CN109600216A - 一种强抗碰撞变色龙哈希函数的构造方法 - Google Patents

Abstract

本发明公开了一种强抗碰撞变色龙哈希函数的构造方法，包括S1:输入安全参数n，系统生成公私钥对(PK，SK)，其中公钥PK可以指定消息空间随机空间以及变色龙哈希函数范围S2：输入由KGen生成的公钥PK以及一个消息哈希算法输出哈希和随机S3:输入公钥PK，消息一个哈希和随机向量检查算法输出b∈{0，1}。如果b＝1，那么(y，r)是消息m的有效哈希，否则是无效的。S4：输入私钥SK，消息和一个相应的哈希随机对(y，r)，以及一个新的消息输出满足HCheck(PK，m′，y，r′)＝1的随机向量r′。本发明还公开了一种强抗碰撞变色龙哈希函数的验证方法。本发明可以抵抗强抗碰撞攻击，能够很好应用到高安全性的变色龙哈希函数的场景。

Description

一种强抗碰撞变色龙哈希函数的构造方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种强抗碰撞变色龙哈希函数的构造方法。

背景技术

变色龙哈希函数是一种特殊的哈希函数，它除了可以用于普通的哈希函数之外，在拥有私钥的情况下还可以改编哈希函数的消息内容，因此广泛应用于变色龙签名、线上线下签名以及一些高级密码方案的设计中。强抗碰撞的变色龙哈希函数是一个安全性更高的变色龙哈希函数，这类变色龙哈希函数在敌手已知许多哈希消息对之后，还是不能伪造一个合法的新哈希消息对，因此它除了能替代一般变色龙哈希函数之外，还能应用于可净化签名、可变区块链等场景。

现有的强抗碰撞变色龙哈希函数都是基于如大数分解和离散对数等传统困难问题的，因此不能抵抗量子计算机的攻击。现存可以抵抗量子计算机的变色龙哈希函数，如文献“Cash,D.,Hofheinz,D.,Kiltz,E.,&Peikert,C.(2012).Bonsai trees,or how todelegate a lattice basis.Journal of cryptology,25(4),601-639.”提出的变色龙哈希函数，不能抵抗强抗碰撞攻击。

据此，目前急需一种构建简单、能够抵抗强抗碰撞攻击的基于格的强抗碰撞变色龙哈希函数的构造方法。

发明内容

本发明所要解决的技术问题在于提供一种能抵抗量子计算机攻击的强抗碰撞变色龙哈希函数的构造方法。

本发明采用以下技术方案解决上述技术问题：

一种强抗碰撞变色龙哈希函数的构造方法，该方法使用以下q元格：

定义参数s＞0，中心的m维格Λ上的离散高斯分布为：

其中ρ_s，c(Λ)＝∑_x∈Λρ_s，c(x)， 当c＝0时，记ρ_s，0和分别为ρ_s和令整数n≥1，q≥2，矩阵由向量g^t＝[1 2 4 … 2^k-1]组成，即其中代表张量积；令消息空间随机向量(r，t)采样自该方法包括以下步骤：

S1、系统参数生成算法(KGen)：输入安全参数n，系统生成公私钥对(PK，SK)，其中公钥PK可以指定消息空间随机空间以及变色龙哈希函数范围输入安全参数n，选择素数q≥2，整数k＞1， 和m＞2nlogq，以及高斯参数选择一个哈希函数F：运行算法生成随机矩阵和陷门输出公私钥对(PK，SK)＝(A，B)；

S2、哈希算法(CHash)：输入由KGen生成的公钥PK以及一个消息哈希算法输出哈希和随机

S3、哈希检查算法(HCheck)：输入公钥PK，消息一个哈希和随机向量检查算法输出b∈{0，1}。如果b＝1，那么(y，r)是消息m的有效哈希，否则是无效的；

S4、哈希改编算法(HAdapt)：输入私钥SK，消息和一个相应的哈希随机对(y，r)，以及一个新的消息输出满足HCheck(PK，m′，y，r′)＝1的随机向量r′。

