TW201404106A - 基於有錯配對的新密碼系統 - Google Patents

Abstract

本發明目的在於提供一種基於有錯配對的新密碼系統。本發明建立了新的金鑰交換系統，金鑰分配系統，身份的加密系統.這些系統基於相同的數學原理，即有錯配對原理。有錯配對原理可以看成LWE問題的拓展。這些新系統效率高，安全性好，且其安全性可以被證明，能夠抵禦量子電腦攻擊。

Description

基於有錯配對的新密碼系統

本發明涉及密碼系統設計，尤其是，金鑰交換系統(KE)，金鑰分配系統(KD)和基於身份的加密系統(IBE)，本質上都是基於相同的數學原理，即有錯配對原理。

在現代通信系統中，如互聯網、手機等，出於對通信資訊保密性的考慮，我們需要對資訊進行加密。目前有兩種不同的加密方法。第一，用對稱密碼系統加密資訊，此時，發送方用於加密的金鑰與接收方用於解密的金鑰相同。對稱密碼系統要求發送方和接收方有一個安全的管道來交換共用金鑰。在開放的通信管道中，沒有可信的協力廠商來交換金鑰，例如無線通訊，所以需要用某種方法在開放的管道中交換金鑰。此外，在一個有中央伺服器的系統中，如電話公司的手機服務系統，需要一個有效的和可以擴展的金鑰分配系統，使得任意兩個用戶都可以利用中央伺服器所建的金鑰分配系統獲得一個共用金鑰。因此，建立安全有效的金鑰交換系統和金鑰分配系統是十分重要和必要的。第一個金鑰交換系統由Diffie和Hellman[DiHe]提出的，該系統的安全性受到離散對數問題的影響。Shor[SHO]的工作表明，該系統可以被將來的量子電腦攻破。目前有許多金鑰分配系統，包括利用二次型對的金鑰分配系統[BSHKVY]和基於橢圓曲線上的雙線性型對的金鑰分配系統，美國專利號為：7,590,236。但是，現有的系統都存在計算效率或可擴展性方面的問題，如基於橢圓曲線上的雙線 性型對的金鑰分配系統的計算效率很低。

第二，利用非對稱密碼系統，即公開金鑰密碼系統加密；此時，接收方有一組公開金鑰和一組私密金鑰，但發送方只有公開金鑰；發送方利用公開金鑰加密資訊，接收方利用私密金鑰解密資訊，只有私密金鑰擁有方才能解密資訊。在通常的公開金鑰系統中，我們需要認證公開金鑰，因此每一個公開金鑰需要有一個認證證書，即一個由可信的權威中心提供的數位簽章。證書用來確認公開金鑰是否屬於合法的使用方，即資訊接收方。為了讓公開金鑰加密系統完全可用，我們需要一個稱為公開金鑰基礎設施的系統，即PKI。

1984年，Shamir提出了另外一種公開金鑰加密系統[SHA]；在此密碼系統中，一個人或實體的公開金鑰，由一個能夠唯一識別個人或實體的資訊的公開演算法生成；例如，對一個人來說，這些資訊可能包括姓名、住址、生日、指紋資訊、電子郵箱、社會安全號等。由於公開金鑰是由可以識別的個人資訊決定的，所以這類公開金鑰密碼系統被稱為基於身份的加密系統(IBE)。

基於身份的公開金鑰加密系統並不多，目前最優秀的正在使用的是Boneh和Franklin發明的基於橢圓曲線上的雙線性型對的基於身份的加密系統，美國專利號為：7,113,594；在基於身份的加密系統中，發送方用基於接收方身份的公開金鑰加密資訊。接收方用其私密金鑰解密資訊。接收方從一個中央伺服器獲得私密金鑰，其中中央伺服器有一個生成和分配私密金鑰給合法使用者的系統IBE。基於身份的IBE系統不需要發送方搜索接收方的公開金鑰，發送方利用鑒別接收者身份的資訊，如電子郵箱、身份證號或其他資訊等，從基於身份的加密系統中可獲得任意接收者對應的公開金鑰；現有的基於身份的加密系統較複雜，且計算效率不高；並且 這些基於橢圓曲線上的雙線性型對的加密系統也可被量子電腦攻破；此外，還有一些基於格理論的構造如[ABB]、[ABVVW]、[BKPW]，但在實際應用中，這些都是相當複雜的系統。因而設計安全有效的基於身份的加密系統是十分重要和必要的。

顯然，在實際應用中，我們仍然需要更有效和更安全的KE，KD和IBE系統。

本發明首次提出了一種用於開放管道中新的安全的金鑰交換方法，即AB兩種方法執行金鑰交換。本發明基於用不同的方法計算相同的雙線性型，其中每種不同的計算方法都會產生少量錯誤；在金鑰交換過程中，交換雙方A，B各自選擇一個私密金鑰矩陣S_A，S_B其中矩陣的元素是小的且服從某種保密的錯誤分佈，然後任意選擇一個公共矩陣M。金鑰交換雙方用各自的私密金鑰矩陣與公共矩陣M相乘，但計算過程會產生一些錯誤，交換相乘後的矩陣，用基於M的同一個雙線性型，但使用兩種不同的計算方法，並加入一些錯誤，計算一對S_A，S_B的配對。這種數學計算被稱為有錯配對；共用金鑰來自於有錯配對；此方法可以看做錯誤學習思想的拓展，該思想在2005年被Regev發現[Reg]；本系統的安全性依賴於某個可用數學證明的格問題的複雜性(hardness)[DiLi]；本系統只涉及矩陣乘法，因而計算效率極高.本系統還可以抵禦將來的量子電腦攻擊。

本發明的第三項內容包括建立基於身份的加密系統的新方法；在本系統中，中央伺服器或權威機構以矩陣A_i的形式分配給每個用戶一個公共的ID，或者以矩陣A_i的形式為每個用戶建立一個ID，其中A_i的元素較小並服從某種錯誤分佈，這些錯誤資訊可以識別唯一唯一的所有者；系統給每個使用者一個私密金鑰S_i，私密金鑰是由ID矩陣與系統金鑰矩陣S (有錯)相乘而得，而這裡的錯誤矩陣與系統公開金鑰矩陣M相關。中央伺服器或權威機構通過M和S相乘建立另一個金鑰M₁，其中矩陣相乘時加入一些錯誤；任意一個用戶希望發送給另一個用戶i一個資訊，可以計算使用者i的公開金鑰，用戶i的公開金鑰由M和矩陣對M和A_i有錯組成；然後用基於MLWE問題的加密系統加密資訊，使用者i用金鑰S_i解密信息；此方法可以看為錯誤學習思想的拓展，該思想在2005年被Regev發現[Reg]；本系統的安全性依賴於某個可用數學證明的格問題的複雜性[DiLi]；本系統只涉及矩陣乘法，因而計算效率極高。本系統還可以抵禦將來的量子電腦攻擊。

