CN109617686A

CN109617686A - 一种改进的基于格的密钥交换协议算法

Info

Publication number: CN109617686A
Application number: CN201910021512.9A
Authority: CN
Inventors: 朱越; 景征骏; 贝绍轶; 葛杨; 沈奕; 陈明霞; 古春生
Original assignee: Jiangsu University of Technology
Current assignee: Jiangsu University of Technology
Priority date: 2019-01-10
Filing date: 2019-01-10
Publication date: 2019-04-12

Abstract

本发明涉及一种协议算法，具体是指一种使用随机高斯噪声来改进基于格的密钥交换协议算法；包括步骤一：设常数m≥2，λ＝O(n)，q＝O(2^λmnβ²),其中，σ是M‑DLWE定义中的安全参数，设X＝{z∈R^m:||z_i||≤β,i∈[m]}，其中z_i∈R和||z_i||是系数向量的范数z_i；在下文中，我们为R_q使用绝对最小残差系统，也就是说，每个系数a_i其中a∈R_q，都满足|a_i|＜q/2；步骤二：选择一个m阶的随机矩阵通信方一和通信方二都认可；步骤三：发布信息：(1)通信方一选择计算a＝(Ax+e₁)mod q并发送a给通信方二；(2)通信方二选择计算并将b发送给通信方一；步骤四：生成共享秘钥：(1)通信方一生成一个共享密钥k₁＝MSB(b^Tx mod q)；(2)通信方二生成一个共享密钥k₂＝MSB(y^Ta mod q)。

Description

一种改进的基于格的密钥交换协议算法

技术领域

本发明涉及一种协议算法，具体是指一种改进的基于格的密钥交换协议算法。

背景技术

密钥交换(KE：Key Exchange)协议是一个基础密码学原语，在构建安全通信协议中扮演着重要的角色，例如，提供安全移动支付、车联网数据通信等。KE协议允许各方通过不安全的网络，生成可共享的安全密钥，从而在不安全的信道中实现安全通信。

KE协议的定义最早由Diffie和Hellman于1996年正式提出，此后设计的KE协议的安全性都是基于求解经典数论问题，然而这些方案在量子时代是不安全的。Shor提出的量子多项式时间算法，可解决整数分解问题，离散对数问题和椭圆曲线上的离散对数问题。因此，在量子计算环境下，目前实际使用的KE协议都将变得不再安全。

目前，对于后量子密码学，能抵抗量子计算机攻击的格密码理论是重要的候选者。1997年，Ajita提出了第一个基于格的密码系统，并且求解小整数解(SIS：SmallInteger Solution)问题至少与最坏情况的格问题一样难以解决。2005年，Regev构造了第一个基于格理论的公钥加密方案，其安全性等价于求解基于错误学习问题(LWE：Learning With Errors)。此后，学者们设计了多种基于格理论密码原语，如同态加密，多线性映射构造，同态签名，认证密钥交换协议等等。但如何设计抗量子安全的密钥交换协议一直是一个重要的挑战。最近，提出的基于双边非均匀小整数解(Bi-ISIS：Bi lateralInhomogeneous Small Integer Solution)的KE协议遭到了中间人方法攻击和共享密钥的代数算法攻击，可直接恢复共享密钥。

由此可见，如何避免共享密钥攻击，提高安全性一直是一个有待解决的问题。

发明内容

针对现有技术中的上述不足，本发明提供一种使用随机高斯噪声进行改进的基于格的密钥交换协议算法。

为实现以上技术目的,本发明的技术方案是:一种改进的基于格的密钥交换协议算法，包括步骤一：设常数m≥2，λ＝O(n)，其中，σ是M-DLWE定义中的安全参数，设 X＝{z∈R^m:||z_i||≤β,i∈[m]}，其中z_i∈R和||z_i||是系数向量的范数z_i；在下文中，我们为R_q使用绝对最小残差系统，也就是说，每个系数 a_i其中a∈R_q，都满足|a_i|＜q/2；

步骤二：选择一个m阶的随机矩阵通信方一和通信方二都认可；

步骤三：发布信息：

(1)通信方一选择计算a＝(Ax+e₁)mod q并发送a给通信方二；

(2)通信方二选择y,计算并将 b发送给通信方一；

步骤四：生成共享秘钥：

(1)通信方一生成一个共享密钥k₁＝MSB(b^Tx mod q)；

(2)通信方二生成一个共享密钥k₂＝MSB(y^Ta mod q)。

作为优选，所述s＝MSB(c)为提取函数，定义为c的系数的最高有效位串，c∈R_q，如果q/4＜|c_j|＜q/2,j∈[n]，那么s_j＝1，否则 s_j＝0。

