CN112818362B

CN112818362B - 基于r-lwe的公钥加密方法

Info

Publication number: CN112818362B
Application number: CN202110126103.2A
Authority: CN
Inventors: 于志敏; 古春生; 蔡秋茹; 景征骏; 罗烨
Original assignee: Jiangsu University of Technology
Current assignee: Jiangsu University of Technology
Priority date: 2021-01-29
Filing date: 2021-01-29
Publication date: 2023-09-22
Anticipated expiration: 2041-01-29
Also published as: CN112818362A

Abstract

本发明提供一种基于R‑LWE的公钥加密方法，包括以下步骤：随机生成参与方所需的公共参数和私密参数；各参与方根据公共参数和私密参数生成密钥；根据密钥设计CCA安全的加密方案和解密方案。该方法不仅能有效降低公钥尺寸和密文膨胀率，而且支持公开密文完整性验证。

Description

基于R-LWE的公钥加密方法

技术领域

本发明属于信息安全技术领域，具体涉及一种基于R-LWE的公钥加密方法、一种非临时性计算机可读存储介质和一种计算机设备。

背景技术

随着量子计算机研发取得长足进展，传统的公钥密码方案面临严重挑战。Shor的RSA和Proos/Zalka的ECDLP算法在量子计算环境下，能够在多项式时间内解决离散对数和大因数分解问题，从而动摇了传统公钥密码方案存在的根基。所以，世界范围的密码工作者都致力于寻找抗量子攻击的实用公钥密码方案。目前，多变量公钥密码体制、基于格的密码算法、基于编码问题的密码算法以及基于Hash的密码算法都是抗量子密码学的研究热点。

具有里程碑意义的是，2003年Regev基于格理论提出了LWE(learning witherror，错误学习问题)的设计思想，并指出了基于LWE设计公钥密码的基本方法。Regev成功将LWE问题的计算复杂性规约到格上的Gap-SVP(Gap Shortest Vector Problem，间隙-最短向量问题)和SIVP(Shortest Independent Vector Problem，最短线性无关向量问题)问题，这两个问题都是抗量子攻击的。遗憾的是，基于LWE设计的公钥方案使用了大矩阵，导致公钥尺寸过大、密文膨胀率高、效率低下，即使能够抗量子攻击，也无法实际应用。

发明内容

本发明为解决上述技术问题，提供了一种基于R-LWE的公钥加密方法，该方法不仅能有效降低公钥尺寸和密文膨胀率，而且支持公开密文完整性验证。

本发明还提出一种非临时性计算机可读存储介质。

本发明还提出一种计算机设备。

本发明采用的技术方案如下：

本发明第一方面实施例提出了一种基于R-LWE的公钥加密方法，包括以下步骤：随机生成参与方所需的公共参数和私密参数；各参与方根据所述公共参数和所述私密参数生成密钥；根据所述密钥设计CCA安全的加密方案和解密方案。

根据本发明的一个实施例，所述密钥包括公钥和私钥，所述每各参与方根据所述公共参数生成密钥，包括：输入所述公共参数，所述公共参数包括1ⁿ和既约多项式n为所述既约多项式f(x)的阶；各参与方选择噪声e₁∈R_q且_e1的每个系数均服从高斯分布/>R_q为整数多项式环；随机选取环元素t，t∈R_q；随机取环元素u、s，u，s∈R_q，满足_s的每个系数/>根据y＝ts+2e₁计算y，e₁为噪声；根据公式PK＝(t,y,u)生成公钥PK并发布，根据公式SK＝(s)生成私钥SK并保密。

根据本发明的一个实施例，根据所述密钥完成CCA安全的公钥加密方案的设计，包括：发送方输入公钥PK和待加密信息m，其中，采用一次签名密钥生成算法OT_Gen(1ⁿ)，输出签名密钥/>和验证密钥vk：/>其中，h为通用哈希函数，/>为整数矩阵；随机选取r,e₂,e₃,e₄∈R_q，随机选取/>计算c₁、c₂、c₃和c₄，其中，c₁＝t·r+2e₂、c₂＝MSB(y·r+2e₃)，/>令/>计算密文哈希值ω，ω＝h(c|w)∈{0,1}ⁿ，并对所述密文哈希值ω进行一次签名生成数字签名σ，其中，/>输出密文C＝(vk,c,σ)；规约时令。