在本發明的構造中，可以用格理想的元素代替矩陣，我們還可以利用其他舍入技術。本系統可以以分散式的方式使多個伺服器同時服務，即建立分散式的KD和IBE系統。

總之，我們用相同的數學原理建立安全有效的KE，KD和IBE系統，該原理可以看成LWE問題的擴展。

雖然本發明是用具體的實例描述的，但是顯然對那些熟悉密碼學技術的人來說，可以很容易根據我們的具體實例變型、替換和修改；因此本文檔裡的實例僅僅是示範性的，本發明並非局限於此，各種在本發明的設計思路範圍內的變化都在本發明的優先權請求之內；本發明基本基於在2012年4月12日提交的美國臨時專利申請；專利申請的題目為安全通信和安全資訊系統的新方法，序號：61623272，只增加了技術細節。

關於錯誤學習理論問題，2005年Regev在其註冊[Reg]中有 介紹，在環上的錯誤學習理論(RLWE)問題[LPR]是錯誤學習理論問題的拓展，上述理論被廣泛的應用於密碼學設計，其安全性能夠得到證明。主要原因在於所述錯誤學習理論問題可以歸結為某個最壞情形的格上的問題，因而可用於密碼設計。

LWE問題描述如下，首先，有一個參數n，一個係數q，q個元素的有限環或有限域F_q上的錯誤概率分佈為k。為簡單起見，不妨設q是奇素數，但通過微小的變更，本發明可用於其他整數。

在F_q中，元素可用集合{-(q-1)/2，..，0，...，(q-1)/2}描述。錯誤分佈是以很高的概率選擇F_q中較小數的概率分佈。有很多此類分佈選擇，所述分佈選擇直接影響系統的安全性。我們選擇一個優秀的錯誤概率分佈使得系統正確、安全的工作。

令Π_Sκ為F_q上的一個概率分佈，此分佈通過以下方式獲得：從中任意選擇A，然後再從F_q中按照分佈κ選擇元素e，最後得到(A，<A，S>+e)，其中“+”指所述F_q上的加法運算。對任意的和Π_Sκ任意獨立樣本，解決關於q和分佈κ的LWE問題的演算法以很高的概率輸出S。

為了證明基於LWE問題的密碼設計的安全性，設q是關於n的特殊多項式函數，記為q(n)；設κ是一個離散的正態分佈，期望為0，標準差為，將此分佈另記為κ_σ。的元素表示為[-(q-1)/2，(q-1)/2)]中的整數。

在基於LWE問題的原始加密系統中，一次只能加密一位元，因此該系統是相當低效率且金鑰很大，為了進一步改進基於LWE問題的密碼系統的效率，文獻LPR提出了基於多項式環F_q[x]的商環LWE問題，即RLWE環問題。在基於RLWE問題的密碼系統中，所述密碼系統的安全性 歸結為格問題複雜性的子類問題，用理想的格類代替通常的格。

隨後，文獻[ACPS]提出了新型的LWE問題。這種新型LWE問題是基於LWE問題的。我們用m×n矩陣A代替向量A，S是n×1矩陣，使得矩陣乘法A×S相容。e也用m×1矩陣代替。系統在q個元素的有限域中工作。

例如，設A是n×n方陣，S和e是n×1矩陣。

令Π_S，κn是F_q上的概率分佈，任意選擇一個n×n矩陣A，矩陣A的元素屬於F_q，以某種錯誤分佈κ_n任意選擇e的元素，其中e是n×1矩陣。例如，每個元素分別按照錯誤分佈κ任意選擇，輸出(A，A×S+e)，其中“+”指的是F_q上的加法運算。這是一個解決關於q和錯誤分佈κ的LWE問題的演算法，如果對任意的和Π_S，κn任意獨立取樣，則會以很高的概率輸出S。

如果S的元素較小，且S的元素獨立地按照錯誤分佈κ_n選擇，這種情況稱為SLWE問題。如果A為對稱矩陣，則稱為小對稱LWE問題，即SSLWE。如果秘密矩陣S的元素是從-z，…，0，1，…，z中任意獨立地選擇的，其中z是小正整數，這種情況稱為均勻小LWE問題，即USLWE問題。

在實際應用中，S和e的元素可以用不同的分佈選擇。

由[ACPS]的結果可知，如果金鑰S和e的元素根據同一個LWE錯誤分佈κ_σ獨立選擇，那麼解決對應的LWE問題的複雜性與解決任意選擇金鑰S的LWE問題的複雜性相同。這意味著解決SLWE問題的複雜性與解決與之相對應LWE問題的複雜性相同。RLWE問題的情形與上述情況基本相同，如果能夠解決金鑰元素比較小的環上的LWE問題，那麼也能解決對應的LWE問題。

根據上述事例，可以進一步將此問題擴展到矩陣的形式。

令為F_q上的概率分佈，此分佈通過以下方式獲得，任意選擇一個n×n矩陣A，陣A的元素屬於F_q，任意選擇n×n矩陣e，e的元素屬於F_q且服從分佈。例如，每個元素分別按照錯誤分佈κ任意選擇。輸出(A，A×S+e)，其中“+”指的是上的加法。一個解決關於q和錯誤分佈的LWE問題的演算法，如果對任意的n×n矩陣和為任意獨立取樣，則會以很高的概率輸出S。

令矩陣形式的LWE問題為MLWE。如果S的元素較小，S的元素獨立地按照錯誤分佈選擇，我們稱之為小矩陣MLWE問題，記為SMLWE。如果在上述基礎上，A為對稱矩陣，則此類問題為小對稱MLWE問題，記為SSLWE。如果秘密矩陣S的元素是從-z，…，0，1，…，z(中任意獨立地選擇的，z是小正整數，則此類問題為均勻小MLWE問題，記為USMLWE。所述MLWE問題即為n個LWE問題的疊加，然後以矩陣形式共用金鑰。因此它與對應的LWE問題的複雜性性相當。