作为优选，还包括步骤五：证明k₁是否等于k₂；因为那么又因为可得出:和所以，同样，由a＝(Ax+e₁)mod q，可得出：c₂＝y^Ta＝y^TAx+y^Te₁mod q和 y^Te₁≤mnβ²；因为q＝O(2^λmnβ²)且y^TAx≈q。因此，每个系数c₁,c₂最重要的λ比特与压倒性概率相同,因此，k_1,j≠k_2,j,j∈[n]概率大约是O(2^-λ),即k₁≠k₂概率至多是O(n2^-λ)。

以上描述可以看出，本发明具备以下优点：本发明的改进的基于格的密钥交换协议算法针对当前基于格理论设计的密钥交换协议的安全缺陷，提出使用随机高斯噪声来改进基于格的密钥交换协议KE，使得密钥向量和噪声向量不再正交。

本发明设计的KE协议的安全性可规约到求解判定性带错误学习问题(M-LWE)，具有抗量子攻击的特性。

附图说明

图1为本发明的改进的基于格的密钥交换协议算法的流程图。

具体实施方式

在本发明中，我们不仅指出了这种基于Bi-ISIS的密钥交换协议不安全的原因。为了避免共享密钥攻击，我们提出了基于Bi-ISIS的 KE改进算法，其安全性可规约到(M-LWE：Learning With Error problem over Modules)带错误学习问题。

通过对现有的基于Bi-ISIS密钥交换协议及其简单变种协议的密码分析可发现，攻击者主要利用了密钥向量与噪声向量是正交的事实。因此，为了避免这种攻击，我们需要应用新的噪声方法。也就是说，秘密矢量和噪声矢量不再正交。

本发明通过引入Bi-ISIS的一般范式(Generation)BI-GISIS 实现对现有KE方案的改进。这种改进的安全性依赖于DBi-GISIS的困难假设，其难度相当于破解模数下带错误学习困难问题(M-DLWE)。基于格的改进性密钥交换协议的具体方案描述如下：

设常数m≥2，λ＝O(n)，q＝O(2^λmnβ²),其中，σ是 M-DLWE定义中的安全参数。设X＝{z∈R^m:||z_i||≤β,i∈[m]}，其中 z_i∈R和||z_i||是系数向量的范数z_i。在下文中，我们为R_q使用绝对最小残差系统。也就是说，每个系数a_i其中a∈R_q，都满足|a_i|＜q/2。

步骤1：系统设置(Setup)：

选择一个m阶的随机矩阵通信双方Alice和Bob都认可。

步骤2：发布信息(Publish)：

(1)Alice选择计算a＝(Ax+e₁)mod q并发送a给Bob。

(2)Bob选择计算并将b发送给Alice。

步骤3：生成共享秘钥(KeyGen)：

(1)Alice生成一个共享密钥k₁＝MSB(b^Tx mod q)。

(2)Bob生成一个共享密钥k₂＝MSB(y^Ta mod q)。

其中，s＝MSB(c)为提取函数，定义为c的系数的最高有效位串， c∈R_q。也就是说，如果q/4＜|c_j|＜q/2,j∈[n]，那么s_j＝1，否则s_j＝0。正确性：以上协议中的共享密钥k₁＝k₂具有极大的概率。

证明：

因为那么

又因为可得出:和

所以，我们有

同样，由a＝(Ax+e₁)mod q，可得出：c₂＝y^Ta＝y^TAx+y^Te₁ mod q和 y^Te₁≤mnβ²。

因为q＝O(2^λmnβ²)且y^TAx≈q。因此，每个系数c₁,c₂最重要的λ比特与压倒性概率相同。因此，k_1,j≠k_2,j,j∈[n]概率大约是O(2^-λ)。即，k₁≠k₂概率至多是O(n2^-λ)。

现在我们证明KE改进的安全性。

若求解DBi-GISIS_q,m,σ安全问题是一个困难问题，那么一定不存在一个多项式时间算法用不可忽略的概率区分以上协议中的共享密钥 (A,a,b)和一个均匀随机样本(A,r₁,r₂)。

证明：

用反证法：假设存在多项式时间算法B，其可以以不可忽略的概率优势区分(A,r₁,r₂)和(A,a,b)，即|Pr[B(A,a,b)＝1]-Pr[B(A,r₁,r₂)＝1]|≥n^-O(1)。

给定一个判定DBi-GISIS_q,m,σ问题的样本S＝{A,c₁,c₂}，若 S←Bi-GISIS_q,m,σ，那么算法B以至少有n^-O(1)的概率获得一个共享密钥。若则不存在使得 c₁＝[Ax+e₁]_q。这是因为c₁是一个随机向量属于所以(c₁-e)e∈X也是一个随机向量。结果，[A^-1(c₁-e)]_q∈X，且e∈X的概率大约是 (β/q)^mn≈(1/(2^λmnβ))^mn。

