CN111817853B

CN111817853B - 一种后量子安全的签密算法

Info

Publication number: CN111817853B
Application number: CN201910907793.8A
Authority: CN
Inventors: 杨孝鹏; 李伟春; 冯明奎
Original assignee: Chinese People's Armed Police Force Sea Police Academy
Current assignee: Chinese People's Armed Police Force Sea Police Academy
Priority date: 2019-09-24
Filing date: 2019-09-24
Publication date: 2022-06-24
Anticipated expiration: 2039-09-24
Also published as: CN111817853A

Abstract

本申请公开了一种后量子安全的签密算法，包括以下步骤：A、系统设置Setup(1ⁿ)；B、密钥生成算法KeyGen(1ⁿ,PP)；C、签密算法Signcrypt(msg∈{0,1}^l,sk_s,pk_r)；D、解签密算法Unsigncrypt(C,sk_r,pk_s)，本发明构造通用单向哈希函数，将

中的元素映射为R_q中的向量。本发明引入封装的思想，结合划分partitioning技术、盆景树技术和调和技术实现CCA2安全性，利用变色龙哈希函数封闭猜测confined guessing技术实现EUF‑ACMA安全性。

Description

一种后量子安全的签密算法

技术领域

本发明涉及签密算法技术领域，尤其涉及一种后量子安全的签密算法。

背景技术

在数字通信中，隐私性、数据完整性和认证是要实现的主要目标。隐私性是通过公钥加密实现的，而数据完整性和认证是由签名实现。签密是一种基本密码原语，可以同时实现公钥加密和签名。但是现有的签密是基于ElGamal和双线性对的，其安全性依赖Diffie-Hellman假设。

为了实现后量子安全的签密方案，李发根等人利用原像可抽样函数和格基签名算法构造了一个随机预言机模型(ROM)下的基于格的签密方案。王凤和等人也利用原像可抽样函数和已有的(indistinguishability against adaptive Chosen CiphertextAttacks，IND-CCA2)安全的加密方案构造了一个基于格的后量子安全的签密方案，该方案是在ROM下可证明安全的。2013年，闫建华等人构造了一个标准模型下安全的基于格的签密方案。在该方案中，闫建华等人首先使用Micciancio和Peikert提出的陷门生成技术构造了一个变色龙哈希函数(chameleon hash function)，利用这个变色龙哈希函数将现有的静态选择明文攻击下存在不可伪造安全的(existential unforgeability under staticchosen-message attack，EUF-SCMA)签名方案提升为适应性选择明文攻击下强存在不可伪造安全的(existential unforgeability under adaptive chosen-message attack，EUF-ACMA)签名方案，并且利用一个CCA安全的对称加密方案和抗碰撞的杂凑函数将现有的IND-CCA1安全的加密方案提升到IND-CCA2安全性。2014年，路秀华等人构造了标准模型下安全的基于格的签密方案，该方案使用Boyen的标准模型下SUF-ACMA安全的签名方案，并且采用双模式加密(bimode encryption)方法破除了密文的延展性(malleability)。向新银等人设计了一个格上ROM下基于属性的签密方案。最近，路秀华等人在无陷门签名基础上构造了一个IND-CPA安全的格基签密方案，并结合Fujisaki-Okamoto的转换技术将这个IND-CPA安全的签密方案提升为ROM下IND-CCA2安全的基于格的签密方案。虽然ROM简化了安全证明，但Canetti等人指出当随机预言机被具体化为某个Hash函数时，随机预言机模型下可证明安全的方案可能是不安全的。无独有偶，Leurent和Nguyen也指出随机预言机模型存在理论缺陷。因此，设计标准模型下安全的基于格的签密方案是一项重要的目标。Sato和Shikata提出了一个基于格密码的标准模型下签密方案。G′erard和Merckx构造了一个基于格密码的签密方案。Liu等人于2019年提出了一个随机预言机模型下基于格密码的签密。Zhang等人构造了一个随机预言机模型下基于格密码的多接收者的签密。

