DE102018200617A1 - Method for decoding an encrypted message of an asymmetric cryptographic system - Google Patents
Method for decoding an encrypted message of an asymmetric cryptographic system Download PDFInfo
- Publication number
- DE102018200617A1 DE102018200617A1 DE102018200617.2A DE102018200617A DE102018200617A1 DE 102018200617 A1 DE102018200617 A1 DE 102018200617A1 DE 102018200617 A DE102018200617 A DE 102018200617A DE 102018200617 A1 DE102018200617 A1 DE 102018200617A1
- Authority
- DE
- Germany
- Prior art keywords
- message
- nodes
- variable
- messages
- decoding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/304—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy based on error correction codes, e.g. McEliece
Abstract
Die Erfindung betrifft ein Verfahren zum Dekodieren einer Nachricht, insbesondere einer mit einem öffentlichen Schlüssel eines asymmetrischen kryptographischen Systems verschlüsselten Nachricht, das einen graphbasierten Message Passing (MP)-Algorithmus mit variablen Knoten und Kontrollknoten nutzt, die durch Kanten verbunden sind. Zur Dekodierung der Nachricht werden entlang der Kanten iterativ Nachrichten von den variablen Knoten zu den Kontrollknoten und Nachrichten von den Kontrollknoten zu den variablen Knoten gesendet. Das Verfahren zeichnet sich dadurch aus, dass die Nachrichten von den variablen Knoten zu den Kontrollknoten mit einer vorgegebenen Wahrscheinlichkeit modifiziert, insbesondere ausgelöscht, werden. Hierdurch ist dieses gegen einen GJS-Angriff widerstandsfähig. Ferner kann im Vergleich zu bekannten Verfahren eine größere Anzahl an Fehlern dekodiert werden The invention relates to a method for decoding a message, in particular a message encrypted with a public key of an asymmetric cryptographic system, which uses a graph-based message passing (MP) algorithm with variable nodes and control nodes which are connected by edges. To decode the message, messages are iteratively sent along the edges from the variable nodes to the control nodes and messages from the control nodes to the variable nodes. The method is characterized in that the messages are modified, in particular extinguished, from the variable nodes to the control nodes with a predetermined probability. This makes it resistant to GJS attack. Furthermore, a larger number of errors can be decoded compared to known methods
Description
Die Erfindung betrifft ein Verfahren zum Dekodieren einer kodierten Nachricht. Die Erfindung betrifft insbesondere ein Verfahren zum Dekodieren einer mit einem öffentlichen Schlüssel eines asymmetrischen kryptographischen Systems verschlüsselten Nachricht. Die Erfindung betrifft ferner einen Dekodierer.The invention relates to a method for decoding a coded message. In particular, the invention relates to a method for decoding a message encrypted with a public key of an asymmetric cryptographic system. The invention further relates to a decoder.
Asymmetrische kryptographische Verfahren verwenden ein Schlüsselpaar, das aus einem privaten Schlüssel, der zum Entschlüsseln von Daten verwendet wird, und einem öffentlichen Schlüssel, mit dem die Daten verschlüsselt werden, besteht. Der private Schlüssel wird dabei geheim gehalten und kann nur mit extrem hohem Aufwand aus dem öffentlichen Schlüssel berechnet werden. Ein solches asymmetrisches kryptographisches Verfahren stellt das McEliece-Kryptosystem (nachfolgend auch als McEliece-Verfahren bezeichnet) dar. Als Schlüssel werden in dem McEliece-Verfahren große Matrizen verwendet. Die Beschreibung eines Schlüssels mit einem Sicherheitsniveau von 128 bit benötigt in der Größenordnung von 1 MB verhältnismäßig viel Speicherplatz, weswegen das Verfahren nach McEliece nur selten praktisch eingesetzt wird. Das Verfahren nach McEliece basiert auf der Dekodierung eines Linearcodes über einem binären oder q-stufigen symmetrischen Kanal. Das grundsätzliche Vorgehen kann beispielsweise der Publikation [1] entnommen werden. Derzeit ist selbst unter Verwendung von Quantencomputern kein effizienter Algorithmus bekannt, der das McEliece-Verfahren brechen kann, wodurch dieses ein viel versprechender Kandidat für Post-Quanten-Kryptographie ist.Asymmetric cryptographic methods use a key pair consisting of a private key used to decrypt data and a public key to which the data is encrypted. The private key is kept secret and can only be calculated with great effort from the public key. One such asymmetric cryptographic method is the McEliece cryptosystem (hereafter also referred to as the McEliece method). As keys, large matrices are used in the McEliece method. The description of a key with a security level of 128 bit requires on the order of 1 MB a relatively large amount of memory, which is why the method according to McEliece is rarely used practically. The McEliece method is based on the decoding of a linear code over a binary or q-stage balanced channel. The basic procedure can be found, for example, in publication [1]. Currently, even using quantum computers, no efficient algorithm is known that can break the McEliece method, making it a promising candidate for post-quantum cryptography.
Nahezu alle derzeit verwendeten Kryptosysteme, welche auf einem öffentlichen Schlüssel basieren (sog. Public-Key Cryptosystems (PKC)) verwenden ein von Rivest, Shamir und Adleman (RSA) vorgeschlagenes Verfahren, dessen Sicherheit auf dem harten Problem der Faktorisierung großer Ganzzahlen beruht (siehe Publikation [4]). Seitdem wird das RSA-Kryptosystem in vielen Kommunikationssystemen verwendet und ist in vielen Kommunikationsstandards enthalten. Für die Faktorisierung großer Ganzzahlen für herkömmliche Rechner sind keine effizienten Algorithmen bekannt. In der Publikation [5] ist ein Algorithmus beschrieben, der dieses Problem mit einem Quantencomputer in polynomialer Zeit faktorisiert. Unter der Annahme, dass ein Quantencomputer ausreichender Größe in Zukunft aufgebaut werden kann, kann das RSA-Kryptosystem in polynomialer Zeit gebrochen werden. Aus diesem Grund wird das McEliece-Kryptosystem als möglicher Kandidat für Post-Quanten-Kryptographie erachtet.Almost all cryptosystems based on a public key (so-called Public-Key Cryptosystems (PKC)) currently in use use a method proposed by Rivest, Shamir and Adleman (RSA) whose security is based on the hard problem of factoring large integers (see Publication [4]). Since then, the RSA cryptosystem has been used in many communication systems and is included in many communication standards. For the factorization of large integers for conventional computers, no efficient algorithms are known. In publication [5] an algorithm is described which factors this problem to a quantum computer in polynomial time. Assuming that a quantum computer of sufficient size can be built in the future, the RSA cryptosystem can be broken in polynomial time. For this reason, the McEliece cryptosystem is considered a potential candidate for post-quantum cryptography.
Das McEliece-Verfahren basiert auf linearen fehlerkorrigierenden Codes. Es wird eine Familie F von t fehlerkorrigierenden linearen Codes der Länge n und der Dimension k über einem Körper
Die Schlüsselgenerierung ist wie folgt: Jeder Benutzer wählt zufällig einen Code
Um ein Klartextelement
Um einen Chiffretext
Die Sicherheit des McEliece-Verfahrens basiert auf der Härte der Dekodierung des unbekannten linearen Codes, was als hartes Problem bekannt ist (siehe Publikation [2]). Dieses Problem kann nur effizient gelöst werden, wenn der entsprechende private Schlüssel DECH(·) bekannt ist. Durch die Verwendung von CCA-
In der Vergangenheit wurden verschiedene Versionen des McEliece-Verfahrens vorgeschlagen, die auf verschiedenen Codefamilien F basieren. Das ursprüngliche McEliece-Verfahren, das in der Publikation [1] beschrieben ist, basiert auf binären Goppa-Codes und wird immer noch als sicher angesehen. Andere Varianten, wie diese beispielsweise in den Publikationen [6] und [7] beschrieben sind, erlauben aufgrund ihrer inhärenten algebraischen Struktur kleinere Schlüssel. Ferner wurden McEliece-Verfahren, die auf zufälligen Codes wie Low-Density Parity-Check (LDPC)-Codes basieren, in Betracht gezogen, wie die Publikation [8] zeigt. Insbesondere quasi-zyklische (QC) LDPC-Codes ermöglichen kompakte Schlüssel aufgrund ihrer blockweise zyklisch strukturierten Kontrollmatrix (vergl. Publikation [9]).In the past, various versions of the McEliece method based on different code families F have been proposed. The original McEliece method described in publication [1] is based on binary Goppa codes and is still considered safe. Other variants, such as these, for example in in publications [6] and [7] allow smaller keys because of their inherent algebraic structure. Further, McEliece methods based on random codes such as Low Density Parity Check (LDPC) codes have been considered, as shown in publication [8]. In particular, quasi-cyclic (QC) LDPC codes enable compact keys due to their block-wise cyclically structured control matrix (see Publication [9]).
