauchy-Produkt). Das Cauchy-Produkt ist ein spezieller Fall der zyklischen, diskreten Faltung, weswegen sie auch Cauchy-Faltung genannt wird. Seien g = P∞

k=0g_k und h = P∞

k=0h_k unendliche Reihen.

Dann ist die Cauchy-Produktreihe definiert durch:

c=

∞

X

k=0

c_k mitc_k=

k

X

l=0

g_lhk−l

Man schreibt f¨ur die (Cauchy-)Faltung auch c=g∗h.

Der Fall, der uns interessiert, ist das Cauchy-Produkt von (endlichen) Potenzreihen. Seien g und h Polynome vom Grad kleiner gleich (d−1), repr¨asentiert durch die Folgen ihrer Koeffizienten: g = (g0, g1, ..., gd−1) und h= (h0, h1, ..., hd−1). Die Folgenglieder sind nach ihrem ,Grad‘ aufsteigend geordnet, also g(α) = g₀·α⁰+g₁·α¹+...+gd−1·α^d−1. Die Koeffizienten von c=g·hentsprechen der Folge vonc=g∗h. Es giltgrad(c)≤(d−1) + (d−1) = 2(d−1), also langen uns die ersten (2d−1) Folgenglieder von c.

Sind durch Anforderungen an denN T T nur bestimmte Ordnungen m¨oglich, nehmen wir die kleinstm¨ogliche Ordnung die gr¨oßer gleich (2d−1) ist. Wir w¨ahlen die Ordnung 2d.

F¨ur den n¨achsten Satz ben¨otigen wir, dass die Repr¨asentationen von g, h undc, alsog,hundc, die gleiche L¨ange haben. Wir f¨ullengundhmit Nullen auf 2dFolgenglieder auf. Dies ergibt z.B. g= (g₀, g₁, ..., gd−1,0, ...,0).

Theorem 2.4. Seic=g∗h, außerdemω ein Element mit Ordnungn= 2d und p eine Primzahl mit (p−1) einem Vielfachen von n. Dann wird die Faltung unter demN T T zu einer Multiplikation:

N T T(c) =N T T(g)N T T(h),

wobei die elementweise Multiplikation ist.

Beweis.

Wir zeigen:N T T(c)i =N T T(g)i·N T T(h)i

N T T(c)_i =

n−1

X

k=0

(c_k)·ω^i·k

=

n−1

X

k=0 k

X

l=0

g_l·hk−l

!

·ω^i·k

N T T(g)i·N T T(h)i =

n−1

X

l=0

g_l·ω^i·l

!

·

n−1

X

k=0

h_k·ω^i·k

!

=

n−1

X

k=0

h_k·ω^i·k·

n−1

X

l=0

g_l·ω^i·l

!

=

n−1

X

k=0 n−1

X

l=0

gl·hk·ω^i·(l+k)

!

Umsortieren liefert

=

n−1

X

k=0 n−1

X

l=0

g_l·h_{k−l (modn)}·ω^{i·(l+(k−l (modn)))}

!

N T T(g)_i·N T T(h)_i =

n−1

X

k=0 n−1

X

l=0

g_l·h_{k−l (modn)}·ω^i·k

!

Behauptung: Wir k¨onnen annehmen, dassl≤k.

=

n−1

X

k=0 k

X

l=0

gl·hk−l (modn)·ω^i·k

!

=N T T(c)_i

Beweis zur Behauptung: Falls l > k ist, dann ist k−l <0. F¨ur −(d−1)<

k−l <0 ist hk−l(modd) = 0. F¨ur k−l <(d−1) istl >(d−1) und somit g_l= 0. Wir k¨onnen also annehmenl≤k.

Folglich gilt c = N T T⁻¹(N T T(g)N T T(h)) = (c₀, c₁, ..., c2d−1), was unser gesuchtes Polynom c(α) = c₀·α⁰+...+c2d−1 ·α^2d−1 = g(α)·h(α) repr¨asentiert.