下列已有的陷门生成算法和抽样算法是作为本发明调用的子算法：

(陷门基生成算法)存在PPT算法TrapGen，输入参数n，σ＝1，

和奇素数q，且满足q≡3mod8，其中σ是生成矩阵

选取的真随机向量的列数，整数

令

m＝m₁+m₂，p＝2q^-n/2-q^-n，随机选取

算法以大于等于(1-2q^-n/2+q^-n)的概率输出

和矩阵T_a∈R^m×m，其中

是满秩矩阵，

是格Λ^⊥(rot(a^T)^T)的陷门基，满足

(1)a与一致分布的统计距离可忽略；

(2)若m₁，m₂≥log₂n，则

(左抽样算法)设n为2的幂，素数q＞4n，且满足q≡3mod8。存在随机算法e←SampleLeft(a，b，u，T_a，σ)输入向量a，

其中rot(a^T)^T，

为满秩矩阵，u∈R_q，矩阵T_a∈R^k×k使得

是格Λ^⊥(rot(a^T)^T)的陷门基，高斯参数

输出向量

即[a，b]e^T＝u，

(右抽样算法)存在随机算法

输入向量a，

其中b＝aR+yg_b，使得rot(a^T)^T，

是满秩矩阵，

u∈R_q，矩阵R∈R^m×m，

使得

是Λ^⊥(rot(g_b))的基，高斯参数

输出向量e∈R^2m，其分布与

统计接近。也即是[a|b]e^T＝u，

(盆景树算法)设n为2的幂，素数q＞4n，且满足q≡3mod8。存在确定多项式时间算法ExtBasis(T_a，c＝[a，b])输入向量

其中

为满秩矩阵，T_a∈R^m×m满足

是格Λ^⊥(rot(a^T)^T)的陷门基，输出矩阵

其中

是格Λ^⊥([rot(a^T)^T，rot(b^T)^T])的陷门基，且||T_c||_GS＝||T_a||_GS。

(原像可抽样算法)SamplePre(a，T_a，u，σ)输入

及其陷门基

向量u∈R_q，参数σ，该算法首先选取利用线性代数计算出向量

其满足at＝u(modq)。然后，输出向量

其服从模格

上离散高斯分布

设公开矩阵g_b满足

并且

设

k＝k′，b＝2。存在确定多项式时间算法

输入u∈R_q，输出

满足g_bP＝u。

发明内容

本发明的目的是提供一种后量子安全的签密算法，以解决上述背景技术中提出的问题。引入封装的设计思想，结合划分技术、盆景树技术和调和技术实现CCA2安全性，利用封闭猜测(confined guessing)技术实现EUF-ACMA安全性，在计算和效率两方面取得平衡。

