CN103501227A - 一种改进的多变量公钥密码加解密方案 - Google Patents

Abstract

一种改进的多变量公钥密码加解密方案，涉及公钥密码领域，该改进的多变量公钥密码加解密方案使用内部扰动的方法，对多变量公钥密码基本方案的中心映射进行了改进，并相应修改了加解密过程，该方案不仅具有较高的效率，还能有效的抵抗线性化方程的攻击，从而提高了多变量公钥密码加解密方案的安全性。

Description

一种改进的多变量公钥密码加解密方案

技术领域

本发明涉及公钥密码领域，具体来讲是一种改进的多变量公钥密码加解密方案。

背景技术

公钥体制于1976年由Whitfield Diffie和Martin Hellman提出的。这一体制的最大特点是采用两个密钥将加密和解密分开：一个公开作为加密秘钥，一个为用户私有，作为解密密钥，通信双方无需事先交换密钥就可以进行保密通信。而要从公开的公钥或密文分析出明文或密钥，在计算上是不可行的。若以公钥作为加密密钥，以用户私钥作为解密密钥，则可实现多个用户加密的消息只能由一个用户解读；反之，以用户私钥作为加密秘钥而以公钥作为解密密钥，则可实现由一个用户加密的消息而使多个用户解读。前者可用于保密通信，后者可用于数字签名。

在过去的三十多年里，公钥密码学得到了迅速的发展，出现了许多公钥密码算法，并且也有很多成熟的产品投入了应用，其中相当一部分算法的陷门函数是基于大整数分解和循环群上离散对数问题这两大数学难题实现的。目前主要有两大类型的公钥密码系统是安全实用的：（1）基于大整数因子分解问题的，其中最典型的代表是RSA体制；（2）基于离散对数问题的，如EIGamal公钥密码体制和影响比较大的椭圆曲线公钥密码体制。

现在广泛应用的公钥密码算法除了自身的一些缺陷外，也将受到来自量子计算机的威胁。历史上，电子计算机一出现，便被用于密码破译。同样，量子计算机一出现也将会用于密码破译。值得注意的是，许多在电子计算机环境下是安全的密码算法，在量子计算机模型下却是可破译的。能够抵御量子计算攻击的密码我们称为抗量子计算密码。国际上关于抗量子计算密码的研究主要集中在基于量子计算不擅长计算的那些数学问题所构建的密码：基于HASH函数的数字签名、基于纠错码的公钥密码、基于格的公钥密码和多变量公钥密码。

本发明阐述的多变量公钥密码方案是建立在有限域上多元多项式环上的公钥密码方案。它的安全性基于求解非线性多变量方程组，也就是二次多变量多项式方程组（MQ）问题的困难性。目前，所有存在的多变量密码系统除了IP方案以外可以分成两类：一类为双极(bipolar)系统，一类为混合(mixed)系统。根据中心映射的种类，现有的多变量公钥密码体制的陷门构造大体上可分为以下几类：MI(Matsumoto-Imai)、隐藏域方程(HFE)、油醋(OV)、三角阶梯(STS)体制。其中三角体制主要的代表有驯顺变换方法(TTM)，中间域方程(MFE)和可解有理映射(TRMC)等。

多变量公钥密码基本方案如下：

令k=F₂是一个两元域，

是k的l次扩域，l选择为一个奇数。映射F:k^2l→k^2l是由三个映射L₁，L₂和F复合而成，分别定义为：

(x₁,…,x_2l)=L₁(m₁,…,m_2l)

(y₁,…,y_2l)=F(x₁,…,x_2l)

(z₁,…,z_2l)=L₂(y₁,…,y_2l)，

其中L₁和L₂是k^2l→k^2l上的可逆仿射变换。令φ:K→k^l是一个自然的k线性同构，即：

φ(a₀+a₁x+…+a_l-1x^l-1)=(a₀,a₁,…,a_l-1)，

在这里我们需要定义一个新的变换

X₁,X₂∈K，也就是说把一个2l维的向量转化成两个K域上的元素。

中心映射

其中

具有如下形式：

$\left\{\begin{array}{c}{Y}_1={\left(X_1^2{X}_2\right)}^2+{\mathrm{\α}}_1\left(X_1^2{X}_2\right)\\ Y_2={\left(X_1{X}_2\right)}^2+{\mathrm{\α}}_2\left(X_1{X}_2\right)\end{array}\right.,$

