基于格的 Hash 函数（SWIFFT）& BKW 算法

参考文献：Daniele Micciancio and Oded Regev. Lattice-based cryptography. Post-quantum cryptography. Springer, Berlin, Heidelberg, 2009.

Hash

随机格上的Ajtai构造

Ajtai构造：

1. 公共参数：整数$n,m,q,d$

2. 密钥：均匀随机矩阵$A{\leftarrow }_R{Z}_q^{n\times m}$

3. 压缩函数：
   f A : { 0 , ⋯   , d − 1 } m → Z q n y → A y m o d    q \begin{aligned} f_A: \{0,\cdots,d-1\}^m &\to Z_q^n\\ y &\to Ay \mod q \end{aligned} fA​:{0,⋯,d−1}my​→Zqn​→Aymodq​

由于函数从$m\log d$比特映射到$n\log q$比特，因此需要使得
$$m>\frac{n\log q}{\log d}$$
一般的，选取$d=2$，$q=n^2$，$m=2n\log q=4n\log n$，从而这个Hash函数的安全性依赖于整数$n$

上述构造的Hash函数是OWF：如果$f_A$可逆，那么就解决了SIS问题。

理想格上的Hash函数

由于$A\in Z_q^{n\times m}$对于一个Hash函数来说过大了，因此我们希望减小它的大小。使用分块矩阵：
$$A=\left[A^{(1)}|\cdots |A^{(m/n)}\right]$$
并且令$A^{(i)}=F\ast a^{(i)}$，定义如下
$$F\ast a^{(i)}=\left[a^{(i)},F{a}^{(i)},\cdots ,F^{n-1}{a}^{(i)}\right]$$
其中方阵$F$为

其中$f=(f_0,f_1,\cdots ,f_{n-1})$，而$I$是$n-1$阶单位阵。

上述的矩阵$A^{(i)}$是理想格（ideal lattices），可以嵌入到商环$Z[x]/(f(x))$的理想$(a^{(i)}(x))$上，这里
$$f(x)=x^n+f_{n-1}{x}^{n-1}+\cdots +f_{1}x+f_0$$

$$a^{(i)}(x)=a_0^{(i)}+a_1^{(i)}x+\cdots +a_{n-1}^{(i)}{x}^{n-1}$$

如果$f=(-1,0,\cdots ,0)$，那么$f(x)=x^n-1$，从而$A^{(i)}$是循环矩阵，即第$j$列是将列向量$a^{(i)}$循环移位$j$次。此时，构造的Hash函数不抗碰撞：$A^{(i)}$是循环矩阵，所以$Z_p$上的常数向量$c_{i}1=(c_i,\cdots ,c_i)$与它相乘，得到的向量
$$A^{(i)}\cdot c_{i}1=c_i[\sum _{j=0}^{n-1}{a}_j^{(i)},\cdots ,\sum _{j=0}^{n-1}{a}_j^{(i)}]$$
都是$Z_p$上的常数向量。随机选取$c_1,\cdots ,c_{m/n}\in Z_q$，那么$A[c_{1}1,\cdots ,c_{m/n}1{]}^T=c1\in Z_q^n$也是常数向量，一共只有$q$种不同取值，利用生日攻击，复杂度仅为$O(\sqrt{q})$

Hash函数的构造如下：

1. 公共参数：整数$n,m,q,d$，其中$n\mid m$，向量$f\in Z^n$

2. 密钥：独立的均匀随机向量$a^{(1)},\cdots ,a^{(m/n)}{\leftarrow }_R{Z}_q^n$

3. 压缩函数：
   f A : { 0 , ⋯   , d − 1 } m → Z q n y → [ F ∗ a ( 1 ) ∣ ⋯ ∣ F ∗ a ( m / n ) ] y m o d    q \begin{aligned} f_A: \{0,\cdots,d-1\}^m &\to Z_q^n\\ y &\to \left[F*a^{(1)} | \cdots | F*a^{(m/n)}\right]y \mod q \end{aligned} fA​:{0,⋯,d−1}my​→Zqn​→[F∗a(1)∣⋯∣F∗a(m/n)]ymodq​