Die Variante des McEliece-Verfahrens, die die gegenwärtig kleinsten öffentlichen Schlüssel zulässt, basiert auf einer Familie von binären QC-MDPC (Moderate-Density Parity-Check) Codes (siehe Publikation [10]). Ein binärer MDPC-Code der Länge n, der Dimension k und des Zeilengewichts w wird durch eine Kontrollmatrix H (sog. Parity-Check-Matrix) über dem binären Körper
Zur Schlüsselgenerierung wird zufällig eine Kontrollmatrix
Der öffentliche Schlüssel ist die korrespondierende Generatormatrix
Mit Kenntnis der geheimen MDPC-Kontrollmatrix H kann man bekannte graph-basierte, iterative Dekodieralgorithmen (sog. Message Passing (MP) Dekodieralgorithmen) als Dekodierfunktion DECH(·) zur Anwendung bringen. Die Leistung des Dekoders hängt stark von der Dichte der Kontrollmatrix ab. Somit erhält ein Angreifer, der mit einer dichteren Version der Kontrollmatrix H ausgestattet ist, einen hochgradig degradierten Dekoder, der nicht in der Lage ist, die erforderliche Anzahl von t Fehlern zu korrigieren. Für das in der Publikation [10] beschriebene QC-MDPC-Verfahren wird ein Bit-Flipping (BF)-Dekoder für LDPC-Codes vorgeschlagen.With knowledge of the secret MDPC control matrix H, known graph-based, iterative decoding algorithms (so-called Message Passing (MP) decoding algorithms) can be used as the decoding function DEC H (·). The performance of the decoder depends heavily on the density of the control matrix. Thus, an attacker equipped with a denser version of the control matrix H receives a highly degraded decoder that is unable to correct the required number of t errors. For the QC-MDPC method described in Publication [10], a bit flipping (BF) decoder for LDPC codes is proposed.
Somit weisen die Varianten, die QC-LDPC-Codes verwenden, das Problem auf, dass Angriffe möglich sind, die auf dem Auffinden von Codewörtern mit geringem Gewicht im binärem Code basieren, was möglich ist, da die Kontrollmatrix H eine niedrige Dichte aufweist (siehe Publikation [8]). Das Verfahren, das QC-MDPC-Codes verwendet, weist die kleinste öffentliche Schlüsselgröße für ein gegebenes Sicherheitsniveau auf, kann aber mit einem sog. Reaktionsangriff (englisch: reaction attack) gebrochen werden, wie die Publikation [10] zeigt. Der Angreifer injiziert Chiffretexte c = mGsys + e mit besonders gewählten Fehlervektoren e und beobachtet, ob der Empfänger entschlüsseln kann oder nicht, d.h. ob der Dekoder DECH(·) dekodieren kann oder nicht. Die Beobachtung der Dekodierungsfehlerwahrscheinlichkeit ermöglicht dann die Ermittlung der Kontrollmatrix H.Thus, the variants using QC-LDPC codes have the problem that attacks based on finding low-weight codewords in the binary code are possible, which is possible because the control matrix H has a low density (see Publication [8]). The method using QC MDPC codes has the smallest public key size for a given security level, but can be broken with a so-called reaction attack, as shown in publication [10]. The attacker injects ciphertext c = mG sys + e with specially chosen error vectors e and observes whether or not the receiver can decrypt, ie, whether the decoder DEC can ( H ) decode () or not. The observation of the decoding error probability then enables the determination of the control matrix H.
Vor kurzem haben Guo, Johansson und Stankovski (GJS) einen reaktionsbasierten Schlüssel-Recovery-Angriff (englisch: key-recovery-attack) auf das QC-MDPC-System vorgestellt (Publikation [12]). Dieser Angriff deckt die Kontrollmatrix auf, indem die Dekodierungsfehlerwahrscheinlichkeit für ausgewählte Chiffriertexte c beobachtet wird, die mit Fehlermustern konstruiert sind, die eine spezifische Struktur aufweisen. Eine modifizierte Version des Angriffs kann ein System durchbrechen, das sichere CCA-2-Konvertierungen verwendet, wie Publikation [3] zeigt.Recently, Guo, Johansson and Stankovski (GJS) have introduced a response-based key-recovery-attack on the QC-MDPC system (Publication [12]). This attack reveals the control matrix by observing the decoding error probability for selected ciphertexts c constructed with error patterns having a specific structure. A modified version of the attack can break a system that uses secure CCA-2 conversions, as publication [3] shows.
Es ist Aufgabe der Erfindung ein Dekodierverfahren sowie einen Dekodierer anzugeben, die gegen einen GJS-Angriff widerstandsfähig sind. Eine weitere Aufgabe der Erfindung besteht darin, ein Dekodierverfahren sowie einen Dekodierer anzugeben, die eine größere Anzahl an Fehlern dekodieren können.It is an object of the invention to provide a decoding method and a decoder which are resistant to GJS attack. Another object of the invention is to provide a decoding method and decoder which can decode a larger number of errors.
Diese Aufgaben werden gelöst durch ein Verfahren gemäß den Merkmalen des Anspruches 1, ein Computerprogrammprodukt gemäß den Merkmalen des Anspruches 14 und einen Dekodierer gemäß den Merkmalen des Anspruches 17. Weitere vorteilhafte Ausgestaltungen ergeben sich aus den abhängigen Ansprüchen. These objects are achieved by a method according to the features of
Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zum Dekodieren einer Nachricht, insbesondere einer mit einem öffentlichen Schlüssel eines asymmetrischen kryptographischen Systems verschlüsselten Nachricht, vorgeschlagen, das einen graphbasierten Message Passing (MP)-Algorithmus mit variablen Knoten und Kontrollknoten nutzt, die durch Kanten verbunden sind. Zur Dekodierung der Nachricht werden entlang der Kanten iterativ Nachrichten von den variablen Knoten zu den Kontrollknoten sowie Nachrichten von den Kontrollknoten zu den variablen Knoten gesendet. Das Verfahren zeichnet sich dadurch aus, dass die Nachrichten von den variablen Knoten zu den Kontrollknoten mit einer vorgegebenen Wahrscheinlichkeit modifiziert, insbesondere ausgelöscht, werden.According to a first aspect of the invention, a method is proposed for decoding a message, in particular a message encrypted with a public key of an asymmetric cryptographic system, using a graph-based message passing (MP) algorithm with variable nodes and control nodes connected by edges are. To decode the message, messages are iteratively sent along the edges from the variable nodes to the control nodes and messages from the control nodes to the variable nodes. The method is characterized in that the messages are modified, in particular extinguished, from the variable nodes to the control nodes with a predetermined probability.
Das erfindungsgemäße Verfahren weist den Vorteil auf, dass dieses gegen einen GJS-Angriff widerstandsfähig ist. Ferner kann im Vergleich zu aus dem Stand der Technik bekannten Verfahren eine größere Anzahl an Fehlern dekodiert werden.The inventive method has the advantage that this is resistant to GJS attack. Furthermore, a larger number of errors can be decoded compared to methods known from the prior art.
Das Verfahren und der dazugehörige Dekodierer lassen sich sowohl in einem asymmetrischen kryptographischen System, insbesondere nach McEliece, als auch zur Dekodierung in der Nachrichtenübertragung verwenden.The method and the associated decoder can be used both in an asymmetric cryptographic system, in particular according to McEliece, as well as for decoding in the message transmission.
In einer ersten Variante des Verfahrens erfolgt die Modifikation bzw. Auslöschung der Nachricht von den variablen Knoten zu den Kontrollknoten unabhängig vom Wert des Chiffretext-Bits c E {+1, -1}.In a first variant of the method, the modification or deletion of the message from the variable nodes to the control nodes takes place independently of the value of the ciphertext bit c E {+1, -1}.
In einer zweiten Variante des Verfahrens werden die Nachrichten von den variablen Knoten zu den Kontrollknoten bei der l-ten Iteration mit der vorgegebenen Wahrscheinlichkeit
Die vorgegebene Wahrscheinlichkeit
Gemäß einem zweiten Aspekt wird ein Computerprogrammprodukt vorgeschlagen, das direkt in den internen Speicher eines digitalen Computers geladen werden kann und Softwarecodeabschnitte umfasst, mit denen die Schritte gemäß dem in diesem Dokument beschriebenen Verfahren ausgeführt werden, wenn das Produkt auf einem Computer läuft. Das Computerprogrammprodukt kann als USB-Stick, DVD-CD-ROM oder als Festplatte verwirklicht sein, auf denen ein jeweiliges Programm zur Durchführung der in diesem Dokument beschriebenen Verfahren gespeichert ist. Von dem Computerprogrammprodukt ist ebenfalls ein über ein drahtloses oder drahtgebundenes Netzwerk ladbares Programm umfasst.According to a second aspect, there is provided a computer program product that can be loaded directly into the internal memory of a digital computer and includes software code portions that perform the steps according to the method described in this document when the product is run on a computer. The computer program product may be implemented as a USB stick, DVD-CD-ROM or as a hard disk on which a respective program for carrying out the methods described in this document is stored. The computer program product also includes a program loadable via a wireless or wired network.
Gemäß einem dritten Aspekt wird ein Dekodierer zum Dekodieren einer Nachricht vorgeschlagen, der dazu ausgebildet ist, einen graphbasierten Message Passing (MP)-Algorithmus mit variablen Knoten und Kontrollknoten auszuführen, die durch Kanten verbunden sind, wobei zur Dekodierung der Nachricht entlang der Kanten iterativ Nachrichten von den variablen Knoten zu den Kontrollknoten sowie Nachrichten von den Kontrollknoten zu den variablen Knoten gesendet werden. Der Dekodierer ist dazu eingerichtet, die Nachrichten von den variablen Knoten zu den Kontrollknoten mit einer vorgegebenen Wahrscheinlichkeit zu modifizieren, insbesondere auszulöschen.According to a third aspect, there is provided a decoder for decoding a message adapted to execute a variable-node graph-based message passing (MP) algorithm and control nodes connected by edges, wherein for decoding the message along the edges iteratively messages from the variable nodes to the control nodes as well as messages from the control nodes to the variable nodes. The decoder is set up to modify the messages from the variable nodes to the control nodes with a predetermined probability, in particular to delete them.