其中α₁，α₂是K上随机选取的元素，并满足α₁≠0，α₂≠0，α₁≠α₂，α₁+α₂≠0。则公钥映射

可以表示为：

多变量公钥密码基本方案中公钥由以下两部分组成：

1、有限域k，以及它的加法和乘法结构；

2、2l个二次多元多项式组f₁(x₁,…,x_2l),…,f_2l(x₁,…,x_2l)∈k[x₁,…,x_2l]；

多变量公钥密码基本方案中私钥由两个可逆仿射变换L₁和L₂以及两个随机数α₁，α₂组成。

多变量公钥密码基本方案的加密过程：

给定消息M′=(m₁′,…,m_2l′)，相关密文为Z′=(z₁′,…,z_2l′)，

其中z_i′=f_i(m₁′,…,m_2l′)i=1,2,…,2l。

多变量公钥密码基本方案的解密过程：

步骤1：首先计算：

Y′=L₂ ^-1(Z′)=(y₁′,…,y_2l′)，

然后利用映射

从y₁′,…,y_2l′得到Y₁′和Y₂′；

步骤2：再计算：

$({X_1}^{\′},{X_2}^{\′})={\tilde{F}}^{\′-1}({Y_1}^{\′},{Y_2}^{\′}),$

步骤3：最后计算：

M′=L₁ ^-1(x₁′,…,x_2l′)=(m₁′,…,m_2l′)，

则M′就是对应于密文Z′=(z₁′,…,z_2l′)的合法明文。

虽然多变量公钥密码基本方案有比较高的效率，但由于线性化方程攻击的存在，这个方案是不安全的。

按照以下步骤来构造线性化方程：

根据

中的两个方程，求出X₁′²X₂′和X₁′X₂′，将其表示为：

$\left\{\begin{array}{c}{X_1}^{\′2}{X_2}^{\′}=f\left({Y_1}^{\′}\right)\\ {X_1}^{\′}{X_2}^{\′}=f\left({Y_2}^{\′}\right)\end{array}\right.,$

从上式可以得到

f(Y₁′)=X₁′f(Y₂′)，

其中X₁′在上式中是线性的，可以推导出有限域k上的l个线性化方程，攻击者就可以直接由密文恢复明文。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种改进的多变量公钥密码加解密方案，该改进的多变量公钥密码加解密方案能够有效抵抗线性化方程的攻击，其安全性更高。

为达到以上目的，本发明采取的技术方案是一种改进的多变量公钥密码加解密方案，包括中心映射重新构造的过程及加解密过程，所述加解密过程包括：

A.公钥生成公钥由有限域k，以及它的加法和乘法结构和n个二次多元多项式组成；

B.私钥生成私钥由映射

随机选取的r个线性独立的z₁,…,z_r∈k[x₁,…,x_2l]、一个点集P、两个可逆仿射变换L₁和L₂以及它们的逆组成；

C.加密过程即给定明文M′=(x₁′,…,x_n′)，用选取的公钥进行加密，形成密文Z′=(z₁′,…,z_n′)；

D.解密过程这个过程是加密的逆过程，解密所用的秘钥为选取的私钥。

在上述方案的基础上，所述中心映射重新构造的过程包括以下步骤：

首先，选择r是一个比较小的整数，随机选择r个线性独立方程

$z_1(x_1,...,x_{2l})=\underset{j=1}{\overset{2l}{\mathrm{\Σ}}}{\mathrm{\α}}_{j1}{x}_j+{\mathrm{\β}}_1$

.

.

.

$z_r(x_1,...,x_{2l})=\underset{j=1}{\overset{2l}{\mathrm{\Σ}}}{\mathrm{\α}}_{\mathrm{jr}}{x}_j+{\mathrm{\β}}_r,$

映射Z:k^2l→k^r如下确定：

Z(x₁,…,x_2l)=(z₁(x₁,…,x_2l),…,z_r(x₁,…,x_2l))，

其次，随机选取2l个总次数为2的多项式

映射

如下确定：

$\hat{F}(z_1,...,z_r)=({\hat{f}}_1(z_1,...,z_r),...,{\hat{f}}_{2l}(z_1,...,z_r)),$

