CN110474772A - 一种基于格的加密方法 - Google Patents

Abstract

本发明公开了一种基于格的加密方法，其步骤包括：1)生成私钥S，公钥为(B,A)；2)发送方利用接收方公钥计算C₀＝VA+pE₁以及计算C＝VB+pE₂；3)发送方对矩阵C的各分量多项式的各系数对d求余数，将得到的余数多项式矩阵记为rem(C)，并令W＝rem(C)·D^‑1mod p；然后计算得到C₁＝C₀+M‑W；4)发送方对矩阵C的各分量多项式的各系数对d求商，将得到的商多项式矩阵记为C₂＝quo(C)；然后输出密文(C₁，C₂)。本发明以低位隐藏密文，可以和其它技术结合起来使用，再达到高低位同时隐藏的目的；同时，由于引入了密文压缩的技术，也降低了通信的带宽需求。

Description

一种基于格的加密方法

技术领域

本发明属于信息安全技术领域，具体涉及一种基于格的加密方法。

背景技术

随着Shor算法的提出，大数分解和离散对数问题在多项式时间内可以用量子计算机解决。因此，基于经典数论难题的公钥加密体制在量子计算机面前毫无安全性可言。许多国家和地区开始投入巨大的人力物力来研制抗量子的密码算法以替代现有公钥算法，其中最有影响力的是美国标准与技术局发起的后量子算法征集项目。该项目得到了国际上广泛的关注。

作为基于数论难题的公钥密码的替代，基于格的密码被广泛认为是最有潜力的后量子密码之一。目前量子计算机尚未能对格密码造成威胁。特别是，格难题往往具有最难情形困难性保证，目前这是其他后量子密码所不具有的良好性质。

基于格设计的公钥加密算法所采用的底层困难问题一般为LWE问题及其在环或模上的变种。格加密往往采用类ElGamal结构。以环LWE(RLWE)版本为例，其结构一般如下：

密钥生成:按照某种高度集中的分布抽取短多项式s，e,计算公钥(a，b＝as+e),私钥s。

加密:按照某种高度集中的分布抽取短多项式r，e₁，e₂,计算密文c₁＝ar+e₁，c₂＝Encode(m)+(br+e₂)，其中Encode(m)为消息m的某种编码。

解密:计算Decode(c₂-c₁s)来恢复消息,其中Decode为解码函数。

其中，对消息m最常见的编码是即将消息隐藏在密文c₂的高比特位。

发明内容

本发明的目的在于提供一种基于格的加密方法，其底层困难问题是模LWE(MLWE)问题。

本发明涉及到剩余类环Z_q，当q为正偶数时，选取作为Z_q的代表元；当q为正奇数时，选取作为Z_q的代表元。

对于Z_q中的任意元素x，和给定的非零正整数d,由整数环上的带余除法，可以得到x的表示如下：

x＝d·quo(x)+rem(x)

其中quo(x)为x除以d的商，rem(x)为相应的余数且满足-d/2<＝rem(x)<d/2。

给定整系数多项式f(x)＝a₀+a₁x+a₂x²+…+a_jx^j，对每个整系数a_i对d做如上带余除法，即令a_i＝d·quo(a_i)+rem(a_i)，则称多项式quo(a₀)+quo(a₁)x+quo(a₂)x²+…+quo(a_j)x^j为f(x)关于d的商多项式，多项式rem(a₀)+rem(a₁)x+rem(a₂)x²+…+rem(a_j)x^j为f(x)关于d的余数多项式。

