Module Lattice Security (Part IV): Probabilistic Polynomial Quantum Attack on Module-LWE over 2-Power Cyclotomics

Dit artikel presenteert een kwantumaanval in polynomiale tijd die gestandaardiseerde ML-KEM-, Falcon-, Hawk- en NTRU-schema's over cyclotomische ringen met macht van twee breekt door gebruik te maken van een torenontbinding van het Probleem van het Hoofdideaal om een hoge succeskans te bereiken met een geverifieerde benaderingsfactor.

De kern

Het Grote Plaatje: Een Quantum-piekhaak voor Digitale Kluizen

Stel je voor dat de veiligste digitale kluizen ter wereld (zoals die voor overheidsgeheimen of bankgegevens) zijn gebouwd met een specifiek type wiskundig "doolhof". Deze doolhoven zijn gebaseerd op complexe vormen die roosters (lattices) worden genoemd. Op dit moment geloven we dat deze doolhoven te groot en te verwrongen zijn om zelfs door de snelste supercomputers opgelost te worden, waardoor ze als veilig worden beschouwd voor de toekomst (Post-Quantum Cryptografie).

Dit artikel beweert een quantum-meestersleutel te hebben gevonden die deze specifieke doolhoven veel sneller kan openen dan ooit voor mogelijk werd gehouden. De auteurs, onder leiding van Ming-Xing Luo, betogen dat een quantumcomputer niet alleen "snel" hoeft te zijn; hij moet ook "slim" zijn over de specifieke vorm van het doolhof. Door een verborgen geometrische afkorting te benutten, kunnen ze de encryptiesystemen breken die NIST (de Amerikaanse normeringsinstantie) recentelijk als nieuwe wereldwijde standaard heeft geselecteerd.

De Vierdelige Reis naar de Oplossing

Het artikel is het laatste deel van een viertal. Denk hierbij aan een team van vier detectives dat een enorme overval oplost, waarbij elke detective een ander stukje van de puzzel oploste:

1. Deel I (De Kaart): Ze bewezen dat het "terrein" van deze doolhoven eigenlijk heel simpel is. Het is alsof je ontdekt dat een ogenschijnlijk complex bos eigenlijk een rooster is waar elke weg leidt naar één centraal, open pleintje. Dit betekent dat er geen doodlopende wegen of verborgen lussen zijn die de aanvaller zouden verwarren.
2. Deel II (De Vertaling): Ze toonden aan dat je het complexe "Module"-probleem (een 3D-doolhof) kunt vertalen naar een eenvoudiger "Ideal"-probleem (een 2D-doolhof) zonder veel informatie te verliezen. Het is alsof je beseft dat een 3D-puzzel gewoon een platte tekening is die is opgevouwen; je kunt het makkelijk weer uitvouwen.
3. Deel III (De Liniaal): Ze maten de "ruis" in het systeem. In deze doolhoven is er altijd een beetje statiek of wazigheid. Ze bewezen dat deze wazigheid zo klein en voorspelbaar is dat het de oplossing niet verbergt. Het is alsof je beseft dat de mist in het bos zo dun is dat je het uitgangsbordje duidelijk kunt zien.
4. Deel IV (De Aanval - Dit Artikel): Dit is de uitvoering. Ze hebben de kaart, de vertaling en de liniaal gecombineerd tot één stap-voor-stap recept (een algoritme) dat een quantumcomputer kan volgen om de code te breken.

Hoe de Aanval Werkt: De "Toren"-Analogie

De kern van hun aanval is een methode die de Cyclotomic Tower (Cyclotomische Toren) wordt genoemd.

Stel je voor dat je een enorme toren van 256 verdiepingen wilt beklimmen om de bovenste verdieping te bereiken waar het geheim wordt bewaard.