Die Erfindung wird nachfolgend näher anhand eines Ausführungsbeispiels in den Zeichnungen beschrieben. Es zeigen:
-
1 ein Diagramm, das die Nachrichtenfehlerrate für eine Anzahl an Simulationen für ein aus dem Stand der Technik bekanntes Bitflipping (BF)-Dekodierverfahren zeigt; -
2 ein Diagramm, das die Nachrichtenfehlerrate für eine Anzahl an Simulationen für ein aus dem Stand der Technik bekanntes Message Passing (MP)-Dekodierverfahren zeigt; -
3 ein Diagramm, das die Nachrichtenfehlerrate für eine Anzahl an Simulationen für ein aus dem Stand der Technik bekanntes Dekodierverfahren zeigt, das als Algorithmus E bekannt ist; -
4 ein Diagramm, das die Nachrichtenfehlerrate für eine Anzahl an Simulationen für eine erste Ausgestaltungsvariante (REMP-1) eines erfindungsgemäßen Dekodierverfahrens, das auf dem Algorithmus E basiert, im Vergleich zum Algorithmus E (Algorithm E) zeigt; -
5 ein Diagramm, das die Nachrichtenfehlerrate für eine Anzahl an Simulationen für eine zweite Ausgestaltungsvariante (REMP-2) eines erfindungsgemäßen Dekodierverfahrens, das auf dem Algorithmus E basiert, im Vergleich zum Algorithmus E (Algorithm E) zeigt, wobei eine erhöhte Anzahl an Fehlern e dekodiert ist; -
6 ein Diagramm, das die Nachrichtenfehlerrate in Abhängigkeit des Gewichts des Fehlermusters für verschiedene Message Passing-Dekodierverfahren im Vergleich zeigt; und -
7 einen erfindungsgemäßen Dekodierer.
-
1 Figure 11 is a graph showing the message error rate for a number of simulations for a prior art bitflipping (BF) decoding method; -
2 Figure 12 is a diagram showing the message error rate for a number of simulations for a prior art Message Passing (MP) decoding method; -
3 Figure 11 is a graph showing the message error rate for a number of simulations for a prior art decoding method known as Algorithm E; -
4 a diagram showing the message error rate for a number of simulations for a first embodiment variant (REMP-1) of a decoding method according to the invention based on the algorithm E compared to the algorithm E (Algorithm E); -
5 a diagram showing the message error rate for a number of simulations for a second embodiment variant (REMP-2) of a decoding method according to the invention based on the algorithm E compared to the algorithm E (Algorithm E), wherein an increased number of errors e decodes e is; -
6 a diagram showing the message error rate as a function of the weight of the error pattern for different message passing decoding method in comparison; and -
7 a decoder according to the invention.
In der nachfolgenden Beschreibung werden das Verfahren zur Erzeugung eines privaten Schlüssels mit versteckten Variablen sowie das darauf basierende asymmetrische Kryptosystem im Detail erläutert, wobei das Kryptosystem auf dem bekannten McEliece-Kryptographieverfahren beruht.In the following description, the hidden variable private key generation method and the asymmetric cryptosystem based thereon are explained in detail, the cryptosystem being based on the well-known McEliece cryptography method.
In der nachfolgenden Beschreibung repräsentieren, wenn von einer Länge einer Nachricht oder eines Nachrichtenteils die Rede ist, kleine Buchstaben Nachrichten- oder Nachrichtenteillängen in Bits und große Buchstaben Matrizen.In the following description, when talking about a length of a message or a message part, small letters represent message or message parts in bits and large letters in matrices.
Zunächst wird das bekannte Verfahren nach McEliece beschrieben. Es wird davon ausgegangen, dass ein Nutzer Bob (Sender) eine Nachricht an einen Sender Alice (Empfänger) senden möchte, welche auf einem q-stufigen linearen Code basiert. Zunächst erfolgt eine Schlüsselgeneration, im Rahmen derer ein öffentlicher und ein privater Schlüssel erzeugt werden. Die Schlüsselerzeugung umfasst die folgenden Schritte:
- - Zunächst wird ein (N, K) linearer Code C über einen endlichen Körper mit q Elementen
- - Der ausgewählte Code muss eine Struktur besitzen, die einen effizienten Dekodierungsalgorithmus ermöglicht.
- - Anschließend wird zufällig eine nicht-singuläre, invertierbare K × K Matrix A ausgewählt.
- - In einem nächsten Schritt wird eine N × N Permutationsmatrix II zufällig ausgewählt.
- - Aus den oben erhaltenen Informationen wird der öffentliche Schlüssel Ĝ erzeugt gemäß Ĝ = A · G · Π.
- - First, an (N, K) linear code C over a finite field with q elements
- The selected code must have a structure that enables an efficient decoding algorithm.
- Subsequently, a non-singular, invertible K × K matrix A is randomly selected.
- In a next step, an N × N permutation matrix II is selected at random.
- From the information obtained above, the public key Ĝ is generated according to Ĝ = A · G · Π.
Der öffentliche Schlüssel von Alice (der Empfängerin einer Nachricht) korrespondiert damit zu Ĝ, wobei der private Schlüssel G durch das Triplet (A, G, Π) gegeben ist.The public key of Alice (the recipient of a message) thus corresponds to Ĝ, the private key G being given by the triplet (A, G, Π).
Die Nachrichtenverschlüsselung erfolgt wie folgt: Alice (Empfänger) stellt Bob (Sender) den öffentlichen Schlüssel Ĝ bereit. Bob möchte eine Nachricht m mit einer Länge von k Bits an Eliece senden. Bob bildet zunächst die Nachricht m in einen Vektor u mit einer Länge von
Die Nachrichtenverschlüsselung erfolgt nach folgendem Prinzip. Alice (Empfänger der verschlüsselten Nachricht) kann die von Bob (dem Sender der verschlüsselten Nachricht) gesendete Nachricht wie folgt wieder herstellen:
- - Berechnung von c' = Π-1 · c,
- - basierend auf G und unter Verwendung eines effizienten Dekodierungsalgorithmus für den Linearcode C berechnet Alice u' = dec(c'),
- - Berechnung des Vektors u = u' · A-1, und
- - Abbilden des Vektors u in m, um die von Bob gesendete Nachricht zu erhalten.
- - calculation of c '= Π -1 · c,
- based on G and using an efficient decoding algorithm for linear code C, Alice calculates u '= dec (c'),
- - Calculation of the vector u = u '· A -1 , and
- Map the vector u in m to get the message sent by Bob.
Das ursprünglich entwickelte McEliece-Verfahren, das in der Publikation [1] beschrieben ist, verwendet binäre Goppa-Codes.The originally developed McEliece method described in publication [1] uses binary Goppa codes.
Das von McEliece entwickelte Kryptosystem ist für verschiedene Arten von Angriffen anfällig:
- a) Angriffe, die auf dem mehr als einmaligen Verschlüsseln einer Nachricht basieren (Wiederholung);
- b) Angriffe, die auf Klartext-Nachrichten mit einer bekannten linearen Beziehung basieren;
- c) bestimmte Klartext-Nachrichten-Angriffe;
- d) nicht-adaptive, ausgewählte Chiffriertext-Attacken;
- e) adaptive, ausgewählte Chiffriertext-Attacken.
- a) attacks based on more than one time encryption of a message (repetition);
- b) attacks based on plaintext messages with a known linear relationship;
- c) certain plaintext message attacks;
- d) non-adaptive, selected ciphertext attacks;
- e) adaptive, selected ciphertext attacks.
Wie einleitend beschrieben, konnte das McEliece-Kryptosystem selbst unter Verwendung von Quantencomputern bislang nicht gebrochen werden. Nichtsdestotrotz ist das McEliece-Kryptosystem mit einigen Nachteilen verbunden:
- a) Der öffentliche Schlüssel ist vergleichsweise lang, nämlich K N log2 q Bits lang. Hieraus resultiert bei der Verwaltung einer Vielzahl von öffentlichen Schlüsseln ein hoher Speicherplatzbedarf.
- b) Das McEliece-Kryptosystem weist eine vergleichsweise geringe Effizienz auf. Das Kryptogramm, d.h. die verschlüsselte Nachricht ist n = N log2 q Bits lang, während die zu verschlüsselnde Nachricht (Klartext-Nachricht) lediglich k = K log2 q Bits lang ist. Hieraus ergibt sich eine Informationsrate des McEliece-Kryptosystems aus dem Verhältnis der Coderate und des Linearcodes C:
- a) The public key is comparatively long, namely KN log 2 q bits long. This results in the management of a large number of public keys, a high storage space requirement.