本发明的公钥加密体制包括密钥生成，加密和解密三个算法。

一.密钥生成：选取正整数p、q、m、n、k和d，其中1<p<q且p与q互素,d<q；选取整系数多项式F(x),并记商环R_q＝Z_q[x]/F(x)，其中Z_q[x]为剩余类环Z_q上的多项式环，类似地，记商环R_p＝Z_p[x]/F(x)；选取环R_q上的分布χ，χ′,一般选取离散高斯分布或中心二项分布等高度集中的分布，即按该分布选取R_q中的多项式，将以很大的概率，该多项式所有系数的绝对值都比较小；选取中的任意可逆矩阵D，并记其在中的逆为D^-1,可以取D为单位阵或其它对角阵等具有简单表示的矩阵，其中表示R_p上的矩阵环。将上述选取的p、q、m、n、k、d、R_q、χ、χ′和D等作为公共参数公开；并按如下步骤生成公私钥对：

步骤1：生成矩阵

步骤2：生成秘密方阵方阵S′的各分量从环R_q上的分布χ中抽取。

步骤3：生成错误矩阵矩阵E₀的各分量从环R_q上的分布χ′中抽取。

步骤4：计算私钥

步骤5：计算

步骤6：最终生成的私钥为S，公钥为(B，A)。

二.加密算法，包含以下步骤：

步骤1：输入消息公钥

步骤2：发送方生成随机矩阵矩阵V的各分量从环R_q上的分布χ中抽取。

步骤3：发送方生成错误矩阵和矩阵E₁和E₂各分量从环R_q上的分布χ′中抽取。

步骤4：发送方利用接收方的公钥的一部分A，计算矩阵C₀将用于生成密文的第一部分。

步骤5：发送方利用接收方的公钥的一部分B,计算矩阵C将用于生成密文的第二部分。

步骤6：对矩阵C的各分量多项式的各系数对d求余数，将得到的余数多项式矩阵记为rem(C)，并令W＝rem(C)·D^-1mod p。

步骤7：将消息矩阵M放到密文的第一部分，得到

步骤8：对矩阵C的各分量多项式的各系数对d求商，将得到的商多项式矩阵记为C₂＝quo(C)。

步骤9：发送方输出密文(C₁，C₂)。

三.解密算法，包含以下步骤：

步骤1：输入密文(C₁，C₂)，私钥S。

步骤2：接收方通过计算C₃＝d·C₂对C₂进行解压缩；

步骤3：接收方利用自己的私钥S，计算M^′＝(C₁S-C₃mod q)mod p。

步骤4：接收方输出恢复的明文M′·D^-1mod p。

步骤3中的mod q操作，指的是将相关矩阵各分量多项式的各系数调整到区间内。

注意到C₁S-C₃＝p(E₁S-VE₀-E₂+MS^′-WS′)+rem(C)-WD+MD mod q，通过合理的参数选取，可以保证向量p(E₁S-VE₀-E₂+MS^′-WS′)+rem(C)-WD+MD的各分量多项式的各系数以设定概率落在里；设定概率大于某个预先设定的值P，而一旦各分量多项式的所有系数都落在里，则对C₁S-C₃模q再模p后将得到MD mod p,因此步骤4能以大于P的概率恢复出正确的明文。概率值P对应的是解密失败概率，该值一般与安全参数λ有关，比如可以取1-2^(-λ)，如果需要高安全度，这个概率就越高，如果需要的安全强度比较低，就可以取低一点。设定概率接近1，可以选取为大于0.8。

特别地，当取m＝n＝k＝1时，该体制的底层数学困难问题可以看做是环LWE问题。

与现有技术相比，本发明的积极效果为：

与之前类ElGamal结构将消息放在密文第二部分的高位不同，本发明将消息放在了密文第一部分的低位，由于类ElGamal结构的两部分密文并不具有对称性，因此本发明给出了一种本质上新的的加密体制，为利用密文低位来隐藏消息提供了一种有效的解决途径，结构清晰，易于实现，加解密速度快。通过与之前类ElGamal结构的加密结合使用，可以实现利用密文的高位和低位同时隐藏密文。同时，由于引入了密文压缩的技术，也降低了通信的带宽需求。

