CN109617686A - 一种改进的基于格的密钥交换协议算法 - Google Patents
一种改进的基于格的密钥交换协议算法 Download PDFInfo
- Publication number
- CN109617686A CN109617686A CN201910021512.9A CN201910021512A CN109617686A CN 109617686 A CN109617686 A CN 109617686A CN 201910021512 A CN201910021512 A CN 201910021512A CN 109617686 A CN109617686 A CN 109617686A
- Authority
- CN
- China
- Prior art keywords
- communication party
- mod
- lattice
- key
- exchange protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Abstract
本发明涉及一种协议算法,具体是指一种使用随机高斯噪声来改进基于格的密钥交换协议算法;包括步骤一:设常数m≥2,λ=O(n),q=O(2λmnβ2),其中,σ是M‑DLWE定义中的安全参数,设X={z∈Rm:||zi||≤β,i∈[m]},其中zi∈R和||zi||是系数向量的范数zi;在下文中,我们为Rq使用绝对最小残差系统,也就是说,每个系数ai其中a∈Rq,都满足|ai|<q/2;步骤二:选择一个m阶的随机矩阵通信方一和通信方二都认可;步骤三:发布信息:(1)通信方一选择计算a=(Ax+e1)mod q并发送a给通信方二;(2)通信方二选择计算并将b发送给通信方一;步骤四:生成共享秘钥:(1)通信方一生成一个共享密钥k1=MSB(bTx mod q);(2)通信方二生成一个共享密钥k2=MSB(yTa mod q)。
Description
技术领域
本发明涉及一种协议算法,具体是指一种改进的基于格的密钥交 换协议算法。
背景技术
密钥交换(KE:Key Exchange)协议是一个基础密码学原语,在 构建安全通信协议中扮演着重要的角色,例如,提供安全移动支付、 车联网数据通信等。KE协议允许各方通过不安全的网络,生成可共 享的安全密钥,从而在不安全的信道中实现安全通信。
KE协议的定义最早由Diffie和Hellman于1996年正式提出, 此后设计的KE协议的安全性都是基于求解经典数论问题,然而这些 方案在量子时代是不安全的。Shor提出的量子多项式时间算法,可 解决整数分解问题,离散对数问题和椭圆曲线上的离散对数问题。因 此,在量子计算环境下,目前实际使用的KE协议都将变得不再安全。
目前,对于后量子密码学,能抵抗量子计算机攻击的格密码理论 是重要的候选者。1997年,Ajita提出了第一个基于格的密码系统, 并且求解小整数解(SIS:SmallInteger Solution)问题至少与最 坏情况的格问题一样难以解决。2005年,Regev构造了第一个基于格 理论的公钥加密方案,其安全性等价于求解基于错误学习问题(LWE:Learning With Errors)。此后,学者们设计了多种基于格理论密码 原语,如同态加密,多线性映射构造,同态签名,认证密钥交换协议 等等。但如何设计抗量子安全的密钥交换协议一直是一个重要的挑 战。最近,提出的基于双边非均匀小整数解(Bi-ISIS:Bi lateralInhomogeneous Small Integer Solution)的KE协议遭到了中间人 方法攻击和共享密钥的代数算法攻击,可直接恢复共享密钥。
由此可见,如何避免共享密钥攻击,提高安全性一直是一个有待 解决的问题。
发明内容
针对现有技术中的上述不足,本发明提供一种使用随机高斯噪声 进行改进的基于格的密钥交换协议算法。
为实现以上技术目的,本发明的技术方案是:一种改进的基于 格的密钥交换协议算法,包括步骤一:设常数m≥2,λ=O(n), 其中,σ是M-DLWE定义中的安全参数,设 X={z∈Rm:||zi||≤β,i∈[m]},其中zi∈R和||zi||是系数向量的范数zi; 在下文中,我们为Rq使用绝对最小残差系统,也就是说,每个系数 ai其中a∈Rq,都满足|ai|<q/2;
步骤二:选择一个m阶的随机矩阵通信方一和通信 方二都认可;
步骤三:发布信息:
(1)通信方一选择计算a=(Ax+e1)mod q并 发送a给通信方二;
(2)通信方二选择y,计算并将 b发送给通信方一;
步骤四:生成共享秘钥:
(1)通信方一生成一个共享密钥k1=MSB(bTx mod q);
(2)通信方二生成一个共享密钥k2=MSB(yTa mod q)。
作为优选,所述s=MSB(c)为提取函数,定义为c的系数的 最高有效位串,c∈Rq,如果q/4<|cj|<q/2,j∈[n],那么sj=1,否则 sj=0。
