CN109547194A - 一种基于格的变色龙哈希函数的构造方法 - Google Patents

Abstract

本发明公开了一种基于格的变色龙哈希函数的构造方法，包括S1、输入安全参数n，系统生成公私钥对(PK，SK)，其中公钥PK可以指定消息空间随机空间以及变色龙哈希函数范围S2、输入由KGen生成的公钥PK以及一个消息哈希算法输出哈希和随机S3、输入公钥PK，消息一个哈希和随机向量检查算法输出b∈{0，1}。如果b＝1，那么(y，r)是消息m的有效哈希，否则是无效的；S4、输入私钥SK，消息和一个相应的哈希随机对(y，r)，以及一个新的消息输出满足HCheck(PK，m′，y，r′)＝1的随机向量r′。本发明不需要复杂的原像抽样运算，运行效率高，具有较好的实用价值。

Description

一种基于格的变色龙哈希函数的构造方法

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于格的变色龙哈希函数的构造方法。

背景技术

变色龙哈希函数是一种特殊的哈希函数，它除了具有一般哈希函数的性质外，在拥有陷门的情况下它还允许修改消息的内容，具有很好的应用价值，广泛应用于特殊数字签名，高级密码方案以及区块链等。

传统的变色龙哈希函数主要基于大数分解问题和离散对数问题的困难性，然而这些问题不能抵抗量子算法的攻击。基于格的问题由于可以抵抗量子攻击，因而受到研究人员的广泛关注。目前，基于格的变色龙哈希函数只有文献“Cash,D.,Hofheinz,D.,Kiltz,E.,&Peikert,C.(2012).Bonsai trees,or how to delegate a lattice basis.Journalof cryptology,25(4),601-639.”给出的唯一一个，且该函数需要较复杂的原像抽样算法，不利于格变色龙哈希函数的应用。

据此，目前急需一种更加高效的基于格的变色龙哈希函数的构造方法。

发明内容

本发明所要解决的技术问题在于提供一种更加高效的基于格的变色龙哈希函数的构造方法。

本发明采用以下技术方案解决上述技术问题：

一种基于格的变色龙哈希函数的构造方法，首先定义参数s＞0，中心的m维连续高斯分布为：定义参数s＞0，中心的m维格Λ上的离散高斯分布为：其中ρ_s，c(Λ)＝∑_x∈Λρ_s，c(x)；当c＝0时，将ρ_s，0和分别简记为ρ_s和该方法包括以下步骤：

S1、系统参数生成算法(KGen)：输入安全参数n，系统生成公私钥对(PK，SK)，其中公钥PK可以指定消息空间随机空间以及变色龙哈希函数范围

S2、哈希算法(CHash)：输入由KGen生成的公钥PK以及一个消息哈希算法输出哈希和随机

S3、哈希检查算法(HCheck)：输入公钥PK，消息一个哈希和随机向量检查算法输出b∈{0，1}。如果b＝1，那么(y，r)是消息m的有效哈希，否则是无效的；

S4、哈希改编算法(HAdapt)：输入私钥SK，消息和一个相应的哈希随机对(y，r)，以及一个新的消息输出满足 HCheck(PK，m′，y，r′)＝1的随机向量r′。

作为本发明的优选方式之一，所述步骤S1的具体包括两步骤：

A1：输入安全参数n，选择素数q≥3，整数k＞1，m＞n log q， 和d≈q^n/m，高斯参数选择一个安全的哈希函数H：随机矩阵和满足||S||_∞≤d,其中 ||S||_∞表示S每列所有分量绝对值之和的最大值；

A2：输出公私钥对(PK，SK)＝(T||A，S)(其中T＝AS)，消息空间随机空间以及变色龙哈希函数范围

作为本发明的优选方式之一，所述步骤S2具体为：输入公钥 PK＝T||A，一个消息从高斯分布和中分别随机采样 r和c，计算h＝Te+Ac+r,其中e＝H(m，r)，最后输出哈希随机对 (h，(r，c))。

作为本发明的优选方式之一，所述步骤S3具体为：输入公钥T||A，一个消息以及哈希随机对(h，(r，c))。计算e＝H(m，r)，如果 h＝Te+Ac+r且则输出1，否则输出0。

