CN113259107B - 一种基于格的双模式加密方法 - Google Patents

Abstract

本发明公开了一种基于格的双模式加密方法，具体为：首先，利用Setup算法在Messy模式或Decryption模式下，生成公用参考串crs；其次，选择参数，Bob利用密钥生成算法生成公钥pk₀和私钥sk_b；Alice利用加密算法对多比特明文消息进行加密并生成密文；最后，Bob利用解密算法对多比特明文消息进行解密并恢复出明文消息。本发明的方法，解决现有的格上双模式加密方法中只能加密单比特消息的不足，提出一种更高效的双模式加密方法，在保持所导出的OT协议能保持UC安全性的基础上可加密传输多比特消息。本发明使双模式加密方法变得更高效，可用于安全多方计算场景中。

Description

一种基于格的双模式加密方法

技术领域

本发明属于信息安全技术领域，具体涉及一种基于格的双模式加密方法。

背景技术

公钥密码因其强大的密码服务功能，可为网络与信息安全领域提供诸如加密、认证、安全协议等关键技术理论支撑。量子计算技术的突破性进展对大数分解型和离散对数型公钥密码体制构成致命威胁，使得“后量子密码”引起业界广泛关注与研究，其中“格公钥密码”以其独有的综合优势(可抵抗量子攻击；最坏情况到平均情况的归约特性；算法简洁且渐近复杂度较低；丰富的密码服务功能)成为该领域中最受关注的一类代表。

不经意传输(Oblivious Transfer,OT)作为一种基本的两方计算密码原语，常以黑盒形式被大量应用于安全多方计算实现协议中的基本运算模块。此外，诸多密码任务也都能约化为利用OT实现其特定函数功能。OT定义为，发送者(sender，标记为S)和接收者(receiver，标记为R)分别以消息对(μ₀,μ₁)和消息选择比特b∈{0,1}作为各自输入，要求R只能收到自己所选择的消息μ_b，对另一消息μ_1-b无法得知；S则无法得知R的消息选择b。目前提出的众多OT协议方案或是仅能获得“半仿真(half-simulation)”安全性，无法集成到多方计算场景与其他协议组合使用；或是在“独立模型(stand-alone model)”下获得“全仿真(full-simulation)”安全，只允许协议与其他协议连续组合使用，无法满足密码协议在现代计算机网络中需要异步组合执行的需求。因此，能够在“通用组合(UniversallyComposability，UC)”模型(允许协议间任意组合使用的全仿真安全模型)下获得安全性成为设计OT协议的重要指标。

2008年，Peikert等人提出了公共引用字符串(Common Reference String，CRS)模型下的双模式加密框架(dual-mode encryption framework)，进而可推导出UC安全的OT协议，并以格上困难问题—带差错学习(Learning With Errors,LWE)对其实例化。然而，此格上实例化方案在Decryption模式下的安全性被弱化，导致OT协议的接收者仅获得计算安全性(computational security)，CRS只能被使用有限多次，极大地影响了协议性能。2020年，Quach使用噪声洪泛(noise flooding)技术将上述格上双模式加密方案在Decryption模式下的接受者安全性提升至统计安全(statistical security)。然而，利用噪声洪泛的代价在于使用一个超多项式模数，导致无法在OT协议的UC安全性证明中构造针对恶意接收者的高效仿真器。为解决这一问题，Quach利用了中格上近似光滑投影哈希(ApproximateSmooth Projective Hash，ASPH)函数的取整函数，使得仿真器构造独立于模数选择。然而，该取整函数仅能输出1比特哈希值隐藏双模式加密系统中的明文消息，倘若想要满足隐藏多比特消息传输需求，也只能通过多次独立重复执行单比特消息传输的OT协议实现目标。可以看到，OT协议设计的优劣取决于底层加密算法性能，构造高效的格上双模式加密系统将是获得格上UC安全OT协议的一种有效途径。