根据本发明的一个实施例，根据所述密钥设计CCA安全的解密方案，包括：输入所述私钥sk和c，其中，c＝(c₁,c₂,c₃,c₄)；计算[c₁·s]_q，并提取所述[c₁·s]_q每个系数最高位比特依次比较向量c₂和/>每个分量，如果第i个分量不同，把[c₁·s]_q的第i个系数减去q，修改后的[c₁·s]_q记作[c₁·s]_q ^*，依次提取所述[c₁·s]_q ^*的每个系数最低位比特b_l＝LSB([c₁·s]_q ^*)；输出/>和明文M^*＝c₄-uw^*；计算哈希值ω＝H(c|w^*)∈{0,1}ⁿ，进行一次签名验证，如果满足/>则密文完整，输出明文M^*，否则，拒绝。

本发明第二方面实施例提出了一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明第一方面实施例所述的基于R-LWE的公钥加密方法。

本发明第三方面实施例提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现本发明第一方面实施例所述的基于R-LWE的公钥加密方法。

本发明的有益效果：

本发明提出了高效的基于R-LWE问题的CCA安全的公钥加密算法，使用了密钥封装技术。我们用CPA方案加密了witness w(它和m尺寸相同)，而不是明文m，然后，把w作为对称密钥来加密m，最后再结合一次签名方案完成CCA安全的公钥加密方案的设计。不仅能有效降低公钥尺寸和密文膨胀率，而且支持公开密文完整性验证。。

附图说明

图1是根据本发明一个实施例的基于R-LWE的公钥加密方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明在整系数多项式环上基于LWE问题难度设计了公钥加密方法，并证明了方案的正确性和安全性。

在本发明中，符号约定如下：

按照惯例，所有列向量都以粗体小写字母命名(如：u)，u_i则表示u的第i个分量。矩阵以粗体大写字母命名(如：U)，u_i则表示U的第i个列向量。设λ为安全参数。设符号表示整数集。设q为正整数，/>为整数环。设符号/>表示元素集合{1,2,K,q}。设符号|q|除表示q的绝对值外，也重载表示q的比特长度。

定义为整数多项式环，其中既约多项式f(x)阶为n，系数模以素数q。噪音多项式e_i(x)，e_i(x)的系数较小取至离散高斯分布χ。MSB(element)为element∈R_q每个系数/>位bit，LSB(element)为element∈R_q每个系数最低位构成的向量。如果对于所有任意大n的多项式p都满足ε(n)≤1/p(n)，我们说概率ε(n)是可忽略的。

图1是根据本发明一个实施例的基于R-LWE的公钥加密方法的流程图。如图1所示，该方法包括以下步骤：

S1，随机生成参与方所需的公共参数和私密参数。

S2，各参与方根据公共参数和私密参数生成密钥。

根据本发明的一个实施例，密钥包括公钥和私钥，每各参与方根据公共参数生成密钥，包括：

输入公共参数，公共参数包括1ⁿ和既约多项式n为既约多项式f(x)的阶；各参与方选择噪声e₁∈R_q且e₁的每个系数均服从高斯分布/>R_q为整数多项式环；随机选取环元素t，t∈R_q；随机取环元素u、s，u,s∈R_q，满足s的每个系数/>根据y＝ts+2e₁计算y，e₁为噪声；根据公式PK＝(t,y,u)生成公钥PK并发布，根据公式SK＝(s)生成私钥SK并保密。

