CN107566121A - 一类高效的秘密共识方法 - Google Patents

Abstract

本发明提供了一类高效的秘密共识传输方法，包括：发送方有一个秘密输入σ₁∈Z_q，接收方有一个秘密输入σ₂∈Z_q；编码计算(k₁，v)并将v传送给 由v和σ₂解码得到k₂＝k₁。发明方法是首个在安全性、效率、带宽、出错率达到最优平衡的秘密共识方法。

Description

一类高效的秘密共识方法

技术领域

本发明涉及密码和编码技术领域，具体地说，涉及一类高效的秘密共识方法。

背景技术

伴随量子计算机的快速发展，发展抗量子攻击的密码和编码算法变得愈来愈迫切。格基，特别是基于LWE和RLWE问题的，新型密码系统是后量子密码的主流技术。基于LWE和RLWE的密码系统(特别是公钥加密、密钥协商等) 的核心模块是如何从距离较近但却不相等的数值中达成秘密共识和传送。已有的秘密共识和传送方案存在效率差、出错率高、实用性差等缺点，发展新型的秘密共识和传送方法具有在重大的产业和应用价值，是引领和占据国际信息安全产业制高点的核心技术。

集合Z_q可以用两种方法表示：或 其中是向下取整运算符。对于任意的整数x∈Z，定义|x|_q＝min{x mod q，q-x mod q}；给定一个实数r，「r」表示对r进行四舍五入，其中「」是四舍五入运算符。

发明内容

为解决上述问题，本发明提供了一类高效的秘密共识传输方法，发明方法在正确性、带宽、安全性方面达到了最佳平衡，是国际上首个达到最优平衡的秘密共识方法。发明方法可以用来构建目前为止基于LWE的最为高效的公钥加密系统。所述方法包括：

系统参数：params＝(q，m，g，d)，其中q、m、g、d为正整数，满足：

m≥2，q≥g≥2，0≤d≤q/2；系统参数可以由系统内的用户协商决定，或由调用发明方法的过程来确定，或由可信第三方给定；

系统中的两个用户(可以为设备、程序等)，运行发明方法的初始者记为，运行方法的响应者记为有一个秘密输入σ₁∈Z_q，有一个秘密输入σ₂∈ Z_q，满足d≥|σ₁-σ₂|_q；即，σ₁和σ₂不一定相等，但是差距比较小；发明方法将使得和达成相同的秘密共识k₁＝k₂∈Z_m＝{0，1，...，m-1}；为此，向传送一个信息v∈Z_g＝{0，1，...，g-1}；具体而言，按如下方式得到(k₁，v)并将v传送给收到v后按如下方式得到k₂：

方式一：记q′为q和m的最大公约数，α＝q′/q，β＝q′/m；令系统参数满足(2d+1)m＜q(1-1/g)；

发送方编码方法：

步骤1：随机选取即从集合中随机均匀选取e；

步骤2：计算σ_A＝(ασ₁+e)mod q′；

步骤3：令(k₁，v′)分别为σ_A/β的商和余数，即 v′＝σ_A mod β；

步骤4：计算

步骤5：降k₁作为其保密的共识秘密，并将v发送给

接收方解码方法：收到v之后，计算k₂＝「ασ₂/β-(v+1/2)/g」mod m，并将k₂作为其保密的共识秘密，其中「」是四舍五入运算符；

方式一主要用来交互双方对等地交换共识秘密，即共识秘密k₁＝k₂无法在发明方法运行之前就可以确定，而必须由交互双方在线产生。

方式二：令系统参数满足(2d+1)m＜q(1-m/g)，其中q＞g或m≠2；

发送方编码方法：

步骤1：得到k₁∈Z_m并将k₁作为其保密的共识秘密；注意，对于方式二，共识秘密可以由发送方指定，并可以在发明方法运行之前就可以确定；

步骤2：计算v＝「g(σ₁+「(k₁q)/m」)/q」mod g，并将v发送给

接收方解码方法：收到v之后，计算k₂＝「m(v/g-σ₂/q)」mod m，并将k₂作为其保密的共识秘密。

根据本发明的一个实施例，

如果本发明的系统参数具有特殊的形式，发送方编码方法和接收者解码方法都可以简化。具体而言，

方式一：令 其中为正整数，并满足2md＜q(1-1/g)；即：系统参数中的q，g，m均为2的次幂。令q′＝q， 对于这种特殊的参数，方式一中的发送方编码方法的步骤1和步骤2是将Z_q上的随机均匀分布转换为Z_q，上的随机均匀分布。但是，当q，g，m均为2的次幂时，这种转换就自动蕴含了因此可以省略。这样，得到如下简化的编码和解码方法。

发送方简化编码方法：

步骤1：计算

步骤2：计算

步骤3：将k₁作为其保密的共识秘密，并将v发送给

接收方简化解码方法：收到v之后，计算k₂＝「σ₂/β-v+1/2)/g」mod m，并将k₂作为其保密的共识秘密；

方式二：令 其中∈Z为正整数，并满足2md＜ q；即：系统参数中的q，m均为2的次幂。令对于这种特殊参数，方式二中的发送方编码方法的步骤2可以简化表示，得到如下简化的编码和解码方法。