在平均情况下的对偶格${\Lambda }_q^{\perp }(\left[F\ast a^{(1)}|\cdots |F\ast a^{(m/n)}\right])$中寻找短向量，与在最坏情况下的理想格中的近似SVP和近似SIVP问题一样难，只要$f$满足：

1. 对于任意单位向量$u,v$，使得$[F\ast u]v$有较小范数，一般选取$O(\sqrt{n})$
2. 多项式$f(x)=x^n+f_{n-1}{x}^{n-1}+\cdots +f_{1}x+f_0$是不可约的

可以验证，循环格对应的$f=(-1,0,\cdots ,0)$满足性质$1$但不满足性质$2$。一般地，可以选取分圆多项式$Q_{r^k}(x)$对应的$f$，其中$r$是素数，$k$是自然数

1. 令$n+1=r,k=1$，那么$f=(1,1,\cdots ,1)\in Z^n$
2. 令$n=r^{k-1},r=2$，那么$f=(1,0,\cdots ,0)\in Z^n$

分圆多项式是有理数域上的不可约整系数多项式。

SWIFFT Hash函数

我们设置$n=2^{k-1}$，$f=(1,0,\cdots ,0)$，于是$f(x)=x^n+1$是不可约多项式。选取$2n\mid q-1$，那么$GF(q)$中包含$2n$次单位根。我们令
$$W=\left[\begin{array}{ccccc}1& w& w^2& \cdots & w^{n-1}\\ 1& w^3& w^6& \cdots & w^{3(n-1)}\\ ⋮& & & & \\ 1& w^{2n-1}& w^{4n-2}& \cdots & w^{(2n-1)(n-1)}\end{array}\right]={\left[w^{(2i-1)(j-1)}\right]}_{i=1,j=1}^{n,n}$$
是范德蒙矩阵，因此任意向量$a\in Z_q^n$左乘$W$就是多项式$a(x)$在点$w,w^3,\cdots ,w^{2n-1}$上分别求值。由于$w$的阶为$2n$，那么这些点各不相同，从而$W$是可逆阵。因此，如果随机选取$a^{(i)}$，那么${\bar{a}}^{(i)}=W{a}^{(i)}$也是均匀随机的。

容易看出$[F\ast a]b$是环$Z[x]/(f(x))$上的多项式乘法，从而
$$W\cdot \left[F\ast a\right]b=(Wa)\odot (Wb)\mathrm{mod}q$$
这里的算符$\odot$是矩阵的Hadamard积（即元素宽度的乘积）。上述的矩阵乘$Wb$可以使用反循环NTT来计算，复杂度为$n\log n$

构造如下：

1. 公共参数：整数$n,m,q,d$，其中$n$是$2$的幂次，$n\mid m$，且$2n|q-1$，$w$是$Z_q^{\ast }$的$2n$次本原单位根

2. 密钥：独立的均匀随机向量${\bar{a}}^{(1)},\cdots ,{\bar{a}}^{(m/n)}{\leftarrow }_R{Z}_q^n$

3. 压缩函数：
   f A : { 0 , ⋯   , d − 1 } m → Z q n y = [ y ( 1 ) , ⋯   , y ( m / n ) ] → ∑ i = 1 m / n ( a ˉ ( i ) ⊙ W y ( i ) ) \begin{aligned} f_A: && \{0,\cdots,d-1\}^m &\to Z_q^n\\ && y=\left[ y^{(1)},\cdots,y^{(m/n)} \right] &\to \sum_{i=1}^{m/n} \left( \bar a^{(i)} \odot Wy^{(i)} \right) \end{aligned} fA​:​​{0,⋯,d−1}my=[y(1),⋯,y(m/n)]​→Zqn​→i=1∑m/n​(aˉ(i)⊙Wy(i))​

