CN110545179A

CN110545179A - 基于r-lwe的ntru加密方法及其安全性证明方法

Info

Publication number: CN110545179A
Application number: CN201910812473.4A
Authority: CN
Inventors: 邱望洁; 李婷婷
Original assignee: Zhongxin Haoyue (shenzhen) Technology Holding Co Ltd
Current assignee: Zhongxin Haoyue (shenzhen) Technology Holding Co Ltd
Priority date: 2019-08-29
Filing date: 2019-08-29
Publication date: 2019-12-06

Abstract

本发明揭示了一种基于R‑LWE的NTRU加密方法及其安全性证明方法，对NTRU环结构的适当修改，经过定义参数、高斯抽样获取密钥对、加密、解密解决了NTRU缺乏严格安全性证明的缺陷，并通过对NTRU加密方法安全性进行证明，进一步验证了所述基于R‑LWE问题的可证明的NTRU加密方法。本发明的基于R‑LWE的NTRU加密方法及其安全性证明方法，可有效地证明加密方法的安全性，在产生密钥对时增加筛选功能，有效避免格攻击。

Description

基于R-LWE的NTRU加密方法及其安全性证明方法

技术领域

本发明涉及加密方法领域，特别涉及一种基于R-LWE的NTRU加密方法及其安全性证明方法。

背景技术

1976年提出了公开密钥密码体制的思想：将密钥分成公开密钥和秘密密钥两部分，分别决定互逆的加密映射和解密映射。在这种密码体制下，每个用户均有自己的公开密钥和秘密密钥。公开密钥是公开的，可以像电话号码一样供人查阅，这样，通信双方不必事先约定即可进行保密通信，也不存在需要“安全通道”传送密钥的问题；秘密密钥则是秘密的，由每个用户自己保存，供解密之用。从基于的数学困难问题来看，公钥密码体制大致有以下几类：(1)基于整数分解问题的公钥密码体制，比如RSA、Rabin、LUC、Williams等；(2)基于有限域上离散对数问题设计的公钥密码体制，比如Diffie-Hellman密钥交换协议、ELGamal加密体制、DSA数字签名体制等；(3)基于椭圆曲线上离散对数问题的公钥密码体制，比如ECIES体制、ECDSA体制等；(4)基于背包问题的公钥密码体制，比如Merkle-Hellman背包加密体制、Chor-Rivest背包加密体制等。

就目前而言，比较成熟的、正在被广泛应用的密码体制主要有两类：一类是基于整数分解问题设计的RSA；另一类是椭圆曲线上离散对数问题设计的密码体制ECC(EllipticCurves Cryptography)。

格密码作为后量子时代公钥密码的典型代表，具有能够抵抗量子计算机攻击、平均安全性可以建立在格问题最坏情况的复杂度上以及具有线性结构并期望有较快的加解密速度等优点，近年来越来越受到广泛的关注。但是，一般格公钥密码方案的主要缺点是密钥量较大、空间复杂度较大等，这些使得格公钥密码方案计算效率较低，难以在实际中大量应用。

为了解决基于LWE问题的方案存在的效率低下的问题，2010年Lyubash等提出新型的LWE，即环上的差错学习R-LWE(Ring-Learning With Error)问题，下面给出定义：

对于给定的正整数n，素数q＝1mod 2n，整数环R_q＝Z(x)/(xⁿ+1)，环R_q上的错误概率分布Ψ，选取R-LWE分布A_s，Ψ中的任意多个元素(a_i，b_i)＝(a_i，(a_i，s)+e_i)。

R-LWE搜索问题的目标是：以不可忽略的概率输出满足等式b_i＝(a_i，s)+e_i的元素

R-LWE判断问题的目标是：以不可忽略的概率区分元素(a_i，b_i)是取自上的LWE分布还是均匀分布

目前，NTRU加密方案是唯一被广泛使用的格密码方案，现已被IEEE P1363.1标准和X9.98标准接受，但现有的NTRU加密方案不具备可证明安全这一性质，且其在密钥生成算法中可能导致格攻击。

发明内容

本发明的目的在于针对现有技术中的上述缺陷，提供一种基于R-LWE的NTRU加密方法及其安全性证明方法，可有效地证明加密方法的安全性，在产生密钥对时增加筛选功能，有效避免格攻击。

为了实现上述发明目的，一方面，本发明提出了一种基于R-LWE的NTRU加密方法，其包括以下步骤：

一、定义参数：

定义n为2的幂次方且n≥8；

定义p＝2；

定义q为素数，q≥5且q≤poly(n)，q＝1mod 2n以保证((xⁿ+1)modq)有n个不同的线性因子；

mod q的运算结果限制在内，mod(xⁿ+1)的运算结果为次数不超过n-1的多项式；

定义环R＝Z(x)/(xⁿ+1)，R_q＝R/q；

二、密钥对生成：

在环R＝Z(x)/(xⁿ+1)中通过高斯抽样获得私钥，具体步骤包括：

(1)输入参数n、q、p、高斯抽样中的偏差向量s以及安全参数SePa，其中q∈Z，表示R_q中所有可逆元素构成的集合，偏差向量s∈R_q，安全参数用于筛选抽样获得的私钥；