作为优选,还包括步骤五:证明k1是否等于k2;因为 那么又因为 可得出:和所以,同样,由a=(Ax+e1)mod q,可得出:c2=yTa=yTAx+yTe1mod q和 yTe1≤mnβ2;因为q=O(2λmnβ2)且yTAx≈q。因此,每个系数c1,c2最重要的λ比特与压倒性概率相同,因此,k1,j≠k2,j,j∈[n]概率大约 是O(2-λ),即k1≠k2概率至多是O(n2-λ)。
以上描述可以看出,本发明具备以下优点:本发明的改进的基于 格的密钥交换协议算法针对当前基于格理论设计的密钥交换协议的 安全缺陷,提出使用随机高斯噪声来改进基于格的密钥交换协议KE, 使得密钥向量和噪声向量不再正交。
本发明设计的KE协议的安全性可规约到求解判定性带错误学习 问题(M-LWE),具有抗量子攻击的特性。
附图说明
图1为本发明的改进的基于格的密钥交换协议算法的流程图。
具体实施方式
在本发明中,我们不仅指出了这种基于Bi-ISIS的密钥交换协议 不安全的原因。为了避免共享密钥攻击,我们提出了基于Bi-ISIS的 KE改进算法,其安全性可规约到(M-LWE:Learning With Error problem over Modules)带错误学习问题。
通过对现有的基于Bi-ISIS密钥交换协议及其简单变种协议的 密码分析可发现,攻击者主要利用了密钥向量与噪声向量是正交的事 实。因此,为了避免这种攻击,我们需要应用新的噪声方法。也就 是说,秘密矢量和噪声矢量不再正交。
本发明通过引入Bi-ISIS的一般范式(Generation)BI-GISIS 实现对现有KE方案的改进。这种改进的安全性依赖于DBi-GISIS的 困难假设,其难度相当于破解模数下带错误学习困难问题(M-DLWE)。 基于格的改进性密钥交换协议的具体方案描述如下:
设常数m≥2,λ=O(n),q=O(2λmnβ2),其中,σ是 M-DLWE定义中的安全参数。设X={z∈Rm:||zi||≤β,i∈[m]},其中 zi∈R和||zi||是系数向量的范数zi。在下文中,我们为Rq使用绝对最 小残差系统。也就是说,每个系数ai其中a∈Rq,都满足|ai|<q/2。
步骤1:系统设置(Setup):
选择一个m阶的随机矩阵通信双方Alice和Bob都认 可。
步骤2:发布信息(Publish):
(1)Alice选择计算a=(Ax+e1)mod q并发送a给Bob。
(2)Bob选择计算并将b发送给Alice。
步骤3:生成共享秘钥(KeyGen):
(1)Alice生成一个共享密钥k1=MSB(bTx mod q)。
(2)Bob生成一个共享密钥k2=MSB(yTa mod q)。
其中,s=MSB(c)为提取函数,定义为c的系数的最高有效位串, c∈Rq。也就是说,如果q/4<|cj|<q/2,j∈[n],那么sj=1,否则sj=0。 正确性:以上协议中的共享密钥k1=k2具有极大的概率。
证明:
因为那么
又因为可得出:和
所以,我们有
同样,由a=(Ax+e1)mod q,可得出:c2=yTa=yTAx+yTe1 mod q和 yTe1≤mnβ2。
因为q=O(2λmnβ2)且yTAx≈q。因此,每个系数c1,c2最重要的λ比 特与压倒性概率相同。因此,k1,j≠k2,j,j∈[n]概率大约是O(2-λ)。即,k1≠k2概率至多是O(n2-λ)。
现在我们证明KE改进的安全性。
若求解DBi-GISISq,m,σ安全问题是一个困难问题,那么一定不存在一 个多项式时间算法用不可忽略的概率区分以上协议中的共享密钥 (A,a,b)和一个均匀随机样本(A,r1,r2)。
证明:
用反证法:假设存在多项式时间算法B,其可以以不可忽略的概 率优势区分(A,r1,r2)和(A,a,b),即|Pr[B(A,a,b)=1]-Pr[B(A,r1,r2)=1]|≥n-O(1)。
给定一个判定DBi-GISISq,m,σ问题的样本S={A,c1,c2},若 S←Bi-GISISq,m,σ,那么算法B以至少有n-O(1)的概率获得一个共享密 钥。若则不存在使得 c1=[Ax+e1]q。这是因为c1是一个随机向量属于所以(c1-e)e∈X也是 一个随机向量。结果,[A-1(c1-e)]q∈X,且e∈X的概率大约是 (β/q)mn≈(1/(2λmnβ))mn。
因此,B至少有n-O(1)的概率可以区分和 S←Bi-GISISq,m,σ,这产生矛盾。
进一步,假设M-LWE问题的判定是困难的,那么 DBi-GISISq,m,σ是困难问题。
证明,假设求解DBi-GISISq,m,σ安全问题不是困难问题,也就是说, 存在一个多项式时间算法,使得
|Pr[B(A,b1,b2)=1]-Pr[B(A,r1,r2)=1]|≥n-O(1) (1)
此处b1,b2由Bi-GISIS定义生成,
根据不等式(1),可以得出不等式(2):
|Pr[B(Α,b1,b2)=1]-Pr[B(A,b1,r2)=1]|+|Pr[B(A,b1,r2)=1]-Pr[B(A,r1,r2)=1]|≥n-O(1) (2)