- b) The McEliece cryptosystem has a comparatively low efficiency. The cryptogram, ie the encrypted message, is n = N log 2 q bits long while the message to be encrypted (plaintext message) is only k = K log 2 q bits long. This results in an information rate of the McEliece cryptosystem from the ratio of the code rate and the linear code C:
Der Fehlervektor e, der zum Verschlüsseln bei dem McEliece-Verfahren verwendet wird, weist an t Positionen Werte ungleich Null („0“) auf und an jeder dieser Positionen kann dieser q - 1 verschiedene Werte annehmen. Dadurch ist es theoretisch möglich, in den Fehlervektor e bis zu
Das vorgeschlagene McEliece-Kryptosystem basiert auf einer Familie von binären QC-MDPC (Quasi-Cyclic Moderate-Density Parity-Check) Codes, die die gegenwärtig kleinsten öffentlichen Schlüssel zulässt. Ein binärer MDPC-Code der Länge n, der Dimension k und des Zeilengewichts w wird durch eine Kontrollmatrix H (sog. Parity-Check-Matrix) über dem binären Körper
Eine zyklische Matrix ist eine binäre zyklische Matrix A der Größe Q, d.h. ist eine Q × Q-Matrix mit Koeffizienten in einem Vektorraum
Die Menge der Q × Q zyklischen Matrizen bildet zusammen mit der Matrixmultiplikation und -addition einen kommutativen Ring und ist isomorph zum Polynomring
Zur Erzeugung des Schlüsselpaars, umfassend den privaten Schlüssel und den öffentlichen Schlüssel, nutzt das vorgeschlagene McEliece-Kryptosystem Protographen. Ein Protograph P ist ein bipartiter Graph, der eine Menge von No variablen Knoten (VNs) (auch als VN-Typen bezeichnet) {V0, V1, ..., VN0-1} und eine Menge von M0 Kontrollknoten (sog. Check Nodes, CNs) (auch als CN-Typen bezeichnet) {C0, C1, ..., CM0-1} umfasst. Ein VN-Typ Vj ist mit einem CN-Typ Ci durch bij Kanten verbunden. Ein Protograph kann äquivalent in einer Matrixform durch eine Mo x N0-Matrix B repräsentiert werden. Die ij-te Spalte der Matrix B ist dem VN-Typ Vj zugeordnet und die i-te Reihe von der Matrix B ist dem CN-Typ Ci zugeordnet. Das (ij) Element der Matrix B ist bij.To generate the key pair comprising the private key and the public key, the proposed McEliece cryptosystem uses protographs. A protograph P is a bipartite graph containing a set of No variable nodes (VNs) (also referred to as VN types) {V 0 , V 1 , ..., V N0-1 } and a set of M 0 control nodes ( check nodes, CNs) (also referred to as CN types) {C 0 , C 1 , ..., C M0-1 }. A VN type V j is connected to a CN type C i through b ij edges. A protograph can be equivalently represented in a matrix form by a Mo x N 0 matrix B. The ij- The column of the matrix B is assigned to the VN type V j , and the ith row of the matrix B is assigned to the CN type C i . The (ij) element of the matrix B is b ij .
Ein Protograph P definiert ein sog. Codeensemble C.A protograph P defines a so-called Codeensemble C.
Ein besonderes Merkmal von Protographen ist die Möglichkeit, solche Graphen zu spezifizieren, die variable Knoten VN enthalten, die Codewortsymbolen zugeordnet sind. Die eingangs erwähnten QC-MDPC-Codes erlauben eine protographische Darstellung als Tanner-Graph, der später genauer beschrieben wird. Für die Informationsrate R = ½ weist eine Basismatrix die Form
Dabei ist das Gewicht wht(hij(X)) = bij. In der weiteren Beschreibung wird von einer Informationsrate R = ½ ausgegangen, wobei dies lediglich aus Gründen der Einfachheit erfolgt. Das in Gleichung (6) beschriebene Ensemble wird als Referenzensemble oder CA bezeichnet. Weiterhin wird der kürzest mögliche öffentliche Schlüssel, der in der Publikation [7] beschrieben ist, berücksichtigt, wobei Q = 4801 die Größe des öffentlichen Schlüssels und n = 9602 die Blocklänge des QC-MDPC-Codes ist. Für diesen speziellen Fall, der als Referenzfall betrachtet wird, wird ein Referenzensemble durch die Annahme von b00 = b01 = 45 erhalten.Here, the weight wht (h ij (X)) = b ij . In the further description, an information rate R = ½ is assumed, which is done only for the sake of simplicity. The ensemble described in Equation (6) is called a reference ensemble or C A. Furthermore, the shortest possible public key described in Publication [7] is considered, where Q = 4801 is the size of the public key and n = 9602 is the block length of the QC MDPC code. For this particular case, considered a reference case, a reference ensemble is obtained by assuming b 00 = b 01 = 45.
Neben den herkömmlichen Schlüsselwiederherstellungs- und -dekodierungsangriffen, die auf der Dekodierung von Informationssätzen basieren, schlug GJS einen reaktionsbasierten Schlüsselwiederherstellungs-Angriff auf das QC-MDPC McEliece-Kryptosystem vor [10], das derzeit der kritischste Angriff auf das Schema ist [15]. Die effiziente iterative Dekodierung von LDPC/MDPC-Codes geht auf Kosten von Dekodierungsfehlern. Zum Beispiel werden die MDPC-Codes, die in der Publikation [10] vorgeschlagen werden, mit einer Zieldekodierungsfehlerwahrscheinlichkeit von weniger als 10-7 betrieben.In addition to traditional key recovery and decoding attacks based on information set decoding, GJS proposed a reaction-based key recovery attack on the QC-MDPC McEliece cryptosystem [10], which is currently the most critical attack on the scheme [15]. The efficient iterative decoding of LDPC / MDPC codes comes at the cost of decoding errors. For example, the MDPC codes proposed in Publication [10] are operated with a target decoding error probability of less than 10 -7 .
Der GJS-Angriff nutzt die Beobachtung aus, dass die Dekodierungsfehlerwahrscheinlichkeit für einige speziell ausgewählte Fehlermuster mit der Struktur des geheimen Schlüssels korreliert ist, d.h. der Kontrollmatrix H. Nachfolgend wird zum Verständnis der Erfindung das Vorgehen des Angriffs beschrieben.The GJS attack exploits the observation that the decoding error probability for some specially selected error patterns is correlated with the structure of the secret key, i. control matrix H Hereinafter, the procedure of the attack will be described to understand the invention.
Die Lee-Distanz dL zwischen zwei Einträgen an der Position i und j eines binären Vektors 1 a = (a0a1 ... an-1) ist gemäß der Publikation [16] wie folgt definiert:
Das Lee-Abstandsprofil eines binären Vektors a der Länge Q ist als
ψd ist eine Menge, die alle binären Vektoren der Länge n mit genau t Einsen enthält, die als
- - Für d = 1,..., U werden jeweils Fehlermengen ψd der Größe M generiert, wobei M ein Parameter ist, der zusammen mit U die Anzahl der vom Angreifer verwendeten Versuche definiert.
- - Es werden M Chiffretexte (
2 ) mit e E Ψd für alle d = 1,..., U gesendet. Anschließend wird die Nachrichtenfehlerrate (FER) bestimmt.
- - For d = 1, ..., U respectively error quantities ψ d of size M are generated, where M is a parameter that defines together with U the number of attempts used by the attacker.
- - M ciphertext (
2 ) with e E Ψ d for all d = 1, ..., U sent. Subsequently, the message error rate (FER) is determined.
Da für eine ausreichend große Menge M an Chiffretexten die Dekodierungsfehlerwahrscheinlichkeit für e E Ψd mit d ∈ D(h0) niedriger ist, d.h., wenn µ(d) > 0 ist, kann die gemessene Nachrichtenfehlerrate FER verwendet werden, um das Abstandsprofil D(ho) zu bestimmen. Der Vektor ho kann dann aus dem Abstandsprofil D(h0) mit den Methoden aus der Publikation [12] rekonstruiert werden.Since for a sufficiently large set M of ciphertext the decoding error probability is lower for e E Ψ d with d ∈ D (h 0 ), ie, when μ (d)> 0, the measured message error rate FER can be used to obtain the distance profile D (ho) to determine. The vector ho can then be reconstructed from the distance profile D (h 0 ) using the methods from publication [12].
Die verbleibenden Blöcke von H(X) in Gleichung (7) können dann über die Generatormatrix G(X) unter Verwendung linearer algebraischer Beziehungen rekonstruiert werden. Der Erfolg des Angriffs hängt davon ab, wie die Dekoder mit Entschlüsselungsfehlern umgehen, da die Nachrichtenfehlerrate FER nur gemessen werden kann, wenn Neuübertragungen angefordert werden. Ein weiterer wichtiger Faktor ist, welches Dekodierungsschema verwendet wird. In den Publikationen [12] und [17] wird gezeigt, dass der GJS-Angriff erfolgreich ist, wenn Bit-Flipping (BF) - oder Belief Propagation (BP) -Dekodierungsalgorithmen verwendet werden.The remaining blocks of H (X) in equation (7) can then be passed over the generator matrix G (X) using linear algebraic Relationships are reconstructed. The success of the attack depends on how the decoders handle decryption errors because the message error rate FER can only be measured when retransmissions are requested. Another important factor is which decoding scheme is used. It is shown in publications [12] and [17] that the GJS attack is successful when using bit flipping (BF) or belief propagation (BP) decoding algorithms.