(2)从高斯分布中抽样出f′，令f＝p·f′+1，若则需要重新抽样；若计算出的f不满足||f||≤SePa，则需要重新抽样；

(3)从高斯分布中抽样出g，若则需要重新抽样；若抽样出的g不满足||g||≤SePa，则需要重新抽样；

(4)令私钥sk＝f，公钥pk＝h＝pg/f，公钥输出密钥对

三、加密：

在加密过程中加入随机的偏差向量s∈R_q，e∈Ψ_α，输出密文c＝h·s+pe+m mod q；

四、解密：

对正常接收的密文c利用私钥sk进行解密，输出明文m，具体步骤包括：

f·c＝f·h·s+f·pe+f·m mod q＝pg·s+f·pe+f·m mod q

当pg·s+f·pe+f·m mod q的系数在区间内时，则可进一步得到：

pg·s+f·pe+f·m mod q＝pg·s+f·pe+f·m

对pg·s+f·pe+f·m进行mod p运算，即：

pg·s+f·pe+f·m mod p＝f·m mod p＝m

进一步地，钥pk＝h在均匀分布的分布是统计不可区分的。

另一方面，本发明还提出了一种基于R-LWE的NTRU加密方法的安全性证明方法，其包括以下步骤：

A：给定选择明文攻击的攻击算法A，然后构造一个求解R-LWE问题的算法B：

B：提供问答器O，算法B利用问答器O从均匀分布或LWE分布中抽取一个样本(h′，c′)，其中c′＝h′s+e；

C：利用算法B的公钥h′运算算法A的公钥h＝ph′∈R_q；

D：当算法A提出挑战明文信息m₀，m₁时，算法B从均匀分布U(0，1)中随机挑出b；

E：计算算法A的密文c＝pc′+m_b∈R_q，并将密文c返回算法A，算法A输出对b的猜测b′，若b＝b′时，算法B输出1，则证明所述NTRU加密方法是安全的；若b≠b′时，算法B输出0，则证明所述NTRU加密方法是不安全的。

进一步地，由于可知算法B所用的公钥h′和算法A所用的公钥h是在中均匀随机的，并且算法A中的公钥h与真实攻击的公钥的统计距离是在q^-Ω(n)内。

进一步地，由于c′＝h′s+e且s∈R_q，e∈Ψ_α，则返回给算法A的密文c的分布与在选择明文攻击下的分布相同。

进一步地，若问答器O输出LWE分布中的样本，那么算法A攻击成功且算法B以输出为1。

进一步地，若问答器O输出均匀分布中的样本，由于那么pc′的值和c是在R_q中均匀随机的，并且与b无关，则算法B的概率＝1/2，而输出为1。

相比于现有技术，本发明优点在于：一种基于R-LWE问题的可证明的NTRU加密方法，通过对NTRU环结构的适当修改解决了NTRU缺乏严格安全性证明的缺陷，提高安全性，并在密钥生成算法过程中对直接抽样产生的密钥增加了″筛选”的功能，有效避免格攻击，使得方案能够应用于实际。

具体实施方式

以下结合较佳实施例对本发明技术方案作进一步非限制性的详细说明。

一种基于R-LWE的NTRU加密方法，其包括以下步骤：

一、定义参数：

定义n为2的幂次方且n≥8；

定义p＝2；

定义环对于环R中的元素

f(x)＝f₀+f₁x+…+f_n-1x^n-1，g(x)＝g₀+g₁x+…+g_n-1x^n-1和k∈Z，定义运算为：

k·f(x)＝kf₀+kf₁x+…+kf_n-1x^n-1

二、密钥对生成：

(1)输入参数n、q、D、高斯抽样中的偏差向量s以及安全参数SePa，其中q∈Z，表示R_q中所有可逆元素构成的集合，偏差向量s∈R_q，安全参数用于筛选抽样获得的私钥，为了高效地获取满足离散高斯分布的私钥对，所以选取的偏差参数往往非常大，因而有时候会出现私钥对的尺寸很大，这将会导致有效的格攻击，设置安全参数SePa提高了安全性；

(4)令私钥sk＝f，公钥pk＝h＝pg/f，公钥输出密钥对

这样既保证了公钥伪随机性的密码性质，也能对抽样选取的密钥有了筛选的功能。

三、加密：

四、解密：

f·c＝f·h·s+f·pe+f·m mod q＝pg·s+f·pe+f·m mod q

当pg·s+f·pe+f·m mod q的系数在区间内时，则可进一步得到：

pg·s+f·pe+f·m mod q＝pg·s+f·pe+f·m

对pg·s+f·pe+f·m进行mod p运算，即：

pg·s+f·pe+f·m mod p＝f·m mod p＝m

对上述NTRU加密方法证明安全性需要用到以下定理：

定理1：定义n是2的幂次方且n≥8，q≥5，q≤poly(n)且q＝1mod 2n，ε＞0，且偏差向量并有y_i∈R_q和z_i＝-yip^-1mod q，其中i∈{1，2}，则统计距离