发送方简化编码方法：

步骤1：得到k₁∈Z_m并将k₁作为其保密的共识秘密；

步骤2：计算v＝(σ₁+k₁β)mod q，并将v发送给

接收方简化编码方法：收到v之后，计算k₂＝「(v-σ₂)/β」mod m，并将k₂作为其保密的共识秘密。

根据本发明的一个实施例，

方式一：令 其中∈Z为正整数，并满足且2md＜q；对于这类更为特殊的参数，即：系统参数中的q，g，m 不仅均为2的次幂，而且还满足q＝gm，编码和解码方法的表示可以进一步简化：

发送方进一步简化编码方法：计算和v＝σ₁ mod g；将k₁作为其保密的共识秘密，并将v发送给

接收方进一步简化解码方法：收到v之后，计算k₂＝「(σ₂- v)/g」mod m。

发明方法在用于密钥协商时，k₁是从{0，1}中随机选取；当发明方法在用于加密时，k₁可以服从{0，1}上的任何分布。当应用于基于LWE或RLWE的密码系统构造时，运行发明方法的交互各方需交换LWE或RLWE数据，并由这些数据分别导出σ₁和σ₂。当应用于RLWE密码系统时，q一般为素数；而应用于LWE 密码系统时，q既可以为素数也可以为合数。

Claims (3)

1.一类高效的秘密共识方法，其特征在于，所述方法包括：

系统参数：params＝(q，m，g，d)，其中q、m、g、d为正整数，满足：m≥2，q≥g≥2，0≤d≤q/2；系统参数可以由系统内的用户协商决定，或由调用发明方法的过程来确定，或由可信第三方给定；

系统中的两个用户(可以为设备、程序等)，运行发明方法的初始者记为运行方法的响应者记为有一个秘密输入σ₁∈Z_q，有一个秘密输入σ₂∈Z_q，满足d≥min{|σ₁-σ₂|，q-|σ₁-σ₂|}，其中或 其中是向下取整运算符；即，σ₁和σ₂不一定相等，但是差距比较小；发明方法将使得和达成相同的秘密共识k₁＝k₂∈Z_m＝{0，1，...，m-1}；为此，向传送一个信息v∈Z_g＝{0，1，...，g-1}；具体而言，按如下方式得到(k₁，v)并将v传送给收到v后按如下方式得到k₂：

方式一：记q′为q和m的最大公约数，α＝q′/q，β＝q′/m；令系统参数满足(2d+1)m＜q(1-1/g)；

发送方编码方法：

步骤1：随机选取即从集合中随机均匀选取e；

步骤2：计算σ_A＝(ασ₁+e)mod q′；

步骤3：令(k₁，v′)分别为σ_A/β的商和余数，即 v′＝σ_Amod β；

步骤4：计算

步骤5：将k₁作为其保密的共识秘密，并将v发送给

接收方解码方法：收到v之后，计算k₂＝「ασ₂/β-(v+1/2)/g」mod m，并将k₂作为其保密的共识秘密，其中「 」是四舍五入运算符；

方式二：令系统参数满足(2d+1)m＜q(1-m/g)；

发送方编码方法：

步骤1：得到k₁∈Z_m并将k₁作为其保密的共识秘密；

步骤2：计算v＝「g(σ₁+「(k₁q)/m」)/q」mod g，并将v发送给

接收方解码方法：收到v之后，计算k₂＝「m(v/g-σ₂/q)」mod m，并将k₂作为其保密的共识秘密。

2.如权利要求1所述的方法，其特征在于，

方式一：令其中为正整数，并满足2md＜q(1-1/g)；令q′＝q，对于这种特殊的参数，方式一中的发送方编码方法的步骤1和步骤2可以省略，得到如下简化的编码和解码方法。

发送方简化编码方法：

步骤1：计算

步骤2：计算

步骤3：将k₁作为其保密的共识秘密，并将v发送给

接收方简化解码方法：收到v之后，计算k₂＝「σ₂/β-(v+1/2)/g」mod m，并将k₂作为其保密的共识秘密；

方式二：令其中为正整数，并满足2md＜q；令对于这种特殊参数，方式二中的发送方编码方法的步骤2可以简化，得到如下简化的编码和解码方法。

发送方简化编码方法：

步骤1：得到k₁∈Z_m并将k₁作为其保密的共识秘密；

步骤2：计算v＝(σ₁+k₁β)mod q，并将v发送给

接收方简化编码方法：收到v之后，计算k₂＝「(v-σ₂)/β」mod m，并将k₂作为其保密的共识秘密。

3.如权利要求2所述的方法，其特征在于，

方式一：令其中为正整数，并满足且2md＜q；对于这类更为特殊的参数，编码和解码方法可以进一步简化：

发送方进一步简化编码方法：计算和v＝σ₁mod g；将k₁作为其保密的共识秘密，并将v发送给

接收方进一步简化解码方法：收到v之后，计算k₂＝「(σ₂-v)/g」mod m，并将k₂作为其保密的共识秘密。