为了实现上述目的，本发明的技术方案是：

一种后量子安全的签密算法，包括以下步骤：

S1、系统设置Setup(1ⁿ)：设1ⁿ为安全参数，生成系统参数PP如下：

(6)奇素数q满足q≡3mod8，m＝2^k，κ≥2，Φ_m(x)＝x^m/2+1是m阶分圆多项式，设

设

其中，

是整数集合，

是变量为x且系数取自

的多项式环；

是模m阶分圆多项式Φ_m(x)＝x^m/2+1生成的整系数多项式环；

是模m阶分圆多项式和模q生成的多项式环；

对于向量

表示一种代数结构，称为模格；其中*是一种特殊乘法运算，具体运算如下：

(2)随机选取

随机选取u∈R_q，

取

b＝2，定义矩阵

其中，

是一种代数结构，它包含的元素是向量，向量的维数是m，向量的每个分量取自多项式环R_q；

也是一种代数结构，它包含的元素是向量，向量的维数是

(其中

表示不超过log q的最大整数)，向量的每个分量取自多项式环R_q；在

中选取

个向量

从多项式环中取出的多项式u；从

中取出的向量d，它的每个分量是R_q中的元素；g_b＝[1|b|…|b^m-1]是一个m维向量，分量依次为1，b，…，b^m-1；

表示行数为n，列数为

主对角线上元素为g_b的一个矩阵；在这里，我们设置b＝2。

(3)H₁：

是通用单向哈希函数；

ρ_s(x)＝exp(-π||x||²/s²)表示标准n维高斯分布，中心为0，方差为s；对于模格L，s＞o，模格上离散高斯分布表示为

对于关于变量x的多项式环R，

表示多项式

的分布，其中系数向量(a₀，a₁，...，a_n-1)服从离散高斯分布D_L，s抽样。

表示m维向量，其每个分量服从分布

{0，1}^*表示任意长度的比特向量的集合；该通用单向哈希函数是将任意长度比特向量和一个中的向量杂凑，生成

中一个向量，这个向量的每个分量服从离散高斯分布

(4)H₂：{0，1}^*→{0，1}^l是逐对独立哈希函数；

其中，H₂：{0，1}^*→{0，1}^l：一种哈希函数，输入任意长度比特向量，输出长度为l的比特向量；

(5)H₃：

是通用单向哈希函数，具体构造如下：

设

设

1)计算

这一步调用了调和机制。首先需要介绍调和机制：<·>2_q，2是交错凑整函数，把

上的元素作用到

中的元素，具体操作是

是模2凑整函数，如果x∈I₀∪I₁，则

否则，

令

定义调和函数rec：

为

对于奇数q，定义随机化函数dbl：

其中

是随机向量，并且分别以1/2，1/4，1/4的概率取0，1，-1。

是对于向量

用随机化函数作用于它的每个分量，然后用模2凑整函数作用，得到的向量。

2)计算

这一步中，φ是系数嵌入，它将多项式环R中的元素

映射为向量(a₀，a₁，...，a_n-1)。其实是将多项式的系数取出，按照顺序排成序列，作为一个系数向量。

是对于向量

用随机化函数作用于它的每个分量，然后用模2凑整函数作用，最后用系数嵌入，得到的向量，再和随机比特向量做水平方向连接，得到的新比特向量。

3)不妨设b′∈{0，1}^k′；随机取b₀，b_i，j←_RR_q，(i，j)∈[d]×[k′^1/d]，计算哈希函数

其中，

其中

是确定多项式时间算法，输入u∈R_q，输出

满足g_bP＝u；

这一步中，

是同态计算函数，其实是一种迭代算法：当d＝1时，输出

当d＝2，

其中

输入

输出向量α，该向量满足

所以，

其中向量α，该向量满足

依次类推，迭代计算这个同态计算函数。

(7)变色龙哈希函数

公布公钥

保密私钥

其中

是格

的陷门基；函数输入

输出

步骤解释：符号

表示一个映射，其将多项式a(x)∈R映射成

中的矩阵，第i行向量为

是用映射

作用于矩阵

的每个表元，实质是把每个表元多项式a(x)∈R映射成

中的矩阵，那么从整体上看，就是一个mn×mn阶矩阵。这一步中，先调用陷门基生成算法TrapGen生成格

的陷门基

是变色龙哈希函数的公钥，这是向量

和向量

的水平方向连接。

是变色龙哈希函数的私钥，具体是一个m×m阶矩阵，其中所有的表元取自多项式环R_q。

变色龙哈希函数输入

计算

因为

是

中的m维向量，h是离散高斯分布

上抽样得到的m维向量，这里

的计算是将两个m维向量对应的分量(每个分量都是多项式环R_q中的一个多项式)相乘得到m个多项式环R_q中的多项式，然后把这m个多项式环R_q中的多项式相加，得到多项式环R_q中的一个多项式，记作β。同理，因为

是

中的m维向量，s₁是离散高斯分布上抽样得到的m维向量，这里

的计算是将两个m维向量对应的分量相乘得到m个多项式环R_q中的多项式，然后把这m个多项式环R_q中的多项式相加，得到多项式环R_q中的一个多项式，记作γ。最后计算β+γ。

(7)高级对称加密算法AES算法∑＝(EK，DK)；

这一步中，EK表示高级对称加密算法的加密部分，DK表示高级对称加密算法的解密部分。

S2、密钥生成KeyGen(1ⁿ，PP)：输入安全参数n和系统生成的参数PP，输出签密方的公私钥、解签密方的公私钥。

S3、签密Signcrypt(msg∈{0，1}^l，sk_s，pk_r)：输入要签密的消息msg、签密方的私钥sk_s、解签密方的公钥pk_r，输出签密密文。

S4、解签密Unsigncrypt(C，sk_r，pk_s)：输入密文、解签密方私钥sk_r、签密方的公钥pk_s，输出被签密的消息。

2、如权利要求1所述的后量子安全的签密算法，其特征在于：所述步骤S2中，运行陷门生成算法TrapGen生成签密方的公私钥对

生成解签密方的公私钥对

其中，

是格

的陷门基，

是格

的陷门基。

3、如权利要求1所述的后量子安全的签密算法，其特征在于：所述步骤S3中包括如下步骤：

a、计算

这一步，哈希函数输入消息msg、解签密方的公钥

输出服从离散高斯分布

的向量h。

b、随机选取

计算

调用算法

利用

计算出

的陷门基T_r∈R^2m；

这一步，

表示从长度为

的比特向量集合

上均匀抽样一个比特向量τ。τ[i]表示比特向量τ的第i个分量元素，

表示第i个分量元素τ[i]和向量

的每个分量相乘，得到的是

中一个元素，

表示将

个是

中的元素相加，得到仍是

中一个元素，再和发送方的公钥

水平方向连接。得到

中的一个元素。调用盆景树算法

输入模格

及其陷门基T_τ∈R^2m，生成模格

的陷门基T_τ∈R^2m。

c、随机抽样

计算变色龙哈希函数值如下：

这个变色龙哈希函数值用来定义u_M＝u+d·bin(c_M)∈R_q，其中

利用陷门基T_τ求解方程：

的短向量解

这一步实质是调用算法

输出向量

最后输出签名

这一步，在离散高斯分布

上抽样向量s₁，

是变色龙哈希函数的公钥，这是向量

和向量

的水平方向连接。

变色龙哈希函数输入

计算

因为

是

中的m维向量，h是离散高斯分布

上抽样得到的m维向量，这里

是

的计算是将两个m维向量对应的分量相乘得到m个多项式环R_q中的多项式，然后把这m个多项式环R_q中的多项式相加，得到多项式环R_q中的一个多项式，记作γ。最后计算β+γ。bin(c_M)是将多项式c_M的每个系数用二进制展开，得到长度为