因此，B至少有n^-O(1)的概率可以区分和 S←Bi-GISIS_q,m,σ，这产生矛盾。

进一步，假设M-LWE问题的判定是困难的，那么 DBi-GISIS_q,m,σ是困难问题。

证明，假设求解DBi-GISIS_q,m,σ安全问题不是困难问题，也就是说，存在一个多项式时间算法，使得

|Pr[B(A,b₁,b₂)＝1]-Pr[B(A,r₁,r₂)＝1]|≥n^-O(1) (1)

此处b₁,b₂由Bi-GISIS定义生成，

根据不等式(1)，可以得出不等式(2)：

|Pr[B(Α,b₁,b₂)＝1]-Pr[B(A,b₁,r₂)＝1]|+|Pr[B(A,b₁,r₂)＝1]-Pr[B(A,r₁,r₂)＝1]|≥n^-O(1) (2)

根据不等式(2)可知，左侧表达式中至少有一项不小于

不失一般性，我们假设

令ψ＝D_R,σ且判定性M-LWE问题(M-DLWE_q,ψ)就是指给定一个样本列表S＝{(a_i,b_i),i∈[l]}，判定样本S是来自分布还是均匀分布

现在，我们从S选择m个样本点去生成(A,c₁)，使得A＝(a₁,…,a_m)^T且 c₁＝(b₁,…,b_m)^T。同时，可生成其中y,e₂←ψ^m，且

当样本集合S来自时，b_i＝[＜a_i,s＞+e_i]_q，s←ψ^m且 c₁＝(b₁,…,b_m)^T＝[As+e]_q。如果那么{A,c₁,c₂}是一个在Bi-GISIS_q,m,σ 分布下的有效样本。否则，{A,c₁,c₂}就是{A,b₁,r₂}这种形式。由不等式 (3)可知，算法B至少有概率优势区分它们。

另一方面，当样本S来自时,或者是{A,r₁,b₂}的形式时。由不等式(3)可知，算法B区分它们概率优势是可以忽略的。也就是说，使用算法B，我们至少有概率来区分分布和均匀分布

也就是说，存在一个多项式时间算法B以不可忽略概率优势解决判定性M-LWE问题。但这与判定性M-LWE问题的安全假设是相矛盾的。从而，证明了本发明中的KE方案的安全性可规约到求解判定性M-LWE 问题，具有抗量子攻击的安全特性。

以上对本发明及其实施方式进行了描述，该描述没有限制性，附图中所示的也只是本发明的实施方式之一，实际的结构并不局限于此。总而言之如果本领域的普通技术人员受其启示，在不脱离本发明创造宗旨的情况下，不经创造性的设计出与该技术方案相似的结构方式及实施例，均应属于本发明的保护范围。

Claims

1.一种改进的基于格的密钥交换协议算法，其特征在于：包括步骤一：设常数m≥2，λ＝O(n)，q＝O(2^λmnβ²),其中，σ是M-DLWE定义中的安全参数，设X＝{z∈R^m:||z_i||≤β,i∈[m]}，其中z_i∈R和||z_i||是系数向量的范数z_i；在下文中，我们为R_q使用绝对最小残差系统，也就是说，每个系数a_i其中a∈R_q，都满足|a_i|＜q/2；

步骤三：发布信息：

(1)通信方一选择计算a＝(Ax+e₁)mod q并发送a给通信方二；

(2)通信方二选择计算并将b发送给通信方一；

步骤四：生成共享秘钥：

(1)通信方一生成一个共享密钥k₁＝MSB(b^Tx mod q)；

(2)通信方二生成一个共享密钥k₂＝MSB(y^Ta mod q)。

2.根据权利要求1所述的改进的基于格的密钥交换协议算法，其特征在于：所述s＝MSB(c)为提取函数，定义为c的系数的最高有效位串，c∈R_q，如果q/4＜|c_j|＜q/2,j∈[n]，那么s_j＝1，否则s_j＝0。

3.根据权利要求1所述的改进的基于格的密钥交换协议算法，其特征在于：还包括步骤五：证明k₁是否等于k₂；因为那么又因为可得出:和

所以，同样，由a＝(Ax+e₁)mod q，可得出：c₂＝y^Ta＝y^TAx+y^Te₁ mod q和y^Te₁≤mnβ²；因为q＝O(2^λmnβ²)且y^TAx≈q。因此，每个系数c₁,c₂最重要的λ比特位会以压倒性概率相同,因此，k_1,j≠k_2,j,j∈[n]概率大约是O(2^-λ),即k₁≠k₂概率至多是O(n2^-λ)。