Anmerkung: M¨ochte man nicht, dass bei der Polynommultiplikation mo- dulo p gerechnet wird, kann man dies umgehen, indem man p groß genug w¨ahlt.

Rechnet man zus¨atzlich noch modulo α^d + 1, ist es ausreichend mit N T Ts der Ordnung d zu rechnen. Dazu ben¨otigen wir eine andere Re- pr¨asentation der Polynome. Sei ω weiterhin ein Element mit Ordnung 2d, dann repr¨asentieren wir g(α) = g₀α⁰ +g₁α¹ + ...+ gd−1α^d−1 statt mit g= (g₀, ..., gd−1,0, ...,0) mit ˆg= (g₀·ω⁰, ..., gd−1·ω^d−1,0, ...,0) (und analog h).

Theorem 2.5. F¨ur die zyklische Faltung von ˆg und ˆh gilt

ˆ g∗ˆh=

d−1

X

k=0 d−1

X

l=0

ˆ

gl·hˆk−l (modd)

!

Beweis.

ˆ g∗ˆh=

n−1

X

k=0 k

X

l=0

ˆ g_l·ˆhk−l

!

=

n−1

X

k=0 k

X

l=0

g_l·ω^l·hk−l·ω^k−l

!

=

d−1

X

k=0 k

X

l=0

g_l·h_k−l·ω^k

! +

2d−1

X

k=d k

X

l=0

g_l·h_k−l·ω^k

!

ˆ g∗hˆ =

d−1

X

k=0 k

X

l=0

gl·h_k−l·ω^k

! +

d−1

X

k=0 k+d

X

l=0

gl·h_k+d−l·ω^k+d

!

F¨ur l≤kist h_k+d−l= 0.

=

d−1

X

k=0 k

X

l=0

g_l·h_k−l·ω^k

! +

d−1

X

k=0 k+d

X

l=k+1

g_l·h_k+d−l·ω^k+d

!

Und f¨ur l≥dist g_l= 0.

=

d−1

X

k=0 k

X

l=0

gl·h_k−l·ω^k

! +

d−1

X

k=0 d−1

X

l=k+1

gl·h_k+d−l·ω^k+d

!

=

d−1

X

k=0 k

X

l=0

g_l·h_k−l·ω^lω^k−l

! +

d−1

X

k=0 d−1

X

l=k+1

g_l·h_k+d−l·ω^lω^k+d−l

!

=

d−1

X

k=0 k

X

l=0

g_l·h_{k−l (modd)}·ω^lω^{k−l (modd)}

!

+

d−1

X

k=0 d−1

X

l=k+1

g_l·h_{k−l (modd)}·ω^lω^{k−l (modd)}

!

=

d−1

X

k=0 d−1

X

l=0

g_l·h_{k−l (modd)}·ω^lω^{k−l (modd)}

!

=

d−1

X

k=0 d−1

X

l=0

ˆ

g_l·ˆh_{k−l (modd)}

!

Seienc(α) =g(α)·h(α) (mod α^d+ 1) undcˆ=gˆ∗ˆh. Daω^d=−1 ist, gilt ˆ

c = (c0ω⁰, c1ω¹, ..., cd−1ω^d−1). Da ω invertierbar ist (siehe unten), k¨onnen wir daraus die Koeffizienten vonc(α) erhalten.

ω^2d = 1

⇐⇒ ω·ω^2d−1 = 1

⇐⇒ ω⁻¹ = ω^2d−1 Und damit ist ω invertierbar!

Da p nicht prim sein muss, ist nicht gegeben, dass alle Zahlen Inversen haben.

Nun k¨onnen wir zeigen, dass die Faltung ˆg∗ˆh unter einem nur halb so großenN T T wie in Theorem 2.5 zur Multiplikation wird.

Theorem 2.6. Sei ω ein Element mit Ordnung 2d und γ ein Element mit Ordnung d(z.B. γ =ω²). Seien weiter

ˆ

g= (g0ω⁰, g1ω¹, ..., gd−1ω^d−1), ˆh= (h0ω⁰, h1ω¹, ..., hd−1ω^d−1) und cˆ=gˆ∗ˆh mit cˆ_k =

d−1

X

l=0

ˆ

g_l·ˆhk−l modd.

