CN103200001A

CN103200001A - 一种多变量公钥加密方法

Info

Publication number: CN103200001A
Application number: CN2013101020760A
Authority: CN
Inventors: 王后珍; 张焕国
Original assignee: Wuhan University WHU
Current assignee: Wuhan University WHU
Priority date: 2013-03-27
Filing date: 2013-03-27
Publication date: 2013-07-10
Anticipated expiration: 2033-03-27
Also published as: CN103200001B

Abstract

本发明涉及信息安全技术领域，尤其涉及一种多变量公钥加密方法，具体实现方式包括：建立系统、用公钥加密和用私钥解密。本发明采用多项式同态问题给出了一种新型多变量公钥加密方法，具有实现效率高、不需要密码算法协处理器、高度安全性、抗量子计算机的攻击等优点，在智能卡、无线传感网络等安全领域、比传统密钥交换协议如RSA、ECC等有优势。本发明提供的方法可广泛应用于网络安全、电子商务、票据以及身份认证等信息安全系统领域。

Description

一种多变量公钥加密方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种多变量公钥加密方法。

背景技术

量子计算机的发展，对传统公钥密码体制如RSA等构成了极大的威胁。为此，具有抗量子计算机攻击的公钥密码受到了广泛的关注，目前提出的抗Shor量子算法攻击的公钥密码，主要有NTRU，OTU2000，以及多变量二次多项式（简称MQ）公钥密码体制等类型。NTRU在多个国家注册了专利，其中已于2004年获得了中国知识产权局的授权，十五期间我国也开展了对NTRU的理论研究，但没有产生具有自主知识产权的基础性研究成果；OTU2000产生密钥过程需要计算离散对数，速度很慢，使得该密码体制的实用性不够；近年来MQ公钥密码引起了密码界的极大兴趣，被认为是取代RSA的最佳选择之一，其安全性是基于有限域上二次多变量方程组的难解性，除了抗量子计算外，它的最大优点是实现效率高，不需要密码协处理器，非常适合智能卡。这些优点是RSA、DLOG、ECC等传统密码体制所无法比拟的。

总的来说，基于目前的多变量公钥构造结构，设计相对安全的多变量签名算法比加密算法要容易的多，而且目前多变量公钥加密方案的研究也相对较少。因此，如何构造安全高效的多变量公钥加密方案是一个值得研究的课题。其次，传统多变量公钥陷门构造结构存在一定缺陷和瓶颈，目前绝大部分多变量公钥密码方案已被攻破，随着各种有效攻击方法的相继出现，几乎所有的多变量公钥方案都遭受到程度不一的攻击，于是人们开始对目前这种基于IP问题的单向陷门构造结构产生了质疑。

发明内容

针对上述存在的技术问题，本发明的目的是提供一种具有实现效率高、不需要密码算法协处理器、高度安全性、抗量子计算机的攻击等优点的多变量公钥加密方法。

为达到上述目的，本发明采用如下的技术方案：

一种多变量公钥加密方法，其特征在于具体实现方式如下：

(Ⅰ)建立系统：

选择有限域GF(q)，随机选取GF(q)上的m维方阵T₀和n维方阵U₀、以及n个变量m个二次多项式构成的非线性变换F，F可表示为：

F (x_{1}, . . . x_{n}) = (f_{1} (x_{1}, . . ., x_{n}), . . ., f_{m} (x_{1}, . . ., x_{n}))

这里，f_i为n元二次多项式函数，形式如下：

f_{i} (x_{i}, . . ., x_{n}) = \underset{1 \leq j \leq k \leq n}{Σ} c_{ijk}, x_{j}, x_{k} + \underset{1 \leq j \leq n}{Σ} b_{ij} x_{j} + a_{i}

其中，所有参数x_i，a_i，c_ijk∈GF(q)（1≤j≤k≤n，1≤i≤m）；

然后，随机选取α_i，β_j∈GF(q)，其中0≤i≤m，0≤j≤n，计算出系统的私钥为

T_{a} = Σ_{i = 0}^{m} α_{i} T_{0}^{i}, U_{a} = Σ_{j = 0}^{n} β_{j} U_{0}^{j};

系统的公钥为F、以及上述3个映射T_a、F和U_a的复合，即

其中P与F具有相同结构形式，为有限域GF(q)上n个输入变量、m个方程的二次多项式方程组；

(Ⅱ)用公钥加密：

其具体过程包括以下四个子步骤：

（1）将明文信息编码成与F具有相同规模的多项式M；

（2）随机选取γ_i，δ_j∈GF(q)，其中0≤i≤m，0≤j≤n，计算

T_{k} = Σ_{i = 0}^{m} α_{i} T_{0}^{i}, U_{k} = Σ_{j = 0}^{n} β_{j} U_{0}^{j},

以及；

（3）然后计算

，

C_{2} = M &CirclePlus; C_{k};

（4）则密文为(C₁，C₂)；

(Ⅲ)用私钥解密：

其具体过程包括以下两个子步骤：

（1）用私钥T_a，U_a，计算；

（2）则明文

M = C_{2} &CirclePlus; C_{k} .

