整数格上离散高斯采样

无论是 [Klein00] 还是 [DP16]，它们的采样算法都需要以 $Sample\mathbb Z$ 作为最底层的部件。由于 $Sample\mathbb Z$ 是在截尾了的区间 $\cdot s, c+t(n) \cdot s]$ 上执行拒绝采样算法生成与 $D_{\mathbb Z,s,c}$ 统计接近的近似分布，因此各种采样算法，要么需要高精度的 $\rho_s(x)$ 计算器（或者说 $e x p (x)$ 计算器），要么需要一张巨大的高精度的高斯密度分布表（或者 $e x p (x)$ 预计算表），在代码实现时会遇到开销过大、存在侧信道攻击等问题。在实用化格签名的设计中，安全且高效的整数格 $\mathbb Z$ 上的离散高斯采样算法，也是一个关键部分。

二进制离散高斯采样器

[BLISS] 首先考虑了整数格 $\mathbb Z$ 上的特殊离散高斯分布 $D_{\sigma_0}$ ，它的标准差为 $\sigma_0 = \sqrt{1/(2\ln 2)}$ ，此时的高斯函数为
$\rho_{\sigma_0}(x) = exp(-\dfrac{x^2}{2\sigma_0^2}) = 2^{-x^2}$
我们考虑半高斯分布 $D_{\sigma}^+ := \{x \leftarrow D_{\sigma} \mid x \ge 0\}$ ，它的密度函数为 $\rho_\sigma(x)/\rho_\sigma(\mathbb Z^+)$ 。那么可以计算出 $D_{\sigma_0}^+$ 的归一化因子为
$\rho_{\sigma_0}(\mathbb Z^+) = \sum_{i=0}^\infty 2^{-i^2} = 1.1001\overbrace{\underbrace{0000}_{2i-2}\underset{i}{1}}^{2i-1}0\cdots010\cdots$
所以对于这个特殊的分布 $D_{\sigma_0}^+$ ，它的拒绝采样算法只需要无偏的伯努利掷硬币 $\mathcal B_{1/2}$ ，也就是单比特均匀分布 $\mathcal U_1$ 。基采样器 $B a se S am pl e$ 的描述如下：

掷硬币 $\leftarrow \mathcal U_1$ ，如果 $b = 0$ 则输出 $i = 0$ ，否则继续执行后续步骤
对于 $i=1,2,\cdots,\infty$ ，依次执行
1. 掷硬币 $[b_1,\cdots,b_{2i-1}] \leftarrow \mathcal U_{2i-1}$
2. 如果 $[b_1,\cdots,b_{2i-2}] \neq \vec 0$ ，此时这些硬币的累计概率已经越过了 $\rho_{\sigma_0}(\mathbb Z^+)$ ，程序返回 step 1 重新执行
3. 如果 $[b_1,\cdots,b_{2i-2}] = \vec 0$ ，当 $b_{2i-1}=0$ 时输出 $i$ ，否则进入下一轮循环

对比算法 $B a se S am pl e$ 中掷硬币的概率以及归一化因子 $\rho_{\sigma_0}(\mathbb Z^+)$ ，容易看出这个采样算法的输出结果恰好就是 $D_{\sigma_0}^+$ （统计距离为零），并且掷无偏的伯努利硬币是十分容易的（均匀分布）。回顾下 [GPV08] 的 $Sample\mathbb Z$ 的输出分布与 $D_\sigma$ 的统计距离非零，而且需要先计算高斯函数 $p=\rho_s(x-c)$ 再按照伯努利分布 $\mathcal B_p$ 掷硬币。这个特殊的采样算法 $B a se S am pl e$ 可以被特别高效地实现，额外掷一个硬币 $\leftarrow \mathcal U$ 作为高斯样本的符号位，并以 $\dfrac{1}{2}$ 的概率拒绝 $1)^sx=0$ 的样本（确保中心 $0$ 的密度函数只计算了一次），那么就得到了离散高斯分布 $D_{\sigma_0}$ 的二进制采样器。