S3，根据密钥设计CCA安全的加密方案和解密方案。

根据本发明的一个实施例，根据密钥完成CCA安全的公钥加密方案的设计，包括：发送方输入公钥PK和待加密信息m，其中，采用一次签名密钥生成算法OT_Gen(1ⁿ)，输出签名密钥/>和验证密钥vk：/> 其中，h为通用哈希函数，为整数矩阵；随机选取r,e₂,e₃,e₄∈R_q，随机选取/>计算c₁、c₂、c₃和c₄，其中，c₁＝t·r+2e₂、c₂＝MSB(y·r+2e₃)，/>令/>计算密文哈希值ω，ω＝h(c|w)∈{0,1}ⁿ，并对密文哈希值ω进行一次签名生成数字签名σ，其中，/>输出密文C＝(vk,c,σ)；规约时令。

根据本发明的一个实施例，根据密钥设计CCA安全的解密方案，包括：输入私钥sk和c，其中，c＝(c₁,c₂,c₃,c₄)；计算[c₁·s]_q，并提取[c₁·s]_q每个系数最高位比特依次比较向量c₂和/>每个分量，如果第i个分量不同，把[c₁·s]_q的第i个系数减去q，修改后的[c₁·s]_q记作[c₁·s]_q ^*，依次提取[c₁·s]_q ^*的每个系数最低位比特b_l＝LSB([c₁·s]_q ^*)；输出/>和明文M^*＝c₄-uw^*；计算哈希值ω＝H(c|w^*)∈{0,1}ⁿ，进行一次签名验证，如果满足/>则密文完整，输出明文M^*，否则，拒绝。

具体地，本发明提出了高效的基于Ring-LWE问题的CCA安全的公钥加密算法。首先，提出了高效的CPA安全的公钥加密算法。然后，需要设计一个witness-recovering的CPA方案来设计CCA方案。如果解密过程中能够加密中使用的随机量，那么这个方案就具有witness-recovering特性。为实现这个目标，使用了密钥封装技术，用CPA方案加密了witness w(它和m尺寸相同)，而不是明文m。然后，我们把w作为对称密钥来加密m。最后再结合一次签名方案完成CCA安全的公钥加密方案的设计。由此，不仅能有效降低公钥尺寸和密文膨胀率，而且支持公开密文完整性验证。

本发明利用NTL函数库来实现基于R-LWE的CCA安全的实用公钥加密算法，并对算法的空间复杂性和执行时间复杂性进行评估。该系统主要在整系数n阶多项式上进行操作，算法执行时间大部分用于多项式的乘法和加法。此外，公钥初始化过程中，随机选取向量和在高斯分布上采样也需要一定的时间。所以，对这两方面进行优化就非常必要。系统采用C++语言，使用了gf2x，gmp和NTL函数库进行相关数学操作。计算机硬件配置为主机3。20GHZ，Intel Core i5，4GB RAM和7。2RPM SATA硬盘。

具体的实施中，耗时最多的多项式乘法采用快速傅里叶变换(FFT)算法来提高计算速度。多项式的存储和各种计算都是直接调用NTL库函数，因为这些函数都是经过优化的函数，所以，运行速度较快。当安全参数_n取值不同时，对应的公钥尺寸、密文大小和膨胀率如表1所示。

表1：安全参数不同时的各项指标

本发明安全级单位以比特位计算，根据分析，在n选取不同参数时，本发明能够达到的安全级别，或者说攻击者破解系统需要的计算时间复杂性见表2。目前公认的攻击复杂性为Ο(2⁸⁰)时，认为系统是安全的。所以，安全参数选择256就可以满足系统安全需求。

表2：方案的安全级别估计

表3显示了n在选取典型的值256时用户公钥和私钥以及密文等相关数据的存储空间大小(单位KB)。

表3：相关数据所需的存储空间大小

表4显示了在选择不同的维数以及用户数时，方案各个部分运行时间的统计，单位为秒(ms)，其包括系统建立、加密和解密三部分。在向量维数n取不同值时，方案各个部分的计算代价如表4所示。

表4：方案每个算法的运行时间统计(ms)

经过多次测试，系统建立、加密和解密的时间大体上与理论分析的复杂性一致，随着多项式阶和系数的增加，公钥和密文存储所需的空间不断增大，加密和解密时间都会增加。为获取比较快的应用速度，并且保证系统的安全，一般选择n＝256就可以满足实践需求。