的比特向量，因为d是

中的向量，可以看成是

维的向量，d·bin(c_M)是将两个向量对应分量相乘，相乘的结果再相加，得到R_q中一个向量。

c、解析v为

随机选取s₂∈_RR_q，抽样

随机取r₂∈{0，1}^l，设c₀＝H₃(r₂，v₁)，依次计算w＝s₂c₀+e₂∈R_q，

这一步，因为v是

中的向量，

表示在水平方向上将向量v分割成两个

中的向量。c₀＝H₃(r₂，v₁)表示哈希函数H₃作用于比特向量r₂和向量v₁，得到c₀。w＝s₂c₀+e₂表示将向量s₂与向量c₀相乘，相乘结果与噪声向量e₂相加，得到R_q中一个向量。

表示随机化函数作用于向量w，得到向量

表示交错凑整函数作用于向量

得到信号向量c₁。

表示模2凑整函数作用于向量w，得到向量c₂。

(4)设

计算

这一步，c₃＝H₁(c₁，v₂)表示哈希函数H₁作用于信号向量c₁和向量v₂，得到向量c₃。

表示将向量

和向量c₃在水平方向上连接组成向量E。

(5)抽样

计算

这一步，

表示从m维离散高斯分布

上分别抽样向量e_3，1和e_3，2，并将它们水平方向放置，组成向量e₃。c₄＝s₂E+e₃：用向量s₂分别乘以向量E的两个分量，得到的结果再和向量e₃的分量对应相加，得到

中一个新向量。

(6)计算

最后，输出密文

C＝(τ，c₀，c₁，c₃，c₄，c₅)。

这一步，将H₂(c₂)作为AES加密算法的密钥，将消息msg、向量v₂的系数嵌入得到的向量、向量s₁系数嵌入得到的向量、比特向量r₂水平方向连接构成的比特串作为AES算法的输入，AES算法输出比特串c₅。将标签τ、向量c₀、向量c₁、向量c₃、向量c₄、向量c₅组成签密密文。

4、如权利要求1所述的后量子安全的签密算法，其特征在于：所述步骤S4包括如下步骤：

(1)计算

这一步，

表示将向量

和向量c₃在水平方向上连接组成向量E。

(7)抽样向量

其中矩阵

的每列向量服从分布

这一步，在

上的离散高斯分布上抽样向量

(8)利用

求出方程

的短向量解

这一步，

是先计算c₃和

的乘积，再用c₀减去c₃和

的乘积，得到一个差值，记作

调用算法

输入模格

及其陷门基

求解满足条件

的解

(9)计算

这一步，

是将两个噪声向量

和

的竖直放置，用向量c₄乘以噪声向量

得到向量w₁。

是用调和函数作用于向量w₁和向量c₁，恢复出

(10)计算

这一步，将

作为AES解密算法的密钥，输入c₅，将输出结果在水平方向上进行分割，得到

(11)恢复

解析

验证下列条件：若

则输出错误符号⊥，否则，继续；若

则输出错误符号⊥，否则，继续；若

则输出错误符号⊥。否则，继续；

这一步，

是将系数嵌入反作用于

得到对应的多项式

是将

分割成两部分

和

(7)计算

建立

再验证下列两个条件是否成立：

若都成立，则输出消息

否则，输出错误符号⊥。

这一步，用哈希函数H₁作用于解签密得到的信息

和

杂凑为

上的一个向量

因为

是

中的m维向量，h是离散高斯分布上抽样得到的m维向量，这里

是

与现有技术相比，本发明具有的优点和积极效果是：

本发明利用同态计算函数构造通用单向哈希函数，它的作用是将

中的元素映射为R_q中的向量，其本质上是采用划分(partitioning)技术；本发明在模格上构造变色龙哈希函数，它把

中元素杂凑为R_q中的向量，签密的CCA2安全性依赖于变色龙哈希函数的碰撞稳固性、变色龙特性和一致性。一般来说，实现适应性安全有两种思路：第一，使用对偶加密系统。目前还没有基于模格上的对偶加密系统。即使构造出对偶加密系统，其计算效率也很低。第二，使用划分(partitioning)技术。本技术发明采用划分的技术。有两种方法可以将非适应性安全的签名转化为适应性安全的签名：第一，使用一次签名技术。但是，基于格密码的一次签名是在随机预言机模型下构造的。随机预言机模型存在安全隐患。第二，使用变色龙哈希函数。本发明采用构造变色龙哈希函数方法。