然后，定义扰动映射F^*:k^2l→k^2l为

和Z的复合：

其中f₁ ^*,…,f_2l ^*∈k[x₁,…,x_2l]，

最后，用内部扰动映射F^*扰动原来的中心映射

新的公钥映射为：

在上述方案的基础上，所述公钥生成包括以下步骤：

A1.选取有限域k，以及它的加法和乘法结构；

A2.选取2l个二次多元多项式组：

f₁(x₁,…,x_2l),…,f_2l(x₁,…,x_2l)∈k[x₁,…，x_2l]。

在上述方案的基础上，所述的私钥生成包括以下步骤：

B1.选取映射

即两个随机数α₁，α₂；

B2.随机选取r个线性独立的z₁,…,z_r∈k[x₁,…,x_n]；

B3.选取一个点集P，P是所有映射

的像和原像的集合，即：

$P=\left\{(\mathrm{\μ},\mathrm{\λ})\right|\hat{F}\left(\mathrm{\μ}\right)=\mathrm{\λ}\},$

点集P由随机选取的2l个二次多项式

确定；

B4.选取两个可逆仿射变换L₁和L₂以及它们的逆。

在上述方案的基础上，所述的加密过程包括以下步骤：

C1.给定消息M′=(x₁′,…,x_n′)；

C2.用选取的公钥对明文进行加密，加密后的密文为：

Z′=(z₁′,…,z_n′)，其中 ${z_i}^{\′}=\stackrel{\‾}{f_i}({x_1}^{\′},...,{x_n}^{\′}),i=\mathrm{1,2},...,n.$

在上述方案的基础上，所述的解密过程包括以下步骤：

D1.在得到密文Z′=(z₁′,…,z_2l′)后，首先计算：

Y′=L₂ ^-1(Z′)=(y₁′,…,y_2l′)；

D2.对于点集P中的每一点(μ,λ)，计算：

$({y_1}^{\′\′},...,{y_{2l}}^{\′\′})={\stackrel{\text{~}}{F}}^{-1}(({y_1}^{\′},...,{y_{2l}}^{\′})+\mathrm{\λ}),$

然后验证Z(y₁″,…,y_2l″)=μ，如果不成立，则丢弃这组值；否则进行下一步；

D3.最后计算：

M′=L₁ ^-1(y₁″,…,y_2l″)=(m₁′,…,m_2l′)，

如果只有唯一的一组(m₁′,…,m_2l′)，那么M′就一定是对应的明文，如果得到超过一组的(m₁′,…,m_2l′)，则用Hash函数或者增加验证方程的方式来确定唯一明文。

本发明的有益效果在于：本发明利用在特征为2的有限域上可以方便求解多变量多项式方程的性质，使用内部扰动的方法，构造了一种新的中心映射，从而提高了多变量公钥密码加解密方案的安全性，该方案不仅具有较高的效率，还能有效的抵抗线性化方程的攻击，同时也能抵抗秩攻击、差分攻击和直接攻击。

具体实施方式

本发明所应用的数学理论与技术术语说明如下：

有限域：若域k中只含有有限个元素，则称该域k为有限域，亦称Galois(伽罗瓦域)。其中q为域中元素个数。域中元素的个数称为有限域的阶。q阶有限域，常用GF(q)或Fq表示。

仿射变换：是指在几何中，一个向量空间进行一次线性变换并接上一个平移，变换为另一个向量空间。

Hash函数：哈希函数就是把任意长的输入转化成固定长的输出的一种函数，这个输出称为该输入的哈希值。一个安全的哈希函数应该至少满足以下几个条件：

1、输出长度是固定的，一般至少取128bits长，以便抵抗生日攻击；

2、对每一个给定的输入,可很容易的计算其输出；

3、给定哈希函数的描述,找到两个不同的输入哈希到同一个值是计算上不可行的；

4、给定哈希函数的描述和一个输入，找到另一个不同的输入，使得它们的哈希值相同是计算上不可行的。

本发明所用的哈希函数H₁把任意长的一个输入转化成椭圆曲线上一个素数阶子群中的一个点。

本发明的具体实现过程包括中心映射重新构造的过程及加解密过程。

所述中心映射重新构造的过程包括以下步骤：

首先，选择r是一个比较小的整数，随机选择r个线性独立方程

$z_1(x_1,...,x_{2l})=\underset{j=1}{\overset{2l}{\mathrm{\Σ}}}{\mathrm{\α}}_{j1}{x}_j+{\mathrm{\β}}_1$

.