使用这个二进制采样器，[BLISS] 通过拒绝采样技术，将 $D_{\sigma_0}$ 提升到任意的离散高斯分布 $D_{k\sigma_0},\forall k \in \mathbb Z^+$ 。我们令 $\in \mathbb Z$ ，其中 $\leftarrow D_{\sigma_0}$ ，并用 $\in \{0,1,\cdots,k-1\}$ 来填充空隙，那么
$\begin{aligned} \rho_{k\sigma_0}(z) &= \exp\left(-\dfrac{(kx+y)^2}{2(k\sigma_0)^2}\right)\\ &= \exp\left(- \dfrac{x^2}{2\sigma_0^2} - \dfrac{y(2kx+y)}{2(k\sigma_0)^2}\right)\\ &= \rho_{\sigma_0}(x) \cdot \exp\left(-\dfrac{y(2kx+y)}{2(k\sigma_0)^2}\right) \end{aligned}$
因此，我们均匀采样 $\leftarrow \mathcal U([k])$ ，使用基采样器获得 $\leftarrow D_{\sigma_0}$ ，计算出 $z = k x + y$ ，然后按照概率 $p=\exp\left(-\frac{y(2kx+y)}{2(k\sigma_0)^2}\right)$ 对 $z$ 执行拒绝采样。实际上我们按照伯努利分布 $\mathcal B_p$ 来采样 $\in \{0,1\}$ ，如果 $b = 1$ 则输出 $z$ ，否则拒绝此样本，并重新启动采样程序。

伯努利采样器

接下来的一个问题就是如何高精度地采样伯努利分布 $\mathcal B_p$ ，其中 $p$ 是指数函数。一种常规方法是实时计算高精度的 $\exp(-t)$ 函数，另一种方法是预计算一张高精度的 $\exp(-t)$ 表格。然而前者将消耗巨大的计算资源，而后者将带来巨大的存储开销。

[BLISS] 观察到伯努利分布实际上有一些组合性质：
$\mathcal B_{a \cdot b} = \mathcal B_a \wedge \mathcal B_b,\,\,\, \mathcal B_{a+b-a \cdot b} = \mathcal B_a \vee \mathcal B_b$
因此对于 $\sum_i 2^it_i$ ，其中 $t_i \in \{0,1\}$ ，令 $f$ 是某固定常数，则有
$\mathcal B_{\exp(-t/f)} = \mathcal B_{\exp(-\sum_i 2^it_i/f)} = \mathcal B_{\prod_{t_i=1}\exp(-2^i/f)} = \bigwedge_{t_i=1} \mathcal B_{\exp(-2^i/f)}$
假设 $t$ 的精度是 $l$ 比特，我们预计算 $\exp(-2^i/f),\forall i=0,1,\cdots,l-1$ 的表格（存储规模仅是精度的对数级别）。将输入值 $t$ 做二进制分解，然后对于每个 $t_i$ 依次采样 $b_i \leftarrow \mathcal B_{\exp(-2^i/R)}$ ，输出 $b=\bigwedge_{t_i=1}b_i$ 。对于 AND 逻辑，只要有一项是逻辑 $0$ ，那么它们的 AND 就是逻辑 $0$ ，因此可以提前终止。然而为了抵御计时攻击，我们应当给出一个常数时间的采样程序，因此应当对每个 $i=0,\cdots,l-1$ 都执行 $b_i \leftarrow \mathcal B_{\exp(-2^i/f)}$ ，而非仅仅只对 $t_i=1$ 的那些位置采样，也不应该提前结束 AND 逻辑运算。

与 [BLISS] 的查表策略不同，[ZSS19] 使用了另一个策略：直接计算指数函数。对于 $\sigma_0=\sqrt{1/(2\ln 2)}$ ，简记 $t = y (2 k x + y)$ ，则 [BLISS] 的拒绝概率 $p=\exp\left(-\frac{y(2kx+y)}{2(k\sigma_0)^2}\right)=2^{-t/k^2}$ ，其中 $a=t/k^2 \in \mathbb R$ 可以写成 $a = s + r$ 的形式，其中 $\in \mathbb Z$ ， $\in [0,1)$ ，于是概率 $p$ 可以分解为两部分
$2^{-t/k^2} = 2^{-s} \cdot 2^{-r}$
由于计算机中浮点数以二进制表示，因此 $2^{-s}$ 是可以精确表示的。额外的问题就是如何高精度地计算 $2^{-r},r \in [0,1)$ 了，[ZSS19] 使用了超越函数的多项式逼近技术（transcendental function polynomial approximation），利用数学工具箱计算出一个大约 $10$ 次的多项式 $\in \mathbb Q[x]$ ，使得 $\approx 2^{-r}, r \in [0,1)$ ，于是计算出拒绝概率的高精度近似 $p=2^{-s} \cdot P(r)$ 。由于多项式 $P (x)$ 的求值运算仅仅需要常数次浮点数的乘法和加法，因此它的运行时间是个很小的常数。

对比一下，[BLISS] 的伯努利采样器预先做一张 $exp(-2^i/f), f=k^2/\ln2$ 查找表，然后在线阶段通过查表来生成多个伯努利变量，最后组合出服从参数 $p=\exp(-t/f)$ 的伯努利分布的随机变量。而 [ZSS19] 却是利用上述的近似多项式 $\approx 2^{-r}$ ，直接计算出拒绝概率 $p=2^{-t/k^2}$ ，然后产生合适精度的随机浮点数 $\leftarrow \mathcal U([0,1))$ ，与 $p$ 比较大小后直接输出一个服从分布 $\mathcal B_p$ 的随机变量。[ZSS19] 给出的这个伯努利分布的采样器具有紧凑、高效、常数时间运行等等优势。