• De Oude Weg (Klassieke Computers): Je probeert elke enkele trede één voor één te beklimmen. Het zou eeuwig duren (exponentiële tijd).
• De Quantum Weg (De Methode van de Auteurs): Ze beseften dat de toren in lagen is gebouwd. In plaats van stap-voor-stap te klimmen, kun je een lift nemen die van de ene verdieping naar de volgende springt, waarbij je bij elke stop een klein puzzeltje oplost.
  • Stap 1: Ga naar de 3e verdieping. Los een klein puzzeltje op.
  • Stap 2: Ga naar de 4e verdieping. Gebruik het antwoord van de 3e verdieping om een iets groter puzzeltje op te lossen.
  • Stap 3: Herhaal dit tot aan de top.

Omdat de toren is gebouwd volgens een specifiek wiskundig patroon (machten van 2), is deze "lift"-methode ongelooflijk efficiënt. De auteurs bewijzen dat een quantumcomputer deze hele beklimming kan uitvoeren in polynomiale tijd. In gewone taal: als de toren 256 verdiepingen heeft, zou een klassieke computer misschien langer nodig hebben dan de leeftijd van het heelal, maar een quantumcomputer zou het kunnen doen in de tijd die het kost om een kop koffie te zetten.

Het Resultaat: De Standaarden Breken

Het artikel test deze methode tegen de specifieke encryptiestandaarden die NIST heeft gekozen:

• ML-KEM (Kyber): De primaire standaard voor beveiligde sleuteluitwisseling.
• Falcon & Hawk: Standaarden voor digitale handtekeningen (zoals een digitale identiteitskaart).
• NTRU: Een andere familie van encryptiesystemen.

De Bevindingen:
De auteurs voerden simulaties en wiskundige bewijzen uit die aantonen dat hun quantumalgoritme deze codes kan breken met een succespercentage van 99%.

• Ze berekenden een "veiligheidsmarge". Stel je voor dat het slot een sleutel vereist die 1.665 eenheden lang is om te breken. Hun quantum-sleutel is slechts ongeveer 103 eenheden lang.
• Omdat hun sleutel zo veel korter is dan de vereiste lengte, valt het slot makkelijk open.

Ze beweren dat alle gestandaardiseerde parameterreeksen voor deze systemen nu als "gebroken" worden beschouwd als er een grootschalige quantumcomputer bestaat.

De Kosten: Hoe Groot is de Quantumcomputer?

Je vraagt je misschien af: "Hoe krachtig moet deze quantumcomputer zijn?"
De auteurs hebben de rekensom gemaakt voor de benodigde middelen:

• Qubits (Quantumbits): Ze schatten dat je ongeveer 1,4 miljoen fysieke qubits nodig hebt (wat neerkomt op ongeveer 1.400 "logische" of foutgecorrigeerde qubits).
• Tijd: De berekening zou een redelijke hoeveelheid tijd kosten, ruwweg gelijk aan het aantal bewerkingen dat een moderne supercomputer in een paar dagen uitvoert, maar dan uitgevoerd door een quantummachine.

De Haken en Ogen:
Dit is een theoretische doorbraak. We hebben momenteel geen quantumcomputers met 1,4 miljoen qubits. Het artikel bewijst echter dat als we er een bouwen, deze specifieke encryptiestandaarden niet veilig zullen zijn.

Samenvatting in Eén Zin

Dit artikel bewijst dat een specifiek type wiskundig "doolhof" dat wordt gebruikt in moderne beveiligde encryptie, een verborgen afkorting heeft die een toekomstige quantumcomputer kan benutten, waardoor het systeem kan worden geopend met een sleutel die veel kleiner en makkelijker te vinden is dan eerder werd aangenomen.

Technische samenvatting

Technische Samenvatting: Probabilistische Polynoomkwantumaanval op Module-LWE over 2-macht Cyclotomische Velden

Probleemstelling
Het artikel behandelt de beveiliging van cryptografische schema's gebaseerd op Module Learning With Errors (Module-LWE), met name gericht op de door NIST gestandaardiseerde ML-KEM (voorheen CRYSTALS-Kyber) en gerelateerde roostergebaseerde schema's (Falcon, Hawk, NTRU) die zijn geconstrueerd over 2-macht cyclotomische ringen ($R = \mathbb{Z}[\zeta_{2^k}]$). Het centrale probleem is het herstel van geheime sleutels via het Kortste Vector Probleem (SVP) op module-roosters. Waar klassieke aanvallen vertrouwen op rooster-reductie-algoritmen (bijv. BKZ) met exponentiële complexiteit, onderzoekt het artikel of een kwantumadversariaat de algebraïsche structuur van cyclotomische velden kan benutten om het Hoofideaalprobleem (PIP) en het Kortste Generatorprobleem (SGP) efficiënt op te lossen.