.

.

$z_r(x_1,...,x_{2l})=\underset{j=1}{\overset{2l}{\mathrm{\Σ}}}{\mathrm{\α}}_{\mathrm{jr}}{x}_j+{\mathrm{\β}}_r,$

映射Z:k^2l→k^r如下确定：

Z(x₁,…,x_2l)=(z₁(x₁,…,x_2l),…，z_r(x₁,…,x_2l))，

其次，随机选取2l个总次数为2的多项式

映射

如下确定：

$\hat{F}(z_1,...,z_r)=({\hat{f}}_1(z_1,...,z_r),...,{\hat{f}}_{2l}(z_1,...,z_r)),$

然后，定义扰动映射F^*:k^2l→k^2l为

和Z的复合：

其中f₁ ^*,…,f_2l ^*∈k[x₁,…,x_2l]，

最后，用内部扰动映射F^*扰动原来的中心映射

新的公钥映射为：

所述加解密过程包括：

A.公钥生成公钥由有限域k，以及它的加法和乘法结构和n个二次多元多项式组成，所述公钥生成包括以下步骤：

A1.选取有限域k，以及它的加法和乘法结构；

A2.选取2l个二次多元多项式组：

f₁(x₁,…,x_2l),…,f_2l(x₁,…,x_2l)∈k[x₁,…,x_2l]。

B.私钥生成私钥由映射

随机选取的r个线性独立的z₁,…,z_r∈k[x₁,…,x_2l]、一个点集P、两个可逆仿射变换L₁和L₂以及它们的逆组成，所述的私钥生成包括以下步骤：

B1.选取映射

即两个随机数α₁，α₂；

B2.随机选取r个线性独立的z₁,…,z_r∈k[x₁,…,x_n]；

B3.选取一个点集P，P是所有映射

的像和原像的集合，即：

$P=\left\{(\mathrm{\μ},\mathrm{\λ})\right|\hat{F}\left(\mathrm{\μ}\right)=\mathrm{\λ}\},$

点集P由随机选取的2l个二次多项式确定；

B4.选取两个可逆仿射变换L₁和L₂以及它们的逆。

C.加密过程即给定明文M′=(x₁′,…,x_n′)，用选取的公钥进行加密，形成密文Z′=(z₁′,…,z_n′)，所述的加密过程包括以下步骤：

C1.给定消息M′=(x₁′,…,x_n′)；

C2.用选取的公钥对明文进行加密，加密后的密文为：

Z′=(z₁′,…,z_n′)，其中 ${z_i}^{\′}=\stackrel{\‾}{f_i}({x_1}^{\′},...,{x_n}^{\′}),i=\mathrm{1,2},...,n.$

D.解密过程这个过程是加密的逆过程，解密所用的秘钥为选取的私钥，所述的解密过程包括以下步骤：

D1.在得到密文Z′=(z₁′,…,z_2l′)后，首先计算：

Y′=L₂ ^-1(Z′)=(y₁′,…,y_2l′)；

D2.对于点集P中的每一点(μ,λ)，计算：

$({y_1}^{\′\′},...,{y_{2l}}^{\′\′})={\stackrel{\text{~}}{F}}^{-1}(({y_1}^{\′},...,{y_{2l}}^{\′})+\mathrm{\λ}),$

然后验证Z(y₁′′,…,y_2l′′)=μ，如果不成立，则丢弃这组值；否则进行下一步；

D3.最后计算：

M′=L₁ ^-1(y₁″,…,y_2l″)=(m₁′,…,m_2l′)，

如果只有唯一的一组(m₁′,…,m_2l′)，那么M′就一定是对应的明文，如果得到超过一组的(m₁′,…,m_2l′)，则用Hash函数或者增加验证方程的方式来确定唯一明文。

本发明不局限于上述实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (6)