作为本发明的优选方式之一，所述步骤S2的具体过程为：输入公钥A和消息从和高斯分布中分别采样随机向量t和r；计算h＝H(m||t)+Ar并输出(h，(t，r))。

作为本发明的优选方式之一，所述步骤S3具体过程为：输入公钥A，消息m，一个哈希h以及随机向量(r，t)，如果h＝H(m||t)+Ar且则输出1，否则输出0。

作为本发明的优选方式之一，所述步骤S4具体包括两步骤：

A1：输入私钥B，消息m和相关的哈希随机对(h，(t，r))，新的消息以及高斯参数

其中

A2：从中选择一个随机向量t′，运行算法SampleD(A，B，h-H(m′t′)，s′)得到r′，输出(t′，r′)。

作为本发明的优选方式之一，所述步骤A2中算法SampleD的主要流程为：令整数n≥1，q≥2，和则存在一个高效的算法SampleD(A，B，H，u，s)：输入矩阵可逆矩阵向量高斯参数其中输出统计接近分布的向量

作为本发明的优选方式之一，所述算法SampleD的主要流程为：令整数n≥1，q≥2，和首先选择扰动向量

其中B^t是矩阵B的转置矩阵，I_m是m×m的单位矩阵，I_w是w×w的单位矩阵；然后采样使得Gz＝H^-1(u-Ap)，其中v＝H^-1(u-Ap)；最后输出

作为本发明的优选方式之一，所述步骤S1中算法TrapGen的主要流程为：令整数n≥1，q≥2，以及参数的离散高斯分布则存在一个高效的算法输入w和可逆矩阵输出一个统计均匀的矩阵和陷门

作为本发明的优选方式之一，所述算法TrapGen具体流程为：令整数n≥1，q≥2，高斯参数 首先将原始矩阵扩展成其中随机选择的矩阵可逆矩阵然后A′乘以一个单模矩阵

得到其中是从高斯分布中采样得到的陷门。

本发明还公开了一种强抗碰撞变色龙哈希函数的验证方法，包括以下步骤：

(1)首先根据高斯函数的性质，从和高斯分布中分别采样随机向量t和r,所以极大的概率满足

(2)同时，由以上构建方法可知对于任意的消息(A，B)←KGen(n)，(h，(t，r))←CHash(A，m)，HCheck(A，m，h，(t，r))将以极大的概率输出1。

(3)其次，根据算法SampleD的性质，r′将以极大的概率满足且对于任意的消息和(t′，r′)←HAdapt(A，m，h，(t，r)，m′)，HCheck(A，m′，h，(t′，r′))将以极大的概率输出1；

(4)最后，由此可以得出本函数的构建方法是正确的，且能够抵抗量子计算机攻击。

有益效果：与现有技术相比，本发明的优点是：本发明采用格密码学技术设计变色龙哈希函数，使得本变色龙哈希函数能够抵抗量子计算的攻击。本发明的变色龙哈希函数是抗强碰撞的，安全性高，应用前景广阔。

附图说明

图1是实施例中强抗碰撞变色龙哈希函数构建流程图。

具体实施方式

下面对本发明的实施例作详细说明，本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

参见图1：本实施例的一种强抗碰撞变色龙哈希函数的构造方法，该方法使用以下q元格： 定义参数s＞0，中心的m维格Λ上的离散高斯分布为：其中ρ_s，c(Λ)＝∑_x∈Λρ_s，c(x)，当c＝0时，记ρ_s，0和分别为ρ_s和令整数n≥1，q≥2，矩阵由向量g^t＝[1 2 4 … 2^k-1]组成，即其中代表张量积；