Dann wird die Faltung ˆg∗ˆhunter einem N T T mit Ordnung d zu einer Multiplikation:

N T T(ˆc) =N T T(ˆg)N T T(ˆh) Beweis. Wir zeigen

N T T(ˆc)_i =N T T(ˆg)_i·N T T(ˆh)_i.

N T T(ˆg)i·N T T(ˆh)i =

d−1

X

k=0

ˆ gk·γ^ik·

d−1

X

l=0

ˆhl·γ^il

=

d−1

X

l=0 d−1

X

k=0

ˆhl·gˆk·γ^ik·γ^il

!

=

d−1

X

l=0

d−1−l

X

k=−l

ˆ

g_{k (modd)}·hˆl·γ^{i(k+l (modd))}

!

=

d−1

X

l=0 d−1

X

k=0

ˆ

g_{k−l (modd)}·hˆ_l·γ^{i(k+l−l (modd))}

!

=

d−1

X

k=0 d−1

X

l=0

ˆ

g_{k−l (modd)}·hˆ_l·γ^ik

!

=

d−1

X

k=0

ˆ c_k·γ^ik

=N T T(ˆc)i

Wir erhalten ˆ

c=N T T⁻¹(N T T(ˆg)N T T(ˆh)) = (ω⁰c₀, ω¹c₁, ..., ω^d−1cd−1).

Und da ω invertierbar ist erhalten wir darausc mitc=g·h (modα^d+ 1).

3 SWIFFT

Die Existenz desN T Ts und Ajtais Idee machten sich Vadim Lyubashevsky, Daniele Micciancio, Chris Peikert und Alon Rosen zu eigen und entwar- fen die Kompressionsfunktion SWIFFT. Aufbauend auf SWIFFT entwarf die Gruppe, erweitert um Yuriy Arbitman und Gil Dogon, die Hashfunk- tion SWIFFTX. Die Bewerbungsunterlagen von SWIFFTX f¨ur die SHA3- Stelle mit umfangreicher Dokumentation sind ¨offentlich [2]. Die Autoren von SWIFFT hatten die Idee Ajtais Kompressionsfunktion mit der Hilfe des N T Ts zu berechnen. Mit effizienten N T T-Algorithmen ist es so m¨oglich gegen¨uber der normalen Berechnung deutlich schneller zu sein.

Seideine Potenz von 2,m >0 eine ganze Zahl undpeine Primzahl. Wir definieren den RingRp =Zp[α]/(α^d+ 1). Seien weitera1,a2, ...,am zuf¨allig gew¨ahlte Elemente ausR. Dann ist eine SWIFFT-Funktion durch

f_m,d,p :R^m₂ −→ R_p

: (x1,x2, ...,xm) 7−→ c:=

m

X

i=1

(ai·xi)

definiert. Die x_i sind Elemente aus R_p mit bin¨aren Koeffizienten. Die SWIFFT-Funktionen sind also Kompressionsfunktionen f¨ur ideale Gitter.

Die Idee war diem Polynommultiplikationen ai·xi mithilfe des vorgestell- ten N T Ts durchzuf¨uhren. Sei dazu ω ein Element mit Ordnung 2d. Dann schreiben wir wieder ˆc=ω⁰c₀+ω¹c₁+...+ω^d−1cd−1 f¨ur das Polynom, des- sen Koeffizienten mit Potenzen von ω multipliziert werden. F¨ur den N T T verwenden wir ein beliebigesγ mit Ordnung d, z.B.ω². Dann gilt

m

X

i=1

(a_i·x_i)∼=ˆc=

m

X

i=1

N T T⁻¹(N T T(ˆa_i)N T T(xˆ_i))

Wir erinnern uns, dass die Schwierigkeit darin besteht ein Urbild f¨ur gegebenes c zu finden. Da der N T T bijektiv ist, ist a_i·x_i schon eindeutig durch (N T T(a_i)N T T(x_i)) bestimmt. Da uns dies langt, k¨onnen wir den inversenN T T weglassen.

m

X

i=1

(a_i·x_i)∼=

m

X

i=1

(N T T(ˆa_i)N T T(xˆ_i)) Mitaei=N T T(ˆai) wird daraus

m

X

i=1

(ai·xi)∼=

m

X

i=1

(aeiN T T(ˆxi)).