對於S和e元素的選擇，我們可以選擇不同的錯誤分佈。

這個設計的一個數學原理是矩陣乘法的結合律，即對矩陣A，B，C，有A×B×C=(A×B)×C=A×(B×C)；從數學的角度，這可看成矩陣A得的行向量與矩陣C的列向量的雙線性對的計算。

對於以某種錯誤分佈選擇的元素較小的矩陣A和B，我們不是直接相乘，而是按以下步驟計算，首先計算AB+E_a；然後計算 (AB+E_A)C或者(AB+E_A)C+E_AC；或者計算BC+E_C；最後計算A(BC+E_C)或者(AB+E_A)C+E_BC；其中E_A，E_B，E_AC，E_BC是元素較小的矩陣，選擇矩陣的錯誤分佈可以相同也可以不同。我們有兩種不同的方式計算矩陣乘法ABC，計算時產生少量錯誤。我們稱此為有錯配對計算。我們的所有設計都基於有錯配對，而且事實上，如果A和C的元素較小，那麼任意兩個不同的配對均相近。

可以證明，MLWE問題的複雜性與對應的LWE問題的複雜性相同。這是本設計可證明其安全性的基礎。

基於有錯配對的新的金鑰交換系統的設計，如下所示。

在開放的通信通道中，Alice和Bob進行一次金鑰交換。在本次操作中，Alice和Bob的通信通道對任何人開放，包括惡意的攻擊者。假設，本節中的所有矩陣都是n×n方陣。在實際應用時，矩陣不必是方陣，但必須保證所選矩陣的行列數允許其相乘。

金鑰交換的詳細步驟如下：

(1)Alice和Bob首先公開F_q，n和在F_q上的任意矩陣M，其中q是關於n的多項式，例如qn³，錯誤分佈是關於F_q上的n×n矩陣的錯誤分佈，例如每一個部分錯誤分佈與LWE情形時的離散錯誤分佈κ_σ相似，即F_q上的中心為零方差為的離散正態分佈。再選擇並公開小素數t(t<<n)。以上所有資訊均處在公開情況下。

(2)雙方按照錯誤分佈選擇n×n金鑰矩陣S_i(i=A，B)和e_i。Alice計算M_A=MS_A+te_A；其中t是小整數(t<<n)。Bob計算M_B=M^tS_B+te_B；

(3)雙方在開放通道中交換矩陣M_i。這意味著M_i(i=A，B)是公開的，但S_i和e_i(i=A，B)是保密的。

(4)Alice計算： Bob計算：

(5)雙方運用舍入技術獲得共用金鑰：

(a)Bob將K_B在[-(q-1)/4，(q-1)/4]中的元素的位置列出，記為T₁，，將K_B不在[-(q-1)/4，(q-1)/4]中的元素的位置列出，記為T₂。然後將表T₁發送給Alice。

(b)對表T₁的數，雙方都計算它們除以t的餘數；對表T₂的數，加上(q-1)/2後在[-(q-1)/4，(q-1)/4]中計算它們除以q的餘數，然後再模t，這樣雙方可以得到共用金鑰。

Alice和Bob可以通過K_A，K_B和舍入技術交換金鑰的原因在於：e_i和S_i的元素較小，從而導致K_A，K_B相近。我們稱這樣的金鑰交換系統為SMLWE金鑰切換式通訊協定。我們還可以證明這個有效的系統的 安全性[Dili]。

本系統的通信功能和計算效率很優秀。雙方只需要交換F_q上的n²個元素，利用Strassen快速矩陣乘法進行大約2n^2.8次計算，如果t=2，就得到n²位bit輸出。

對於S和e元素的選擇，同樣可以選擇不同的分佈。

可以證明，如果選擇相同的系統參數n和q和選擇恰當的錯誤分佈，矩陣SLWE金鑰切換式通訊協定是可被證明其安全性的[DiLi]。證明基於有錯配對問題的困難性。

假設給定：(1)n×n矩陣M，素數q，小正整數t，錯誤分佈κ_n；(2) 其中e_i是n×1向量，其元素服從錯誤分佈κ_n，S_i是n×1向量，其元素服從相同的分佈；已知 是否屬於[-(q-1)/4，(q-1)/4]；問題在於尋找一個演算法使得下面等式成立； 其中，如果的元素屬於[-(q-1)/4，(q-1)/4]時，模t，否則首先模q，然後再模t，這種問題被稱為有錯配對問題(PEP)。

安全性證明基於以下事實：SMLWE問題的複雜性與SLWE問題相同，事實上矩陣版本的SLWE問題實例可看為一組SLWE問題的疊加。

特別的，如果選擇的矩陣對乘法運算相容，那麼可以選擇長方矩陣設計系統，但是必須選擇恰當的參數確保系統安全。

同理，根據文獻[LNV]對RLWE問題的描述，可以建立基於環錯誤問題的金鑰交換系統(RLWE)[LPR]。

有關RLWE問題，我們考慮環，，其中f(x)是 Z[x]上的n次多項式，Z為整環，q是素數；若q是奇素數，則Z _q=F_q=的元素表示為-，...，-1，0，1，..，，即可看成Z的元素。R _q的元 素可以表示為n-1次單變數多項式，或該多項式係數向量。對R _q的元素a(x)=a₀+a₁x+…+a_n-1x^n-1，定義向量(a₀，a₁…，a_n-1)的範數l_∞為：∥a∥=max|a_i|向量(a₀，a₁…，a_n-1)可以看成Z ⁿ的元素，a_i可看成Z的元素。經過微小的修改，q為偶數的情形與奇數的情形相似RLWE_f，q，χ問題的參數：次數為n的多項式f(x)，素數q，R _q上的錯誤分佈χ。RLWE_f，q，χ問題定義如下。

RLWE_f，q，χ問題是給定任意多項式實例，s是R _q的元素；(a_i，b_i=a_i×s+e_i)；求R _q的元素s的值。其中a_i R _q，e_i的選擇服從錯誤分佈χ。

RLWE_f，q，χ問題的複雜性基於b_i在計算上的不可區分性。根據文獻[LPR]，可以證明解決RLWE_f，q，χ問題可歸結為用量子電腦解決相關參數的短向量問題。我們相信即使是量子電腦，解決某些格問題時的複雜程度也是指數增長的。

根據文獻[ACPS]和[LPR]，RLWE_f，q，χ問題等價於一種變型，在這種變型中，s的選擇服從錯誤分佈χ，而不是從R _q中任意選擇，錯誤元 素e_i乘以某個小整數t。