对于公钥加密系统，抵抗选择明文攻击时必须条件，下面给出安全性证明。

安全性证明：基于R-LWE的高效公钥加密方案是CCA安全的。

证明：采用“game hopping”技术证明方案满足CCA安全。其基本思想是先构造一系列游戏，第一个游戏是真实的InD-CCA攻击，而最后一个游戏室攻击者无法获胜的，也就是说攻击者最终面对一个明显没有意义的挑战，其优势不比随意猜测高；然后基于一些理想格上困难性建设，证明Game i和i+1在多项式时间内不可区分。

1)游戏序列

假设存在攻击者A和仿真者S，A能够攻破PKE方案的CCA安全性，S通过与攻击者A进行若干次交互之后，就能以绝对的优势解决判定性R-LWE假设，或者攻破一次签名算法SS的强不可伪造性，或者攻破离散函数抵抗碰撞的性质。考虑三个游戏：

Game0：真实的适应性选择密文攻击游戏。

Game1：攻击者A在解密过程中，如果得到密文的形式为(vk*，。，。)，直接输出拒绝符号并退出，这里的vk*是挑战密文的第一个元素：其余设置于Game0相同。

Game2：此游戏中，挑战密文C*是随机选取的环多项式，其在R_q上均匀分布且互相独立；其余设置与Game1相同。

2)游戏转移

Game0到Game1：由于一次签名算法SS在选择消息攻击下是强不可伪造的，因此在2此签名过程中，获得2个合法签名且验证密钥同是Vk*的概率可忽略，因此对于一个多项式时间的攻击者A来讲，区分Game0和Game1的优势为可忽略的negl(n)。

Game1到Game2：假设攻击者A能够以不可忽略的概率区分Game1和Game2，那么考虑下面的规约S，它访问R-LWE预言机O获得一些来自随机采样和设定秘密采样的实例。S将借助A的攻击行为，成功判断出这里实例服从随机采样还是服从设定秘密采样，从而解决了判定性R-LWE困难问题。

假定S能够访问R-LWE预言机O询问并获得实例(a,b)∈R_q×R_q，并和A交互模拟实验1和实验2。S操作如下：

调用密钥生成算法GenKey(1ⁿ)生成公钥PK＝(t,y,a)，私钥SK＝(s)。挑战者输出一对长度相等的消息m₀，m₁，S随机选择b∈{0,1}，依照前文方法计算(c₁,c₂,c₃)，令最后，c＝(c₁,c₂,c₃,c₄)。计算密文哈希值ω＝H(C|w)∈{0,1}ⁿ，并对它一次签名/>输出密文C＝(vk,c,σ)。

可以看出，上述公钥的分布和密文分布与原始算法是相同的，而且，密钥生成过程攻击者不可见。

挑战应答：当仿真者S得到一个密文C＝(vk,c,σ)时，S执行以下步骤。

1)如果C＝C^*，此类解密查询是不允许的，S拒绝回答并退出。如果vk＝vk^*，此时，一次性签名算法的强不可伪造性被攻破，输出拒绝符号⊥并退出。设ω^*＝H(C)＝H(C^*)，而C≠C^*，此时找到了散列函数的碰撞，终止解密返回。否则按照真实解密过程验证密文完整性。并按照真实解密过程解密并返回给攻击者。

除非在散列函数类中找到一组碰撞，或者攻破一次签名算法的强不可伪造性，否则解密神谕的模拟是成功的。

如果实例化时R-LWE预言机O输出的是O_s分布，那么是合法密文。这种情况下，仿真者S模拟的是Game1。

反之，如果实例化时预言机O输出的是O_$分布，那么密文中的c₄在统计上服从随机均匀分布，此时仿真者S模拟了Game2。

猜测：询问后，A给出了一个猜想β′∈{0,1}，如果攻击者能够正确回答，那么意味着攻击者A正在与Game1交互，仿真者回答R-LWE挑战的猜测，R-LWE预言机O输出的是O_s分布。否则，预言机O输出的是O_$分布。