Da jedes Polynom ai zuf¨allig gew¨ahlt werden soll, ist auch N T T(ˆai) zuf¨allig. Daher kann man genauso gut ae_i zuf¨allig w¨ahlen. Wir erhalten die Funktion

g_m,d,p:R^m₂ −→ R_p

: (x₁,x₂, ...,x_m) 7−→

m

X

i=1

(ae_iN T T(ˆx_i)).

3.1 SWIFFT in SWIFFTX

In SWIFFTX wurden die Parameter d= 64, m= 32 undp = 257 gew¨ahlt.

Gerechnet wird in Rp =Zp[α]/(α^d+ 1). Eingabe ist eine m·d-Bit-Matrix, die die m x_i-Polynome repr¨asentiert. Da unsere Koeffizienten bin¨ar sind, entspricht dies 2048 Bit.

Eingabematrix:







x_0,0 · · · x_0,31 ... . .. ... x_63,0 · · · x_63,31







Um einenN T T mit Ordnungdverwenden zu k¨onnen, ben¨otigen wir ein Element ω mitord(ω) = 2d= 128. In SWIFFTX ist diesω = 42 (mehr zur Wahl vonωim Kapitel 6 ¨uber Vorberechnungen). Es folgt die Multiplikation der Zeilen mit ωⁱ inZ257:









 ˆ

x_0,0 · · · xˆ_0,31 ˆ

x1,0 · · · xˆ1,31

... . .. ... ˆ

x63,0 · · · xˆ63,31











=











x_0,0·ω⁰ · · · x_0,31·ω⁰ x1,0·ω¹ · · · x1,31·ω¹

... . .. ... x63,0·ω⁶³ · · · x63,31·ω⁶³











(mod p)

Wir bezeichnen die Spalte (x0,i·ω⁰, x1,i·ω¹, ..., x63,i·ω⁶³)^T mitxˆi. Der NTT-Part: F¨ur den N T T wirdγ =ω² mitord(γ) = 64 verwendet.

Der N T T-Algorithmus wird auf die Spalten der Matrix angewendet. F¨ur j = 0, ...,31 sei

F^(j)=N T T(ˆxj).

Das heißt

F_i^(j)=N T T(xˆ_j)_i =

63

X

k=0

ˆ

x_j,k·γ^ik =

63

X

k=0

ω^k·x_j,k·ω^2·ik=

63

X

k=0

x_j,k·ω^(2i+1)k.

3.1 SWIFFT in SWIFFTX

Im letzten Schritt wird aufsummiert und man erh¨alt z=

31

X

j=0

ae_jF^(j) also z_i =

31

X

j=0

af_i,j·F_i^(j).

Dieaf_i,j wurden in SWIFFTX aus den ersten Stellen von π gewonnen.

4 NTT-Algorithmen

Der Fast Fourier Transform (FFT) ist ein effizienter Algoritmus zur Berech- nung des DFTs. Die bekannteste Variante wurde im Jahre 1965 von James Cooley und John Wilder Tukey in [5] ver¨offentlicht. Allerdings wurde er schon 1805 von Carl Friedrich Gauß verwendet um Flugbahnen von Asteroi- den zu berechnen [7]. M¨oglicherweise war ihm das Konzept zu simpel und zu selbstverst¨andlich um es zu ver¨offentlichen [8].