定理2：定义ε，δ＞0，且偏差向量若对加密方法存在一个运行时间是T且成功概率是1/2+δ的选择明文攻击(IND-CPA)算法，则存在一个运行时间是T′＝T+O(n)且成功概率是δ′＝δ-q^-Ω(n)的算法来求解R-LWE问题。

由定理1可得出密钥对生成中公钥pk＝h在均匀分布的分布是统计不可区分的，这为基于R-LWE问题提供了必要条件。

基于R-LWE的NTRU加密方法的安全性证明方法包括以下步骤：

A：给定选择明文攻击的算法A，然后构造一个求解R-LWE问题的算法B；

B：提供问答器O，算法B利用问答器O从均匀分布或中抽取一个样本(h′，c′)，其中c′＝h′s+e，；

C：利用算法B的公钥h′运算算法A的公钥h＝ph′∈R_a；

根据定理1，由于可知算法B所用的公钥h′和算法A所用的公钥h是在中均匀随机的，并且算法A中的公钥h与真实攻击的公钥的统计距离是在q^-Ω(n)内。由于c′＝h′s+e且s∈R_q，e∈Ψ_α，则返回给算法A的密文c的分布与在选择明文攻击下的分布相同。因此，若问答器O输出LWE分布中的样本，那么算法A攻击成功且算法B以输出为1；若问答器O输出均匀分布中的样本，由于那么pc′的值和c是在R_q中均匀随机的，并且与b无关，则算法B的概率＝1/2，而输出为1。

综上所述，该方案是选择明文攻击(IND-CPA)安全的。

本发明的一种基于R-LWE的NTRU加密方法及其安全性证明方法，通过对NTRU环结构的适当修改解决了NTRU缺乏严格安全性证明的缺陷，提高安全性，并在密钥生成算法过程中对直接抽样产生的密钥增加了筛选的功能，有效避免格攻击，使得方案能够应用于实际。

需要指出的是，上述较佳实施例仅为说明本发明的技术构思及特点，其目的在于让熟悉此项技术的人士能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡根据本发明精神实质所作的等效变化或修饰，都应涵盖在本发明的保护范围之内。

Claims

1.一种基于R-LWE的NTRU加密方法，其特征在于，其包括以下步骤：

一、定义参数：

定义n为2的幂次方且n≥8；

定义p＝2；

定义q为素数，q≥5且q≤poly(n)，q＝1 mod 2n以保证((xⁿ+1)modq)有n个不同的线性因子；

定义环R＝Z(x)/(xⁿ+1)，R_q＝R/q；

二、密钥对生成：

(4)令私钥sk＝f，公钥pk＝h＝pg/f，公钥输出密钥对

三、加密：

四、解密：

f·c＝f·h·s+f·pe+f·m mod q＝pg·s+f·pe+f·m mod q

当pg·s+f·pe+f·m mod q的系数在区间内时，则可进一步得到：

pg·s+f·pe+f·m mod q＝pg·s+f·pe+f·m

对pg·s+f·pe+f·m进行mod p运算，即：

pg·s+f·pe+f·m mod p＝f·m mod p＝m。

2.按照权利要求1所述基于R-LWE的NTRU加密方法，其特征在于：所述公钥pk＝h在均匀分布的分布是统计不可区分的。

3.一种按照权利要求1所述的基于R-LWE的NTRU加密方法的安全性证明方法，其特征在于，其包括以下步骤：

A：给定选择明文攻击的攻击算法A，然后构造一个求解R-LWE问题的算法B；

B：提供问答器0，算法B利用问答器0从均匀分布或LWE分布中抽取一个样本(h′，c′)，其中c′＝h′s+e；

C：利用算法B的公钥h′运算算法A的公钥h＝ph′∈R_q；

4.按照权利要求3所述基于R-LWE的NTRU加密方法的安全性证明方法，其特征在于：由于可知算法B所用的公钥h′和算法A所用的公钥h是在中均匀随机的，并且算法A中的公钥h与真实攻击的公钥的统计距离是在q^-Ω(n)内。

5.按照权利要求4所述基于R-LWE的NTRU加密方法的安全性证明方法，其特征在于：由于c′＝h′s+e且s∈R_q，e∈Ψ_α，则返回给算法A的密文c的分布与在选择明文攻击下的分布相同。

6.按照权利要求5所述基于R-LWE的NTRU加密方法的安全性证明方法，其特征在于：若问答器0输出LWE分布中的样本，那么输出为1。

7.按照权利要求5所述基于R-LWE的NTRU加密方法的安全性证明方法，其特征在于：若问答器0输出均匀分布中的样本，由于那么pc′的值和c是在R_q中均匀随机的，并且与b无关，则算法B的概率＝1/2，而输出为1。