从上述交互过程可以看出，如果A能够以不可忽略的优势区分Game1和Game2，那么仿真者就能以绝对的优势解决判定性R-LWE问题。命题得证。

综上所述，根据本发明实施例的基于R-LWE的公钥加密方法，随机生成参与方所需的公共参数和私密参数，各参与方根据公共参数和私密参数生成密钥，根据密钥设计CCA安全的加密方案和解密方案。该方法不仅能有效降低公钥尺寸和密文膨胀率，而且支持公开密文完整性验证。

此外，本发明还提出一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述的基于R-LWE的公钥加密方法。

根据本发明实施例的非临时性计算机可读存储介质，存储在其上的计算机程序被处理器执行时，随机生成参与方所需的公共参数和私密参数，各参与方根据公共参数和私密参数生成密钥，根据密钥设计CCA安全的加密方案和解密方案，由此，不仅能有效降低公钥尺寸和密文膨胀率，而且支持公开密文完整性验证。

此外，本发明还提出一种计算机设备，处理器运行存储在存储器上的计算机程序时，随机生成参与方所需的公共参数和私密参数，各参与方根据公共参数和私密参数生成密钥，根据密钥设计CCA安全的加密方案和解密方案，由此，不仅能有效降低公钥尺寸和密文膨胀率，而且支持公开密文完整性验证。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims

1.一种基于R-LWE的公钥加密方法，其特征在于，包括以下步骤：

随机生成参与方所需的公共参数和私密参数；

各参与方根据所述公共参数和所述私密参数生成密钥；

根据所述密钥设计CCA安全的加密方案和解密方案；

其中，所述密钥包括公钥和私钥，所述各参与方根据所述公共参数生成密钥，包括：

输入所述公共参数，所述公共参数包括1ⁿ和既约多项式n为所述既约多项式f(x)的阶；

各参与方选择噪声e₁∈R_q且e₁的每个系数均服从高斯分布R_q为整数多项式环；

随机选取环元素t，t∈R_q；

随机取环元素u、s，u，s∈R_q，满足s的每个系数根据y＝ts+2e₁计算y，e₁为噪声；

根据公式生PK＝(t,y,u)成公钥PK并发布，根据公式SK＝(s)生成私钥SK并保密；

根据所述密钥完成CCA安全的公钥加密方案的设计，包括：

发送方输入公钥PK和待加密信息m，其中，

采用一次签名密钥生成算法OT_Gen(1ⁿ)，输出签名密钥sk：和验证密钥vk：其中，h为通用哈希函数，/>为整数矩阵；

随机选取r,e₂,e₃,e₄∈R_q，随机选取计算c₁、c₂、c₃和c₄，其中，c₁＝t·r+2e₂、c₂＝MSB(y·r+2e₃)，/> 令c＝(c₁,c₂,c₃,c₄)；

计算密文哈希值ω，ω＝h(c|w)∈{0,1}ⁿ，并对所述密文哈希值ω进行一次签名生成数字签名σ，其中，

输出密文C＝(vk,c,σ)；

规约时令。

2.根据权利要求1所述的基于R-LWE的公钥加密方法，其特征在于，根据所述密钥设计CCA安全的解密方案，包括：

输入所述私钥sk和c，其中，c＝(c₁,c₂,c₃,c₄)；

计算[c₁·s]_q，并提取所述[c₁·s]_q每个系数最高位比特

依次比较向量c₂和每个分量，如果第i个分量不同，把[c₁·s]_q的第i个系数减去q，修改后的[c₁·s]_q记作[c₁·s]_q ^*，依次提取所述[c₁·s]_q ^*的每个系数低位比特b_l＝LSB([c₁·s]_q ^*)；

输出和明文M^*＝c₄-uw^*；

计算哈希值ω＝H(c|w^*)∈{0，1}n，进行一次签名验证，如果满足则密文完整，输出明文M^*，否则，拒绝。

3.一种非临时性计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1或2所述的基于R-LWE的公钥加密方法。

4.一种计算机设备，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现如权利要求1或2所述的基于R-LWE的公钥加密方法。