CN113132100A

CN113132100A - 一种基于滑窗QC-LDPC码的McEliece体制加解密方法

Info

Publication number: CN113132100A
Application number: CN202110395007.8A
Authority: CN
Inventors: 王明阳; 史治平
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2021-04-13
Filing date: 2021-04-13
Publication date: 2021-07-16
Anticipated expiration: 2041-04-13
Also published as: CN113132100B

Abstract

本发明属于基于纠错编码的密码学领域，具体涉及一种基于滑窗QC‑LDPC码的McEliece体制加解密方法。在纠错编码领域，矩阵分解问题目前无法被量子计算机攻破。然而，基于QC‑LDPC码的McEliece体制在错误向量权重较高时，译码成功率和抗信息集译码攻击能力较低。在基于滑窗QC‑LDPC码的McEliece体制加解密方法中，加入了滑窗技术，以加解密效率降低为代价换取了更高的解密成功率和抗信息集译码攻击能力，一定程度上提高了算法的安全性。

Description

一种基于滑窗QC-LDPC码的McEliece体制加解密方法

技术领域

本发明属于基于纠错编码的密码学领域，具体涉及一种基于滑窗QC-LDPC码的McEliece体制加解密方法。

背景技术

当今量子计算技术发展迅猛，基于大整数分解和离散对数困难问题的密码体制将不再安全。基于纠错编码的公钥密码体制目前具有抵抗量子攻击的特性，许多学者开始研究基于纠错编码的密码学理论。在加密算法领域，学者Goppa首先提出了基于Goppa码的McEliece体制，但是Goppa的校验矩阵的尺寸太大，难以实用，后来，Baldi等学者提出了基于QC-LDPC(准循环低密度奇偶校验)码的McEliece体制，减少了公钥的存储空间，但是，这种体制采用的是BF(比特翻转)译码器，由于其概率译码特性，译码成功率较低。

发明内容

本发明的目的在于，针对上述问题，为了提高传统的基于QC-LDPC码的McEliece体制的解密成功率和体制的安全性，提出了基于滑窗QC-LDPC码的McEliece体制加解密方法。本发明的方法中，在加解密时引入了滑窗技术，相比于原始McEliece体制其译码性能有所提高，在相同译码成功率的情况下，本发明提出的改进算法能在译码成功率相同的情况下纠正更多的错误，因而在加解密成功率相同的情况下有着更高的安全性。

本发明的技术方案如下：

(1)Bob生成一对密钥。

算法使用QC-LDPC码的校验矩阵H作为密码算法的部分私钥：

H由

共n₀个循环矩阵块H_n(0≤n≤n₀-1)组成，其中，H_n的阶数为p，H_n的行重为d_v。因此H为一个p行，p*n₀列，行重为n₀*d_v的矩阵。假定其纠错能力为d。

公钥G'如下所示：

G'＝S^-1GQ^-1

其中，Q为n阶准循环可逆矩阵，行重为m，S为k阶准循环可逆矩阵，G为校验矩阵H所对应的生成矩阵。

Bob的私钥是：H、Q、S

(2)Alice使用Bob的公钥进行加密。

加密过程如下所示：

x_i＝u_i·G'+e_i

其中，x_i为加密后的n比特信息，u_i为k比特待加密消息，e_i为随机生成的0，1错误向量，其权重为t。如图1所示，Alice将明文消息分为n个k比特长的消息u_i，设计一个k比特长的滑窗，第一个k比特原始消息u₁直接使用x_i＝u_i·G'+e_i进行加密，然后滑窗开始滑动，每次滑动四分之三k比特，这样i的取值范围为1～[(4n-1)/3]，依次对滑窗所选部分进行加密。最后将(4n-1)/3个比特加密后的信息发给Bob。由说明书附图中图1可知，除了第一个消息和最后一个消息，其余原始消息u_i相当于都被分为了三个部分，其中只有b部分是只经过了一次加密的。

加密完成后，Alice直接将x_i通过信道发送给Bob。

(3)Bob使用私钥进行解密过程。

A.计算x_i'＝x_i·Q＝u_i·S^-1·G·Q^-1·Q+e_iQ＝u_i·S^-1·G+e_i·Q

B.计算H(x'_i)^T＝H(e_iQ)^T＝s_i，根据s_i和私钥H，译码得到e_iQ。(此处使用的译码算法为BF译码算法)，判断并记录s_i是否为0。

C.计算u_i·S^-1·G＝x_i'+e_iQ,得到u_i·S^-1。

D.最后将u·S^-1右乘S，得到消息u_i，若s_i为0说明译码成功，则进行步骤E；若s_i不为0说明译码失败，则进行步骤F。

E.将译码得到的明文u_i全部保存下来，与前面译码得到的明文消息重复的部分直接覆盖。

F.只保存明文u_i的中间b部分，a和c两个部分则分别用前后两个消息与该消息重复的部分代替。

Bob在收到密文后，按上述加密算法逐个解密后，由说明书中图2所示方法进行明文的恢复。

本发明的有益效果为，本发明提出的基于滑窗QC-LDPC码的McEliece体制加解密方法具有抵抗当今量子计算机攻击的能力，其安全性基于大矩阵分解问题，量子计算难以有效破解它，能保证传输信息的保密性。并且由于引入了滑窗技术，改进算法的解密准确率更高，且在相同解密准确率的情况下，改进算法有着更高的安全级别。