為了證明所述RLWE問題的安全性，需要考慮RLWE問題的特殊參數選擇。

(1)選擇f(x)為割圓多項式xⁿ+1，其中n=2^u；(2)錯誤分佈χ是離散的高斯分佈，其中n>>σ>ω>1；(3)q=1(mod 2n)，q是關於n的多項式，qn³；(4)t是小素數且t<<n<<q。

對於某些特別的應用，也可以選取其他特殊的參數。

在金鑰交換系統RLWE_f，q，χ中，有兩個必不可少的要素，

(1)向量在標準差為σ的離散高斯分佈的長度的上界為σn，即對分佈χ的任意樣本，有

(2)環R _q上的乘法被界定在合理的範圍內，即對X，Y R _q，有 其中範數l_∞定義如上。

RLWE_f，q，χ系統環境如上，Alice和Bob在開放通道交換資訊步驟如下：

(1)Alice和Bob首先公開RLWE_f，q，χ的所有參數：qn³或者關於n的多項式、n、f(x)、χ。並公開從R _q中任意選擇的元素M。

(2)雙方按照錯誤分佈選擇自己的金鑰s_i R_q，按照錯誤分佈獨立選擇e_i R_q，但是加入一個小素數t(t<<n)Alice計算，M_A=S_AM_SA+te_A其中t是小素數(t<<n)。 Bob計算 M_B=S_BM+te_B；

(3)雙方交換M_i。這意味著M_i是公開的，但s_i和e_i必須保密.

(4)Alice計算： Bob計算：

(5)雙方應用舍入(rounding)技術共用金鑰，具體過程如下：(a)Bob建立一張長為n的表，表格由(i,j)組成，其中i=0,...,n-1，如果K_B的xⁱ的係數在集合[-(q-1)/4,(q-1)/4]中，那麼j=1，否則，j=0；(b)Bob將建立的表格發送給Alice。雙方計算表格(i，j)元素對應K_A和K_B的元素除以t的餘數如下：1)如果j=1，則分別計算K_A和K_B第i個元素模t；2)如果j=0，則K_A和K_B第i個元素首先加上(q-1)/2，然後模q，使得第i個元素在集合[-(q-1)/4，(q-1)/4之中，最後模t。

S_i和e_i可以使用不同的分佈。

雙方可以通過上述方法共用金鑰。此系統稱為RLWE金鑰交換系統。此系統可以將金鑰交換失敗的概率降到很低。環R _q的交換律和結合律對本系統的設計十分重要。

在安全性分析方面，可以證明RLWE_f．q．x問題的安全性與R _q環上的PEP問題相似，本系統是安全的。

假設給定：．MR_q，素數t，q和錯誤分佈χ，分佈參數與RLWE_f，q，χ相同；．和，其中e_i和s_i服從錯誤分佈χ；．已知的x_i的係數是否在[-(q- 1)/4，(q-1)/4]之中；環上的有錯配對的問題(RPE)，即找到某種演算法以高概率計算K_B(或K_A)模t或者K_B+(q-1)/2(或K_A+(q-1)/2)模q再模t。

基於RLWE_f，q，χ問題的複雜性的RLWE金鑰交換系統的安全性是可以證明的，證明方法與SLWE金鑰交換系統相似。

對相同的參數q和n本系統十分有效，因為可以用環R _q上FFT型演算法快速進行乘法運算。

基於有錯配對的新的金鑰分配系統的設計：在大型網路中，怎樣給合法的用戶分配金鑰是一個關鍵的問題。通常，建立一個真正有效且可擴展的金鑰分配系統是十分困難的。例如，在文獻[BSHKVY]中提出的金鑰分配系統，本質上，中心伺服器的主金鑰是一個n×n對稱矩陣M，用戶的認證可以看成n個元素的行向量H_i。中心伺服器給每個用戶一個金鑰H_I×M。兩個用戶之間可獲得共用金鑰H_I×M×。M的對稱性質使得 但是，大量的用戶可以合作，從而獲得主金鑰。但是如果非法用戶能夠收集到足夠多(n個)的H_i×M。那麼非法用戶也能得到主金鑰M，從而將系統攻破。

我們可以建立一個基於有錯配對的真正可擴展的金鑰分配系統，此系統可看成是LWE思想的綜合。

本系統建立在有限域F_q上，其中F_q的元素可以表示為-(q-1)/2，...，0，...，(q-1)/2。令qn^3或者q是其他關於n的多項式函數，令是n×n矩陣空間上的錯誤分佈。例如，每個部分都服從κ_σ分佈的聯合分佈，其中κ_σ為前述LWE中的離散分佈，即期望為0，標準差約 為n^^1/2的離散正態分佈。分佈的參數可以更改。

金鑰分配系統建立步驟如下：

(1)中央伺服器選擇一個主金鑰n×n矩陣S，矩陣的元素屬於F_q，且S=S^t。

(2)對每個用戶i，中央伺服器分配一個矩陣A_i，通常為非對稱矩陣，作為用戶ID矩陣，矩陣A_i服從錯誤分佈。ID矩陣是公開的，它也可以由能夠識別客戶的唯一資訊，如電子郵箱、姓名等生成。

(3)對每個用戶，伺服器分配一個安全的金鑰：E_i=A_iS+te_i，其中e_i是一個非對稱矩陣且服從錯誤分佈。這部分為客戶保密。

兩個用戶i和j想獲得共用金鑰，必須比較兩個ID矩陣的大小。則用戶i計算： 用戶j計算： 因為ID矩陣是公開的，所以此步驟能夠實現。可以通過以下步驟獲得共用金鑰。

．當用戶j想和用戶i建立共用金鑰時，用戶j選出K_j在集合(-(q-1)/4，(q-1)/4)中的所有元素，包括它們在矩陣的位置，並且，在集合中的元素標記為1，不在集合中的元素標記為0。然後用戶j把這些元素的位置以表格的形式發送給使用者i，此時不發送元素值。用戶i按照接收到的表格，從自己的矩陣E_i×A_i中選出表格對應位置的元素。於是用戶i和j擁有了同一張表格，即矩陣元素的位置，從而也可以知道自己的矩陣中對應的元素。對於標記為1的元素，雙方計算對應元素除以t的餘數；對於標記為0的元素，雙方 用該元素加上(q-1)/2後再模t。從而得到共用金鑰。

