Ученые ВШЭ приняли участие в разработке постквантовой кольцевой подписи для Сбера

Новый криптографический механизм защиты данных был предложен совместно экспертами Московского института электроники и математики им. А.Н. Тихонова ВШЭ, Сбера и ООО «КуАпп». Российским ученым удалось создать постквантовую кольцевую подпись, которая позволяет обеспечить анонимность (с точностью до группы участников), целостность и аутентификацию источника цифровых транзакций в случае появления нарушителя, который обладает квантовым вычислителем.

Важная часть работы была выполнена специалистами МИЭМ — создана практически стойкая постквантовая схема кольцевой подписи на основе NTRU-решеток, совместимая с требованиями реальных применяемых блокчейн-систем.

Совместная разработка экспертов Сбера, МИЭМ и ООО «КуАпп», которую представили на международной конференции «FI Day. ИИ & Блокчейн», отвечает на одну из ключевых угроз ближайших десятилетий — способность квантовых вычислителей взламывать классические алгоритмы подписи.

О новом механизме и участии специалистов ВШЭ рассказала один из разработчиков схемы — доцент департамента прикладной математики МИЭМ ВШЭ Екатерина Малыгина.

«Квантовые компьютеры пока не представляют практической угрозы, но уже сейчас понятно, что по мере увеличения мощности они смогут взломать большинство современных криптосистем, включая те, что используются в банковском секторе и блокчейн-инфраструктуре (например, RSA, ECDSA). Это вызывает обоснованные опасения: если сегодня кто-то перехватит и сохранит зашифрованные данные, то завтра при наличии квантового компьютера он сможет их расшифровать. Поэтому мировое криптографическое сообщество активно разрабатывает постквантовые алгоритмы, стойкость которых основана не на задачах факторизации или дискретного логарифмирования, а на других математических задачах, стойких к квантовым атакам. Банковский и финансовый секторы особенно заинтересованы в таких решениях, поскольку безопасность транзакций и конфиденциальность клиентских данных — их основа.

Наша работа предлагает постквантовую схему связной кольцевой подписи, позволяющую участнику подписать сообщение от имени группы («кольца»), не раскрывая, кто именно подписал. При этом, если один и тот же участник подпишет два разных сообщения, их можно будет «связать» (link), не раскрывая его личность. Это крайне полезно, например, в криптовалютах для предотвращения двойных трат при сохранении анонимности.

Стояла задача построить такую схему, которая совместима с требованиями реальных блокчейн-систем. Главным вызовом при разработке являлась необходимость достичь максимальной эффективности и универсальности параметров, что крайне важно для различных приложений в финансовом секторе. В настоящее время большинство постквантовых схем кольцевой подписи не являются универсальными и имеют недостатки и ограничения, не позволяющие говорить о возможности их применения, в частности, в блокчейн-сетях. Разработанное нами решение за счет гибкости используемых параметров лишено данных недостатков.

В основе работы — криптография на решетках, самостоятельное направление постквантовой криптографии, которое сегодня считается одним из самых перспективных. Решетка в математике — это множество точек в многомерном пространстве с регулярной структурой (например, как узлы сетки). Стойкость схем на решетках, как правило, основана на сложности задач типа поиска короткого вектора в решетке (SVP) или решения систем линейных уравнений с ошибками (LWE/SIS). Эти задачи считаются трудными для квантовых компьютеров.

Мы построили схему на основе NTRU-решеток, использовав гибридный подход:

 алгоритмы формирования и проверки подписи взяты из схемы Falcon (одной из самых компактных и быстрых решеточных схем, участвовавших в стандартизации NIST);

 генерация ключей — из схемы Mitaka (улучшенная, более стойкая к атакам по побочным каналам версия Falcon);

 семплирование векторов производится с помощью метода Дюка — Преста, который позволяет избежать операций с плавающей точкой и делает реализацию более безопасной на встраиваемых устройствах.

Был адаптирован существующий фреймворк Raptor под современные алгоритмы Falcon и Mitaka, благодаря чему мы смогли добиться следующих результатов: отказ от арифметики с плавающей точкой, что важно в контексте безопасности на железе; гибкость в выборе размера кольца, что является редким феноменом среди решеточных схем кольцевых подписей; конкурентоспособные размеры подписей для малых колец — например, из 11 участников.

Хочу отдельно отметить отличную работу, которую провел молодой миэмовский аспирант Артем Кунинец. Он внес ключевой вклад в адаптацию гибридного семплера Дюка — Преста под задачу генерации подписи в кольце, а также в интеграцию выработки ключей из схемы Mitaka. Именно его техническая проработка позволила совместить эффективность Falcon с работоспособностью Mitaka и обеспечить корректную работу механизма в рамках решеточной модели».

Результаты исследований и разработок описаны в научной статье в ведущем криптографическом издании Journal of Computer Virology and Hacking Techniques. Журнал входит во 2-й квартиль международной наукометрической базы Scopus.