以 Falcon 为例

可证明安全 NTRU 密码方案

NTRU 问题在 [HPS98] 中被提出，它基于环结构，当前格密码中它能达到最小载荷。但是基于 NTRU 构造的密码方案都没有证明安全，在之后的十多年里 NTRU 密码方案一直处在 “打破-修复” 的循环中。[SS11] 给出了第一个可证明安全的 NTRU 加密方案以及签名方案。

定义多项式环 $\mathcal R:=\mathbb Z[x]/\phi$ ，其中 $\phi = x^n+1$ ， $n$ 是二的幂次。它的任意理想 $I$ ，若将多项式系数映射为向量，可将 $I$ 视为 $\mathbb Z^n$ 的满秩子格。若元素 $\in I$ ，那么 $\in I$ ，并且 $\phi$ 是反循环多项式，所以容易证明 $\lambda_1(I) =\cdots= \lambda_n(I)$ ，SIVP 问题与 SVP 问题一样难。另一种更好的嵌入方式是：令 $\xi$ 是 $2 n$ 次本原单位根，从 $I$ 到 $\mathbb Z^n$ 的典型嵌入定义为 $\sigma_i: P \mapsto P(\xi^{ {2i+1}})$ 。

定义 $\mathcal R_q^*$ 是 $\mathcal R_q$ 中所有可逆元素组成的乘法群， $D_\sigma$ 是 $\mathcal R$ 上的离散高斯分布。采样 $\leftarrow D_\sigma$ 使得 $\in \mathcal R_q^*$ ，计算 $h = g / f$ ，则 NTRU 加密方案以 $f, g$ 为私钥，以 $h$ 为公钥。[SS11] 证明了，当 $f, g$ 拥有足够高的熵（ $\sigma$ 足够大），那么 $h$ 的分布与 $\mathcal R_q^*$ 上均匀分布统计不可区分，从而加密方案是安全的。

经 [SS11] 修正后的 NTRU 加密方案为：

$KeyGen(1^\lambda)$ ：固定 $\in \mathcal R$ 是与素数 $q$ 互素的短多项式（例如 $p = 2$ ），采样 $\leftarrow D_\sigma$ ，设置 $f := p f^{'} + 1$ （使得 $\pmod p=1$ ，可简化加解密计算），如果 $\notin \mathcal R_q^*$ 则重新采样，私钥为 $(f, g)$ 公钥为 $\in \mathcal R_q^*$
$\in \mathcal R_p)$ ：采样短多项式 $\in \mathcal R$ ，计算密文 $\pmod q$
$Dec ((f, g), C)$ ：计算 $fC \pmod q = pgs+fpe+fM \in \mathcal R$ （因为 $p, f, g, s, e, M$ 都很短，其结果不会取模），然后继续取模 $\pmod p \equiv fM$ ，再乘以 $f^{-1} \pmod p$ 即可得到 $M$ （选取特殊的 $\pmod p=1$ 此步骤可省略）

NTRU 签名方案的公私钥是加密方案公私钥的维度扩展，
$sk=\begin{bmatrix} f&g\\ F&G \end{bmatrix},\,\, pk=\begin{bmatrix} 1&h\\ 0&q \end{bmatrix}$
其中 $f G - g F = q$ ，这可以通过先求解方程 $fG_1-gF_1=1$ ，然后设置 $(F_q,G_q)=q\cdot(F_1,G_1)$ ，再利用 Babai 最近平面算法进行长度约减得到 $(F,G)\approx(F_q,G_q)-(qF_1/f) \cdot(f,g)$ 。

对于签名方案，除了公钥 $h$ 携带私钥信息，每一次的签名也会透露私钥信息。[GPV08] 的原像可采样函数使得输出分布与秘密值相互独立，使得签名不会泄露私钥信息。[SS11] 基于上述的 NTRU 公私钥对，给出了一个 PSF 的实例化。

$Gen(1^n)$ ：运行 NTRU 秘钥生成算法，获得 $f, g, F, G, h$ ，由 $h$ 指定 $f_h(z_1,z_2):=hz_1-z_2 \in \mathcal R_q$ ，定义域为 $D_n:=\{z \in \mathcal R^2: \|z\| \le s\sqrt{2n}\}$ ，它的 Kernel 是格 $L^\perp(h):=\{(z_1,z_2) \in \mathcal R^2: z_2 \equiv hz_1 \pmod q\} \subseteq \mathbb Z^{2n}$ ，陷门 $s k$ 是它的一组短基。
$S am pl eDo m ()$ ：高斯采样 $\leftarrow D_s$ ，当 $\|z\| > \sqrt{2n}s$ 时拒绝样本
$S am pl e P re (s k, t)$ ：明显 $c = (1, h - t)$ 是 $f_h(c)=t$ 的解，利用 $s k$ 从高斯分布 $D_{L^\perp(h),s,c}$ 中采样获得 $v$ ，输出短向量 $z = c - v$