本发明相对于现有技术具有以下优点和积极效果：

1.本发明是一种安全性很高的多变量公钥加密方法。其安全性性能主要基于多项式同态问题，该问题已被证明为NPC问题，另外，本发明继承了传统多变量公钥密码系统的优点，因此本发明具有抵抗量子计算机攻击的潜力；

2．本发明是一种高效轻量的多变量公钥加密方法，其运算主要为有限域上的乘法运算，如果我们选择较小的域参数如GF(2⁸)，则乘法可采用查表，效率较高，本方案可广泛应用于计算能力有限的嵌入式设备中。

具体实施方式

下面结合具体实施例来描述本发明提出的多变量公钥加密方法。

本发明的一种多变量公钥加密方法，具体实现方式如下：

(Ⅰ)建立系统：

选择有限域GF(2¹⁶)，随机选取GF(2¹⁶)上的10维方阵T₀和12维方阵U₀、以及12个变量10个二次多项式构成的非线性变换F，F可表示为：

F (x_{1}, . . . x_{12}) = (f_{1} (x_{1}, . . ., x_{12}), . . ., f_{10} (x_{1}, . . ., x_{12}))

这里，f_i为12元二次多项式函数，形式如下：

f_{i} (x_{i}, . . ., x_{12}) = \underset{1 \leq j \leq k \leq 12}{Σ} c_{ijk}, x_{j}, x_{k} + \underset{1 \leq j \leq 12}{Σ} b_{ij} x_{j} + a_{i}

其中，所有参数x_i，a_i，c_ijk∈GF(2¹⁶)（1≤j≤k≤12，1≤i≤10）；

然后，随机选取α_i，β_j∈GF(2¹⁶)，其中0≤i≤10，0≤j≤12，计算出系统的私钥为

T_{a} = Σ_{i = 0}^{10} α_{i} T_{0}^{i}, U_{a} = Σ_{j = 0}^{12} β_{j} U_{0}^{j};

系统的公钥为F、以及上述3个映射T_a、G和U_a的复合，即

，其中P与F具有相同结构形式，为有限域GF(q)上12个输入变量、10个方程的二次多项式方程组；

(Ⅱ)用公钥加密：

该过程包括以下四个子步骤：

（1）将明文信息编码成与F具有相同规模的多项式M；

（2）随机选取γ_i，δ_j∈GF(2¹⁶)，其中0≤i≤10，0≤j≤12，计算

T_{k} = Σ_{i = 0}^{10} α_{i} T_{0}^{i}, U_{k} = Σ_{j = 0}^{12} β_{j} U_{0}^{j},

以及；

（3）然后计算，

C_{2} = M &CirclePlus; C_{k};

（4）则密文为(C₁，C₂)；

(Ⅲ)用私钥解密：

其过程包括以下两个子步骤：

（1）用私钥T_a，U_a，计算

；

（2）则明文

M = C_{2} &CirclePlus; C_{k} .

本实施例的安全性水平约为

其主要的运算是有限域GF(2¹⁶)上的乘法运算，实现效率高，适合软硬件实现，其次，公钥为134680比特，私钥为3904比特，较SFLASH标准签名算法的密钥量小得多。

本说明书未详细描述的内容属于本专业技术人员公知的现有技术。

本发明采用多项式同态问题给出了一种新型多变量公钥加密方法，具有实现效率高、不需要密码算法协处理器、高度安全性、抗量子计算机的攻击等优点，在智能卡、无线传感网络等安全领域、比传统密钥交换协议如RSA、ECC等有优势。本发明提供的方法可广泛应用于网络安全、电子商务、票据以及身份认证等信息安全系统领域。

以上所述实施例仅是为充分说明本发明而所举的较佳的实施例，本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换，均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。

Claims

1.一种多变量公钥加密方法，其特征在于具体实现方式如下：

(Ⅰ)建立系统：

F (x_{1}, . . . x_{n}) = (f_{1} (x_{1}, . . ., x_{n}), . . ., f_{m} (x_{1}, . . ., x_{n}))

这里，f_i为n元二次多项式函数，形式如下：

f_{i} (x_{i}, . . ., x_{n}) = \underset{1 \leq j \leq k \leq n}{Σ} c_{ijk}, x_{j}, x_{k} + \underset{1 \leq j \leq n}{Σ} b_{ij} x_{j} + a_{i}

其中，所有参数x_i，a_i，c_ijk∈GF（q)（1≤j≤k≤n，0≤i≤m）；

然后，随机选取α_i，β_j∈GF(q)其中0≤i≤m，0≤j≤n，计算出系统的私钥为

T_{a} = Σ_{i = 0}^{m} α_{i} T_{0}^{i}, U_{a} = Σ_{j = 0}^{n} β_{j} U_{0}^{j};

系统的公钥为F、以及上述3个映射T_a、G和U_a的复合，即

，其中P与F具有相同结构形式，为有限域GF(q)上n个输入变量、m个方程的二次多项式方程组；

(Ⅱ)用公钥加密：

其具体过程包括以下四个子步骤：

（1）将明文信息编码成与F具有相同规模的多项式M；

（2）随机选取γ_i，δ_j∈GF(q)其中0≤i≤m，0≤j≤n，计算

T_{k} = Σ_{i = 0}^{m} α_{i} T_{0}^{i}, U_{k} = Σ_{j = 0}^{n} β_{j} U_{0}^{j},

以及

；

（3）然后计算

，

C_{2} = M &CirclePlus; C_{k};

（4）则密文为(C₁，C₂)；

(Ⅲ)用私钥解密：

其具体过程包括以下两个子步骤：

（1）用私钥T_a，U_a，计算

；

（2）则明文

M = C_{2} &CirclePlus; C_{k} .