МЕТОДИ ОБЧИСЛЕННЯ СИСТЕМНИХ ПАРАМЕТРІВ ДЛЯ ЕЛЕКТРОННОГО ПІДПИСУ «СRYSTALS-DILITHIUM» 128, 256, 384 ТА 512 БІТ РІВНІВ БЕЗПЕКИ Вступ Наразі спостерігається стійкий прогрес у створенні квантових комп'ютерів різних приз-ІSSN 0485-8972 Радіотехніка. 2020. Вип. 202 6 В той же час наші дослідження показали, що з урахування можливостей щодо забезпечення безпеки з використанням уже прийнятих в Україні симетричних криптоперетворень ДСТУ 7564-2014, ДСТУ 7624-2014 та ДСТУ 8845-2019 [12], національні

more »

... ти ЕП повинні забезпечити в перспективі до 512 біт класичної та 256 біт квантової безпеки. Аналіз показав [2, 17, 18] , що серед схем ЕП на решітках суттєві переваги надано проєктам ЕП CRYSTALS -DILITHIUM та FALCON, вони рекомендовані для подальшого дослідження та стандартизації в процесі третього етапу конкурсу. Причому кращими визначено як математичні основи, так і алгоритми ЕП CRYSTALS -DILITHIUM [3, 16 -18]. ЕП CRYSTALS-DILITHIUM досліджувався у другому раунді як один із трьох проєктів ЕП на основі решітки. Його безпека грунтується на складності MLWE задачі криптоаналізу та задачі модульного короткого цілого рішення (MSIS) [17, 18] . Основою побудови алгоритму ЕП CRYSTALS-DILITHIUM є використання алгоритму Fiat-Shamir [17] з перериваннями. В ньому використовуються один і той же модуль і кільце поліномів для всіх наборів параметрів, а ентропія забезпечується за допомогою рівномірного розподілу. Це призводить, у порівнянні з гаусовим розподілом проєкту ЕП FALCON, до більш простої реалізації. Загалом DILITHIUM має високі, збалансовані показники щодо розміру ключів та підписів, а також щодо ефективності алгоритмів генерації ключів, підпису та перевірки. DILITHIUM добре працює в реальних експериментах. Також у другому раунді до реалізації DILITHIUM додано опцію випадкової генерації підпису, що заснована на використанні AES. Це дало майбутні переваги при апаратних реалізаціях інструкцій ЕП. Крім того, було опубліковано нове дослідження безпеки в QROM [45], яке стосується DILITHIUM. NIST рекомендував розробникам ЕП DILITHIUM додати набір параметрів 5-го рівня безпеки (5-й -за нашою класифікацією це 1-й рівень безпеки із 4-х рівнів). Також необхідні додаткові дослідження розуміння конкретної безпеки, оскільки DILITHIUM має найнижчий набір параметрів безпеки CoreSVP [2, 3] з усіх схем на основі решітки, які все ще знаходяться в процесі досліджень та порівняння. В той же час NIST вибрав DILITHIUM як фіналіста і очікує, що або DILITHIUM, або FALCON будуть стандартизовані як основна схема постквантового підпису в кінці третього раунду. Необхідно відмітити, що в процесі формування вимог до ЕП NIST у рамках конкурсу був зацікавлений тільки в наборах загальносистемних параметрів до 256 біт класичної безпеки включно. Проте, на нашу думку, на перспективу доцільним є використання в DILITHIUM, 384 і 512 біт безпеки проти класичного криптоаналізу та 192 та 256 біт безпеки проти квантового криптоаналізу. Але, як показали дослідження, як з точки зору теорії так і практики, генерація загальносистемних параметрів для використання 256, 384 і 512 біт безпеки проти класичного криптоаналізу та 128, 192 та 256 біт безпеки проти квантового криптоаналізу, які в фіналісті CRYSTALS-DILITHIUM не реалізовано. Будемо також вважати, що відносно побудування ЕП CRYSTALS-DILITHIUM для 128 класично та 64 біт квантової стійкості проблем немає [3, 16] . Під час ухвалення рішення стосовно фіналістів на прийняття стандарту ЕП в третьому раунді кращими та отримали рекомендації визначені проєкти ЕП CRYSTALS-DILITHIUM та FALCON. В оцінці NIST ці проєкти на основі структурованої решітки представляються найбільш перспективними та універсальними алгоритмами для електронного підпису, асиметричного шифрування та протоколу інкапсуляціє ключів [ 2, 12 -18]. Метою статті є обгрунтування моделі безпеки, класифікація, первинний аналіз та оцінка відомих атак на криптосистему ЕП CRYSTALS-DILITHIUM, встановлення обмежень та розробка практичних алгоритмів обчислення (генерації) загальносистемних параметрів для за-