作为本发明的优选方式之一，所述步骤S4的具体包括两步骤：

B1：输入私钥SK＝S,消息及对应的哈希随机对(h，(r，c))，以及一个新消息按照高斯分布采样y,令r′＝h-Ay， e′＝H(m′，r′)；

B2：计算c′＝y-Se′然后以概率输出c′，其中C是一个常数，z＝-Se′。最终输出(r′，c′)。如果没有输出，则重复此过程直至输出为止。

本发明还公开了一种基于格的变色龙哈希函数的验证方法，包括以下步骤：

(1)首先从高斯分布中分别采样r,c，所以以极大概率成立；

(2)根据上述构建方法可知，对任意的消息(PK，SK)← KGen(n)，(h，(r，c))←CHash(PK，m)，HCheck(PK，m，h，(r，c))将以极大的概率输出1；

(3)其次步骤S4利用了无抽样技术；y采样自高斯分布 c′＝y-Se′；

(4)根据无抽样技术的性质可知，算法HAdapt中生成c′的分布是且Te′+Ac′+r′＝Te′+Ay-ASe′+r′＝h；

(5)因此，对所有的消息如果 (r′，c′)←HAdapt(PK，m，h，(r，c)，m′)，则HCheck(PK，m′，h，(r′，c′))将以极大的概率输出1。

有益效果：与现有技术相比，本发明的优点是：本发明采用格密码学技术设计变色龙哈希函数，使得本变色龙哈希函数能够抵抗量子计算的攻击。本发明不需要复杂的原像抽样运算，运行效率高，具有较好的实用价值。

附图说明

图1为本发明主要实施步骤的流程图；

以下结合实施例和附图对本发明做进一步说明。

具体实施方式：

下面对本发明的实施例作详细说明，本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

参见图1：本实施例的一种基于格的变色龙哈希函数的构造方法，首先定义参数s＞0，中心的m维连续高斯分布为： 定义参数s＞0，中心的m维格Λ上的离散高斯分布为：其中ρ_s，c(Λ)＝∑_x∈Λρ_s，c(x)；当c＝0 时，将ρ_s，0和分别简记为ρ_s和该方法包括以下步骤：

S1、系统参数生成算法(KGen)：输入安全参数n，系统生成公私钥对(PK，SK)，其中公钥PK可以指定消息空间随机空间以及变色龙哈希函数范围所述步骤S1的具体包括两步骤：

A1：输入安全参数n，选择素数q≥3，整数k＞1，m＞n log q， 和d≈q^n/m，高斯参数选择一个安全的哈希函数H：随机矩阵和满足||S||_∞≤d,其中 ||S||_∞表示S每列所有分量绝对值之和的最大值；

A2：输出公私钥对(PK，SK)＝(T||A，S)(其中T＝AS)，消息空间随机空间以及变色龙哈希函数范围

S2、哈希算法(CHash)：输入由KGen生成的公钥PK以及一个消息哈希算法输出哈希和随机所述步骤S2具体为：输入公钥PK＝T||A，一个消息从高斯分布和中分别随机采样r和c，计算h＝Te+Ac+r,其中e＝H(m，r)，最后输出哈希随机对 (h，(r，c))。

S3、哈希检查算法(HCheck)：输入公钥PK，消息一个哈希和随机向量检查算法输出b∈{0，1}。如果b＝1，那么(y，r)是消息m的有效哈希，否则是无效的；所述步骤S3具体为：输入公钥T||A，一个消息以及哈希随机对(h，(r，c))。计算e＝H(m，r)，如果 h＝Te+Ac+r且则输出1，否则输出0。

S4、哈希改编算法(HAdapt)：输入私钥SK，消息和一个相应的哈希随机对(y，r)，以及一个新的消息输出满足HCheck(PK，m′，y，r′)＝1的随机向量r′；所述步骤S4的具体包括两步骤：

B1：输入私钥SK＝S,消息及对应的哈希随机对(h，(r，c))，以及一个新消息按照高斯分布采样y,令r′＝h-Ay， e′＝H(m′，r′)；

B2：计算c′＝y-Se′然后以概率输出c′，其中C是一个常数，z＝-Se′。最终输出(r′，c′)。如果没有输出，则重复此过程直至输出为止。

本实施例还公开了一种基于格的变色龙哈希函数的验证方法，包括以下步骤：

(1)首先从高斯分布中分别采样r,c，所以以极大概率成立；

(2)根据上述构建方法可知，对任意的消息(PK，SK)← KGen(n)，(h，(r，c))←CHash(PK，m)，HCheck(PK，m，h，(r，c))将以极大的概率输出1；