1.一种改进的多变量公钥密码加解密方案，其特征在于：包括中心映射重新构造的过程及加解密过程，所述加解密过程包括：

A.公钥生成公钥由有限域k，以及它的加法和乘法结构和n个二次多元多项式组成；

B.私钥生成 私钥由映射

随机选取的r个线性独立的z₁,…,z_r∈k[x₁,…,x_2l]、一个点集P、两个可逆仿射变换L₁和L₂以及它们的逆组成；

C.加密过程即给定明文M′=(x₁′,…,x_n′)，用选取的公钥进行加密，形成密文Z′=(z₁′,…,z_n′)；

D.解密过程这个过程是加密的逆过程，解密所用的秘钥为选取的私钥。

2.如权利要求1所述的一种改进的多变量公钥密码加解密方案，其特征在于：所述中心映射重新构造的过程包括以下步骤：

首先，选择r是一个比较小的整数，随机选择r个线性独立方程

$z_1(x_1,...,x_{2l})=\underset{j=1}{\overset{2l}{\mathrm{\Σ}}}{\mathrm{\α}}_{j1}{x}_j+{\mathrm{\β}}_1$

.

.

.

$z_r(x_1,...,x_{2l})=\underset{j=1}{\overset{2l}{\mathrm{\Σ}}}{\mathrm{\α}}_{\mathrm{jr}}{x}_j+{\mathrm{\β}}_r,$

映射Z:k^2l→k^r如下确定：

Z(x₁,…,x_2l)=(z₁(x₁,…,x_2l),…,z_r(x₁,…,x_2l))，

其次，随机选取2l个总次数为2的多项式

映射

如下确定：

$\hat{F}(z_1,...,z_r)=({\hat{f}}_1(z_1,...,z_r),...,{\hat{f}}_{2l}(z_1,...,z_r)),$

然后，定义扰动映射F^*:k^2l→k^2l为

和Z的复合：

其中f₁ ^*,…,f_2l ^*∈k[x₁,…,x_2l]，

最后，用内部扰动映射F^*扰动原来的中心映射

新的公钥映射为：

3.如权利要求1所述的一种改进的多变量公钥密码加解密方案，其特征在于：所述公钥生成包括以下步骤：

A1.选取有限域k，以及它的加法和乘法结构；

A2.选取2l个二次多元多项式组：

f₁(x₁,…,x_2l),…,f_2l(x₁,…,x_2l)∈k[x₁,…,x_2l]。

4.如权利要求1所述的一种改进的多变量公钥密码加解密方案，其特征在于：所述的私钥生成包括以下步骤：

B1.选取映射

即两个随机数α₁，α₂；

B2.随机选取r个线性独立的z₁,…,z_r∈k[x₁,…,x_n]；

B3.选取一个点集P，P是所有映射

的像和原像的集合，即：

$P=\left\{(\mathrm{\μ},\mathrm{\λ})\right|\hat{F}\left(\mathrm{\μ}\right)=\mathrm{\λ}\},$

点集P由随机选取的2l个二次多项式

确定；

B4.选取两个可逆仿射变换L₁和L₂以及它们的逆。

5.如权利要求1所述的一种改进的多变量公钥密码加解密方案，其特征在于：所述的加密过程包括以下步骤：

C1.给定消息M′=(x₁′,…,x_n′)；

C2.用选取的公钥对明文进行加密，加密后的密文为：

Z′=(z₁′,…,z_n′)，其中 ${z_i}^{\′}=\stackrel{\‾}{f_i}({x_1}^{\′},...,{x_n}^{\′}),i=\mathrm{1,2},...,n.$

6.如权利要求1所述的一种改进的多变量公钥密码加解密方案，其特征在于：所述的解密过程包括以下步骤：

D1.在得到密文Z′=(z₁′,…,z_2l′)后，首先计算：

Y′=L₂ ^-1(Z′)=(y₁′,…,y_2l′)；

D2.对于点集P中的每一点(μ,λ)，计算：

$({y_1}^{\′\′},...,{y_{2l}}^{\′\′})={\stackrel{\text{~}}{F}}^{-1}(({y_1}^{\′},...,{y_{2l}}^{\′})+\mathrm{\λ}),$

然后验证Z(y₁″,…,y_2l″)=μ，如果不成立，则丢弃这组值；否则进行下一步；

D3.最后计算：

M′=L₁ ^-1(y₁″,…,y_2l″)=(m₁′,…,m_2l′)，

如果只有唯一的一组(m₁′,…,m_2l′)，那么M′就一定是对应的明文，如果得到超过一组的(m₁′,…,m_2l′)，则用Hash函数或者增加验证方程的方式来确定唯一明文。