In Schlüsselaustauschprotokollen kann der Angriff durch Verwendung von ephemeren Schlüsseln (d.h. ein neues Schlüsselpaar für jeden Schlüsselaustausch) abgewehrt werden, wie in Publikation [18] gezeigt ist. Dies kann jedoch nur in sehr speziellen Szenarien angewendet werden.In key exchange protocols, the attack can be fended off by using ephemeral keys (i.e., a new key pair for each key exchange), as shown in publication [18]. However, this can only be used in very specific scenarios.
Für das Verständnis der vorliegenden Erfindung werden nachfolgend klassische Dekodierungsalgorithmen für LDPC-Codes beschrieben und ihre Fehlerkorrekturfähigkeit für MDPC-Codes sowie ihre Widerstandsfähigkeit gegen den GJS-Angriff analysiert. Zur Dekodierung wird jedem Chiffriertext-Bit ci der Wert +1 zugeordnet, wenn ci = 0 ergibt, und dem Wert -1, wenn ci = 1 einen Chiffretext c E {+1, -1}n ergibt. Es wird nun die nächste iterative MP-Dekodierung auf dem Tanner-Graph [19] des Codes betrachtet. Der Tanner-Graph besteht aus n variablen Knoten (VNs) und r Kontrollknoten (CNs). Ein variabler Knoten VN νj ist mit einem Kontrollknoten CN ci verbunden, wenn der entsprechende Eintrag hi,j in der Kontrollmatrix gleich 1 ist. Im weiteren werden nur reguläre Tanner-Graphen betrachtet, d.h. Graphen, bei denen die Anzahl der Kanten von jedem variablen Knoten VN gleich dν ist und die Anzahl der Kanten, die von jedem Kontrollknoten CN ausgehen, gleich dc ist. Die Kanten dν und dc werden als variables Knotenmaß bzw. Kontrollknotenmaß bezeichnet.. Die Nachbarschaft eines variablen Knotens v ist
Bit-Flipping (BF)-AlgorithmusBit flipping (BF) algorithm
Zur Entschlüsselung im QC-MDPC-Kryptosystem, das in der Publikation [10] beschrieben ist, wird ein effizienter BF-Algorithmus für LDPC-Codes (siehe z.B. den Algorithmus 5.4 in der Publikation [20]) in Betracht gezogen.For decryption in the QC-MDPC cryptosystem described in Publication [10], an efficient BF algorithm for LDPC codes (see, e.g., Algorithm 5.4 in Publication [20]) is considered.
Bei einem Chiffriertext c, einem Schwellenwert b ≤ r und einer maximalen Anzahl von Iterationen Imax geht der BF-Algorithmus wie folgt vor. Jeder variable Knoten VN v wird mit dem entsprechenden Chiffretext-Bit c E {+ 1, -1} initialisiert und sendet die Nachricht mv→c = c an alle benachbarten Kontrollknoten CN
Der Algorithmus wird beendet, wenn entweder alle Kontrollgleichungen erfüllt sind oder die maximale Anzahl von Iterationen Imax erreicht ist. Die Fehlerkorrekturfähigkeit des BF-Algorithmus hängt von der Wahl des Schwellenwerts b ab.The algorithm is terminated when either all control equations are satisfied or the maximum number of iterations Imax has been reached. The error correction capability of the BF algorithm depends on the choice of the threshold b.
Gallager B-AlgorithmusGallager B algorithm
Ein effizienter binärer MP-Dekoder für LDPC-Codes, oft als Gallager B bezeichnet, wurde in der Publikation [21] vorgestellt und analysiert. Jeder variable Knoten VN v wird mit dem entsprechenden Chiffriertext-Bit initialisiert c E {+1, -1}. Die variablen Knoten VN senden die Nachrichten
Dies bedeutet, dass die variablen Knoten VN v in der ersten Iteration die Nachricht mv→c = c an alle benachbarten Kontrollknoten CN
Eine Verallgemeinerung des Gallager B-Algorithmus, der Auslöschungen (sog. „erasures“) korrigieren kann und als Algorithmus E bezeichnet wird, wurde in den Publikationen [13] und [14] eingeführt und analysiert. Um Löschungen berücksichtigen zu können, benötigt der Dekodierer ein ternäres Nachrichtenalphabet {-1, 0, +1}, wobei 0 eine Auslöschung anzeigt. Die variablen Knoten VN werden mit dem entsprechenden Chiffretext-Bit c initialisiert und senden die Nachrichten
Hier ist ω ein heuristischer Gewichtungsfaktor, der in der Publikation [14] vorgeschlagen wurde, um die Leistung des Algorithmus E zu verbessern. Im Weiteren wird der Fall betrachtet, in dem ω über alle Iterationen konstant gehalten wird. Die Prüfknoten arbeiten auf die gleiche Weise wie im Gallager B-Algorithmus, d.h. die Kontrollknoten CN senden die Nachrichten mc→v gemäß Gleichung (13). Nach höchstens Imax Iteration gemäß den Gleichungen (13) und (15) wird die endgültige Entscheidung gemäß
Die Erfindung nutzt die vom Algorithmus E bekannten Auslöschungen, um einerseits die Fehlerkorrekturfähigkeit und andererseits eine erhöhte Anzahl an Fehlern dekodieren zu können. Dies kann bei der Nutzung von MDPC-Codes in einem kryptographischen System nach McEliece genutzt werden, um die Sicherheit zu erhöhen. In einem Kodierungssystem besteht die Möglichkeit, das Verfahren zur Dekodierung einer größeren Anzahl an Fehlern zu nutzen.The invention uses the deletions known from the algorithm E in order to be able to decode the error correction capability on the one hand and an increased number of errors on the other hand. This can be exploited when using MDPC codes in a McEliece cryptographic system to increase security. In a coding system, it is possible to use the method for decoding a larger number of errors.
Die
Die Ergebnisse in den
Die Erfindung nutzt modifizierte Message Passing (MP)-Dekodierungsalgorithmen, die Löschungen erlauben. Die Verfahren erlauben es, MP-Dekodierungsalgorithmen in einer probabilistischen Weise zu modifizieren, um sie für eine geeignete Wahl der Dekodierungsparameter gegen den GJS-Angriff widerstandsfähig zu machen.The invention utilizes modified message passing (MP) decoding algorithms that allow deletions. The methods allow for modifying MP decoding algorithms in a probabilistic manner to render them resistant to appropriate choice of decoding parameters against GJS attack.
Der Grundgedanke des erfindungsgemäßen Verfahrens ist, dass die von den variablen Knoten VN zu den Kontrollknoten CN (sog. VN-CN-Nachrichten) gesendeten Nachrichten bei jeder Iteration mit einer gegebenen Wahrscheinlichkeit modifiziert werden. Insbesondere erfolgt die Modifikation durch den MP-Dekodierer derart, dass die Nachrichten mv→c unter bestimmten Bedingungen mit einer gegebenen Wahrscheinlichkeit
Im den folgenden beiden Ausführungsbeispielen, die in den Figuren als REMP-1 (Random Erasure Message Passing-1) und REMP-2 (Random Erasure Message Passing-2) bezeichnet sind, wird dieses Verfahren genutzt, um den Algorithmus E zu modifizieren.In the following two embodiments, which are referred to in the figures as REMP-1 (Random Erasure Message Passing-1) and REMP-2 (Random Erasure Message Passing-2), this method is used to modify the algorithm E.
Gemäß einer ersten Variante (REMP-1) wird der Algorithmus E so modifiziert, dass jede Nicht-Null-Nachricht mv→c bei einer Iteration / mit einer Wahrscheinlichkeit
Wenn die Nachricht m̃v→c keine Löschung enthält, d.h. wenn m̃v→c ≠ 0, dann sendet der variable Knoten VN
Gemäß der zweiten Variante (REMP-2) erfolgt eine Modifikation von Algorithmus E derart, dass die Nachrichten mv→c bei der Iteration 1 mit einer Wahrscheinlichkeit
Die Wahrscheinlichkeit
Das erfindungsgemäße Vorgehen kann analog auf den BP-Algorithmus übertragen werden.The procedure according to the invention can be transferred analogously to the BP algorithm.
In den
Die für die Algorithmen REMP-1 und REMP-2 gewählte Anzahl an Fehlern e ist in der Legende angegeben, wobei für den Algorithmus REMP-1 e = 100 und für den Algorithmus REMP-2 e = 106 gewählt wurde. Daneben sind in der Legende weitere, für den jeweiligen Algorithmus REMP-1 und REMP-2 sowie den Vergleichsalgorithmus E („Algorithm E“) spezifische Parameter angegeben. Die Wahrscheinlichkeiten pe sind für die Algorithmen REMP-1 und REMP-2 unterschiedlich gewählt worden, wobei der Gewichtungsfaktor ω gleich ist. Die Werte und Simulationspunkte des Vergleichsalgorithmus E entsprechen denen aus
Für die die Algorithmen REMP-1 und REMP-2 wurden Monte-Carlo-Simulationen für zufällig ausgewählte C-Codes durchgeführt, die bis zu 200 Dekodierungsfehler (Nachrichtenfehler) mit Imax = 50 Iterationen erzeugt haben. Für jede Multiplizität in µ(h0) wurden 11 verschiedene Fehlersätze d (Simulationspunkte SP) simuliert. Die Simulationsergebnisse in den
Für die Wahl der Parameter, die den geheimen Schlüssel verbergen, ist die Nachrichtenfehlerrate FER der REMP-2-Dekodierung bei einem Fehlergewicht e = 106 etwas schlechter als bei der REMP-1-Dekodierung bei einem Fehlergewicht e = 100. Aufgrund des möglichen höheren Fehlergewichts erscheint die zweite Variante (REMP-2) gegenüber der ersten Variante (REMP-1) verbessert zu sein.For the choice of the parameters hiding the secret key, the message error rate FER of the REMP-2 decoding is slightly worse with an error weight e = 106 than with the REMP-1 decoding with an error weight e = 100. Because of the possible higher error weight the second variant (REMP-2) appears to be improved compared to the first variant (REMP-1).