Wir m¨ochten die Architektur des FFTs nutzen und auf den N T T an- wenden. Ziel ist eine Laufzeit von O(log(d)d) stattO(d²). In diesem Kapitel steht γ f¨ur ein Element der Ordnung d in Zp. Der ¨Ubersicht halber lassen wir das (mod p) bei den Berechnungen weg.

AlleFFT-Algorithmen haben gemein, dass sie ,Teile-und-herrsche‘-Verfahren verwenden. Es wird hierbei ausgenutzt, dass beim Berechnen eines N T Ts (des N T T-Vektors) viele Rechnungen mehrmals anfallen.

4.1 Cooley-Tukey-Algorithmus

Der StandardFFT ist der Cooley-Tukey-Algorithmus, der auch als Radix-2 bezeichnet wird. Im Cooley-Tukey-Algorithmus wird der N T T rekursiv in halb so großeN T Ts zerlegt. Seiddurch zwei teilbar:

N T T(x)i =

d−1

X

k=0

xk·γ^i·k

=

(d/2)−1

X

k=0

x_2k·γ^i·2k +

(d/2)−1

X

k=0

x_2k+1·γ^i·(2k+1)

=

(d/2)−1

X

k=0

x_2k·(γ²)^i·k + γⁱ

(d/2)−1

X

k=0

x_2k+1·(γ²)^i·k Anmerkung: γ ist ein Element mit Ordnung d, also ist γ² ein Element mit Ordnung ^d₂.

Ist nun d= 2^e l¨asst sich dieser Schrittemal wiederholen. Wir erhaltene+ 1 ,Ebenen‘. Sei hierbei E^e die Ebene mit dem N T T mit Ordnung d. In der EbeneE^e−rsind dann 2^rN T Ts der Ordnung 2^(e−r). Nun l¨asst sichN T T(x)i

berechnen, indem man nacheinander E⁰, E¹, ..., E^e berechnet. Wie groß ist dann der Rechenaufwand um N T T(x)_i zu berechnen?

Cooley-Tukey f¨ur einen Koeffizienten von NTT Ein N T T wird er- setzt durch zwei halb so große N T Ts, eine Addition (der zwei N T Ts) und eine Multiplikation (Vorfaktor vor dem zweitenN T T). Es ergeben sich (falls d >4) f¨urd= 2^einsgesamte+ 1 Ebenen, alsoeUberg¨¨ ange von einer Ebene E^r zuE^r+1 mit insgesamt

4.1 Cooley-Tukey-Algorithmus

2⁰·(1 Add.,1 Mult.) + 2¹·(1 Add.,1 Mult.) + 2²·(1 Add.,1 Mult.) +...+ 2^e−1·(1 Add.,1 Mult.)

=

e−1

X

k=0

2^k(1 Add.,1 Mult.)

= 1−2^e

1−2 (1 Add.,1 Mult.)

= 2^e−1

(1 Add.+1 Mult.)

=

2^log2(d)−1

(1 Add.+1 Mult.)

= (d−1) (1 Add.+1 Mult.)

Additionen und Multiplikationen. Man kann je nach i von N T T_i noch Multiplikationen sparen. Zum einen l¨asst sich γ^d/2 durch ein Minus ersetzen und zum anderen k¨onnen Faktoren ganz wegfallen. So fallen f¨ur i = 0 alle Faktoren weg, w¨ahrend f¨ur i = 1 nur ein Faktor durch ein (−1) ersetzt werden kann. Interessanter ist allerdings der Fall, in dem alle Koeffizienten berechnet werden sollen.