令消息空间随机向量(r，t)采样自该方法包括以下步骤：

S1、系统参数生成算法(KGen)：输入安全参数n，系统生成公私钥对(PK，SK)，其中公钥PK可以指定消息空间随机空间以及变色龙哈希函数范围输入安全参数n，选择素数q≥2，整数k＞1， 和m＞2nlogq，以及高斯参数选择一个哈希函数F：运行算法生成随机矩阵和陷门输出公私钥对(PK，SK)＝(A，B)；

S2、哈希算法(CHash)：输入由KGen生成的公钥PK以及一个消息哈希算法输出哈希和随机所述步骤S2的具体过程为：输入公钥A和消息从和高斯分布中分别采样随机向量t和r；计算h＝H(m||t)+Ar并输出(h，(t，r))。

S3、哈希检查算法(HCheck)：输入公钥PK，消息一个哈希和随机向量检查算法输出b∈{0，1}。如果b＝1，那么(y，r)是消息m的有效哈希，否则是无效的；所述步骤S3具体过程为：输入公钥A，消息m，一个哈希h以及随机向量(r，t)，如果h＝H(m||t)+Ar且则输出1，否则输出0。

S4、哈希改编算法(HAdapt)：输入私钥SK，消息和一个相应的哈希随机对(y，r)，以及一个新的消息输出满足HCheck(PK，m′，y，r′)＝1的随机向量r′；所述步骤S4具体包括两步骤：

A1：输入私钥B，消息m和相关的哈希随机对(h，(t，r))，新的消息以及高斯参数

其中

A2：从中选择一个随机向量t′，运行算法SampleD(A，B，h-H(m′||t′)，s′)得到r′，输出(t′，r′)。

作为本发明的优选方式之一，所述步骤A2中算法SampleD的主要流程为：令整数n≥1，q≥2，和则存在一个高效的算法SampleD(A，B，H，u，s)：输入矩阵可逆矩阵向量高斯参数其中输出统计接近分布的向量进一步的，所述算法SampleD的主要流程为：令整数n≥1，q≥2，和首先选择扰动向量其中B^t是矩阵B的转置矩阵，I_m是m×m的单位矩阵，I_w是w×w的单位矩阵；然后采样使得Gz＝H^-1(u-Ap)，其中v＝H^-1(u-Ap)；最后输出

作为本发明的优选方式之一，所述步骤S1中算法TrapGen的主要流程为：令整数n≥1，q≥2，以及参数的离散高斯分布则存在一个高效的算法输入w和可逆矩阵输出一个统计均匀的矩阵和陷门进一步的，所述算法TrapGen具体流程为：令整数n≥1，q≥2， 高斯参数首先将原始矩阵扩展成其中随机选择的矩阵可逆矩阵 然后A′乘以一个单模矩阵得到 其中是从高斯分布中采样得到的陷门。

本实施例还公开了一种强抗碰撞变色龙哈希函数的验证方法，包括以下步骤：

(1)首先根据高斯函数的性质，从和高斯分布中分别采样随机向量t和r,所以极大的概率满足

(2)同时，由以上构建方法可知对于任意的消息(A，B)←KGen(n)，(h，(t，r))←CHash(A，m)，HCgeck(A，m，h，(t，r))将以极大的概率输出1。

(3)其次，根据算法SampleD的性质，r′将以极大的概率满足且对于任意的消息和(t′，r′)←HAdapt(A，m，h，(t，r)，m′)，HCheck(A，m′，h，(t′，r′))将以极大的概率输出1；

(4)最后，由此可以得出本函数的构建方法是正确的，且能够抵抗量子计算机攻击。

综上所述，本实施例的基于格的强抗碰撞变色龙哈希函数；该变色龙哈希函数与现有基于格的变色龙哈希函数相比，可以抵抗强抗碰撞攻击，能够很好地应用于许多需要高安全性的变色龙哈希函数的场景，如可净化签名以及可变区块链等。同时，由于本实施例采用了格密码技术，因此该变色龙哈希函数能够抵抗量子计算机的攻击，也具有较好的量子安全性，可望很好应用于后量子时代。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种强抗碰撞变色龙哈希函数的构造方法，其特征在于，该方法使用以下q元格：