De auteurs identificeren twee kritieke, onopgeloste vragen in eerdere werken (specifiek de CDPR-aanval):

1. Is de benaderingsfactor die door de CDPR-aanval wordt bereikt, voldoende klein om volledige ML-KEM geheime sleutels te breken (d.w.z. is $\gamma < q/2$)?
2. Bereikt de onderliggende kwantums PIP-subroutine ware polynoomtijdcomplexiteit zonder verborgen exponentiële overhead of afhankelijkheid van de Algemene Riemann-hypothese (GRH)?

Methodologie
Het artikel presenteert een geünificeerde, vierfasige aanvals-pijplijn (Algoritme 1) die resultaten uit Deel I–III van de serie integreert met een nieuw polynoomtijd kwantumalgoritme voor PIP (Deel IV).

1. Module-naar-Ideaal Reductie: De aanval begint met het reduceren van het Module-LWE-voorbeeld tot een Hoofideaalprobleem. Met behulp van een Gram-Schmidt-decompositie wordt de module-basis getransformeerd tot een product van hoofidealen. De auteurs bewijzen dat de reductie slechts een constante factor $\alpha_d = O(1)$ introduceert, onafhankelijk van de module-rang $d$.
2. Kwantum Toren-PIP: In plaats van het PIP direct in het volledige veld $\mathbb{Q}(\zeta_{2^k})$ op te lossen, stellen de auteurs een "toren-decompositie"-strategie voor. Ze ontleden het veld in een keten van kwadratische uitbreidingen: $\mathbb{Q} \subset \mathbb{Q}(\zeta_8) \subset \dots \subset \mathbb{Q}(\zeta_{2^k})$.
   • Op elk niveau $L$ lost het algoritme het PIP op voor de relatieve uitbreiding met behulp van het Abelse Verborgen Subgroep Probleem (HSP).
   • Cruciaal is dat het aantal nieuwe eenheidsgeneratoren op elk niveau lineair groeit ($\Delta r_L = 2^{L-3}$), waardoor de HSP-voorbeeldgrootte polynomiaal blijft.
   • Deze aanpak vermijdt de coëfficiënt-explosie die inherent is aan standaard machtsbasisrepresentaties en elimineert de noodzaak voor GRH, aangezien het bewezen is dat het klassengetal van het maximale reële deelveld 1 is voor $k \le 12$.
3. Log-Eenheid CVP: Zodra een generator $g$ van het ideaal is gevonden (die exponentieel lang kan zijn), berekent het algoritme de log-embeddings. Vervolgens lost het het Dichtste Vector Probleem (CVP) op het log-eenheidsrooster op om de eenheidsafwijking $\epsilon$ te vinden zodat $g = g_0 \epsilon$, waarbij $g_0$ de korte generator is.
   • De auteurs maken gebruik van Babai's dichtste-vlak-algoritme. Ze bewijzen dat voor korte ring-generatoren de doelvector binnen het "opvangstraject" van het rooster ligt, waardoor Babai's algoritme de eenheidsafwijking exact kan herstellen.
4. Herstel Korte Generator: De eenheid $\epsilon$ wordt gereconstrueerd uit de CVP-oplossing, en de korte generator wordt hersteld als $g_0 = g \cdot \epsilon^{-1}$.