由於S是對稱矩陣，所以有 因而對用戶j，可得

兩個用戶計算上的不同點在於：

兩者的不同是很小的，這是因為t是很小的，且和也是很小的，事實上e_i，e_jA_i和A_j全是很小的。再通過舍入技術，我們能夠給用戶i和j共同的金鑰，從而建立金鑰分配系統。

因為矩陣te_iA_j和的錯誤項很小，A_iSA_j中標記為1的元素幾乎全部屬於[-(q-1)/4，(q-1)/4]。因而錯誤項不會導致A_iSA_j的元素值超出(-(q-1)/2或(q-1)/2)，即加上錯誤項後，仍然不需要模q元素。標記為0的情況也一樣。這就確保雙方可以共用金鑰。

從K_i，K_j的構造可知，K_i和K_j的元素服從均勻分佈。用戶j每次根據矩陣K_j構造的表格長度達n²。因而如果適當選擇n，本系統能提供足夠的共用金鑰位。

特別的，也可以構造非對稱矩陣情形的金鑰分配系統，此時，伺服器需要多計算一些矩陣，如A_iS+e和+e'。因此，非對稱矩陣情形的金鑰分配系統效率沒有對稱的情形高。

另外，因為環中的一個元素可以視為環的同態，所以RLWE問題可以看成基於矩陣的LWE的特殊版本，所以我們可以用相同的方式通 過RLWE建立金鑰分配系統。

本金鑰分配系統擁有可擴展性；顯然，每個用戶都有A_i和E_i=A_iS+te_i對，許多用戶通過合作可以得到許多對，恢復主金鑰矩陣S就是要解決對應的MLWE問題，但是，主金鑰矩陣S為對稱矩陣的情況除外。因為給定一個LWE問題，通過對稱矩陣，我們可以將它轉化為MLWE問題，所以不難證明MLWE問題於LWE問題的複雜性相同。所以本系統是可擴展的。

在本系統的安全性證明方面，與文獻[DiLi]的證明方法相似，我們也可以證明本系統是安全的。

綜上所述，因為RLWE可以看成特殊的MLWE，所以我們可以利用RLWE建立十分簡單的金鑰分配系統。

首先選擇環R _q=F_q[x]/xⁿ+1。為了保障系統的安全性，必須恰當的選擇參數n，q，例如，n=2^k，q=1mod(2n)[LPR]。對於本系統安全性的證明，我們按照文獻[LPR]來設置參數和錯誤分佈χ。

本設計基於上述系統。假設，定義了一個環R_q，且環服從錯誤分佈χ，則環R_q上的錯誤學習問題定義如下：給定對(A，E)，其中E=A×S+te'，e'的元素屬於R且服從錯誤分佈χ，t是小整數，S是固定元素，A是任意選擇的。環R_q上的錯誤學習問題就是求S的問題。

對中央伺服器，我們建立簡單的金鑰分配系統如下：

(1)中央伺服器按照均勻分佈從R_q中任意選擇M；

(2)對每個用戶，中央伺服器分配一個公開的ID A_i，其中A_i是R_q的小元素，即服從錯誤分佈χ。

(3)中央伺服器給每個用戶一個金鑰：K_i=A_j×S_i=A_jMA_i+tA_je_i其中e_i服從錯誤分佈χ。

(4)如果用戶i和j試圖建立共用金鑰，那麼用戶i可以用自身的金鑰和用戶j的ID矩陣A_i與用戶j建立共用金鑰，為此，用戶i計算K_i=A_j×S_i=A_jMA_i+tA_je_i；用戶j計算K_j=A_i×S_j=A_jMA_i+tA_ie_j應用舍入技術，共用金鑰可通過以下方式獲得：

(a)用戶i建立一個長為n的表，表由對(a，b)組成，其中a=0，...，n-1，如果K_i中x^a的係數在集合裡，那麼b=1，否則b=0。

(b)用戶i將上述建立的表發送給用戶j。對表中的元素(a，b)，雙方計算表中的元素對應的K_i中的元素模t的值如下：1)如果b=1，雙方分別計算K_i和K_j的第a個元素模t的值；2)如果b=0，K_i和K_j的第a個元素首先加上(q-1)/2，然後模q，使其在[-(q-1)/4，(q-1)/4中，最後將所得值模t。

因為A_i是e_i環R_q中的小元素，所以A_i×e_i仍然很小。因此，保證了可以得到共用金鑰並建立金鑰分配系統。

在金鑰分配的整個過程中，經常依據這一事實：RLWE問題的乘法可交換性。我們構造的系統的特點是：簡單，直接。顯然，它的安全性可以保證。

基於有錯配對的基於身份加密系統的設計：我們首先建立基於MLWE的公開金鑰加密系統。為了建立加密系統，選擇的參數如前述，qn³或n⁴或其它關於n的多項式，錯誤分 佈為，例如，每個部分都服從κ_σ分佈的聯合分佈，其中κ_σ為前述LWE中的離散分佈，即期望為0，標準差約為的離散正態分佈，為了方便證明安全性，我們也可以選擇高維高斯正態分佈。這一簡單的分佈可以簡述所述密碼系統的有效性。當然，分佈的參數可以更改。

選擇這些參數後，與MLWE情形相似，可以建立加密系統，步驟如下：

(1)選擇n×n矩陣S，使得S的元素服從錯誤分佈，例如，S的每個元素依據分佈κ_σ獨立地任意地選擇。

(2)在MLWE環境下，我們可以得到一對輸出(A，E)，其中E=A×S+e，或E=A×S+te，且t是小整數，t<<n，這對輸出(A，E)就是系統的公開金鑰，其中e服從某種錯誤分佈，例如前述分佈。

(3)S是系統的私密金鑰。

(4)消息m用n×n矩陣表示，矩陣的元素為0，1或者模t的剩餘類環0，1，...，t-1。

(5)發送者選擇一個n×n矩陣B，矩陣B的選法與S相同，即服從錯誤分佈，例如，B的每個元素依據分佈κ_σ獨立地任意地選擇。發送者加密資訊如下：(D₁，D₂)=(B×A+e₁，B×E+e₂+m(q/2))，(D_1，D_2)=(B×A+te_1，B×E+te_2+m)，其中e₁和e₂是錯誤矩陣，它們的選擇方式與e相同，即按照某錯誤分佈獨立地任意地選擇。