发明内容

本发明的目的是提供一种基于格的双模式加密方法，在保证所导出的OT协议具备UC安全性的基础上可加密传输多比特明文消息。

本发明所采用的技术方案是，一种基于格的双模式加密方法，具体按照以下步骤实施：

步骤1，利用Setup算法在Messy模式或Decryption模式下，生成公用参考串crs；

步骤2，选择参数，Bob利用密钥生成算法生成公钥pk₀和私钥sk_b；

步骤3，Alice利用加密算法对多比特明文消息进行加密并生成密文；

步骤4，Bob利用解密算法对多比特明文消息进行解密并恢复出明文消息。

本发明的特点还在于，

步骤1中，具体为：

在Messy模式下：给定n作为输入，令Setup算法在Messy模式下输出crs；n为安全参数，crs为公用参考串，令crs＝(A,v)，其中矩阵

使其每个元素服从

上的均匀分布，选择列向量

使其每个元素服从

上的均匀分布，其中q为模数，

表示为模q的m×n阶整数矩阵，

表示模q的m维整数列向量；

在Decryption模式下：给定n作为输入，令Setup算法在Decryption模式下输出crs，令crs＝(A,v)，其中矩阵

使其每个元素服从

上的均匀分布；

使其每个元素服从

上的均匀分布，

表示模q的n维整数列向量，选择向量

使其每个元素服从

上的差错分布，v＝A s*+e*。

步骤2中，具体为：

步骤2.1，Bob使用公用参考串crs和选择分支b∈{0,1}作为密钥生成算法的输入，生成公钥pk₀和私钥sk_b；b为Bob进行解密的通道，当b为0时生成公钥pk₀和私钥sk₀，当b为1时生成公钥pk₀和私钥sk₁；

步骤2.2，从

上选择列向量s，s上的每个分量服从均匀分布，从

上选择向量e，e上的每个分量服从

上的差错分布，选择向量f∈[-B₂,B₂]，其中[-B₂,B₂]为一个整数区间，使f在[-B₂,B₂]上服从均匀分布；

步骤2.3，令公钥pk₀＝As+e+f-b·v，私钥sk_b＝s，针对b∈{0,1}总是满足pk_b＝As+e+f，pk₁-pk₀＝v。

步骤3中，具体为：

步骤3.1，从消息空间{0,1}^l选择要加密的明文消息μ＝(μ_R,μ_￡)，其中l为消息的长度，将μ分割为两部分，其中μ_R是第1比特，μ_￡是剩余l-1比特；

步骤3.2，选择分支b'，Alice在b'通道上进行加密，针对b'∈{0,1}，分别计算公钥pk_b'＝c:＝pk₀+b'·v，其中c是用于表示pk_b'的符号。

b'＝0时，公钥pk_b'＝0＝pk₀+0·v＝pk₀，用于加密0通道上的消息μ＝μ₀；b'＝1时，公钥pk_b'＝1＝pk₀+1·v＝pk₀+v，用于加密1通道上的消息μ＝μ₁；

步骤3.3，计算n维列向量的转置P_i ^T＝r_i ^T·A，选择列向量

r_i的每个分量从高斯分布

中均匀选取，服从集合Z上的离散高斯分布

其中r为高斯参数，i∈[n]，即r_i要独立抽取n次，其中r_i ^T为r_i的转置，P_i ^T为P_i的转置；

步骤3.4，计算加密μ_R后的第1比特密文

R定义为满足以下形式的随机取整函数，输入为Z_q上的元素x，输出为1比特值，其中q为模数，Z_q表示整数Z模q的环：

步骤3.5，计算加密μ_￡后的剩余l-1比特密文

首先计算

其中r_k为从多个独立的r_i中选取的任意一个向量，

为r_k的转置，设置一个二进制形式的t比特整数f＝a_t-1…a₁a₀，除第g+1比特为0和第g比特为1外，f剩余比特的取值任选0或1，其中

设置生成的密钥ξ＝(a_t-1,…,a_g+2)^Τ，计算对f的加密

步骤3.6，将明文消息μ＝(μ_R，μ_￡)加密为

步骤3.7，设置密文为ct＝({P_i,β_i}_i≤n,{k,σ_k,β_￡})。

步骤4中，具体为：

步骤4.1，恢复明文μ的μ_R部分

由于第1比特的密文

又因为R(P_i ^T·s)与R(r_i ^T·c)相等，取解密后数量较大的比特值作为明文μ的μ_R部分；

步骤4.2，恢复明文μ的μ_￡部分

计算密钥

将ξ设置为

P_k为从多个P_i中选取的任意一个n维列向量，可得到明文μ的μ_￡部分；

步骤4.3，输出明文消息μ＝(μ_R,μ_￡)。

本发明的有益效果是，针对格上双模式加密方法中只能加密单比特消息的不足，利用密钥调和机制原理，提出一种更高效的双模式加密方法，在保证所导出的OT协议能保持UC安全性的基础上可加密传输多比特消息，不仅全面提高了双模式加密系统性能，亦能在底层理论技术层面达到一定创新。

附图说明

图1是本发明一种基于格的双模式加密方法的流程图。

具体实施方式

下面结合附图和具体实施方式对本发明进行详细说明。

OT场景中的Sender和Receiver首先询问可靠第三方获得crs，Receiver嵌入自己的选择b生成公钥pk₀发送给Sender，发送者Sender收到公钥以后，分别使用(pk₀,pk₁)对两通道的消息(μ₀,μ₁)加密，生成密文(ct₀,ct₁)后发送给接收者Receiver，Receiver只能正确解密ct_b恢复出μ_b。