此外，本发明引入封装的设计思想，结合划分技术、盆景树技术和调和技术实现CCA2安全性，利用封闭猜测(confined guessing)技术实现EUF-ACMA安全性。在计算和效率两方面取得平衡。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的流程示意图；

图2为公钥尺寸对比仿真示意图；

图3为私钥尺寸对比仿真示意图；

图4为密文开销对比仿真示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

如图1，图1为发明的流程示意图；本发明的后量子安全的签密算法，包括以下步骤：

(1)奇素数q满足q≡3mod8，m＝2^κ，κ≥2，Φ_m(x)＝x^m/2+1是m阶分圆多项式，设

设

(2)随机选取

其中

随机选取u，d∈R_q；取

b＝2，定义矩阵：

(3)H₁：

是通用单向哈希函数；

(4)H₂：{0，1}^*→{0，1}^L是逐对独立哈希函数；

(5)H₃：

是通用单向哈希函数，具体构造如下：

设

设

1)计算

2)计算

不妨设b′∈{0，1}^k′；随机取b₀，b_i，j←_RR_q，(i，j)∈[d]×[k′^1/d]，计算哈希函数

其中，

其中

是确定多项式时间算法，输入u∈R_q，输出

满足g_bP＝u；

(6)变色龙哈希函数

公布公钥

保密私钥

其中

是格

的陷门基。函数输入

输出

(7)高级对称加密算法AES算法∑＝(EK，DK)

S2、密钥生成KeyGen(1ⁿ，PP)；

S3、签密Signcrypt(msg∈{0，1}^l，sk_s，pk_r)；

S4、解签密Unsigncrypt(C，sk_r，pk_s)。

所述步骤S2中，运行TrapGen算法生成发送者的公私钥对

生成接收者的公私钥对

其中，

是格

的陷门基，

是格

的陷门基。

所述步骤S3中包括如下步骤：

a、计算

b、随机选取

计算

调用算法

利用

计算出

的陷门基T_τ∈R^2m；其中，

是格

的陷门基；

c、随机抽样

计算变色龙哈希函数值如下：

这个变色龙哈希函数值用来定义u_M＝u+d·bin(c_M)∈R_q，其中

利用陷门基T_τ求解方程：

的短向量解

这一步实质是调用算法

输出向量

最后输出签名

下面检验其三条性质：

碰撞稳固性：假设存在碰撞

则t＝[h-h′，s₁-s₁′]≠0是

的解，并且

即

可解。假设错误，故

碰撞稳固。

陷门碰撞：输入

求解

使得

也就是求解短向量s₁′满足方程

存在概率多项式时间算法输出陷门基

利用算法

求解短向量

一致性：因为

可得

的分布与R上均匀分布统计接近。另一方面，因为

可得

的分布与R上均匀分布统计接近。可得

的输出分布与R上均匀分布统计接近。

d、解析v为

随机选取s₂∈_RR_q，抽样

(1)设

计算

(2)抽样

计算

(3)计算

最后，输出密文C＝(τ，c₀，c₁，c₃，c₄，c₅)。

作为对上述技术方案的改进，所述步骤S4包括如下步骤：

(1)计算

(2)抽样向量

其中矩阵

的每列向量服从分布

(1)利用

求出方程

的短向量解

(2)计算

(3)计算

(4)恢复

解析

验证下列条件：若

则输出错误符号⊥，否则，继续；若

则输出错误符号⊥，否则，继续；若

则输出错误符号⊥。否则，继续；

(5)计算

建立

再验证下列两个条件是否成立：

若都成立，则输出消息

否则，输出错误符号⊥。

正确性分析

当

时，接收者能够以压倒性的概率正确解签密。

证明

观察发现

经计算，得到

不妨设

为

中选取的随机噪声，则有

当

即

接收者能够以压倒性的概率正确解签密。

性能分析

下面从四个方面进行性能分析：公钥尺寸、私钥尺寸、密文开销、算法运行时间。设所有哈希函数的输出都是128比特。随机数长度是128比特。

(1)计算开销

用t_h表示哈希函数运行时间，t_d表示矩阵乘法时间，t_p表示多项式乘法时间，t_g表示高斯抽样时间。我们在64位Windows 10Thinkpad X1笔记本和64位Ubuntu 14.4LTSThink Center台式机上使用C/C++PBC库实现了这些加密操作，见Table 1。

Table 1.Time For Cryptography Operation

Cryptography Operation	Time
		t<sub>h</sub>	0.3ms
t<sub>d</sub>	0.27ms
		t<sub>p</sub>	0.44ms
中<sub>g</sub>	0.52ms