然后采用 GPV 框架，在 RO 模型下容易将上述的 PSF 实例转化为一个 Hash-and-Sign 签名方案。

Falcon 签名方案

[Falcon] 基本上便是组合了上述技术：使用 [GPV08] 的原像可采样函数来实现 [SS11] 的可证明安全 NTRU 签名方案，在 PSF 中的陷门采样算法采用了 [DP16] 的快速傅里 Klein 算法，而 Klein 算法最底层的整数格离散高斯采样算法则使用了类似 [BLISS] 的基半高斯分布提升技术以及 [ZSS19] 的多项式逼近技术。

为了进一步减小签名规模，[Falcon] 提出了一种高斯分布变量的压缩方案：对于随机变量 $\leftarrow D_{\mathbb Z,\sigma}$ ，选择合适的 $d$ ，做唯一分解 $s=b(s_12^d+s_0)$ ，其中 $b$ 是符号位， $s_1,s_2 \ge 0$ 是整数，高斯函数为
$\rho_\sigma(s) = \exp\left(\dfrac{-s^2}{2\sigma^2}\right) = \exp\left(-\dfrac{s_1^2+s_1s_0/2^{d-1}+s_0^2/2^d}{2(\sigma/2^d)^2}\right)$
可以看出 $s_0$ 较为接近均匀分布，而 $s_1$ 则较为接近高斯分布。我们不压缩符号位 $b$ 和低阶比特 $s_0$ ，使用 Huffman 编码压缩高阶比特 $s_1$ （[Falcon] 使用了近似的 Unary code）。对于签名值的每个系数分别使用上述方法压缩，当遇到压缩后签名依然过长时重新执行签名算法。

省略细节，[Falcon] 签名方案如下：

$KeyGen(1^\lambda)$ ：调用 NTRU 生成器（存在某高效算法）获得 $f, g, F, G, h$ ，设置
$P=\begin{bmatrix} -h&I_n\\ qI_n&O_n \end{bmatrix},\,\, B=\begin{bmatrix} g&-f\\ G&-F \end{bmatrix},\,\, B^{-1}=\begin{bmatrix} -F/q&f/q\\ -G/q&g/q \end{bmatrix}$
将矩阵中的环元素视为 $\mathbb Z_q^{n \times n}$ 的反循环子矩阵（行矢），可以验证 $P, B$ 生成同一个格，将长格基 $P$ 作为公钥，将短格基 $B$ 作为私钥。转换到 FFT 域上 $\hat B := FFT(B)$ ，计算 $\hat B \hat B^\dagger$ ，调用 $FFLDL^\dagger(G)$ 将它做树状分解 $T$ ，并将树叶 $T . l e a f$ 的数值 $D$ 替换为 $\sigma/\sqrt{D}$ （归一化，使得陷门采样结果是球状高斯）。最终，私钥为 $(\hat B,T)$ ，公钥为 $h$
$Sign(m,(\hat B,T))$ ：均匀采样 $\leftarrow \{0,1\}^l$ ，计算 $c:=H(r\|m)$ ，原像为 $t:=(c,0)B^{-1}$ 。执行陷门采样算法 $z := FFS am pl e (t, T)$ ，计算 $s:=(t-z)\hat B$ ，使得它足够短 $\|s\|^2 \le \beta^2$ 。做逆变换 $s_1,s_2):=IFFT(s)$ ，因为它们满足 $s_1+s_2h \equiv c \pmod{x^n+1,q}$ ，因此只需将 $r,s_2)$ 作为签名值。执行高斯分布的压缩操作 $s:=Compress(s_2)$ ，输出 $(r, s)$
$V er i f y (m, (r, s), P)$ ：计算 $c:=H(r\|m)$ ，解压缩 $s_2:=Decompress(s)$ ，计算 $s_1:=c-s_2h \pmod q$ ，当 $\|(s_1,s_2)\|^2 \le \beta^2$ 时接受，否则拒绝

不同的 $m$ 取值会导致不同的 $c$ 和不同的 $s$ ，执行 $C o m p ress$ 所需的能耗和时间会有差异。如果某场景下需要对消息和签名值保密，那么就不应该使用压缩算法，确保不泄露更多侧信道信息。

后量子签名：Hash-and-Sign（下篇）