需要计算$m/n$次反循环NTT，因此总的复杂度为$O(m\log n)$，一般地$n\ll m$，从而复杂度为$\tilde{O}(m)$（这里$\tilde{O}(g(n)$是$O(g(n){\log }^{k}n)$的简写）

在上述参数下，SWIFFT Hash函数的吞吐率，接近Sha-2函数族。

BKW

为了计算关于矩阵$A\in Z_q^{n\times m}$的对偶格
Λ q ⊥ ( A ) = { y ∈ Z m : A y ≡ 0 m o d    q } ⊇ q Z m \Lambda_q^\perp(A) = \{y \in Z^m : Ay \equiv 0 \mod q\} \supseteq qZ^m Λq⊥​(A)={y∈Zm:Ay≡0modq}⊇qZm
里的短向量，可以执行如下步骤：

1. 将$A$按列分为$2^k$组，每组包含$m/2^k$个列向量，$A=[G_1|\cdots |G_{2^k}]$

2. 对每一组$G_i$，计算所有的线性组合，组合系数$c$取自 { − b , ⋯   , 0 , ⋯   , b } \{-b,\cdots,0,\cdots,b\} {−b,⋯,0,⋯,b}，得到$L=(2b+1{)}^{m/2^k}$个向量，
   l i s t i = { ( c ,    G i ⋅ c ) : c ∈ { − b , ⋯   , b } m / 2 k } list_i = \{(c,\,\,G_i \cdot c): c \in \{-b,\cdots,b\}^{m/2^k}\} listi​={(c,Gi​⋅c):c∈{−b,⋯,b}m/2k}

3. 将$2^k$个表两两组合，令$x\in lis{t}_1,y\in lis{t}_2$，使得$x+y$的前${\log }_{q}L$个分量为零，得到$2^{k-1}$个表$lis{t}_i$，期望上每个表包含$\frac{L\cdot L}{L}=L$个向量，
   l i s t i = { ( c ,    [ G 2 i ∣ G 2 i + 1 ] ⋅ c ) : c ∈ { − b , ⋯   , b } 2 ⋅ m / 2 k } list_i = \{(c,\,\,[G_{2i}|G_{2i+1}] \cdot c): c \in \{-b,\cdots,b\}^{2 \cdot m/2^{k}}\} listi​={(c,[G2i​∣G2i+1​]⋅c):c∈{−b,⋯,b}2⋅m/2k}

4. 将$2^{k-1}$个表两两组合，令$x\in lis{t}_1,y\in lis{t}_2$，使得$x+y$的前$2{\log }_{q}L$个分量为零，得到$2^{k-2}$个表$lis{t}_i$，包含大约$L$个向量

5. 继续两两组合，共迭代$k$次，得到$1$个表，它包含大约$L$个前$k\cdot {\log }_{q}L$个分量为零的向量。在算法中选择尽可能大的$k$，它满足：
   $$n\approx (k+1){\log }_{q}L$$
   或者说，
   $$\frac{2^k}{k+1}\approx \frac{m\log (2b+1)}{n\log q}$$

6. 由于只剩下最后$n-k{\log }_{q}L\approx {\log }_{q}L$个分量可能非零，而表中包含$L$个向量，因此在期望上包含一个零向量，它对应的系数 c ∈ { − b , ⋯   , b } 2 k ⋅ m / 2 k } c \in \{-b,\cdots,b\}^{2^k \cdot m/2^{k}}\} c∈{−b,⋯,b}2k⋅m/2k}是个短向量

7. 于是，我们找到了$Ay\equiv 0\mathrm{mod}q$的一个短整数解$c$，它是对偶格${\Lambda }_q^{\perp }$的近似SVP的解，或者说SIS解

容易看出，算法复杂度为$O(2^k{L}^2)$。

对于SWIFFT Hash函数的对偶格，选取$b=1,k=4$，那么$L=3^{m/16}\ge 2^{100}$，从而它的SIS问题实例是足够难的。