定义参数s＞0，中心的m维格Λ上的离散高斯分布为：其中ρ_s，c(Λ)＝∑_x∈Λρ_s，c(x)，当c＝0时，记ρ_s，0和分别为ρ_s和令整数n≥1，q≥2，矩阵由向量g^t＝[1 2 4 … 2^k-1]组成，即其中代表张量积；令消息空间随机向量(r，t)采样自该方法包括以下步骤：

S1、系统参数生成算法(KGen)：输入安全参数n，系统生成公私钥对(PK，SK)，其中公钥PK可以指定消息空间随机空间以及变色龙哈希函数范围输入安全参数n，选择素数q≥2，整数k＞1， 和m＞2n log q，以及高斯参数选择一个哈希函数运行算法TrapGen生成随机矩阵和陷门输出公私钥对(PK，SK)＝(A，B)；

S2、哈希算法(CHash)：输入由KGen生成的公钥PK以及一个消息哈希算法输出哈希和随机

S3、哈希检查算法(HCheck)：输入公钥PK，消息一个哈希和随机向量检查算法输出b∈{0，1}。如果b＝1，那么(y，r)是消息m的有效哈希，否则是无效的；

S4、哈希改编算法(HAdapt)：输入私钥SK，消息和一个相应的哈希随机对(y，r)，以及一个新的消息输出满足HCheck(PK，m′，y，r′)＝1的随机向量r′。

2.根据权利要求1所述的强抗碰撞变色龙哈希函数的构造方法，其特征在于，所述步骤S2的具体过程为：输入公钥A和消息从和高斯分布中分别采样随机向量t和r；计算h＝H(m||t)+Ar并输出(h，(t，r))。

3.根据权利要求1所述的强抗碰撞变色龙哈希函数的构造方法，其特征在于，所述步骤S3具体过程为：输入公钥A，消息m，一个哈希h以及随机向量(r，t)，如果h＝H(m||t)+Ar且则输出1，否则输出0。

4.根据权利要求1所述的强抗碰撞变色龙哈希函数的构造方法，其特征在于，所述步骤S4具体包括两步骤：

A1：输入私钥B，消息m和相关的哈希随机对(h，(t，r))，新的消息以及高斯参数其中

A2：从中选择一个随机向量t′，运行算法SampleD(A，B，h-H(m′||t′)，s′)得到r′，输出(t′，r′)。

5.根据权利要求4所述的强抗碰撞变色龙哈希函数的构造方法，其特征在于，所述步骤A2中算法SampleD的主要流程为：令整数n≥1，q≥2， 和则存在一个高效的算法SampleD(A，B，H，u，s)：输入矩阵可逆矩阵向量高斯参数

其中 输出统计接近分布的向量

6.根据权利要求5所述的强抗碰撞变色龙哈希函数的构造方法，其特征在于，所述算法SampleD的主要流程为：令整数n≥1，q≥2， 和首先选择扰动向量其中 B^t是矩阵B的转置矩阵，I_m是m×m的单位矩阵，I_w是w×w的单位矩阵；然后采样使得Gz＝H^-1(u-Ap)，其中v＝H^-1(u-Ap)；最后输出

7.根据权利要求1所述的强抗碰撞变色龙哈希函数的构造方法，其特征在于，所述步骤S1中算法TrapGen的主要流程为：令整数n≥1，q≥2， 以及参数的离散高斯分布则存在一个高效的算法输入w和可逆矩阵输出一个统计均匀的矩阵和陷门

8.根据权利要求7所述的强抗碰撞变色龙哈希函数的构造方法，其特征在于，所述算法TrapGen具体流程为：令整数n≥1，q≥2， 高斯参数首先将原始矩阵扩展成其中随机选择的矩阵可逆矩阵 然后A′乘以一个单模矩阵得到 其中是从高斯分布中采样得到的陷门。