Table 2显示了当设置相同的参数n＝256，m＝512，q＝4093时，我们的签密算法与其它基于格密码的签密算法的运行时间对比。

Table 2.Comparison Of Execution Time

	KeyGen	Signcryption	Unsigncryption
				[10]	670ms	2212ms	2228ms
[12]	115343ms	69369ms	356515ms
				[13]	533ms	912ms	988ms
[20]	808ms	2153ms	1570ms
				[21]	624ms	1842ms	622ms
[22]	399ms	757ms	450ms
				[23]	604ms	677ms	677ms
Ours	266ms	644ms	716ms

(2)通信开销

在Table 3中，q表示模数，n表示格的维数。公钥尺寸是关于q和n的一个函数。在Table 4中，密文开销是关于q和n的一个函数。对Table 3和Table4中q和n进行具体赋值：q＝277063，n＝540，可以计算出具体的公钥尺寸、私钥尺寸和密文开销。

Tahle 3.Comparison Of PK/SK Sizes

Table4.Comparison Of Ciphertext Overhead

	Ciphertext Overhead
		[6]	n+6n log<sup>2</sup>q
[8]	n(6n log<sup>2</sup>q+1)log q
		[10]	n(3log q+2log 2q+3)log q
[12]	2n(n+5)log<sup>2</sup>q
		[13]	24n log<sup>2</sup>q
[20]	n+(128+3n+6log(2n log q log n))n log q
		121]	256+2n<sup>2</sup>(1+log q)log q
122]	128+2n<sup>2</sup>+4n<sup>2</sup>log<sup>2</sup>q
		[23]	796+36n<sup>2</sup>log<sup>3</sup>q
Ours	2n+n(1+3log q)log q

为了更直观地看出效能，我们设置模数q＝277063，取不同的维数n。通过仿真，在图2、图3、图4中可以得到几个签密算法(YWL方案、SS方案、GM方案、LHY方案、ZXX方案)的性能对比。图2中，横坐标表示格的维数，纵坐标表示公钥尺寸(单位是KB)。图3中，横坐标表示格的维数，纵坐标表示私钥尺寸(单位是KB)。图4中，横坐标表示格的维数，纵坐标表示密文开销(单位是KB)。从三个图中不难看出我们的签密算法公钥尺寸、私钥尺寸和密文开销低于现有的基于格密码构造的签密。

中的元素映射为R_q中的向量。其本质上是采用划分(partitioning)技术；本发明在模格上构造变色龙哈希函数，它把

中元素杂凑为R_q中的向量，签密的CCA2安全性依赖于变色龙哈希函数的碰撞稳固性、变色龙特性和一致性。一般来说，实现适应性安全有两种思路：第一，使用对偶加密系统。目前还没有基于模格上的对偶加密系统。即使构造出对偶加密系统，其计算效率也很低。第二，使用划分(partitioning)技术。

本技术发明采用划分的技术。有两种方法可以将非适应性安全的签名转化为适应性安全的签名：第一，使用一次签名技术。但是，基于格密码的一次签名是在随机预言机模型下构造的。随机预言机模型存在安全隐患。第二，使用变色龙哈希函数。本发明采用构造变色龙哈希函数方法。此外，本发明引入封装的设计思想，结合划分技术、盆景树技术和调和技术实现CCA2安全性，利用封闭猜测(confined guessing)技术实现EUF-ACMA安全性。在计算和效率两方面取得平衡。

Claims

1.一种后量子安全的签密算法，其特征在于：包括以下步骤：

(1)奇素数q满足q≡3mod8，m＝2^k，κ≥2，Φ_m(x)＝x^m/2+1是m阶分圆多项式，设

设

其中，

是整数集合，

是变量为x且系数取自

的多项式环；

是模m阶分圆多项式Φ_m(x)＝x^m/2+1生成的整系数多项式环；

是模m阶分圆多项式和模q生成的多项式环；

对于向量

(2)随机选取

其中l＝O(n)，随机选取u，d∈R_q；取

b＝2，定义矩阵

其中，

也是一种代数结构，它包含的元素是向量，向量的维数是

向量的每个分量取自多项式环R_q；在

中选取3+l个向量

从多项式环中取出的多项式u；从

表示行数为n，列数为

主对角线上元素为g_b的一个矩阵；在这里，我们设置b＝2；

(3)

是通用单向哈希函数；

ρ_s(x)＝exp(-π||x||²/s²)表示标准n维高斯分布，中心为0，方差为s；对于模格L，s＞0，模格上离散高斯分布表示为

对于关于变量x的多项式环R，

表示多项式

的分布，其中系数向量(a₀，a₁，...，a_n-1)服从离散高斯分布D_L，s抽样；

表示m维向量，其每个分量服从分布

中一个向量，这个向量的每个分量服从离散高斯分布

(4)H₂：{0，1}^*→{0，1}^L是逐对独立哈希函数；

其中，H₂：{0，1}^*→{0，1}^l是一种哈希函数，输入任意长度比特向量，输出长度为l的比特向量；

(5)