Ausnutzen der NTT-Perioden M¨ochte man den ganzen VektorN T T(x) berechnen, so lassen sich viele Rechenschritte sparen. Um nun zu sehen, wo gleiche Zwischenergebnisse anfallen, vergleichen wir f¨uri≤(^d₂ −1) die Auf- spaltung vonN T T(x)i undN T T(x)_i+^d

2: N T T(x)i =

(d/2)−1

X

k=0

x_2k·(γ²)^i·k + γⁱ

(d/2)−1

X

k=0

x_2k+1·(γ²)^i·k (1) N T T(x)_i+d

2 =

(d/2)−1

X

k=0

x_2k·(γ²)^(i+d2)·k+γ^i+d2

(d/2)−1

X

k=0

x_2k+1·(γ²)^(i+d2)·k

=

(d/2)−1

X

k=0

x_2k·(γ²)^i·k +γ^i+d2

(d/2)−1

X

k=0

x_2k+1·(γ²)^i·k (2) Die Unter-N T Ts sind exakt dieselben, da γ² Ordnung d/2 hat. Der Vorfaktor des zweiten Terms l¨asst sich zu γ^i+d/2 = γⁱ ·γ^d/2 = γⁱ ·(−1) umschreiben. Haben wir die zweite Summe P(d/2)−1

k=0 x_2k+1·(γ²)^i·k berech- net, k¨onnen wir sie mit γⁱ multiplizieren und einmal zur ersten Summe P(d/2)−1

k=0 x2k·(γ²)^i·k addieren und einmal subtrahieren, um N T T(x)i und N T T(x)_i+d

2 zu erhalten.

Um die Bedeutung der Vorfaktoren besser nachzuvollziehen, spalten wir N T T(x)_i noch weiter auf:

N T T(x)_i=

(d/2)−1

X

k=0

x_2k·(γ²)^i·k +γⁱ

(d/2)−1

X

k=0

x_2k+1·(γ²)^i·k

=

(d/4)−1

X

k=0

x4k·(γ²)^i·2k +

(d/4)−1

X

k=0

x4k+2·(γ²)^i·(2k+1)

!

+γⁱ

(d/4)−1

X

k=0

x_4k+1·(γ²)^i·(2k)+

(d/4)−1

X

k=0

x_4k+3·(γ²)^i·(2k+1)

!

=

(d/4)−1

X

k=0

x_4k·(γ⁴)^i·k + γ²ⁱ

(d/4)−1

X

k=0

x_4k+2·(γ⁴)^i·(k)

!

+γⁱ

(d/4)−1

X

k=0

x_4k+1·(γ⁴)^i·k + γ²ⁱ

(d/4)−1

X

k=0

x_4k+3·(γ⁴)^i·k

!

Analog zu der vorherigen Aufspaltung l¨asst sich feststellen, dass f¨ur i≤

d

4 −1 die Unter-N T Ts f¨ur i, i+ ^d₄, i+ ^d₂ und i+^3d₄ ¨ubereinstimmen.

4.2 Konstruktion des Cooley-Tukey-Netzwerks

Wir ben¨otigen hierf¨ur einige Notationen. Sei wie gewohnt i ∈ {0,1, ..., d− 1} ={0,1, ...,2^e−1}. Dann sei i_2fdie Bin¨ardarstellung von i mit L¨angee, also gegebenenfalls mit f¨uhrenden Nullen (Bsp.: f¨ur e= 5 gilt 9_2f= 01001).

Wir fasseni_2fauch als Vektor auf (Bsp.: 9_2f(0) = 0, 9_2f(1) = 1).

Wir definieren f¨ur r und j <2^r

x^r_j := (xj+0·2^r, xj+1·2^r, ..., x_j+(2^e−r_−1)·2r) Beispiele:

x⁰₀ = (x0, x1, ..., xd−1) x¹₀ = (x₀, x₂, ..., xd−2) x¹₁ = (x1, x3, ..., xd−1)

x^e−1₃ = (x₃, x₃₊₍₂e−(e−1)−1)·2^e−1) = (x₃, x₃₊₂^e−1) = (x₃, x₃₊d 2

)

Wir k¨onnen also 2^r als Sprungweite und j als Startwert ansehen. Die Zahl der Elemente von x^r_j ist demzufolge 2^e−r.

Weiter ist N T T(x^r_j) ein N T T der Ordnung 2^e−r, welcher γ^(2r) als Ele- ment der Ordnung 2^e−r verwendet.