本发明一种基于格的双模式加密方法，如图1所示，具体按照以下步骤实施：

步骤1，利用Setup算法在Messy模式或Decryption模式下，生成公用参考串crs；

在Messy模式下：给定n作为输入，令Setup算法在Messy模式下输出crs；n为安全参数，crs为公用参考串，令crs＝(A,v)，其中矩阵

使其每个元素服从

上的均匀分布，选择列向量

使其每个元素服从

上的均匀分布，其中q为模数，

表示为模q的m×n阶整数矩阵，

表示模q的m维整数列向量；

在Decryption模式下：给定n作为输入，令Setup算法在Decryption模式下输出crs，其中n为安全参数，crs为公用参考串，令crs＝(A,v)，其中矩阵

使其每个元素服从

上的均匀分布。

使其每个元素服从

上的均匀分布，其中q为模数，

表示为模q的m×n阶整数矩阵，

表示模q的n维整数列向量，选择向量

使其每个元素服从

上的差错分布，χ^m为差错分布，计算v＝As*+e*。

在Messy模式下生成的crs和Decryption模式下生成的crs是计算不可区分的(computational indistinguishable)。Messy模式和Decrypt模式是并行的，只需在两种模式中的其中一种模式下生成公共参考串crs。

步骤2，选择参数，Bob利用密钥生成算法生成公钥pk₀和私钥sk_b，具体为：

步骤2.1，Bob使用公用参考串crs和选择分支b∈{0,1}作为密钥生成算法的输入，生成公钥pk₀和私钥sk_b；b为Bob进行解密的通道，当b为0时生成公钥pk₀和私钥sk₀，当b为1时生成公钥pk₀和私钥sk₁；

步骤2.2，从

上选择列向量s，s上的每个分量服从均匀分布，从

上选择向量e，e上的每个分量服从

上的差错分布，选择向量f∈[-B₂,B₂]，其中[-B₂,B₂]为一个整数区间，使f在[-B₂,B₂]上服从均匀分布；

步骤2.3，令公钥pk₀＝As+e+f-b·v，私钥sk_b＝s，针对b∈{0,1}总是满足pk_b＝As+e+f，pk₁-pk₀＝v。

步骤3，Alice利用加密算法对多比特明文消息进行加密并生成密文，具体为：

步骤3.1，从消息空间{0,1}^l选择要加密的明文消息μ＝(μ_R,μ_￡)，其中l为消息的长度，将μ分割为两部分，其中μ_R是第1比特，μ_￡是剩余l-1比特；

步骤3.2，选择分支b'，Alice在b'通道上进行加密，针对b'∈{0,1}，分别计算公钥pk_b'＝c:＝pk₀+b'·v，其中c是用于表示pk_b'的符号。

b'＝0时，公钥pk_b'＝0＝pk₀+0·v＝pk₀，用于加密0通道上的消息μ＝μ₀；b'＝1时，公钥pk_b'＝1＝pk₀+1·v＝pk₀+v，用于加密1通道上的消息μ＝μ₁；针对b∈{0,1，总是满足公钥pk_b＝As+e+f对应加密b通道上的消息μ_b。针对0或1通道的明文消息都适用，此处明文消息记作μ。

步骤3.3，计算n维列向量的转置P_i ^T＝r_i ^T·A，选择列向量

r_i的每个分量从高斯分布

中均匀选取，服从集合Z上的离散高斯分布

其中r为高斯参数，这里i∈[n]，即r_i要独立抽取n次，其中r_i ^T为r_i的转置，P_i ^T为P_i的转置；

步骤3.4，计算加密μ_R后的第1比特密文

其中c为(3b)计算所得，R定义为满足以下形式的随机取整函数，输入为Z_q上的元素x，输出为1比特值，其中q为模数，Z_q表示整数Z模q的环：

步骤3.5，计算加密μ_￡后的剩余l-1比特密文

首先计算

其中r_k为从多个独立的r_i中选取的任意一个向量，

为r_k的转置，设置一个二进制形式的t比特整数f＝a_t-1…a₁a₀，除第g+1比特为0和第g比特为1外，f剩余比特的取值任选0或1，其中

设置生成的密钥ξ＝(a_t-1,…,a_g+2)^Τ，计算对f的加密

步骤3.6，将明文消息μ＝(μ_R，μ_￡)加密为

步骤3.7，设置密文为ct＝({P_i,β_i}_i≤n,{k,σ_k,β_￡})。

步骤4，Bob利用解密算法对多比特明文消息进行解密并恢复出明文消息，Bob能正确解密所选分支b通道上的密文消息，恢复出明文μ_b，无法正确解密1-b通道上密文，恢复的明文消息μ_1-b；具体为：