(6)合法的解密者解密資訊如下：計算 其中每一個運算都在F_q中進行，矩陣中的每個部分都能夠得到確認。矩陣的元素如果接近0，則輸出0；如果接近(q-1)/2，則輸出1；或者按照實數域上的除法，將矩陣元素除以(q-1)/2，然後四捨五入輸出0或1。最後的輸出就是明文m；在第二種情況下，合法解密者計算 D₂-D₁×S=(BE+te₂+m-(BA+e₁)S)=teE+te₂-te₁S+m然後模t。這樣可得到明文m。

A，B，e_i可以選擇不同的分佈。

對於較大的n，解密成功的概率很高，原因如下： B×e+e₂-e₁×S可以看成錯誤項，它由任意變數的分佈決定。與KE或KD系統的情況相似，如果選擇恰當的參數，那麼解密成功，我們將得到長為n的明文。第二種情形與此相似。

本加密系統的一大亮點在於加密速度極快，因為在加密解密過程中，我們可以用快速矩陣乘法[CW]。

另外，矩陣乘法不可交換，所以兩個元素相乘時，相乘順序是十分重要的，這一點與RLWE相關系統不同。

使用類似的方法，可以建立環上的LWE的加密系統(RLWE)[LPR]，所有元素都在環R_q中。於是有E=A×S+te，其中，t是小正整數，S服從錯誤分佈。因為 D₂-D₁×S=BE+te₂+m-(BA+t₁e₁)S=B(AS+te)+te₂+m-(BA+te₁)S=tBe+te₂-te₁S+m，所以加密如下：(D₁，D₂)=(B×A+te₁，B×E+te₂+m)。

解密如下：(BE+te₂+m-B(AS+te₁))(mod t)。

因為錯誤項模t後很小，所以可以肯定，能夠得到明文。

對於MLWE問題，根據需要選擇分佈，使得系統是可證明安全的。

目前，有一些基於格的相關問題(包括LWE問題)的身份加密系統[ABB]，[ABVVW]，[BKPW]。但是這些系統都是十分複雜的。我們可以利用MLWE建立基於身份的加密系統。

建立一個簡單的基於身份的加密系統如下：

(1)中央伺服器首先選擇一個n×n矩陣S作為主金鑰，其中S的元素是小的並服從錯誤分佈，這與金鑰交換系統和金鑰分配系統相似。

(2)中央伺服器任意選擇一個可逆矩陣M，其中M服從均勻分佈或相似的分佈。如果q足夠大，那麼M可逆的概率就很大，從而可以很容易找的這樣的可逆矩陣。然後中央伺服器計算M₁=MS+te，其中e的元素很小，並服從錯誤分佈。

(3)中央伺服器公開M和M₁作為公開金鑰。

(4)對每一個用戶，中央伺服器分配一個ID矩陣A_i，其中A_i的元素很小。並服從錯誤分佈，它可以由能夠識別使用者的資訊生成。

(5)分配給每個用戶一個金鑰：S_i=SA_i+tM^-1e_i，其中e_i的元素是小的並服從錯誤分佈κ。誠然，這相當於給定MS_i=MSA_i+te_i，因為M是公開的。

(7)由於任何人都可以利用ID矩陣A_i，故中央伺服器可以為擁有ID矩陣A_i的用戶建立新公開金鑰(A_i，B_i)，其中A_i=M，B_i=M₁A_i=MSA_i+teA_i，利用此公開金鑰和MLWE加密系統就可以加密任何資訊。

此即為矩陣上的基於身份的加密系統。

S，A_i，e_i，e可以服從不同的分佈。

因為A_i和e的元素較小，所以A_i×e的元素也是小的。此外我們還有MS_i-B_i=M(SA_i+tM^-1e_i)-MSA_i-teA_i=MSA_i+tMM^-1e_i-MSA_i-teA_i=te_i-teA_i，因為S，A_i，e_i的元素較小，所以e_i-eA_i和te_i-teA_i的元素也是小的。因此，對於MLWE問題的輸入對(A_i，B_i)，S_i是MLWE問題的解。所以S_i是金鑰，從而可以用來加密。最後，必須選擇恰當的參數確保系統安全。

本系統的特點是簡單，直觀。其安全性的證明也是顯然的。

此設計可以擴展到RLWE問題。我們選擇環F_q[x]/(xⁿ+1)。為了確保所述系統安全性，必須選擇恰當的參數，如n=2^k，q=1 mod(2n)[LPR]。當然也可以選擇其他參數。

這個設計直接依賴於RLWE加密系統[LPR]，即有一個環R，在環上恰當定義錯誤學習問題如下：對給定的對(A，E)，其中E=A×S+te'，A，S，e'的元素屬於R_q且服從錯誤分佈χ，t是小正整數，S是固定的，A服從均勻分佈，關於環R的錯誤學習問題就是求等式E=AS+te'，的解的問題。如前所述，我們可以利用RLWE問題[LPR]建立公開金鑰加密系統，其中A和E是公開金鑰，S是私密金鑰，S的元素是小的。我們可以利用環LWE問題上的乘法的可交換性這一事實。

我們建立簡單的基於身份的加密系統如下：

(1)中央伺服器首先從R中選擇S作為主金鑰，其中S的元素是小的且服從錯誤分佈χ。

(2)中央伺服器任意選擇一個可逆矩陣M，其中M服從均勻分佈或相似的分佈。如果q足夠大，那麼M可逆的概率就很大，從而可以很容易找到這樣的可逆矩陣。然後中央伺服器計算M₁=MS+te，其中e的元素很小，並服從錯誤分佈χ。

(3)中央伺服器公開M和M₁作為公開金鑰。

(4)對每一個用戶，中央伺服器分配一個ID矩陣A_i，其中A_i的元素是R_q中較小的元素並服從錯誤分佈χ。

(5)分配給每個用戶一個金鑰： S_i=SA_i+tM^-1e_i，其中e_i的元素是R中的小元素並服從錯誤分佈χ。誠然，這相當於給定MS_i=MSA_i+te_i，因為M是公開的。

(6)由於任何人都可以利用ID矩陣A_i，故中央伺服器可以為擁有ID矩陣A_i的用戶建立新公開金鑰建立新公開金鑰(A_i B_i)，其中A_i=M，B_i=M₁A_i=MSA_i+teA_i，利用此公開金鑰和MLWE加密系統就可以加密任何資訊。此即為環上的基於身份的加密系統。