Um die Struktur von H(X) zu verbergen, ist die Wahl des Wahrscheinlichkeitswerts
Publikationenpublications
-
[1]
Robert J. McEliece, „A Public-Key Cryptosystem based on Algebraic Coding Theory“ DSN Progress Report, Bd. 4244 (1978), S. 114-116 Robert J. McEliece, "A Public-Key Cryptosystem based on Algebraic Coding Theory," DSN Progress Report, Vol. 4244 (1978), pp. 114-116 -
[2]
E. R. Berlekamp, R. J. McEliece, and H. C. A. Van Tilborg, „On the Inherent Intractability of Certain Coding Problems,“ IEEE Transactions on Information Theory, Bd. 24, Nr. 3, S. 384-386, Mai 1978 HE Berlekamp, RJ McEliece, and HCA Van Tilborg, "On the Inherent Intractability of Certain Coding Problems," IEEE Transactions on Information Theory, Vol. 24, No. 3, pp. 384-386, May 1978 -
[3]
K. Kobara and H. Imai, „Semantically Secure McEliece Public-Key Cryptosystems-Conversions for McEliece PKC,“ in Public Key Cryptography, Bd. 1992, Springer, 2001, S. 19-35 K. Kobara and H. Imai, "Semantically Secure McEliece Public-Key Cryptosystems Conversions for McEliece PKC," in Public Key Cryptography, Vol. 1992, Springer, 2001, pp. 19-35 -
[4]
R. L. Rivest, A. Shamir, and L. Adleman, „A Method for Obtaining Digital Signatures and Public-Key Cryptosystems“, Communications on the ACM, Bd. 21, Nr. 2, S. 120-126, 1978 RL Rivest, A. Shamir, and L. Adleman, "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems", Communications on the ACM, Vol. 21, No. 2, pp. 120-126, 1978 -
[5]
P. W. Shor, „Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer,“ SIAM review, Bd. 41, Nr. 2, S. 303-332, 1999 PW Shor, "Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer," SIAM review, Vol. 41, No. 2, pp. 303-332, 1999 -
[6]
T. P. Berger, P.-L. Cayrel, P. Gaborit, and A. Otmani, „Reducing key length of the McEliece cryptosystem.“ AfricaCrypt, Bd. 5580, S. 77-97, 2009 TP Berger, P.-L. Cayrel, P. Gaborit, and A. Otmani, "Reducing key length of the McEliece cryptosystem." Africa Crypt, Vol. 5580, pp. 77-97, 2009 -
[7]
P. Gaborit, „Shorter Keys for Code Based Cryptography,“ in Proceedings of the 2005 International Workshop on Coding and Cryptography (WCC 2005), 2005, S. 81-91 P. Gaborit, "Shorter Keys for Code Based Cryptography," in Proceedings of the 2005 International Workshop on Coding and Cryptography (WCC 2005), 2005, pp. 81-91 -
[8]
C. Monico, J. Rosenthal, and A. Shokrollahi, „Using Low Density Parity Check Codes in the McEliece Cryptosystem,“ in Information Theory, 2000. Proceedings. IEEE International Symposium on. IEEE, 2000, S. 215 C. Monico, J. Rosenthal, and A. Shokrollahi, "Using Low Density Parity Check Codes in the McEliece Cryptosystem," in Information Theory, 2000. Proceedings. IEEE International Symposium on. IEEE, 2000, p. 215 -
[9]
M. Baldi, F. Chiaraluce, R. Garello, and F. Mininni, „Quasi-Cyclic Low-Density Parity-Check Codes in the McEliece Cryptosystem,“ in IEEE International Conference on Communications (ICC), 2007. IEEE, 2007, S. 951-956 M. Baldi, F. Chiaraluce, R. Garello, and F. Mininni, "Quasi-Cyclic Low-Density Parity Check Codes in the McEliece Cryptosystem," in the IEEE International Conference on Communications (ICC), 2007. IEEE, 2007, Pp. 951-956 -
[10]
R. Misoczki, J.-P. Tillich, N. Sendrier, and P. S. Barreto, „MDPC-McEliece: New McEliece Variants from Moderate Density Parity-Check Codes,“ in IEEE International Symposium on Information Theory (ISIT). IEEE, 2013, S. 2069-2073 R. Misoczki, J.-P. Tillich, N. Sendrier, and PS Barreto, "MDPC-McEliece: New McEliece Variants from Moderate Density Parity Check Codes," in the IEEE International Symposium on Information Theory (ISIT). IEEE, 2013, pp. 2069-2073 -
[12]
Q. Guo, T. Johansson, and P. Stankovski, „A Key Recovery Attack on MDPC with CCA Security Using Dekoding Errors,“ in Advances in Cryptology-ASIA-CRYPT 2016: 22nd International Conference on the Theory and Application of Cryptology and Information Security, Hanoi, Vietnam, December 4-8, 2016, Proceedings, Part I, 22. Springer, 2016, pp. 789-815 Q. Guo, T. Johansson, and P. Stankovski, "A Key Recovery Attack on MDPC with CCA Security Using Decoding Errors," in Advances in Cryptology-ASIA-CRYPT 2016: 22nd International Conference on the Theory and Application of Cryptology and Information Security, Hanoi, Vietnam, December 4-8, 2016, Proceedings, Part I, 22nd Springer, 2016, pp. 789-815 -
[13]
N. Miladinovic and M. P. Fossorier, „Improved Bit-Flipping Dekoding of Low-Density Parity-Check Codes,“ IEEE Transactions on Information Theory, vol. 51, no. 4, pp. 1594-1606, 2005 N. Miladinovic and MP Fossorier, "Improved Bit-Flipping Dekoding of Low-Density Parity-Check Codes," IEEE Transactions on Information Theory, vol. 51, no. 4, pp. 1594-1606, 2005 -
[14]
T. Richardson and R. Urbanke, „The capacity of low-density parity-check codes under message-passing decoding“, IEEE Trans. Inf. Theory, Bd. 47, Nr. 2, S. 599-618, Feb. 2001 T. Richardson and R. Urbanke, "The capacity of low-density parity-check codes under message passing decoding," IEEE Trans. Inf. Theory, Vol. 47, No. 2, pp. 599-618, Feb. 2001 -
[15]
N. Sendrier, „Code-Based Cryptography: State of the Art and Perspectives,“ IEEE Security & Privacy, vol. 15, no. 4, pp. 44-50, Aug. 2017 N. Sendrier, "Code-Based Cryptography: State of the Art and Perspectives," IEEE Security & Privacy, vol. 15, no. 4, pp. 44-50, Aug. 2017 -
[16]
C. Lee, „Some Properties of Nonbinary Error-Correcting Codes,“ IRE Transactions on Information Theory, vol. 4, no. 2, pp. 77-82, Jun. 1958 C. Lee, "Some Properties of Nonbinary Error-Correcting Codes," IRE Transactions on Information Theory, vol. 4, no. 2, pp. 77-82, Jun. 1958 -
[17]
T. Fabsic, V. Hromada, P. Stankovski, P. Zajac, Q. Guo, and T. Johansson, „A Reaction Attack on the QC-LDPC McEliece Cryptosystem,“ in International Workshop on Post-Quantum Cryptography, 2017, pp. 51-68 T. Fabsic, V. Hromada, P. Stankovski, P. Zajac, Q. Guo, and T. Johansson, "A Reaction Attack on the QC-LDPC McEliece Cryptosystem," in International Workshop on Post-Quantum Cryptography, 2017, pp , 51-68 -
[18]
P. S. L. M. Barreto, S. Gueron, T. G ueneysu, R. Misoczki, E. Persichetti, N. Sendrier, and J.-P. Tillich, „CAKE: Code-Based Algorithm for Key Encapsulation,“ Cryptology ePrint Archive, Report 2017/757, 2017, http://eprint.iacr.org/2017/757 PSLM Barreto, S. Gueron, T. G ueneysu, R. Misoczki, E. Persichetti, N. Sendrier, and J.-P. Tillich, "CAKE: Code-Based Algorithms for Key Encapsulation," Cryptology ePrint Archive, Report 2017/757, 2017, http://eprint.iacr.org/2017/757 -
[19]
M. Tanner, „A recursive approach to low complexity codes,“ IEEE Trans. Inf. Theory, vol. 27, no. 5, pp. 533-547, Sep. 1981 M. Tanner, "A recursive approach to low-complexity codes," IEEE Trans. Inf. Theory, vol. 27, no. 5, pp. 533-547, Sep. 1981 -
[20]
W. Ryan and S. Lin, Channel codes - Classical and modern. New York, NY, USA: Cambridge University Press, 2009 W. Ryan and S. Lin, Channel codes - Classical and modern. New York, NY, USA: Cambridge University Press, 2009 -
[21]
R. Gallager, Low-density parity-check codes. Cambridge, MA, USA: MIT Press, 1963 R. Gallager, low density parity check codes. Cambridge, MA, USA: MIT Press, 1963
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte Nicht-PatentliteraturCited non-patent literature
- Robert J. McEliece, „A Public-Key Cryptosystem based on Algebraic Coding Theory“ DSN Progress Report, Bd. 4244 (1978), S. 114-116 [0077]Robert J. McEliece, "A Public-Key Cryptosystem Based on Algebraic Coding Theory" DSN Progress Report, Vol. 4244 (1978), pp. 114-116 [0077]