步骤4.1，恢复明文μ的μ_R部分

由于第1比特的密文

又因为R(P_i ^T·s)与R(r_i ^T·c)相等，取解密后数量较大的比特值作为明文μ的μ_R部分；

步骤4.2，恢复明文μ的μ_￡部分

计算密钥

将ξ设置为

P_k为从多个P_i中选取的任意一个n维列向量，

为P_k的转置，q为模数，这里的ξ与步骤3的ξ相等的概率为1，可得到明文μ的μ_￡部分；

步骤4.3，输出明文消息μ＝(μ_R,μ_￡)。

本发明的方法，于针对格上双模式加密方法中只能加密单比特消息的不足，利用密钥调和机制原理，提出一种更高效的双模式加密方法，在保证所导出的OT协议能保持UC安全性的基础上可加密传输多比特消息。

Claims (1)

1.一种基于格的双模式加密方法，其特征在于，具体按照以下步骤实施：

步骤1，利用Setup算法在Messy模式或Decryption模式下，生成公用参考串crs；具体为：

在Messy模式下：给定n作为输入，令Setup算法在Messy模式下输出crs；n为安全参数，crs为公用参考串，令crs＝(A,v)，其中矩阵

使其每个元素服从

上的均匀分布，选择列向量

使其每个元素服从

上的均匀分布，其中q为模数，

表示为模q的m×n阶整数矩阵，

表示模q的m维整数列向量；

在Decryption模式下：给定n作为输入，令Setup算法在Decryption模式下输出crs，令crs＝(A,v)，其中矩阵

使其每个元素服从

上的均匀分布；

使其每个元素服从

上的均匀分布，

表示模q的n维整数列向量，选择向量

使其每个元素服从

上的差错分布，v＝As*+e*；

步骤2，选择参数，Bob利用密钥生成算法生成公钥pk₀和私钥sk_b；具体为：

步骤2.1，Bob使用公用参考串crs和选择分支b∈{0,1}作为密钥生成算法的输入，生成公钥pk₀和私钥sk_b；b为Bob进行解密的通道，当b为0时生成公钥pk₀和私钥sk₀，当b为1时生成公钥pk₀和私钥sk₁；

步骤2.2，从

上选择列向量s，s上的每个分量服从均匀分布，从

上选择向量e，e上的每个分量服从

上的差错分布，选择向量f∈[-B₂,B₂]，其中[-B₂,B₂]为一个整数区间，使f在[-B₂,B₂]上服从均匀分布；

步骤2.3，令公钥pk₀＝As+e+f-b·v，私钥sk_b＝s，针对b∈{0,1}总是满足pk_b＝As+e+f，pk₁-pk₀＝v；

步骤3，Alice利用加密算法对多比特明文消息进行加密并生成密文；具体为：

步骤3.1，从消息空间{0,1}^l选择要加密的明文消息μ＝(μ_R,μ_￡)，其中l为消息的长度，将μ分割为两部分，其中μ_R是第1比特，μ_￡是剩余l-1比特；

步骤3.2，选择分支b'，Alice在b'通道上进行加密，针对b'∈{0,1}，分别计算公钥pk_b'＝c:＝pk₀+b'·v，其中c是用于表示pk_b'的符号；

b'＝0时，公钥pk_b'＝0＝pk₀+0·v＝pk₀，用于加密0通道上的消息μ＝μ₀；b'＝1时，公钥pk_b'＝1＝pk₀+1·v＝pk₀+v，用于加密1通道上的消息μ＝μ₁；

步骤3.3，计算n维列向量的转置

选择列向量

r_i的每个分量从高斯分布

中均匀选取，服从集合Z上的离散高斯分布

其中r为高斯参数，i∈[n]，即r_i要独立抽取n次，其中

为r_i的转置，

为P_i的转置；

步骤3.4，计算加密μ_R后的第1比特密文

R定义为满足以下形式的随机取整函数，输入为Z_q上的元素x，输出为1比特值，其中q为模数，Z_q表示整数Z模q的环：

步骤3.5，计算加密μ_￡后的剩余l-1比特密文

首先计算

其中r_k为从多个独立的r_i中选取的任意一个向量，

为r_k的转置，设置一个二进制形式的t比特整数f＝a_t-1…a₁a₀，除第g+1比特为0和第g比特为1外，f剩余比特的取值任选0或1，其中

设置生成的密钥ξ＝(a_t-1,…,a_g+2)^Τ，计算对f的加密

步骤3.6，将明文消息

加密为

步骤3.7，设置密文为

步骤4，Bob利用解密算法对多比特明文消息进行解密并恢复出明文消息；具体为：

步骤4.1，恢复明文μ的μ_R部分

由于第1比特的密文

又因为R(P_i ^T·s)与

相等，取解密后数量最大的比特值作为明文μ的μ_R部分；

步骤4.2，恢复明文μ的

部分

计算密钥

将ξ设置为

P_k为从多个P_i中选取的任意一个n维列向量，可得到明文μ的

部分；

步骤4.3，输出明文消息

Images