舩津 颯介
米国国立標準技術研究所(NIST)の耐量子計算機暗号(PQC)標準化プロジェクトにより格子ベース暗号は 大きな注目を集めている.格子ベース暗号として代数体Kの整数環R上で定義されるRingLearningwith Errors (Ring-LWE) 問題が提案されている.Ring-LWE問題にはモジュラス q の上にあるRの素イデアル q を用いたχ2 攻撃が提案されている.一方,Ring-LWE問題の直和で構成されるModule Learning with Errors (Module-LWE) 問題は2024 年にNISTはCRYSTALS-Kyber,CRYSTALS-Dilithium,SPHINCS+ の3つのアルゴリズムを標準化した.CRYSTALS-KyberとCRYSTALS-Dilithiumや現在標準化が進めら れているFALCONは格子上の計算困難な問題を安全性の根拠としている格子暗号であることから,格子暗 号は今後の暗号技術において重要性を増していくと考えられる.Ring-LWE問題に対する攻撃手法として 素イデアルqを用いた任意の相対次数におけるχ2攻撃の改良攻撃が提案されている.一方Module-LWE 問題に対してはそのような攻撃は提案されていない.本論文では任意の相対次数を持つModule-LWE問題 に対するχ2 攻撃を提案する.既存研究と提案する攻撃手法はともにエラー分布の偏りを用いている.実 験的側面から代数体の違いがもたらすエラー幅r0の変化によるχ2攻撃に対する安全性について解析する. また素イデアル上のエラー分布と整数環の双対空間との関係性から,Ring-LWE 問題と Module-LWE 問 題での攻撃の有効性の違いを調べるために用いる.その結果,Module-LWE問題では双対空間の元のノル ムを用いた解析だけでは攻撃の成功確率を判断することが難しいことを確認した.