4.2 Konstruktion des Cooley-Tukey-Netzwerks

Seii <2^e−(r+1) und j <2^r. Dann folgt analog zu (1) und (2) f¨ur das Paar i, i+ 2^e−(r+1)

N T T(x^r_j)i =N T T(x^r+1_j )i+

γ^(2r) i

N T T(x^r+1_j+2r)i (3) und

N T T(x^r_j)_i+2^e−(r+1) =N T T(x^r+1_j )i+

γ^(2r)

i+2^e−(r+1)

N T T(x^r+1_j+2r)i

=N T T(x^r+1_j )_i+γ^{(2r)·2e−(r+1)}· γ^(2r)i

N T T(x^r+1_j+2r)_i

=N T T(x^r+1_j )i+γ^(2e−1)· γ^(2r)

i

N T T(x^r+1_j+2r)i

=N T T(x^r+1_j )_i+γ^d2 · γ^(2r)i

N T T(x^r+1_j+2r)_i

=N T T(x^r+1_j )_i− γ^(2r)i

N T T(x^r+1_j+2r)_i. (4) Falls N T T(x^r+1_j )_i und N T T(x^r+1_j+2r)_i gegeben sind, sind die Berechnung des Vorfaktors γ^(2r)i

sowie eine Addition und eine Subtraktion n¨otig um N T T(x^r_j)_iundN T T(x^r_j)_i+2e−(r+1) zu berechnen. Die Konstruktion wird mit e+ 1 Ebenen arbeiten, die aber in der Praxis nicht alle nebeneinander existieren, sondern ersetzt werden, so dass immer nur eine Ebene existiert.

Es bietet sich an, N T T(x^r_j)_i mit N T T(x^r+1_j )_i und N T T(x^r_j)_i+2e−(r+1) mit N T T(x^r+1_j+2r)i zu ersetzen. Dies f¨uhrt zu:

E^e = (N T T(x)₀, N T T(x)₁, ..., N T T(x)d−1) E^e = (N T T(x^e₀)₀, N T T(x^e₀)₁, ..., N T T(x^e₀)d−1) E^e−1 = N T T(x^e−1₀ )0, N T T(x^e−1₀ )1, ..., N T T(x^e−1₀ )^d

2−1, N T T(x^e−1₁ )₀, N T T(x^e−1₁ )₁, ..., N T T(x^e−1₁ )d

2−1

E^e−2 = N T T(x^e−2₀ )₀, N T T(x^e−2₀ )₁, ..., N T T(x^e−1₀ )d

4−1, N T T(x^e−2₂ )0, N T T(x^e−2₂ )1, ..., N T T(x^e−1₂ )d

4−1, N T T(x^e−2₁ )0, N T T(x^e−2₁ )1, ..., N T T(x^e−2₁ )^d

4−1, N T T(x^e−2₃ )₀, N T T(x^e−2₃ )₁, ..., N T T(x^e−1₃ )d

4−1

... ...

Wie sieht dann die Ebene E⁰ aus? Sie enth¨alt N T Ts der L¨ange eins, also Elemente von x. Um zu sehen welche, muss man die Ver¨anderungen der x^jr von N T T(x^r_j)i und N T T(x^r_j)_i+2^e−(r+1) betrachten. Es wird beim Ubergang von Ebene¨ E^e−r zu E^e−(r+1) das x^r_j von N T T(x^r_j)i zu x^r+1_j

und das x^r_j von N T T(x^r_j)_i+2e−(r+1) zu x^r+1_j+2r. Zur Unterscheidbarkeit schrei- ben wir j_k^e−r f¨ur den Index von x, also das ,j‘, an der k-ten Stelle von E^e−r. Das heißt ausgehend von j^e_k = 0 werden Zweier-Potenzen dazuad- diert. Aus der Bedingungi <2^e−(r+1), gleichbedeutend mitk (mod 2^e−r)<

2^e−(r+1)f¨ur das Paar i, i+ 2^e−(r+1)