是通用单向哈希函数，具体构造如下：

设

设

1)计算

<·>_2q，2是交错凑整函数，把

上的元素作用到

中的元素，具体操作是

是模2凑整函数，如果x∈I₀∪I₁，则

否则，

令

定义调和函数

为

对于奇数q，定义随机化函数

其中

是随机向量，并且分别以1/2，1/4，1/4的概率取0，1，-1；

是对于向量

用随机化函数作用于它的每个分量，然后用模2凑整函数作用，得到的向量；

2)计算

φ是系数嵌入，它将多项式环R中的元素

映射为向量(a₀，a₁，...，a_n-1)；其实是将多项式的系数取出，按照顺序排成序列，作为一个系数向量；

是对于向量

用随机化函数作用于它的每个分量，然后用模2凑整函数作用，最后用系数嵌入，得到的向量，再和随机比特向量做水平方向连接，得到的新比特向量；

3)不妨设b′∈{0，1}^k′；随机取b₀，b_i，j←_R R_q，(i，j)∈[d]×[k^′1/d]，计算哈希函数

其中，

是确定多项式时间算法，输入u∈R_q，输出

满足g_bP＝u；

是同态计算函数，其实是一种迭代算法：当d＝1时，输出

当d＝2，

其中

输入

输出向量α，该向量满足

所以，

其中向量α，该向量满足

依次类推，迭代计算这个同态计算函数；

(6)变色龙哈希函数

公布公钥

保密私钥

其中

是格

的陷门基；函数输入

输出

符号

表示一个映射，其将多项式a(x)∈R映射成

中的矩阵，第i行向量为

是用映射

作用于矩阵

的每个表元，实质是把每个表元多项式a(x)∈R映射成

中的矩阵，那么从整体上看，就是一个mn×mn阶矩阵；这一步中，先调用陷门基生成算法TrapGen生成格

的陷门基

是变色龙哈希函数的公钥，这是向量

和向量

的水平方向连接；

是变色龙哈希函数的私钥，具体是一个m×m阶矩阵，其中所有的表元取自多项式环R_q；

变色龙哈希函数输入

计算

因为

是

中的m维向量，h是离散高斯分布

上抽样得到的m维向量，这里

的计算是将两个m维向量对应的分量相乘得到m个多项式环R_q中的多项式，然后把这m个多项式环R_q中的多项式相加，得到多项式环R_q中的一个多项式，记作β；同理，因为

是

的计算是将两个m维向量对应的分量相乘得到m个多项式环R_q中的多项式，然后把这m个多项式环R_q中的多项式相加，得到多项式环R_q中的一个多项式，记作γ；最后计算β+γ；

(7)高级对称加密算法AES算法∑＝(EK，DK)