根据不等式(2)可知,左侧表达式中至少有一项不小于
不失一般性,我们假设
令ψ=DR,σ且判定性M-LWE问题(M-DLWEq,ψ)就是指给定 一个样本列表S={(ai,bi),i∈[l]},判定样本S是来自分布还是均匀分布
现在,我们从S选择m个样本点去生成(A,c1),使得A=(a1,…,am)T且 c1=(b1,…,bm)T。同时,可生成其中y,e2←ψm,且
当样本集合S来自时,bi=[<ai,s>+ei]q,s←ψm且 c1=(b1,…,bm)T=[As+e]q。如果那么{A,c1,c2}是一个在Bi-GISISq,m,σ 分布下的有效样本。否则,{A,c1,c2}就是{A,b1,r2}这种形式。由不等式 (3)可知,算法B至少有概率优势区分它们。
另一方面,当样本S来自时,或 者是{A,r1,b2}的形式时。由不等式(3)可知,算法B区分它们概率优 势是可以忽略的。也就是说,使用算法B,我们至少有概率来区 分分布和均匀分布
也就是说,存在一个多项式时间算法B以不可忽略概率优势解决 判定性M-LWE问题。但这与判定性M-LWE问题的安全假设是相矛盾的。 从而,证明了本发明中的KE方案的安全性可规约到求解判定性M-LWE 问题,具有抗量子攻击的安全特性。
以上对本发明及其实施方式进行了描述,该描述没有限制性,附 图中所示的也只是本发明的实施方式之一,实际的结构并不局限于 此。总而言之如果本领域的普通技术人员受其启示,在不脱离本发明 创造宗旨的情况下,不经创造性的设计出与该技术方案相似的结构方 式及实施例,均应属于本发明的保护范围。
Claims (3)
1.一种改进的基于格的密钥交换协议算法,其特征在于:包括步骤一:设常数m≥2,λ=O(n),q=O(2λmnβ2),其中,σ是M-DLWE定义中的安全参数,设X={z∈Rm:||zi||≤β,i∈[m]},其中zi∈R和||zi||是系数向量的范数zi;在下文中,我们为Rq使用绝对最小残差系统,也就是说,每个系数ai其中a∈Rq,都满足|ai|<q/2;
步骤二:选择一个m阶的随机矩阵通信方一和通信方二都认可;
步骤三:发布信息:
(1)通信方一选择计算a=(Ax+e1)mod q并发送a给通信方二;
(2)通信方二选择计算并将b发送给通信方一;
步骤四:生成共享秘钥:
(1)通信方一生成一个共享密钥k1=MSB(bTx mod q);
(2)通信方二生成一个共享密钥k2=MSB(yTa mod q)。
2.根据权利要求1所述的改进的基于格的密钥交换协议算法,其特征在于:所述s=MSB(c)为提取函数,定义为c的系数的最高有效位串,c∈Rq,如果q/4<|cj|<q/2,j∈[n],那么sj=1,否则sj=0。
3.根据权利要求1所述的改进的基于格的密钥交换协议算法,其特征在于:还包括步骤五:证明k1是否等于k2;因为那么又因为可得出:和
所以,同样,由a=(Ax+e1)mod q,可得出:c2=yTa=yTAx+yTe1 mod q和yTe1≤mnβ2;因为q=O(2λmnβ2)且yTAx≈q。因此,每个系数c1,c2最重要的λ比特位会以压倒性概率相同,因此,k1,j≠k2,j,j∈[n]概率大约是O(2-λ),即k1≠k2概率至多是O(n2-λ)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910021512.9A CN109617686A (zh) | 2019-01-10 | 2019-01-10 | 一种改进的基于格的密钥交换协议算法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910021512.9A CN109617686A (zh) | 2019-01-10 | 2019-01-10 | 一种改进的基于格的密钥交换协议算法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109617686A true CN109617686A (zh) | 2019-04-12 |
Family
ID=66016587
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910021512.9A Pending CN109617686A (zh) | 2019-01-10 | 2019-01-10 | 一种改进的基于格的密钥交换协议算法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109617686A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111740954A (zh) * | 2020-05-18 | 2020-10-02 | 北京索德电气工业有限公司 | 电梯主控制器和电梯板卡通信加密方法 |