, folgtj_k^e−(r+1) =j_k^e−rundj_k+2^e−(r+1)e−(r+1) = j_k+2^e−re−(r+1)+ 2^r. Schreiben wirkin Bin¨arschreibweise wie oben beschrieben, so folgt aus k (mod 2^e−r) <2^e−(r+1), dass k_2f(r) = 0 ist und analog, dass (k+ 2^e−(r+1))_2f(r) = 1 ist. Daraus folgt also, dass genau dann 2^r zu j_k^e−r addiert wird, falls k_2f(r) = 1 ist. Es ergibt sich daraus:

(j_k⁰)_2f(0) =k_2f(e−1), (j_k⁰)_2f(1) =k_2f(e−2), (j_k⁰)_2f(2) =k_2f(e−3), ...

(j_k⁰)_2f(e−1) =k_2f(0)

Bezeichnen wir das umgekehrte k_2falsrev(k_2f), erhalten wir

E⁰ =

N T T(x⁰_rev(0f

2))0, N T T(x⁰_rev(1f

2))0, ..., N T T(x⁰_rev((d−1)f

2))0

E⁰ =

x_rev(0f

2), x_{rev(1 f}

2), ..., xrev((d−1)2f)

.

Java-Implementierungen des Cooley-Tukey-Algorithmus mit und ohne Per- mutation der Indizes befinden sich im Anhang A.

4.3 Beispiele von Cooley-Tukey-NTT-Netzwerken

Um den Cooley-Tukey-Algorithmus besser verstehen zu k¨onnen folgen drei Beispiele. An ihnen wird auch ersichtlich, warum es vorteilhaft ist, die Ele- mente einer Ebene so wie in Kapitel 4.2 anzuordnen. Dadurch, dass wir in der Ebene E⁰ die Indizes i der xi zu rev(i_2f) permutieren, k¨onnen viele Operationenam Platz durchgef¨uhrt werden (engl. in-place operations). Die Beispiele sind ausf¨uhrlich f¨ur den Fall d = 4 in Tabelle 1, gek¨urzt f¨ur die F¨alled= 8 in Tabelle 2 und d= 16 in den Tabellen 3 und 4, beschrieben.

4.3 Beispiele von Cooley-Tukey-NTT-Netzwerken

E2E

2 0

=NTT(x

2 0)E0 2 1

=NTT(x

2 0)E1 2 2

=NTT(x

2 0)E2 2 3

=NTT(x

2 0)3 ^{1 0}0^{1 11 0}1^{1 11 0}0^{1 11 0}1^{1 1}=NTT(x)+γNTT(x)=NTT(x)+γNTT(x)=NTT(x)−γNTT(x)=NTT(x)−γNTT(x)00110011 ^{1 0}0^{1 21 1}1^{1 31 0}0^{1 21 1}1^{1 3}=E+γE=E+γE=E−γE=E−γE 1^{1 01 01 01 01 01 11 01 1}EE=NTT(x)E=NTT(x)E=NTT(x)E=NTT(x)0101 ^{0 0}0^{0 20 0}0^{0 20 1}0^{0 30 1}0^{0 0}=NTT(x)+γNTT(x)=NTT(x)−γNTT(x)=NTT(x)+γNTT(x)=NTT(x)−γNTT(x)00001010 ^{0 0}0^{0 10 0}0^{0 10 2}0^{0 30 2}0^{0 3}=E+γE=E−γE=E+γE=E−γE 00000ENTT(x)=xNTT(x)=xNTT(x)=xNTT(x)=x00020103rev(0)rev(1)rev(2)rev(3)eeee2222 Tabelle1:NTT-Beispielmitd=4 3EE+EE+EE+EE+EE−EE−EE+EE−E0415263704152637 0123·γ·γ·γ·γ 2EE+EE+EE−EE−EE+EE+EE−EE−E0213021346574767 0202·γ·γ·γ·γ 1EE+EE−EE+EE−EE+EE−EE+EE−E0101232345456767 0Exxxxxxxx04261537 Tabelle2:NTTmitd=8,gek¨urzt