附图说明

图1为本发明实施实例提供的密钥生成方法流程图；

图2为本发明实施实例提供的加密方法流程图；

图3为本发明实施实例提供的解密方法流程图。

具体实施方式

下面结合附图对本发明进行进一步详细描述。

首先生成公共参数：选取正整数p、q、m、n、k和d，其中1<p<q且p与q互素,d<q；选取整系数多项式F(x),并记环R_q＝Z_q[x]/F(x)，R_p＝Z_p[x]/F(x)；选取环R_q上的离散高斯分布χ，χ′；选取中的任意可逆矩阵D，如单位阵，并记其在中的逆为D^-1：

如图1所述，密钥生成方法步骤包括：

步骤1:生成n×m维矩阵A，其中A的各分量在多项式环R_q上均匀选取。

步骤2:生成m×m维R_q上的方阵S′，方阵各分量依照环R_q上的分布χ抽取。

步骤3：生成n×m维R_q上的方阵E₀，方阵各分量依照环R_q上的分布χ′抽取。

步骤4：计算

步骤5：计算

步骤6：返回公钥(B，A)，私钥S。

如图2所示，加密方法步骤包括：

输入：消息公钥

步骤1：生成k×n维矩阵V，矩阵各分量依照环R_q上的分布χ抽取。

步骤2：生成k×m维矩阵E₁和E₂，矩阵各分量依照环R_q上的分布χ′抽取。

步骤3：计算

步骤4：计算

步骤5：对矩阵C的各分量的各系数对d求余数后得到余数多项式矩阵记为rem(C)，并令W＝rem(C)·D^-1mod p。

步骤6：计算

步骤7：对矩阵C的各分量的各系数对d求商后得到的商多项式矩阵C₂，记为

步骤8：返回密文(C₁，C₂)。

如图3所示，解密方法步骤包括：

输入：密文(C₁，C₂)，私钥S

步骤1：计算C₃＝d·C₂，

步骤2：计算M^′＝(C₁S-C₃mod q)mod p。

步骤3：返回明文M′·D^-1mod p。

为了保证解密算法以大于预设值P(例如取P＝1-2^-128)的概率解密出正确的消息，在选取公共参数时，应保证p(E₁S-VE₀-E₂+MS^′-WS′)+rem(C)-WD+MD的各分量多项式的各系数以大于P的概率落在区间里。同时，步骤2中的mod q操作，指的是将相关矩阵各分量多项式的各系数调整到区间内。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域技术人员来说，本发明可有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于格的密钥生成方法，其步骤包括：

1)选取公共参数：包括选取正整数p、q、m、n、k和d；其中1<p<q且p与q互素，d<q；选取整系数多项式F(x)，并令环R_q＝Z_q[x]/F(x)，环R_p＝Z_p[x]/F(x)；Z_q为剩余类环，选取环R_q上的分布χ、χ′；选取中的任意可逆矩阵D，并记其在中的逆为D^-1；

2)生成一矩阵一秘密方阵和一错误矩阵其中，秘密方阵S′的各分量从环R_q上的分布χ中抽取，错误矩阵E₀的各分量从环R_q上的分布χ′中抽取；

3)计算和然后将S作为私钥，公钥为(B，A)。

2.一种基于格的加密方法，其步骤包括：

1)选取公共参数：包括选取正整数p、q、m、n、k和d；其中1<p<q且p与q互素，d<q；选取整系数多项式F(x)，并令环R_q＝Z_q[x]/F(x)，环R_p＝Z_p[x]/F(x)；Z_q为剩余类环，选取环R_q上的分布χ、χ′；选取中的任意可逆矩阵D，并记其在中的逆为D^-1；

2)生成一矩阵一秘密方阵和一错误矩阵其中，秘密方阵S′的各分量从环R_q上的分布χ中抽取，错误矩阵E₀的各分量从环R_q上的分布χ′中抽取；

3)计算和然后将S作为私钥，公钥为(B，A)；

4)对于待加密的消息发送方生成一随机矩阵错误矩阵和错误矩阵其中，矩阵V的各分量从环R_q上的分布χ中抽取，错误矩阵E₁和错误矩阵E₂各分量从环R_q上的分布χ′中抽取；