附图说明

图1为本发明的基于滑窗QC-LDPC码的McEliece体制加解密方法加密过程；

图2为本发明的基于滑窗QC-LDPC码的McEliece体制加解密方法的解密过程；

图3为H为512行，1024列的矩阵，行重为6时，基于滑窗QC-LDPC码的McEliece体制加解密方法和原M体制错误向量权重和译码成功率的关系；

图4为H为512行，1024列的矩阵，行重为10时，基于滑窗QC-LDPC码的McEliece体制加解密方法和原M体制错误向量权重和译码成功率的关系。

具体实施方式

下面结合实施例和附图，详细说明本发明的技术方案。

在下文的实施例中，通过仿真得到了，在码长相同和校验矩阵H相同的条件下，基于滑窗QC-LDPC码的McEliece体制加解密方法与原M体制的解密性能对比。发现了基于滑窗的改进算法在这种条件下，解密的准确率更高。

实施例以校验矩阵H行重不同的QC-LDPC码为例。首先，仿真参数是码长n＝1024，p＝512，n₀＝2，仿真的原始信息大小为512000比特。在H的行重为6和行重为10的情况下分别得到仿真曲线如图3和图4所示。

由图3和图4的两组仿真对比图可知，

在译码成功率方面：在校验矩阵参数相同的情况下，基于QC-LDPC码的M体制和基于滑窗QC-LDPC码的McEliece体制加解密方法的译码成功率都会随着错误向量权重的增加而降低，但改进算法的译码成功率在错误向量权重相同的情况下一直高于原始算法。

在安全性方面：改进算法和原始M体制算法都可能受到信息集译码攻击。信息集译码攻击的思想是从密文中分析出明文。由于密文需要通过信道传输，因此攻击者实施信息集译码攻击是可行的。

对于这两种算法而言，加密方式都为：x＝u·G'+e。其中，x是n比特向量，u是k比特向量，e是随机产生的具有固定权重t的向量。假设攻击者收集到了其中的一个密文x，他从x中任意选出k个比特组成向量x_k。从理论上分析，x_k满足：

x_k＝u·G'_K+e_k

其中，G'_K和e_k分别是根据x中选出k比特的位置随之选出的k列矩阵和k比特向量。由此可得：

u＝(x_k+e_k)·(G'_K)^-1

由于x和G'都是攻击者可以得到的，因此，攻击者能否获得明文消息的关键在于e_k。破译者每一次从x向量中选择k位，执行u＝x_k·(G'_K)^-1，如果破解出来的u是有意义的，则说明选择的e_k恰好为全零向量，如果u没有意义，则继续选择另外一组k比特向量。攻击者破译成功的概率为：

由该式可得，错误向量权重越大，攻击者破译成功的概率越小。然而，随着错误向量权重t的增大，使用基于QC-LDPC码的M体制密码算法解密成功的概率也逐渐降低，本文使用的改进方法能够改善这个问题。

在加解密效率方面：由于加入的滑窗每次只滑动每个待加密消息的3/4，因此如果明文长度总共为n比特的话，经过滑窗会产生[(4n-1)/3]-n比特的冗余。所以改进算法的加解密效率比基于QC-LDPC的M体制算法低。

由上述三项性能对比可知，本发明所述的基于滑窗QC-LDPC码的McEliece体制加解密方法是以加解密效率降低为代价换取的更高的译码成功率和抗信息集译码攻击能力。

Claims

1.一种基于滑窗QC-LDPC码的McEliece体制加解密方法，其特征在于，包括以下步骤：

S1、Bob生成一队密钥，包括公钥G'和私钥H、Q、S：

G'＝S^-1GQ^-1

其中，Q为n阶准循环可逆矩阵，行重为m，S为k阶准循环可逆矩阵，G为QC-LDPC码的校验矩阵H所对应的生成矩阵，

H由

共n₀个循环矩阵块H_n组成，0≤n≤n₀-1，其中，H_n的阶数为p，H_n的行重为d_v，即H为一个p行，p*n₀列，行重为n₀*d_v的矩阵；

S2、Alice使用Bob的公钥进行加密，加密过程为：

x_i＝u_i·G'+e_i

其中，x_i为加密后的n比特信息，u_i为k比特待加密消息，e_i为随机生成的0、1错误向量，其权重为t；

Alice将明文消息分为n个k比特长的消息u_i，定义一个k比特长的滑窗，第一个k比特原始消息u₁直接使用x_i＝u_i·G'+e_i进行加密，然后滑窗开始滑动，每次滑动四分之三k比特，从而i的取值范围为1～[(4n-1)/3]，依次对滑窗所选部分进行加密，最后将(4n-1)/3个比特加密后的信息发给Bob；在对滑窗所选部分进行加密的过程中，除第一个消息和最后一个消息，其余原始消息u_i被分为了三个部分，将只经过了一次加密的部分定义为b部分，其余两部分定义为a部分和c部分；

S3、Bob在收到密文后，使用私钥进行解密，进行明文的恢复；Bob使用私钥进行解密过程具体为：

a)计算x_i'＝x_i·Q＝u_i·S^-1·G·Q^-1·Q+e_iQ＝u_i·S^-1·G+e_i·Q；

b)计算H(x'_i)^T＝H(e_iQ)^T＝s_i，根据s_i和私钥H，译码得到e_iQ，判断并记录s_i是否为0；

c)计算u_i·S^-1·G＝x_i'+e_iQ,得到u_i·S^-1；

d)将u·S^-1右乘S，得到消息u_i，若s_i为0说明译码成功，则进入步骤e；否则进入步骤f；

e)将译码得到的明文u_i全部保存下来，与前面译码得到的明文消息重复的部分直接覆盖；

f)只保存明文u_i的中间b部分，a和c这两部分则分别用前后两个消息与该消息重复的部分代替。