S，A_i，e，e_i可以選擇不同的分佈。

因為A_i和e的元素是R中的小元素，所以A_i的元素也是×e也是小元素。又由於環是交換環，我們有S_iA_i-B=S_iM-B_i=M(SA_i+tM^-1e_i)-MSA_i-A_ite=MSA_i+tMM^-1e_i-MSA_i-A_ite=te-tA_ie_i，因為所述e，A_i和e_i是小元素，所以e_i-eA_i和te_i-teA_i的元素也是小的。因此，對於MLWE問題的輸入對(A_i，B_i)，S_i是MLWE問題的解。所以S_i是金鑰，從而可以用來加密。最後，必須選擇恰當的參數確保系統安全。

同樣的方法可以建立一個分層的IBE系統，每個使用者可以作為一個中央伺服器。

本系統的特點是簡單，直接，高效。顯然，能夠證明其安全性。

在上述建立在環的的有錯配對的系統，可以用如下形式的多項式：f(x)=Πf_i(x)+g(x)，其中f_i，g(x)是極其稀疏的，只包括少數非零項，如2或3個非零項。利用此類多項式可以提高加密和解密的計算速度。

引用：

[ABB]S.Agrawal，D. Boneh，X. Boyen: Efficient Lattice (H)IBE in the Standard Model. In proceedings of Eurocrypt 2010，Lecture Notes in Computer Science，Volume 6110，pp. 553-572，2010.

[ABVVW] S. Agrawal，X. Boyen，V. Vaikuntanathan，P. Voulgaris，H. Wee: Fuzzy Identity Based Encryption from Lattices. IACR Cryptology ePrint Archive 2011: 414 (2011).

[ACPS] B. Applebaum，D. Cash，C. Peikert，A. Sahai；Fast Cryptographic Primitives and Circular-Secure Encryption Based on Hard Learning Problems.Advances in Cryptology-CRYPTO 2009，Lecture Notes in Computer Science，Volume 5677 pp 595-618，2009.

[BKPW] M. Bellare，E. Kiltz，C. Peikert，B. Waters: Identity-Based (Lossy) Trapdoor Functions and Applications. In Proceedings of EUROCRYPT 2012，Lecture Notes in Computer Science，Volume 7237，pp 228-245 2012.

[BSHKVY] C. Blundo，A. De Santis，A. Herzberg，S. Kutten，U. Vaccaro，M. Yung: Perfectly-Secure Key Distribution for Dynamic Conferences. in Advances in Cryptology--Crypto 92，Lecture Notes in Computer Science，Volume 740，pp 471-486，1993.

[BKW] A. Blum，A. Kalai，and H. Wasserman. Noise-tolerant learning，the parity problem，and the statistical query model. Journal of the ACM，50(4)，pp506-19，2003.

[COPP] D. Coppersmith，Shmuel Winograd，Matrix multiplication via arithmetic progressions，Journal of Symbolic Computation - Special issue on computational algebraic complexity archive 9 (3)，pp 251-280，1990.

[DiHe] W. Diffie，M. Hellman，New directions in cryptography，IEEE Transactions on Information Theory 22 (6)，pp 644-54，1976.

[DiLi] J. Ding，X. Lin，A Simple Provably Secure Key Exchange Scheme Based on the Learning with Errors Problem，Cryptology ePrint Archive，Report 688，2012[LNV] K. Lauter，M. Naehrig，V. Vaikuntanathan，Can Homomorphic Encryption be Practical？，Cryptology ePrint Archive，Report 2011/405，2011，http：//eprint.iacr.org，

[LPR]V. Lyubashevsky，C. Peikert，O. Regev，On ideal lattices and learning with errors over rings In Eurocrypt 2010.

[REGEV] O. Regev，On lattices，learning with errors，random linear codes，and cryptography，in Proceedings of the 37th Annual ACM Symposium on Theory ofComputing -STOC05，ACM，pp 84-93，2005.

[SHA] A. Shamir，Identity-based cryptosystems and signature schemes，in Advances in Cryptology--Crypto '84，Lecture Notes in Computer Science，Vol. 196，Springer-Verlag，pp. 47-53，1984.

[SHO] P. Shor，Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer，SIAM Journal of Computing 26，pp. 1484-1509，1997.

[STR] V. Strassen，Gaussian Elimination is not Optimal，Numer. Math. 13，p. 354-356，1969.

Claims (19)