CN113094721A (zh) * | 2021-03-16 | 2021-07-09 | 中国科学院信息工程研究所 | 一种基于模上错误学习的后量子口令认证密钥交换方法 |
CN115276984A (zh) * | 2022-07-29 | 2022-11-01 | 山东大学 | 一种基于gr-lwe问题的密钥交换方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130007453A1 (en) * | 2011-06-29 | 2013-01-03 | International Business Machines Corporation | Lattice scheme for establishing a secure multi-identity authentication context |
CN103326852A (zh) * | 2013-06-20 | 2013-09-25 | 武汉大学 | 一种量子计算环境下的共享密钥建立方法 |
CN108111301A (zh) * | 2017-12-13 | 2018-06-01 | 中国联合网络通信集团有限公司 | 基于后量子密钥交换实现ssh协议的方法及其系统 |
CN108234129A (zh) * | 2017-09-12 | 2018-06-29 | 北京电子科技学院 | 一种基于格密码的双向认证密钥协商方法与系统 |
US20180324176A1 (en) * | 2017-05-08 | 2018-11-08 | Amazon Technologies, Inc. | Generation of shared secrets using pairwise implicit certificates |
-
2019
- 2019-01-10 CN CN201910021512.9A patent/CN109617686A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130007453A1 (en) * | 2011-06-29 | 2013-01-03 | International Business Machines Corporation | Lattice scheme for establishing a secure multi-identity authentication context |
CN103326852A (zh) * | 2013-06-20 | 2013-09-25 | 武汉大学 | 一种量子计算环境下的共享密钥建立方法 |
US20180324176A1 (en) * | 2017-05-08 | 2018-11-08 | Amazon Technologies, Inc. | Generation of shared secrets using pairwise implicit certificates |
CN108234129A (zh) * | 2017-09-12 | 2018-06-29 | 北京电子科技学院 | 一种基于格密码的双向认证密钥协商方法与系统 |
CN108111301A (zh) * | 2017-12-13 | 2018-06-01 | 中国联合网络通信集团有限公司 | 基于后量子密钥交换实现ssh协议的方法及其系统 |
Non-Patent Citations (5)
Title |
---|
CHUNSHENG GU: "Improvement of GGH Multilinear Map", 《IEEE》 * |
DAYA SAGAR GUPTA: "Security weakness of a lattice-based key exchange protocol", 《IEEE》 * |
ZHENGJUN JING ECT.: "Cryptanalysis of lattice-based key exchange on small integer solution problem and its improvement", 《SPRINGERLINK》 * |
古春生: "基于新"0"测试参数的理想格上多线性映射", 《计算机学报》 * |
李子臣: "一种新型基于格上LWE问题密钥交换协议的设计", 《计算机应用研究》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111740954A (zh) * | 2020-05-18 | 2020-10-02 | 北京索德电气工业有限公司 | 电梯主控制器和电梯板卡通信加密方法 |
CN111740954B (zh) * | 2020-05-18 | 2021-05-11 | 北京索德电气工业有限公司 | 电梯主控制器和电梯板卡通信加密方法 |