Belangrijkste Bijdragen

• Polynoomtijd Kwantum-PIP: Het artikel biedt de eerste constructie van een polynoomtijd kwantumalgoritme voor het PIP over 2-macht cyclotomische ringen. De complexiteit is $O(n^3 \log^2 n)$ kwantum-poorten en $O(n^2 \log n)$ qubits, waarbij $n$ de graad van de ring is. Dit verwijdert de exponentiële overhead die eerder geassocieerd werd met het Biasse-Song-algoritme.
• Strakke Analyse van Benaderingsfactor: De auteurs leiden een exacte benaderingsfactor af: $\gamma = \alpha_d \cdot \exp(\sigma_d \sqrt{2 \ln n})$. Ze bewijzen dat de variantie $\sigma_d$ van de log-embedding $O(1)$ is en onafhankelijk van de modulus $q$.
• Verificatie van Klassengetal: Het werk is gebaseerd op het bewijs (uit Deel I) dat het klassengetal van het maximale reële deelveld triviaal is ($h^+_k = 1$) voor alle $k \le 12$, waardoor elk ideaal een hoofideaal is.
• Uitbreiding naar Meerdere Schema's: Het raamwerk wordt uitgebreid buiten ML-KEM om Falcon, Hawk en NTRU-varianten over 2-macht cyclotomische ringen te analyseren, waarbij wordt aangetoond dat dezelfde algebraïsche zwaktes van toepassing zijn.

Resultaten
De auteurs leveren concrete beveiligingsschattingen voor gestandaardiseerde parametersets:

• ML-KEM-1024: De aanval bereikt een mediaan benaderingsfactor $\gamma_{med} \approx 21$ en een 99e percentiel factor $\gamma_{99\%} \approx 103$. Beide waarden liggen significant onder de beveiligingsdrempel van $q/2 = 1665$. De succeskans wordt geschat op $\ge 0,99$ voor $d \le 3$ en $\ge 0,90$ voor $d=4$, waarbij de faalkans via herhaling kan worden gereduceerd tot $< 10^{-6}$.
• Ressourceschattingen: Voor ML-KEM-1024 ($n=256$) vereist de aanval ongeveer $2^{27}$ logische poorten en $1,4 \times 10^6$ fysieke qubits (aannemende een oppervlaktecode met afstand 30).
• Andere Schema's:
  • Falcon: De aanval breekt Falcon-512 en Falcon-1024 met marges van respectievelijk $72\times$ en $63\times$.
  • Hawk: De aanval breekt Hawk-512 en Hawk-1024. Hawk-256 is conditioneel gebroken; hoewel de formele 99%-grens de drempel overschrijdt, tonen empirische simulaties een slaagkans van 99,99%.
  • NTRU: De aanval is van toepassing op NTRU-HPS en NTRU-HRSS varianten over 2-macht cyclotomische ringen, met marges variërend van $11\times$ tot $45\times$.

Betekenis en Claims
Het artikel claimt de open vragen rondom de CDPR-aanval op te lossen door aan te tonen dat:

1. De benaderingsfactor klein genoeg is om alle gestandaardiseerde ML-KEM, Falcon, Hawk en NTRU parametersets over 2-macht cyclotomische ringen te breken onder een kwantumaanval.
2. Het PIP in ware polynoomtijd ($O(n^3 \log^2 n)$) kan worden opgelost zonder verborgen exponentiële factoren of afhankelijkheid van onbewezen getaltheoretische conjectures zoals GRH.
3. De algebraïsche structuur van 2-macht cyclotomische ringen het kwantumadversariaat in staat stelt de benaderingsfactor te reduceren van super-polynomiaal ($\approx 2^{54}$ in eerdere schattingen) naar sub-polynomiaal ($\approx 2^{21}$), waardoor de beveiligingsaannames van deze post-kwantum kandidaten effectief worden gebroken.

De auteurs merken op dat hoewel de aanval probabilistisch is, de faalkans laag is en kan worden verzacht door onafhankelijke herhalingen. Ze benadrukken dat de resultaten afhankelijk zijn van de specifieke algebraïsche eigenschappen van 2-macht cyclotomische ringen en de trivialiteit van het klassengetal voor $k \le 12$.