1. 一種一方A與另一方B在開放的通道中交換金鑰的方法，其特徵在於步驟包括：(1)金鑰交換雙方A和B公開選擇參數n，q，小正整數t(t<<n)，F_q上的n×n矩陣服從錯誤分佈 F_q上的任意n×n矩陣M，其中q是奇素數且 是關於n的多項式，如n³，F_q的元素可以表示為集合中的整數；(2)金鑰交換雙方分別按照錯誤分佈選擇私密金鑰n×n矩陣S_i(i=A，B)和錯誤矩陣e_i(i=A，B)；A方計算M_A=MS_A+te_A；B方計算M_B=M^tS_B+te_B；(3)雙方在開放通道中交換M_i；(4)A方計算： B方計算： (5)雙方利用舍入計算獲得共用金鑰，步驟如下： (a)B方將矩陣K_B中屬於集合中的元素的行下標和列下標 標記出來，並做成表格T₁，將矩陣K_B中不屬於集合中的元 素的行下標和列下標標記出來，並做成表格T₂，然後將表格T₁發送給A方；(b)對行下標和列下標出現在表格T₁中的K_A，K_B的元素，雙方分別將它模t；對於行下標和列下標不出現在表格T₁中的K_A，K_B的元素，雙方分別將它加上後首先模q，然後再模t。
2. 一種中央伺服器建立金鑰分配系統，其特徵在於包括：(1)中央伺服器選擇參數n，q，小正整數t(t<<n)，F_q上的n×n矩陣錯誤分佈，F_q上的任意n×n主金鑰對稱矩陣S，F_q上的依據錯誤分佈選擇的n×n矩陣M，其中q是奇素數且是關於n的多項式，如n³，F_q的元素可以表示為集合中的整數；(2)中央伺服器給每個用戶i分配一個ID矩陣A_i，其中ID矩陣的元素是小的且服從錯誤分佈，ID矩陣是公開的；中央伺服器可以利用使用者的資訊生成ID矩陣並確認客戶的身份；(3)中央伺服器分配給每個用戶一個安全金鑰：E_i=A_iS+te_i，其中e_i是一個矩陣，它的元素服從錯誤分佈，而且這部分是為客戶保密的；使用者i和使用者j獲得共用金鑰的步驟包括：首先，比較雙方ID矩陣的大小，假設i<j，用戶i計算： 用戶j計算： 然後雙方可通過舍入技術獲得共用金鑰，過程驟包括：假設用戶j想和用戶i建立共用金鑰，用戶j將矩陣K_j中屬於集合中的元素的行下標、列下標以及元素值標記出來，易見， 這些元素是0附近的元素而不是附近的元素；使用者j將在表格發送給使用者i，這張表格是一個矩陣，如果K_j的(I，J)元素屬於集合 中，那麼這個矩陣的(I，J)元素等於1，否則等於0；使用者i根據表格中等於1的位置，從矩陣E_i×中選出對應的元素；這樣雙方就共用了這些元素的位置；然後雙方將標記為1的位置的元素模t，將標記為0的位置的元素加上上後首先模q，然後再模t；這樣雙方共用計算後的新表格作為共用金鑰。
3. 一種對於中央伺服器，建立基於身份的加密系統，其特徵在於包括：(1)中央伺服器選擇參數n，q，小正整數t(t<<n)，F_q上的n×n矩陣服從錯誤分佈，F_q上依據錯誤分佈選擇的n×n矩主金鑰矩陣S，其中q是奇素數且是關於n的多項式，如n³，主金鑰矩陣S的元素較小且服從錯誤分佈，F_q的元素可以表示為集合中的整數；(2)中央伺服器任意選擇一個可逆的矩陣M；如果伺服器剛開始選擇的矩陣不可逆，那麼服務器重新選擇矩陣，直到所選矩陣可逆；然後伺服器計算M₁=MS+te，其中e的元素是小的且服從錯誤分佈；(3)中央伺服器公開M和M₁作為公開金鑰； (4)中央伺服器給每個用戶i分配一個ID矩陣A_i，其中ID矩陣的元素較小且服從錯誤分佈，ID矩陣是公開的；中央伺服器可以利用使用者的資訊生成ID矩陣；(5)中央伺服器分配給每個用戶i一個金鑰S_i=SA_i+tM^-1e_i，其中e_i的元素較小且服從分佈κ；(6)伺服器利用IDA_i和伺服器公開金鑰ID為A_i的用戶建立公開金鑰(A_i，B_i)，其中A_i=M，B_i=M₁A_i=MSA_i+teA_i；任何人都可以利用此公開金鑰及設計節描述的MLWE加密系統加密資訊。
4. 如請求項1所述的一方A與另一方B在開放的通道中交換金鑰的方法，其中，所述q是一個2次或2次以上的多項式，錯誤分佈的每部分相互獨立，每部分服從某種分佈如離散錯誤分佈κ_σ，即F_q上期望為0、標準差為的正態分佈，或者其它相似分佈。
5. 如請求項2所述的中央伺服器建立金鑰分配系統，其中，所述q是一個2次或2次以上的多項式，錯誤分佈的每部分相互獨立，每部分服從某種分佈如離散錯誤分佈κ_σ，即F_q上期望為0、標準差為的正態分佈，或者其它相似分佈。
6. 如請求項3所述的建立基於身份的加密系統，其中，所述q是一個2次或2次以上的多項式，錯誤分佈的每部分相互獨立，每部分服從某種分佈如離散錯誤分佈κ_σ，即F_q上期望為0、標準差為的正態分佈，或者其它相似分佈。
7. 如請求項1所述的一方A與另一方B在開放的通道中交換金鑰的方法，其 中，所述矩陣和參數可以用三角矩陣和適當參數代替，需保證矩陣可以相乘。
8. 如請求項1所述的一方A與另一方B在開放的通道中交換金鑰的方法，其中，所述矩陣和參數可以用三角矩陣和適當參數代替，需保證矩陣可以相乘。
9. 如請求項1所述的一方A與另一方B在開放的通道中交換金鑰的方法，其中，所述矩陣和參數可以用環R_q=F_q[x]/f(x)的元素和適當參數代替，其中f(x)=xⁿ+1。
10. 如請求項2所述的中央伺服器建立金鑰分配系統，其中，所述矩陣和參數可以用環R_q=F_q[x]/f(x)的元素和適當參數代替，其中f(x)=xⁿ+1。
11. 如請求項3所述的建立基於身份的加密系統，其中，所述矩陣和參數可以用環R_q=F_q[x]/f(x)的元素和適當參數代替，其中f(x)=xⁿ+1。
12. 如請求項2所述的中央伺服器建立金鑰分配系統，其中，所述方法的兩個用戶i和j獲得共用金鑰的過程中，i和j的角色可以互換。
13. 如請求項2所述的中央伺服器建立金鑰分配系統，其中，可以利用請求項2的方法，建立多個伺服器的金鑰分配系統。
14. 如請求項3所述的建立基於身份的加密系統，其中，可以利用請求項3的方法，建立多個伺服器的基於身份的加密系統。
15. 如請求項3所述的建立基於身份的加密系統，其中，可以利用請求項3的方法，建立多層的基於身份的加密系統，每個使用者可描述為下一層的伺服器。
16. 如請求項1所述的一方A與另一方B在開放的通道中交換金鑰的方法，其中，所述舍入技術可以用相似的方法代替。
17. 如請求項1所述的一方A與另一方B在開放的通道中交換金鑰的方法， 其中，所述矩陣和參數可以用環R_q=F_q[x]/f(x)的元素和適當參數代替，其中f(x)=xⁿ+1使用的多項式元素選擇形式f(x)=Πf_i(x)+g(x)，其中f_i，g(x)是只有少數非零項的稀疏多項式。
18. 如請求項2所述的中央伺服器建立金鑰分配系統，其中，所述矩陣和參數可以用環R_q=F_q[x]/f(x)的元素和適當參數代替，其中f(x)=xⁿ+1使用的多項式元素選擇形式f(x)=Πf_i(x)+g(x)，其中f_i，g(x)是只有少數非零項的稀疏多項式。
19. 如請求項3所述的建立基於身份的加密系統，其中，所述矩陣和參數可以用環R_q=F_q[x]/f(x)的元素和適當參數代替，其中f(x)=xⁿ+1；使用的多項式元素選擇形式f(x)=Πf_i(x)+g(x)，其中f_i，g(x)是只有少數非零項的稀疏多項式。