EK表示高级对称加密算法的加密部分，DK表示高级对称加密算法的解密部分；

S2、密钥生成KeyGen(1ⁿ，PP)；

输入安全参数n和系统生成的参数PP，输出签密方的公私钥、解签密方的公私钥；

S3、签密Signcrypt(msg∈{0，1}^l，sk_s，pk_r)；

输入要签密的消息msg、签密方的私钥sk_s、解签密方的公钥pk_r，输出签密密文；

S4、解签密Unsigncrypt(C，sk_r，pk_s)；

输入密文、解签密方私钥sk_r、签密方的公钥pk_s，输出被签密的消息。

2.如权利要求1所述的后量子安全的签密算法，其特征在于：

表示不超过logq的最大整数。

3.如权利要求1所述的后量子安全的签密算法，其特征在于：所述步骤S2中，运行陷门生成算法TrapGen生成签密方的公私钥对

生成解签密方的公私钥对

其中，

是格

的陷门基，

是格

的陷门基。

4.如权利要求1所述的后量子安全的签密算法，其特征在于：所述步骤S3中包括如下步骤：

a、计算

其中，哈希函数输入消息msg、解签密方的公钥

输出服从离散高斯分布

的向量h；

b、随机选取τ←U({0，1}^l)，计算

调用算法

利用

计算出

的陷门基T_τ∈R^2m；

其中，τ←U({0，1}^l)表示从长度为l的比特向量集合{0，1}^l上均匀抽样一个比特向量τ；τ[i]表示比特向量τ的第i个分量元素，

表示第i个分量元素τ[i]和向量

的每个分量相乘，得到的是

中一个元素，

表示将l个是

中的元素相加，得到仍是

中一个元素，再和发送方的公钥

水平方向连接；得到

中的一个元素；调用盆景树算法

输入模格

及其陷门基T_r∈R^2m，生成模格

的陷门基T_τ∈R2^m；

c、随机抽样

计算变色龙哈希函数值如下：

这个变色龙哈希函数值用来定义u_M＝u+d·bin(c_M)∈R_q，其中

利用陷门基T_τ求解方程：

的短向量解

这一步实质是调用算法

输出向量

最后输出签名；

其中，在离散高斯分布

上抽样向量s₁，

是变色龙哈希函数的公钥，这是向量

和向量

的水平方向连接；

变色龙哈希函数输入

计算

因为

是

中的m维向量，h是离散高斯分布

上抽样得到的m维向量，这里

的计算是将两个m维向量对应的分量相乘得到m个多项式环R_q中的多项式，每个分量都是多项式环R_q中的一个多项式，然后把这m个多项式环R_q中的多项式相加，得到多项式环R_q中的一个多项式，记作β；同理，因为

是

的计算是将两个m维向量对应的分量相乘得到m个多项式环R_q中的多项式，然后把这m个多项式环R_q中的多项式相加，得到多项式环R_q中的一个多项式，记作γ；最后计算β+γ；bin(c_M)是将多项式c_M的每个系数用二进制展开，得到长度为

的比特向量，因为d是

中的向量，可以看成是

维的向量，d·bin(c_M)是将两个向量对应分量相乘，相乘的结果再相加，得到R_q中一个向量；

d、解析v为

随机选取s₂∈_R R_q，抽样

因为v是

中的向量，

表示在水平方向上将向量v分割成两个

中的向量；c₀＝H₃(r₂，v₁)表示哈希函数H₃作用于比特向量r₂和向量v₁，得到c₀；w＝s₂c₀+e₂表示将向量s₂与向量c₀相乘，相乘结果与噪声向量e₂相加，得到R_q中一个向量；

表示随机化函数作用于向量w，得到向量

表示交错凑整函数作用于向量

得到信号向量c₁；

表示模2凑整函数作用于向量w，得到向量c₂；

(1)设

计算

c₃＝H₁(c₁，v₂)表示哈希函数H₁作用于信号向量c₁和向量v₂，得到向量c₃；

表示将向量

和向量c₃在水平方向上连接组成向量E；

(2)抽样

计算

表示从m维离散高斯分布

上分别抽样向量e_3，1和e_3，2，并将它们水平方向放置，组成向量e₃；c₄＝s₂E+e₃：用向量s₂分别乘以向量E的两个分量，得到的结果再和向量e₃的分量对应相加，得到

中一个新向量；

(3)计算

最后，输出密文C＝(τ，c₀，c₁，c₃，c₄，c₅)；

将H₂(c₂)作为AES加密算法的密钥，将消息msg、向量v₂的系数嵌入得到的向量、向量s₁系数嵌入得到的向量、比特向量r₂水平方向连接构成的比特串作为AES算法的输入，AES算法输出比特串c₅；将标签τ、向量c₀、向量c₁、向量c₃、向量c₄、向量c₅组成签密密文。

5.如权利要求1所述的后量子安全的签密算法，其特征在于：所述步骤S4包括如下步骤：

(1)计算

其中，

表示将向量

和向量c₃在水平方向上连接组成向量E；

(1)抽样向量

其中矩阵

的每列向量服从分布

在

上的离散高斯分布上抽样向量

(2)利用

求出方程

的短向量解

是先计算c₃和

的乘积，再用c₀减去c₃和

的乘积，得到一个差值，记作

调用算法

输入模格

及其陷门基

求解满足条件

的解

(3)计算

是将两个噪声向量

和

的竖直放置，用向量c₄乘以噪声向量

得到向量w₁；

是用调和函数作用于向量w₁和向量c₁，恢复出

(4)计算

将

(5)恢复

解析

验证下列条件：若

则输出错误符号⊥，否则，继续；若

则输出错误符号⊥，否则，继续；若

则输出错误符号⊥；否则，继续；

是将系数嵌入反作用于

得到对应的多项式

是将

分割成两部分

和

(7)计算

建立

再验证下列两个条件是否成立：

若都成立，则输出消息

否则，输出错误符号⊥；

用哈希函数H₁作用于解签密得到的信息

和

杂凑为

上的一个向量

因为

是

中的m维向量，h是离散高斯分布上抽样得到的m维向量，这里

是

的计算是将两个m维向量对应的分量相乘得到m个多项式环R_q中的多项式，然后把这m个多项式环R_q中的多项式相加，得到多项式环R_q中的一个多项式，记作γ；最后计算β+γ。