CN113094721A (zh) * | 2021-03-16 | 2021-07-09 | 中国科学院信息工程研究所 | 一种基于模上错误学习的后量子口令认证密钥交换方法 |
CN115276984A (zh) * | 2022-07-29 | 2022-11-01 | 山东大学 | 一种基于gr-lwe问题的密钥交换方法及系统 |
CN115276984B (zh) * | 2022-07-29 | 2024-03-29 | 山东大学 | 一种基于gr-lwe问题的密钥交换方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109672518B (zh) | 抗量子攻击的区块链的节点数据处理 | |
US10103880B2 (en) | Method and system for quantum key distribution based on trusted computing | |
US9537660B2 (en) | Method of establishing public key cryptographic protocols against quantum computational attack | |
KR20190007420A (ko) | 데이터 전송 동안 도청을 탐지하기 위한 방법 및 시스템 | |
US20140068765A1 (en) | Method and apparatus for authenticating user in multiparty quantum communications | |
KR102011042B1 (ko) | 공증된 양자 암호 시스템 및 방법 | |
CN113591146B (zh) | 基于合作的高效安全两方计算系统及计算方法 | |
CN109617686A (zh) | 一种改进的基于格的密钥交换协议算法 | |
US20180302218A1 (en) | Password based key exchange from ring learning with errors | |
CN107911209A (zh) | 建立抗量子计算攻击的安全性公钥密码的方法 | |
WO2017099117A1 (ja) | 事前計算装置、方法、およびコンピュータ読取可能な記録媒体、並びにベクトル乗算装置、および方法 | |
WO2021000329A1 (zh) | 一种多方量子秘钥协商方法、计算机终端及存储装置 | |
CN113141247B (zh) | 一种同态加密方法、装置、系统及可读存储介质 | |
CN106027230A (zh) | 一种量子密钥分发后处理中对误码进行汉明纠错的方法 | |
CN107294696A (zh) | 针对Leveled全同态密钥分配方法 | |
Hao et al. | SoK: Password-Authenticated Key Exchange--Theory, Practice, Standardization and Real-World Lessons | |
Kumar et al. | Learning with error‐based key agreement and authentication scheme for satellite communication | |
Sharma et al. | A new secure model for quantum key distribution protocol | |
CN113132104A (zh) | 一种主动安全的ecdsa数字签名两方生成方法 | |
CN110932863B (zh) | 一种基于编码的广义签密方法 | |
Seyhan et al. | A new password-authenticated module learning with rounding-based key exchange protocol: Saber. PAKE | |
CN101888383B (zh) | 一种可扩展的可信ssh的实现方法 | |
Abi-Char et al. | A secure authenticated key agreement protocol based on elliptic curve cryptography | |
Kurosawa et al. | 2-pass key exchange protocols from CPA-secure KEM | |
CN113285800B (zh) | 基于相干态的连续变量量子身份认证方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190412 |
|
RJ01 | Rejection of invention patent application after publication |