- E. R. Berlekamp, R. J. McEliece, and H. C. A. Van Tilborg, „On the Inherent Intractability of Certain Coding Problems,“ IEEE Transactions on Information Theory, Bd. 24, Nr. 3, S. 384-386, Mai 1978 [0077]E.R. Berlekamp, R.J. McEliece, and H.C.A. Van Tilborg, "On the Inherent Intractability of Certain Coding Issues," IEEE Transactions on Information Theory, Vol. 24, No. 3, pp. 384-386, May 1978 [0077]
- K. Kobara and H. Imai, „Semantically Secure McEliece Public-Key Cryptosystems-Conversions for McEliece PKC,“ in Public Key Cryptography, Bd. 1992, Springer, 2001, S. 19-35 [0077]K. Kobara and H. Imai, "Semantically Secure McEliece Public-Key Cryptosystems Conversions for McEliece PKC," in Public Key Cryptography, Vol. 1992, Springer, 2001, pp. 19-35. [0077]
- R. L. Rivest, A. Shamir, and L. Adleman, „A Method for Obtaining Digital Signatures and Public-Key Cryptosystems“, Communications on the ACM, Bd. 21, Nr. 2, S. 120-126, 1978 [0077]R.L. Rivest, A. Shamir, and L. Adleman, "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems", Communications on the ACM, Vol. 21, No. 2, pp. 120-126, 1978 [0077]
- P. W. Shor, „Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer,“ SIAM review, Bd. 41, Nr. 2, S. 303-332, 1999 [0077]P.W. Shor, "Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on Quantum Computer," SIAM review, Vol. 41, No. 2, pp. 303-332, 1999 [0077]
- T. P. Berger, P.-L. Cayrel, P. Gaborit, and A. Otmani, „Reducing key length of the McEliece cryptosystem.“ AfricaCrypt, Bd. 5580, S. 77-97, 2009 [0077]T.P. Berger, P.-L. Cayrel, P. Gaborit, and A. Otmani, "Reducing key length of the McEliece cryptosystem." Africa Crypt, Vol. 5580, pp. 77-97, 2009 [0077]
- P. Gaborit, „Shorter Keys for Code Based Cryptography,“ in Proceedings of the 2005 International Workshop on Coding and Cryptography (WCC 2005), 2005, S. 81-91 [0077]P. Gaborit, "Shorter Keys for Code Based Cryptography," in Proceedings of the 2005 International Workshop on Coding and Cryptography (WCC 2005), 2005, pp. 81-91 [0077]
- C. Monico, J. Rosenthal, and A. Shokrollahi, „Using Low Density Parity Check Codes in the McEliece Cryptosystem,“ in Information Theory, 2000. Proceedings. IEEE International Symposium on. IEEE, 2000, S. 215 [0077]C. Monico, J. Rosenthal, and A. Shokrollahi, "Using Low Density Parity Check Codes in the McEliece Cryptosystem," in Information Theory, 2000. Proceedings. IEEE International Symposium on. IEEE, 2000, p. 215 [0077]
- M. Baldi, F. Chiaraluce, R. Garello, and F. Mininni, „Quasi-Cyclic Low-Density Parity-Check Codes in the McEliece Cryptosystem,“ in IEEE International Conference on Communications (ICC), 2007. IEEE, 2007, S. 951-956 [0077]M. Baldi, F. Chiaraluce, R. Garello, and F. Mininni, "Quasi-Cyclic Low-Density Parity Check Codes in the McEliece Cryptosystem," in the IEEE International Conference on Communications (ICC), 2007. IEEE, 2007, Pp. 951-956 [0077]
- R. Misoczki, J.-P. Tillich, N. Sendrier, and P. S. Barreto, „MDPC-McEliece: New McEliece Variants from Moderate Density Parity-Check Codes,“ in IEEE International Symposium on Information Theory (ISIT). IEEE, 2013, S. 2069-2073 [0077]R. Misoczki, J.-P. Tillich, N. Sendrier, and P.S. Barreto, "MDPC-McEliece: New McEliece Variants from Moderate Density Parity Check Codes," in the IEEE International Symposium on Information Theory (ISIT). IEEE, 2013, pp. 2069-2073 [0077]
- Q. Guo, T. Johansson, and P. Stankovski, „A Key Recovery Attack on MDPC with CCA Security Using Dekoding Errors,“ in Advances in Cryptology-ASIA-CRYPT 2016: 22nd International Conference on the Theory and Application of Cryptology and Information Security, Hanoi, Vietnam, December 4-8, 2016, Proceedings, Part I, 22. Springer, 2016, pp. 789-815 [0077]Q. Guo, T. Johansson, and P. Stankovski, "A Key Recovery Attack on MDPC with CCA Security Using Decoding Errors," in Advances in Cryptology-ASIA-CRYPT 2016: 22nd International Conference on the Theory and Application of Cryptology and Information Security, Hanoi, Vietnam, December 4-8, 2016, Proceedings, Part I, 22nd Springer, 2016, pp. 789-815 [0077]
- N. Miladinovic and M. P. Fossorier, „Improved Bit-Flipping Dekoding of Low-Density Parity-Check Codes,“ IEEE Transactions on Information Theory, vol. 51, no. 4, pp. 1594-1606, 2005 [0077]N. Miladinovic and M. P. Fossorier, "Improved Bit-Flipping Decoding of Low-Density Parity-Check Codes," IEEE Transactions on Information Theory, vol. 51, no. 4, pp. 1594-1606, 2005 [0077]
- T. Richardson and R. Urbanke, „The capacity of low-density parity-check codes under message-passing decoding“, IEEE Trans. Inf. Theory, Bd. 47, Nr. 2, S. 599-618, Feb. 2001 [0077]T. Richardson and R. Urbanke, "The capacity of low-density parity-check codes under message passing decoding," IEEE Trans. Inf. Theory, Vol. 47, No. 2, pp. 599-618, Feb. 2001 [0077]
- N. Sendrier, „Code-Based Cryptography: State of the Art and Perspectives,“ IEEE Security & Privacy, vol. 15, no. 4, pp. 44-50, Aug. 2017 [0077]N. Sendrier, "Code-Based Cryptography: State of the Art and Perspectives," IEEE Security & Privacy, vol. 15, no. 4, pp. 44-50, Aug. 2017 [0077]
- C. Lee, „Some Properties of Nonbinary Error-Correcting Codes,“ IRE Transactions on Information Theory, vol. 4, no. 2, pp. 77-82, Jun. 1958 [0077]C. Lee, "Some Properties of Nonbinary Error-Correcting Codes," IRE Transactions on Information Theory, vol. 4, no. 2, pp. 77-82, Jun. 1958 [0077]
- T. Fabsic, V. Hromada, P. Stankovski, P. Zajac, Q. Guo, and T. Johansson, „A Reaction Attack on the QC-LDPC McEliece Cryptosystem,“ in International Workshop on Post-Quantum Cryptography, 2017, pp. 51-68 [0077]T. Fabsic, V. Hromada, P. Stankovski, P. Zajac, Q. Guo, and T. Johansson, "A Reaction Attack on the QC-LDPC McEliece Cryptosystem," in International Workshop on Post-Quantum Cryptography, 2017, pp , 51-68 [0077]
- P. S. L. M. Barreto, S. Gueron, T. G ueneysu, R. Misoczki, E. Persichetti, N. Sendrier, and J.-P. Tillich, „CAKE: Code-Based Algorithm for Key Encapsulation,“ Cryptology ePrint Archive, Report 2017/757, 2017, http://eprint.iacr.org/2017/757 [0077]P.S.L.M. Barreto, S. Gueron, T. G ueneysu, R. Misoczki, E. Persichetti, N. Sendrier, and J.-P. Tillich, "CAKE: Code-Based Algorithms for Key Encapsulation," Cryptology ePrint Archive, Report 2017/757, 2017, http://eprint.iacr.org/2017/757 [0077]
- M. Tanner, „A recursive approach to low complexity codes,“ IEEE Trans. Inf. Theory, vol. 27, no. 5, pp. 533-547, Sep. 1981 [0077]M. Tanner, "A recursive approach to low-complexity codes," IEEE Trans. Inf. Theory, vol. 27, no. 5, pp. 533-547, Sep. 1981 [0077]
- W. Ryan and S. Lin, Channel codes - Classical and modern. New York, NY, USA: Cambridge University Press, 2009 [0077]W. Ryan and S. Lin, Channel codes - Classical and modern. New York, NY, USA: Cambridge University Press, 2009 [0077]
- R. Gallager, Low-density parity-check codes. Cambridge, MA, USA: MIT Press, 1963 [0077]R. Gallager, low density parity check codes. Cambridge, MA, USA: MIT Press, 1963 [0077]
Claims (17)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102018200617.2A DE102018200617B4 (en) | 2018-01-16 | 2018-01-16 | Method for decoding an encrypted message of an asymmetric cryptographic system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102018200617.2A DE102018200617B4 (en) | 2018-01-16 | 2018-01-16 | Method for decoding an encrypted message of an asymmetric cryptographic system |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102018200617A1 true DE102018200617A1 (en) | 2019-07-18 |
DE102018200617B4 DE102018200617B4 (en) | 2020-02-13 |
Family
ID=67068438
