Secure Parameters for SWIFFT

Buchmann, Johannes; Lindner, Richard

doi:10.1007/978-3-642-10628-6_1

Cited by 10 publications

(13 citation statements)

References 16 publications

Supporting

Mentioning

Contrasting

Order By: Relevance

“…The implementation of Ludwig is available upon request. Comparisons of his SSR implementation with BKZ on cryptographic lattices can be found, e.g., in [6,5].…”

Section: Previous Resultsmentioning

confidence: 99%

Random Sampling for Short Lattice Vectors on Graphics Cards

Schneider

Göttert

2011

Cryptographic Hardware and Embedded Systems – CHES 2011

View full text Add to dashboard Cite

Abstract. We present a GPU implementation of the Simple Sampling Reduction (SSR) algorithm that searches for short vectors in lattices. SSR makes use of the famous BKZ algorithm. It complements an exhaustive search in a suitable search region to insert random, short vectors to the lattice basis. The sampling of short vectors can be executed in parallel.Our GPU implementation increases the number of sampled vectors per second from 5200 to more than 120, 000. With this we are the first to present a parallel implementation of SSR and we make use of the computing capability of modern graphics cards to enhance the search for short vectors even more.

show abstract

“…The implementation of Ludwig is available upon request. Comparisons of his SSR implementation with BKZ on cryptographic lattices can be found, e.g., in [6,5].…”

Section: Previous Resultsmentioning

confidence: 99%

Random Sampling for Short Lattice Vectors on Graphics Cards

Schneider

Göttert

2011

Cryptographic Hardware and Embedded Systems – CHES 2011

View full text Add to dashboard Cite

show abstract

“…9 The assumption is asymptotic and the L bound unquantified. In the light of the results in [19] it was pointed out that for the choice d = 64 used in SWIFFT variants as above, the lattice problems are actually easy and the lower bound "insignificant" [10].…”

Section: Definitionmentioning

confidence: 99%

“…This includes work on FSB [13,7], MQ-HASH [4], SWIFFT [10] and VSH [36]. Interestingly, the papers do not relate attacks to the original security proofs.…”

Section: Related Workmentioning

confidence: 99%

See 1 more Smart Citation

Interpreting Hash Function Security Proofs

Šarinay

2010

Provable Security

View full text Add to dashboard Cite

Abstract. We provide a concrete security treatment of several "provably secure" hash functions. Interpreting arguments behind MQ-HASH, FSB, SWIFFTX and VSH we identify similar lines of reasoning. We aim to formulate the main security claims in a language closer to that of attacks. We evaluate designers' claims of provable security and quantify them more precisely, deriving "second order" bounds on bounds. While the authors of FSB, MQ-HASH and SWIFFT(X) prove existence of nontrivial lower bounds on security, we show that the quantification of the bounds limits the practical significance of the proofs.

show abstract

“…Buchman and Lindner suggest that any lower bounds on inversion should be considered "insignificant" [29]. This reasoning is based on the results of Gama and Nguyen who claim that exact SVP in dimension up to approx.…”

Section: Swifft and The Tree Algorithmmentioning

confidence: 99%

Cryptographic Hash Functions

SpringerReference

View full text Add to dashboard Cite

Suisse 2011 PAR Juraj Šarinay Svetlane RésuméNous considérons plusieurs fonctions de hachage "prouvablement sûres" calculant de simples sommes dans un groupe bien choisi (G, * ). Les propriétés de sécurité de telles fonctions se traduisent prouvablement et de manière naturelle en des problèmes calculatoires sur G, qui sont simplesà définir etégalement potentiellement difficilesà résoudre.Étant donnés k listes disjointes L i d'éléments du groupe, le problème de la k-somme consisteà trouver un g i ∈ L i tel que g 1 * g 2 * . . . * g k = 1 G . La difficulté de ce problème dans divers groupes respectifs découle de certaines suppositions "standard" en cryptologieà clef publique, telles que la difficulté de la factorisation des entiers, du logarithme discret, de la réduction de réseaux, ou du décodage par syndrome. Nous exposons des indices montrant que le problème de la k-somme puisseêtre encore plus difficile que ceux susmentionnés.Deux fonctions de hachage basées sur le problème de la k-somme, FSB et SWIFFTX, ontété soumises au NIST comme candidates pour le futur standard SHA-3. Les deux candidaturesétaient appuyées par une quelconque preuve de sécurité. Nous montrons que l'estimation des niveaux de sécurité dans ces candidatures est sans rapport avec les preuves fournies. Les revendications en matière de sécurité ne sont soutenues que par des considérations sur des attaques existantes. En introduisant des bornes de "second ordre" sur les bornes de sécurité, nous montrons les limites d'une telle approche de la sécurité prouvable.Un problème dans la manière de quantifier la sécurité n'implique pas nécessairement un problème avec la sécurité elle-même. Bien que FSB traîne une histoire d'échecs, des versions récentes des deux fonctions susmentionnées se sont montrées bien résistantes aux efforts de cryptanalyse. Ceci, ainsi que les multiples connexions avec d'autres problèmes standard, indiquent que le problème de la k-somme dans certains groupes pourraitêtre considéré comme difficile en lui-même, et peut-être conduireà des bornes de sécurité prouvables. La complexité de l'algorithme de l'arbre non-trivial est en train v vi de devenir un outil standard pour en mesurer la difficulté associée.Nous proposons des modifications du Very Smooth Hash multiplicatif, et dérivons la sécurité des k-sommes multiplicatives, contrairement aux réductions originales apparentéesà la factorisation ou au logarithme discret. Bien que les réductions originales demeurent valides, nous mesurons la sécurité d'une manière nouvelle et plus agressive. Ceci nous permet d'assouplir les paramètres et de hacher plus vite. Nous obtenons une fonction qui n'est que trois fois plus lente que SHA-256, et que nous estimons offrir au moins une résistanceéquivalente aux collisions. La vitesse peutêtre doublée par l'usage d'un module spécial, la sécurité de la fonction modifiée est justifiée uniquement par la difficulté des k-sommes multiplicatives modulo une puissance de deux.Nos efforts culminent en une nouvelle fonction de k-sommes multiplicatives, qui gé...

show abstract

Secure Parameters for SWIFFT

Cited by 10 publications

References 16 publications

Random Sampling for Short Lattice Vectors on Graphics Cards

Random Sampling for Short Lattice Vectors on Graphics Cards

Interpreting Hash Function Security Proofs

Cryptographic Hash Functions

Contact Info

Product

Resources

About