(3)其次步骤S4利用了文献“Lyubashevsky,Vadim."Lattice signatureswithout trapdoors."Annual International Conference on the Theory andApplications of Cryptographic Techniques.Springer, Berlin,Heidelberg,2012.”的无抽样技术；y采样自高斯分布 c′＝y-Se′；

(4)根据无抽样技术的性质可知，算法HAdapt中生成c′的分布是且Te′+Ac′+r′＝Te′+Ay-ASe′+r′＝h；

(5)因此，对所有的消息如果 (r′，c′)←HAdapt(PK，m，h，(r，c)，m′)，则HCHeck(PK，m′，h，(r′，c′))将以极大的概率输出1。

综上所述，本实施例的变色龙哈希函数是正确的、高效的；本实施例与现有基于格的变色龙哈希函数构造方法相比，不需要使用较复杂的原像抽样算法，计算效率较高，能够很好地应用于许多使用变色龙哈希函数的场景，如强密码方案构造、特殊签名设计以及可变区块链等。同时，由于本发明采用了格密码技术，因此该变色龙哈希函数能够抵抗量子计算机的攻击，具有较好的安全性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种基于格的变色龙哈希函数的构造方法，其特征在于，首先定义参数s＞0，中心的m维连续高斯分布为： 定义参数s＞0，中心的m维格∧上的离散高斯分布为：其中ρ_s，c(∧)＝∑_x∈∧ρ_s，c(x)；当c＝0时，将ρ_s，0和分别简记为ρ_s和该方法包括以下步骤：

S1、系统参数生成算法(KGen)：输入安全参数n，系统生成公私钥对(PK，SK)，其中公钥PK可以指定消息空间随机空间以及变色龙哈希函数范围

S2、哈希算法(CHash)：输入由KGen生成的公钥PK以及一个消息哈希算法输出哈希和随机

S3、哈希检查算法(HCheck)：输入公钥PK，消息一个哈希和随机向量检查算法输出b∈{0，1}。如果b＝1，那么(y，r)是消息m的有效哈希，否则是无效的；

S4、哈希改编算法(HAdapt)：输入私钥SK，消息和一个相应的哈希随机对(y，r)，以及一个新的消息输出满足HCheck(PK，m′，y，r′)＝1的随机向量r′。

2.根据权利要求1所述的基于格的变色龙哈希函数的构造方法，其特征在于，所述步骤S1的具体包括两步骤：

A1：输入安全参数n，选择素数q≥3，整数k＞1，m＞n log q， 和d≈q^{n /m}，高斯参数选择一个安全的哈希函数H：随机矩阵和满足||S||_∞≤d，其中||S||_∞表示S每列所有分量绝对值之和的最大值；

A2：输出公私钥对(PK，SK)＝(T||A，S)(其中T＝AS)，消息空间随机空间以及变色龙哈希函数范围

3.根据权利要求1所述的基于格的变色龙哈希函数的构造方法，其特征在于，所述步骤S2具体为：输入公钥PK＝T||A，一个消息从高斯分布和中分别随机采样r和c，计算h＝Te+Ac+r，其中e＝H(m，r)，最后输出哈希随机对(h，(r，c))。

4.根据权利要求1所述的基于格的变色龙哈希函数的构造方法，其特征在于，所述步骤S3具体为：输入公钥T||A，一个消息以及哈希随机对(h，(r，c))；计算e＝H(m，r)，如果h＝Te+Ac+r且则输出1，否则输出0。

5.根据权利要求1所述的基于格的变色龙哈希函数的构造方法，其特征在于，所述步骤S4的具体包括两步骤：

B1：输入私钥SK＝S，消息及对应的哈希随机对(h，(r，c))，以及一个新消息按照高斯分布采样y，令r′＝h-Ay，e′＝H(m′，r′)；

B2：计算c′＝y-Se′然后以概率输出c′，其中C是一个常数，z＝-Se′，最终输出(r′，c′)；如果没有输出，则重复此过程直至输出为止。