5)发送方利用接收方公钥计算以及计算

6)发送方对矩阵C的各分量多项式的各系数对d求余数，将得到的余数多项式矩阵记为rem(C)，并令W＝rem(C)·D^-1mod p；然后计算得到

7)发送方对矩阵C的各分量多项式的各系数对d求商，将得到的商多项式矩阵记为C₂＝quo(C)；然后输出密文(C₁，C₂)。

3.如权利要求1或2所述的方法，其特征在于，χ、χ′为离散高斯分布或者中心二项分布。

4.如权利要求1或2所述的方法，其特征在于，m＝n＝k＝1。

5.如权利要求1或2所述的方法，其特征在于，对于剩余类环Z_q，当q为正偶数时选取作为Z_q的代表元，当q为正奇数时选取作为Z_q的代表元；对于剩余类环Z_p，当p为正偶数时选取作为Z_p的代表元，当p为正奇数时选取作为Z_p的代表元。

6.如权利要求2所述的方法，其特征在于，p(E₁S-VE₀-E₂+MS′-WS′)+rem(C)-WD+MD的各分量多项式的各系数以设定概率均落在区间里；设定概率越高，解密正确概率越高。

7.一种与权利要求2所述加密方法对应的解密方法，其步骤包括：

1)接收方对于收到的密文(C₁，C₂)，通过计算C₃＝d·C₂，对C₂进行解压缩；

2)接收方利用自己的私钥S，计算M′＝(C₁S-C₃ mod q)mod p；

3)接收方输出恢复的明文M′·D^-1mod p。

8.一种基于格的加密系统，其特征在于，包括密钥生成单元、加密单元和解密单元；其中，

密钥生成单元，用于选取公共参数，包括选取正整数p、q、m、n、k和d；其中1<p<q且p与q互素，d<q；选取整系数多项式F(x)，并令环R_q＝Z_q[x]/F(x)，环R_p＝Z_p[x]/F(x)；Z_q为剩余类环，选取环R_q上的分布χ、χ′；选取中的任意可逆矩阵D，并记其在中的逆为D^-1；然后生成一矩阵一秘密方阵和一错误矩阵其中，秘密方阵S′的各分量从环R_q上的分布χ中抽取，错误矩阵E₀的各分量从环R_q上的分布χ′中抽取；然后计算和将S作为私钥，公钥为(B，A)；

加密单元，用于对于待加密的消息M，生成一随机矩阵错误矩阵和错误矩阵其中，矩阵V的各分量从环R_q上的分布χ中抽取，错误矩阵E₁和错误矩阵E₂各分量从环R_q上的分布χ′中抽取；然后利用公钥计算 然后对矩阵C的各分量多项式的各系数对d求余数，将得到的余数多项式矩阵记为rem(C)，并令W＝rem(C)·D^-1mod p，计算得到 然后对矩阵C的各分量多项式的各系数对d求商，将得到的商多项式矩阵记为C₂＝quo(C)；然后输出密文(C₁，C₂)；

解密单元，用于对于收到的密文(C₁，C₂)，通过计算C₃＝d·C₂，对C₂进行解压缩；然后利用自己的私钥S，计算M′＝(C₁S-C₃ mod q)mod p，输出恢复的明文M′·D^-1mod p。

9.如权利要求8所述的系统，其特征在于，对于剩余类环Z_q，当q为正偶数时选取作为Z_q的代表元，当q为正奇数时选取作为Z_q的代表元；对于剩余类环Z_p，当p为正偶数时选取作为Z_p的代表元，当p为正奇数时选取作为Z_p的代表元。

10.如权利要求8所述的系统，其特征在于，χ、χ′为离散高斯分布或者中心二项分布；m＝n＝k＝1；多项式p(E₁S-VE₀-E₂+MS′-WS′)+rem(C)-WD+MD的各系数以设定概率均落在区间里，设定概率越高，解密正确概率越高。