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102018200617.2A Active DE102018200617B4 (en) | 2018-01-16 | 2018-01-16 | Method for decoding an encrypted message of an asymmetric cryptographic system |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102018200617B4 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113938273A (en) * | 2021-09-30 | 2022-01-14 | 湖南遥昇通信技术有限公司 | Symmetric encryption method and system capable of resisting vector parallel computing attack |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1838000A2 (en) * | 2006-03-21 | 2007-09-26 | Samsung Electronics Co., Ltd. | Apparatus and method for transmitting/receiving data in a communication system |
WO2016006968A1 (en) * | 2014-07-11 | 2016-01-14 | Samsung Electronics Co., Ltd. | Method and apparatus of joint security advanced ldpc cryptcoding |
-
2018
- 2018-01-16 DE DE102018200617.2A patent/DE102018200617B4/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1838000A2 (en) * | 2006-03-21 | 2007-09-26 | Samsung Electronics Co., Ltd. | Apparatus and method for transmitting/receiving data in a communication system |
WO2016006968A1 (en) * | 2014-07-11 | 2016-01-14 | Samsung Electronics Co., Ltd. | Method and apparatus of joint security advanced ldpc cryptcoding |
Non-Patent Citations (20)
Title |
---|
C. Lee, „Some Properties of Nonbinary Error-Correcting Codes," IRE Transactions on Information Theory, vol. 4, no. 2, pp. 77-82, Jun. 1958 |
C. Monico, J. Rosenthal, and A. Shokrollahi, „Using Low Density Parity Check Codes in the McEliece Cryptosystem," in Information Theory, 2000. Proceedings. IEEE International Symposium on. IEEE, 2000, S. 215 |
E. R. Berlekamp, R. J. McEliece, and H. C. A. Van Tilborg, „On the Inherent Intractability of Certain Coding Problems," IEEE Transactions on Information Theory, Bd. 24, Nr. 3, S. 384-386, Mai 1978 |
K. Kobara and H. Imai, „Semantically Secure McEliece Public-Key Cryptosystems-Conversions for McEliece PKC," in Public Key Cryptography, Bd. 1992, Springer, 2001, S. 19-35 |
M. Baldi, F. Chiaraluce, R. Garello, and F. Mininni, „Quasi-Cyclic Low-Density Parity-Check Codes in the McEliece Cryptosystem," in IEEE International Conference on Communications (ICC), 2007. IEEE, 2007, S. 951-956 |
M. Tanner, „A recursive approach to low complexity codes," IEEE Trans. Inf. Theory, vol. 27, no. 5, pp. 533-547, Sep. 1981 |
N. Miladinovic and M. P. Fossorier, „Improved Bit-Flipping Dekoding of Low-Density Parity-Check Codes," IEEE Transactions on Information Theory, vol. 51, no. 4, pp. 1594-1606, 2005 |
N. Sendrier, „Code-Based Cryptography: State of the Art and Perspectives," IEEE Security & Privacy, vol. 15, no. 4, pp. 44-50, Aug. 2017 |
P. Gaborit, „Shorter Keys for Code Based Cryptography," in Proceedings of the 2005 International Workshop on Coding and Cryptography (WCC 2005), 2005, S. 81-91 |
P. S. L. M. Barreto, S. Gueron, T. G ueneysu, R. Misoczki, E. Persichetti, N. Sendrier, and J.-P. Tillich, „CAKE: Code-Based Algorithm for Key Encapsulation," Cryptology ePrint Archive, Report 2017/757, 2017, http://eprint.iacr.org/2017/757 |
P. W. Shor, „Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer," SIAM review, Bd. 41, Nr. 2, S. 303-332, 1999 |
Q. Guo, T. Johansson, and P. Stankovski, „A Key Recovery Attack on MDPC with CCA Security Using Dekoding Errors," in Advances in Cryptology-ASIA-CRYPT 2016: 22nd International Conference on the Theory and Application of Cryptology and Information Security, Hanoi, Vietnam, December 4-8, 2016, Proceedings, Part I, 22. Springer, 2016, pp. 789-815 |
R. Gallager, Low-density parity-check codes. Cambridge, MA, USA: MIT Press, 1963 |
R. L. Rivest, A. Shamir, and L. Adleman, „A Method for Obtaining Digital Signatures and Public-Key Cryptosystems", Communications on the ACM, Bd. 21, Nr. 2, S. 120-126, 1978 |
R. Misoczki, J.-P. Tillich, N. Sendrier, and P. S. Barreto, „MDPC-McEliece: New McEliece Variants from Moderate Density Parity-Check Codes," in IEEE International Symposium on Information Theory (ISIT). IEEE, 2013, S. 2069-2073 |
Robert J. McEliece, „A Public-Key Cryptosystem based on Algebraic Coding Theory" DSN Progress Report, Bd. 4244 (1978), S. 114-116 |
T. Fabsic, V. Hromada, P. Stankovski, P. Zajac, Q. Guo, and T. Johansson, „A Reaction Attack on the QC-LDPC McEliece Cryptosystem," in International Workshop on Post-Quantum Cryptography, 2017, pp. 51-68 |
T. P. Berger, P.-L. Cayrel, P. Gaborit, and A. Otmani, „Reducing key length of the McEliece cryptosystem." AfricaCrypt, Bd. 5580, S. 77-97, 2009 |
T. Richardson and R. Urbanke, „The capacity of low-density parity-check codes under message-passing decoding", IEEE Trans. Inf. Theory, Bd. 47, Nr. 2, S. 599-618, Feb. 2001 |
W. Ryan and S. Lin, Channel codes - Classical and modern. New York, NY, USA: Cambridge University Press, 2009 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113938273A (en) * | 2021-09-30 | 2022-01-14 | 湖南遥昇通信技术有限公司 | Symmetric encryption method and system capable of resisting vector parallel computing attack |
CN113938273B (en) * | 2021-09-30 | 2024-02-13 | 湖南遥昇通信技术有限公司 | Symmetric encryption method and system capable of resisting quantitative parallel computing attack |
Also Published As
Publication number | Publication date |
---|---|
DE102018200617B4 (en) | 2020-02-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20170104590A1 (en) | Method and Apparatus for Error Correcting Code Based Public Key Encryption Schemes | |
Misoczki et al. | MDPC-McEliece: New McEliece variants from moderate density parity-check codes | |
Suresh et al. | Strong secrecy for erasure wiretap channels | |
DE112011100327T5 (en) | Efficient homomorphic encryption method for bilinear forms | |
Rigby et al. | Modified belief propagation decoders for quantum low-density parity-check codes | |
Hooshmand et al. | Reducing the key length of McEliece cryptosystem using polar codes | |
Heide et al. | A perpetual code for network coding | |
Esmaeili et al. | New secure channel coding scheme based on randomly punctured quasi‐cyclic‐low density parity check codes | |
Vasseur | Post-quantum cryptography: a study of the decoding of QC-MDPC codes | |
CN107786327B (en) | Safe and reliable transmission method based on LDPC code | |
Popovska-Mitrovikj et al. | 4-Sets-Cut-Decoding algorithms for random codes based on quasigroups | |
DE102018200617B4 (en) | Method for decoding an encrypted message of an asymmetric cryptographic system | |
Wang | Revised Quantum Resistant Public Key Encryption Scheme RLCE and IND-CCA2 Security for McEliece Schemes. | |
Baldi et al. | Improving the efficiency of the LDPC code-based McEliece cryptosystem through irregular codes | |
DE102018200616B4 (en) | Asymmetric cryptographic system and method for generating a public key for the asymmetric cryptographic system | |
DE102018221399B4 (en) | Asymmetric cryptographic system and method for decoding an encrypted message | |
Mafakheri et al. | An Efficient Secure Channel Coding Scheme based on Polar Codes. | |
DE102019207941B4 (en) | Method for efficient decoding of transmitted data | |
DE102019200256B4 (en) | Nesters | |
Guo et al. | A p-ary MDPC scheme | |
DE102022128556A1 (en) | METHOD AND SYSTEM FOR ERROR CORRECTION CODING BASED ON GENERALIZED CONCATENATED CODES WITH RESTRICTED ERROR VALUES FOR CODE-BASED CRYPTOGRAPHY | |
DE102019200402B3 (en) | Method for checking the security of a key pair of a cryptographic system based on algebraic codes | |
Khayami et al. | A joint encryption-encoding scheme using QC-LDPC codes based on finite geometry | |
DE102014208996B3 (en) | Procedure for recovering lost and / or corrupted data | |
Kruglik et al. | On the secrecy capacity of distributed storage with locality and availability |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final |